Næringslivets
sikkerhets-
råd
Meny

Nasjonal kontroll med kritisk digital kommunikasjonsinfrastruktur

3. mar 2025
Lesetid: 3 min

Olav Lysne, professor og direktør for SimulaMet, har ledet et utvalg som nå har levert rapporten “Nasjonal kontroll med kritisk digital kommunikasjonsinfrastruktur – målbilde og virkemidler” til Digitaliserings- og forvaltningsministeren. Tiltakene i rapporten vil ha stor betydning for deler av næringslivet.

Trusselbildet mot næringslivet

Rapporten peker på at trusselbildet har eskalert kraftig de siste årene, spesielt etter Russlands invasjon av Ukraina. Norge har sett en økning i:

  • Statssponsede cyberangrep, ofte med mål om sabotasje eller overvåkning.
  • Ransomware-angrep, der cyberkriminelle krypterer virksomheters data og krever løsepenger.
  • Forsyningskjedeangrep, hvor hackere angriper tredjepartsleverandører for å få tilgang til flere selskaper samtidig.
  • Phishing og sosial manipulasjon, der ansatte lures til å gi fra seg tilgang til sensitive systemer.

Selskaper som opererer i kritiske sektorer (telekom, energi, finans, forsvar og helse) er spesielt utsatt for cybertrusler. Rapporten forbereder leverandører av digitale tjenester til kritiske sektorer på at de må forvente strengere sikkerhetskrav fra myndighetene og sine kunder.

Sikkerhetsutfordringer knyttet til digital infrastruktur

I rapporten beskriver utvalget også andre sikkerhetsutfordringer knyttet til digital infrastruktur.

En av utfordringene er utenlandsk kontroll over kritisk digital infrastruktur. Mange norske selskaper bruker utenlandske skytjenester, datasentre og nettverkssystemer. Dette skaper avhengighet av utenlandske myndigheters lover og reguleringer, f.eks. Cloud Act i USA som kan gi amerikanske myndigheter tilgang til data lagret hos amerikanske selskaper. Mangel på nasjonale sikkerhetsstandarder gjør at mange selskaper ikke vet hvor deres kritiske data behandles. For å styrke nasjonal kontroll med kritisk digital kommunikasjonsinfrastruktur anbefaler derfor utvalget at selskapene bør vurdere norske eller europeiske alternativer til skytjenester, og kreve datalagring i Norge eller EU for å unngå risiko for utenlandsk tilgang til informasjon.

En annen utfordring er at kritiske tjenester i Norge er avhengige av internasjonale systemer. IP-adresser, digitale sertifikater og domenenavn er administrert av internasjonale aktører utenfor norsk kontroll. Cyberangrep på globale tjenester kan slå ut norske virksomheters systemer – f.eks. hvis en stor skyplattform rammes av et angrep. Lavbanesatellitter (Starlink, OneWeb, Amazon Kuiper) blir stadig viktigere for kommunikasjon, men er ofte eid av utenlandske private selskaper med varierende sikkerhetsstandarder. Norske selskaper bør derfor vurdere redundante løsninger, slik at de ikke er avhengige av én enkelt leverandør. Bruk av private satellittjenester må vurderes nøye med tanke på nasjonal sikkerhet og driftssikkerhet.

Tiltak

Rapporten foreslår flere tiltak for å sikre nasjonal kontroll over cybersikkerhet i norsk næringsliv.

Økt regulering av digital sikkerhet i næringslivet

Det kan være nødvendig med strengere krav til digital sikkerhet for selskaper i kritiske sektorer. Det kan for eksempel være sertifiseringsordninger for skytjenester og IT-leverandører, for å sikre at de følger norske sikkerhetsstandarder. I tillegg kan det blir mer omfattende rapporteringskrav for cyberangrep og sikkerhetshendelser i næringslivet.

For næringslivet kan dette bety at leverandører må tilpasse seg strengere krav til cybersikkerhet for å få offentlige kontrakter, og at selskaper i kritiske sektorer må være forberedt på økt rapportering og tilsyn fra myndighetene.

Økt beredskap og responskapasitet

Det foreslås at bedrifter innenfor kritisk infrastruktur skal bli pålagt å ha beredskapsplaner for cyberangrep. Det legges også opp til tettere samarbeid mellom myndigheter og privat sektor for deling av informasjon om cybertrusler.

For næringslivet betyr dette at både beredskapsplaner og responsrutiner må utarbeides og øves jevnlig. Samarbeid med myndighetene og andre aktører er viktig både med tanke på trusseletterretning og hendelseshåndtering, og slikt samarbeid må formaliseres i beredskapsarbeidet.

Opprettelse av nasjonal skytjeneste

For å redusere avhengighet av utenlandske aktører foreslår myndighetene å etablere en nasjonal skytjeneste for kritiske samfunnsfunksjoner. Dette kan sikre at kritiske data og tjenester lagres innenfor norsk jurisdiksjon.

For næringslivet representerer dette nye forretningsmuligheter ved å levere nasjonale skyløsninger. Både myndigheter, kritiske sektorer og selskaper med strenge krav til digital sikkerhet kan flytte kritiske tjenester til en norsk skytjeneste for å sikre økt kontroll.

Hva bør næringslivet gjøre for å styrke cybersikkerheten?

For å tilpasse seg økende cybertrusler og nye reguleringer, bør norske virksomheter ta følgende grep:

  1. Kartlegg og reduser cyberrisiko: Gjennomfør risikoanalyser for å identifisere sårbare systemer, leverandører og dataflyt. Sørg for at virksomheten har tilfredsstillende sikring av nettverk, skyplattformer, OT, og IoT-enheter.
  2. Styrk IT-sikkerheten i verdikjeden: Krav til sikkerhet må utvides til underleverandører, partnere og skyleverandører. Implementer «Zero trust»-modeller for å sikre at alle tilkoblinger autentiseres og overvåkes.
  3. Forbered dere på nye sikkerhetskrav fra myndighetene: Følg utviklingen i reguleringer og nye krav til cybersikkerhet. Sikre at bedriften er klar for strengere sikkerhetskrav i offentlige anbud.
  4. Investér i beredskap og responskapasitet: Opprett beredskapsplaner for cyberangrep og gjennomfør jevnlige øvelser. Samarbeid med myndighetene og bransjenettverk for å få tilgang til oppdatert trusseletterretning.

Les hele rapporten her.

Takk for at du vil laste ned en rapport fra NSR.

  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
Lukk

Takk!

En epost med lenke til nedlasting av ${ this.publicationData ? this.publicationData.title : '' } er sendt til ${ this.email }.

Lukk