Av Øystein Kolstad Kvalø, advokatfullmektig i Advokatfirmaet Selmer
Artikkelen har opprinnelig vært publisert i Lov&Data på lod.lovdata.no
Artikkelen belyser hvordan oppdaterte trussel- og risikovurderinger fra sikkerhetsmyndighetene påvirker IT-anskaffelser. Sikkerhetsmyndighetene peker på økt risiko fra Kina og Russland, som søker tilgang til kritisk informasjon gjennom leverandørroller. For å håndtere dette, anbefaler NSM grundige risikovurderinger, sikkerhetsklausuler i kontrakter og tettere oppfølging av leverandører.
Samtidig innfører digitalsikkerhetsloven og NIS2-direktivet nye plikter for leverandører av digitale tjenester og samfunnsviktige tjenester. De må gjennomføre risikovurderinger, iverksette sikkerhetstiltak og håndtere leverandørrisiko. Sertifisering av IKT-produkter, -tjenester og -prosesser kan også bli viktig i anbudsprosesser.
1 Hva sier risiko- og trusselvurderingene?
Nasjonal sikkerhetsmyndighet (NSM), Etterretningstjenesten og Politiets sikkerhetstjeneste (PST) kom i midten av februar med sine årlige trussel- og risikovurderinger. Det overordnede bildet viser at trusselsituasjonen er mer alvorlig enn på flere tiår. Sikkerhetstjenestene peker særlig på at Kina og Russland har betydelige interesser i å få tilgang til kritisk informasjon gjennom å være leverandører til norske virksomheter. Kina og Russland har også betydelige interesser i å få tilgang til teknologi utviklet i Norge.
NSMs risikovurderinger peker særlig på at privat næringsliv har fått større betydning for nasjonal sikkerhet som følge av endrede sikkerhetspolitiske og teknologiske utviklingstrekk. Dette skyldes i stor grad utviklingen mot mer komplekse leverandørkjeder, noe det må tas særlig hensyn til. Fremmede trusselaktører går ofte veien om underleverandører for å få tilgang til informasjon fra sitt egentlige mål, ettersom underleverandørene gjerne er mindre aktører og ikke nødvendigvis har det samme sikkerhetsnivået som oppdragsgivere de leverer til.
På denne bakgrunn fremhever NSM at det er viktig at kritisk infrastruktur beskyttes mot innsyn og påvirkning fra fremmede aktører, blant annet ved at anskaffelser ses i sammenheng med nasjonal sikkerhet. NSM erfarer at flere virksomheter ikke gjør gode nok sikkerhetsvurderinger i forbindelse med anskaffelser, og er særlig bekymret for at anskaffelser av teknologi gjør både virksomheter og samfunnet som helhet for avhengig av teknologi fra enkeltland. Dette er en bekymring som har vokst i takt med den økende digitaliseringen av samfunnet.
1.1 Særlig risiko knyttet til Kina og Russland
Etterretningstjenesten mener det er særlig risiko for at kinesiske myndigheter tilegner seg kritisk informasjon fra norske virksomheter, ettersom Kina subsidierer kinesisk næringsliv for å vinne anbudskonkurranser for teknologi i vestlige land. Samtidig pålegger kinesisk lovgivning kinesiske virksomheter å utlevere informasjon til kinesisk etterretning, noe som øker risikoen for at kinesisk etterretning får tilgang til sensitiv eller gradert informasjon som er tiltrodd kinesiske leverandører. Etterretningstjenesten understreker videre at det tar lang tid å bygge opp alternative verdikjeder som er mindre avhengige av enkeltland, og anskaffelser som gjøres i dag kan dermed ha stor betydning i lang tid fremover.
Blant enkeltland er også Russland en aktør med interesser i det vestlige markedet, men Etterretningstjenesten peker på at sanksjonsregimet som følge av krigen i Ukraina har gjort det vanskeligere for Russland å slippe inn i vestlig infrastruktur. Det er likevel risiko for at russiske aktører forsøker å omgå sanksjonsregelverket gjennom innviklede eierskapsstrukturer og uoversiktlige forsyningskjeder, og at Russlands tilgang på kritisk informasjon i Norge derfor vil være en trussel også fremover.
1.2 NSMs anbefalinger til fremgangsmåte
NSM anbefaler at virksomheter som skal gjennomføre anskaffelser
- gjør gode risikovurderinger for å ha et grunnlag for hvilke sikkerhetskrav som skal stilles i kontraktene, inkludert å undersøke virksomhetens verdier, sårbarheter og trusler,
- har personer med kompetanse innenfor anskaffelser, avtaler og helhetlig sikkerhet som deltar i anskaffelsen,
- tar inn gode sikkerhetsklausuler i kontraktene, og
- har gode rutiner for oppfølging av leverandørforholdet, blant annet gjennom varsling av endringer i leverandørens eierskapsstruktur og sikkerhetstruende hendelser.
2 Noen utvalgte plikter oppdragsgivere og leverandører er underlagt
2.1 Digitalsikkerhetsloven gir nye plikter til leverandører av samfunnsviktige tjenester og digitale tjenester
Stortinget vedtok før jul i fjor en ny lov om digital sikkerhet (digitalsikkerhetsloven), som gjennomfører NIS-direktivet og cybersikkerhetsforordningen. Leverandører som er underlagt sikkerhetsloven må allerede oppfylle strenge sikkerhetskrav, og må blant annet gjøre risikovurderinger av sine leverandører. Med digitalsikkerhetsloven er flere leverandører forpliktet til å oppfylle lignende sikkerhetskrav. Loven gjelder nemlig for leverandører av samfunnsviktige tjenester innen sektorene energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur, samt for leverandører av digitale tjenester i form av nettbaserte markedsplasser, nettbaserte søkemotorer og skytjenester.
Leverandører som er omfattet av loven plikter å gjennomføre risikovurderinger av de nettverks- og informasjonssystemene som benyttes for å levere tjenesten. Videre skal leverandører iverksette hensiktsmessige og proporsjonale tekniske og organisatoriske sikkerhetstiltak for å sørge for et sikkerhetsnivå som er tilpasset risikoen ved tjenestene. Digitalsikkerhetsloven gir ikke konkrete plikter rettet mot anskaffelser, men det er grunn til å forvente at både oppdragsgivere og leverandører som er omfattet av loven kommer til å stille krav til leverandører og underleverandører om å ha tilfredsstillende sikkerhetstiltak for å beskytte informasjon i nettverks- og informasjonssystemene. Aktører som er omfattet av loven vil også bli nødt til å gjennomføre strengere risikovurderinger i forbindelse med sine anskaffelser, og dette vil trolig føre til at leverandører blir vurdert mer nøye og grundig enn tidligere.
I lys av sikkerhetstjenestenes risiko- og trusselvurderinger kan oppdragsgivere videre bli nødt til å sørge for at leverandører eller underleverandører fra bestemte land ikke får tilgang til informasjonen i systemene. Oppdragsgivere kan også bli nødt til å hindre at leverandører fra enkeltland dominerer som leverandør i systemene og samlet sitter på en for stor mengde informasjon. I tillegg vil det bli nødvendig for oppdragsgivere å gjøre større anstrengelser for å klare opp i innviklede eierskapsstrukturer og forsyningskjeder. Dette vil være nødvendig for å finne ut hvilke aktører som reelt får tilgang til kritisk informasjon som betros til leverandører.
2.2 Ny felleseuropeisk sikkerhetssertifisering
Digitalsikkerhetsloven gir også forskriftshjemmel for ordninger for sikkerhetssertifisering av IKT-produkter, IKT-tjenester og IKT-prosesser, som er en del av gjennomføringen av cybersikkerhetsforordningen. I forordningen er IKT-prosesser definert som «et sett av aktiviteter som utføres for å utforme, utvikle, levere eller vedlikeholde et IKT-produkt eller en IKT-tjeneste», og IKT-prosesser omfatter altså også aktiviteter i forbindelse med anskaffelse av IKT-tjenester.
Forordningen innfører et felleseuropeisk rammeverk for frivillig sertifisering av IKT-produkter, -tjenester og -prosesser, og i forordningens fortale er det eksplisitt nevnt at den felleseuropeiske sertifiseringen kan gjøre det enklere for selskaper å delta i anbudsprosesser på tvers av landegrenser, fordi selskapene slipper å få produktene sertifisert i flere land. For Norges del innebærer det at sertifiseringsordningen som i dag ligger under SERTIT på sikt vil opphøre. Den felleseuropeiske sertifiseringsordningen kan potensielt få stor betydning for IT-anskaffelser i Norge. På sikt vil trolig flere oppdragsgivere stille krav om sertifisering for å delta i anbudsprosesser, og leverandører som ikke oppfyller kravene kan dermed miste muligheten til å bli vurdert i anskaffelsesprosessen.
2.3 NIS2-direktivet gir plikter til flere leverandører
Digitalsikkerhetsloven har ennå ikke fått sin ikrafttredelsesdato, og det vil allerede være behov for endringer i loven. I november 2022 vedtok nemlig EU NIS2-direktivet, som opphever det forrige NIS-direktivet som digitalsikkerhetsloven gjennomfører. NIS2-direktivet skal være gjennomført i EU innen 17. oktober 2024. I det nye direktivet er virkeområdet utvidet til å inkludere flere sektorer og alle mellomstore og store bedrifter i utvalgte sektorer. Når endringene trer i kraft, vil derfor enda flere leverandører være omfattet av de strenge kravene til risikovurderinger og hensiktsmessige sikkerhetstiltak. Konsekvensene av å bryte regelverket blir også større etter NIS2-direktivet, hvor leverandører kan få bøter opptil EUR 10 000 000 eller 2 % av global omsetning dersom de ikke overholder pliktene.
Det pågår et løpende lovgivningsarbeid i EU for regulering av sikkerhet i nettverks- og informasjonssystemer, og det er derfor grunn til å tro at både pliktene og gruppen som
omfattes av reglene blir ytterligere utvidet i årene som kommer.
3 Hvordan bør oppdragsgivere og leverandører tilpasse seg de oppdaterte trussel- og risikovurderingene og det nye regelverket?
Oppdragsgivere som skal gjennomføre IT-anskaffelser må ta inn over seg sikkerhetsmyndighetenes oppdaterte trussel- og risikovurderinger. Det må vurderes hvilke land de aktuelle leverandørene har forbindelser til, og om anskaffelsene kan bidra til en avhengighet av enkeltland. Et godt utgangspunkt vil være NSMs anbefalte fremgangsmåte for virksomheter som skal foreta anskaffelser, slik disse er beskrevet på NSMs hjemmeside.
Virksomheter som leverer tjenester som faller inn under digitalsikkerhetsloven og NIS2-direktivet bør allerede nå sette seg inn i hvilke plikter de blir underlagt når reglene trer i kraft, og starte arbeidet med å gjøre gode risikovurderinger av sine leverandører og underleverandører. Ettersom det pågår et løpende lovgivningsarbeid i EU, bør også andre virksomheter sette seg inn i regelverket og være forberedt på eventuelle endringer som kan påvirke dem.
Bli den første til å kommentere på "Trussel- og risikovurderinger i 2024: Hvordan påvirkes IT-anskaffelser?"