KRONIKK

Norge har ikke råd til at hver bedrift må være sin egen sikkerhetsmyndighet

Norge mangler en nasjonal og samlet tilnærming til nasjonal sikkerhet. For næringslivet betyr det én ting: Når myndighetene ikke er koordinert, havner risikoen og gjennomføringsansvaret hos hver enkelt virksomhet.

Truslene mot Norge blir stadig mer sammensatte, mer vedvarende, og utspiller seg i gråsonen under terskelen for krig. Når vi trues på tvers av bransjer, sektorer og geografi, må også styringen bli mer samordnet, mener innleggsforfatterne.
Liv Dingsør
Liv Dingsør Liv Dingsør Liv Dingsør Administrerende direktør i Digital Norway
Helge Dahl Jørgensen
Helge Dahl Jørgensen Helge Dahl Jørgensen Helge Dahl Jørgensen Ansvarlig for sikkerhet og beredskap, Digital Norway
Publisert Sist oppdatert

Dette debattinnlegget ble først publisert på Altinget, som ABC Nyheter har et samarbeid med. 

PST, NSM og Etterretningstjenesten leverer sine oppdaterte vurderinger med stadig tydeligere budskap: Truslene mot Norge er mer sammensatte, mer vedvarende, og de utspiller seg Truslene mot Norge blir stadig mer sammensatte, mer vedvarende, og utspiller seg i gråsonen under terskelen for krig. Når vi trues på tvers av bransjer, sektorer og geografi, må også styringen bli mer samordnet, mener innleggsforfatterne.F . Når vi trues på tvers av bransjer, sektorer og geografi, må også styringen bli mer samordnet. Det er den ikke i dag.

Norge mangler en nasjonal og samlet tilnærming til nasjonal sikkerhet. For næringslivet betyr det én ting: Når myndighetene ikke er koordinert eller ikke «gjør jobben ferdig», havner både risikoen og gjennomføringsansvaret hos hver enkelt virksomhet.

Dette er Altinget

Altinget.no er Norges første rendyrkede politiske nettavis. Med 28 nisjemedier i Danmark og 11 i Sverige er Altinget allerede et etablert mediehus i Norden. Målet er å øke forståelsen for nasjonal og europeisk politikk gjennom nisjejournalistikk av høy kvalitet – med et nøytralt utgangspunkt.

«Vesentlige mangler» – men hvem eier helheten?

NSM beskriver i Risiko 2026 at det er vesentlige mangler i det forebyggende sikkerhetsarbeidet i norske virksomheter, og at det må jobbes mer systematisk med sikkerhetsstyring, øvelser og beredskap.

Vi øver for lite, og vi øver hver for oss. Paradokset er at vi ber den enkelte virksomhet om å bygge motstandskraft, samtidig som risikoen ofte ligger mellom virksomheter og sektorer. Uten felles øving og rolleavklaring blir det ofte kommuner og leverandører som må finne løsninger i sanntid, hver for seg.

Når hendelser treffer flere sektorer samtidig, etableres parallelle kriserom og kontaktpunkter, med mer friksjon enn samhandling. Når også grunnleggende svakheter avdekkes i systemer som hele samfunnet er avhengig av, da holder det ikke å be hver enkelt virksomhet «løpe fortere». Da må noen eie helheten.

Dette blir ekstra tydelig når risikoen ligger i leverandørvalg og avhengigheter, der nasjonale hensyn i praksis skyves ned i hver enkelt kontrakt. 

Mange virksomheter mangler praktisk veiledning når leverandørvalg blir sikkerhetspolitikk.

NSM peker på konsentrasjonsrisiko når mange aktører er avhengige av én leverandør, eller leverandører fra samme land. Det er det samlede omfanget som blir en nasjonal utfordring. Likevel må hver virksomhet forsvare sine valg i møte med ulike tilsyn, ulike forventninger og et utydelig nasjonalt veikart.

Et tydelig eksempel er sky: NSM beskriver omfattende bruk av et fåtall utenlandske skytjenester, og at virksomheter dermed gir fra seg kontroll over infrastruktur, systemer og data. NSM anbefaler blant annet planlegging for leverandørbytte og vurdering av å spre tjenester på flere leverandører.

Men mange virksomheter mangler praktisk veiledning når leverandørvalg blir sikkerhetspolitikk: Hva gjør du når den rimeligste – og ofte best kvalifiserte – leverandøren har eierskap, underleverandører eller tilknytninger som øker risikoen?

Å etablere reell redundans, exit-strategier og alternative driftsopplegg er ikke bare et «valg» i en IT-portefølje. Det er nasjonal beredskap. 

I begynnelsen av februar presenterte NSM-direktør Arne Christian Haugstøyl årets trusselvurderinger.

Les også på Altinget: NSM advarer om skytjenester

Friksjoner i et system der ansvaret er delt, men styringen ikke er det

I samtaler på tvers av samfunnskritiske virksomheter, fra ulike sektorer og med avhengigheter til de samme leverandørkjedene, er budskapet slående samstemt: fire behov går igjen.

For det første: Øving. Dagens øvingspraksis gir læring i hver sektor, men forbereder ikke samfunnet godt nok på hendelser som treffer flere sektorer samtidig, i både fysisk og digitalt domene. Når krisen først oppstår, tapper parallelle fora kapasitet i håndteringen. Sammensatte kriser krever øving på tvers og tydeligere «command and control» i de mest krevende scenarioene. Førstelinjen må kunne håndtere hendelser som ofte ender lokalt, og vi må teste om nasjonal støtte virker i praksis.

For det andre: Deling og situasjonsforståelse, også på ugradert nivå. Trusselinformasjon når ikke alltid frem raskt nok, eller i en form som gjør den operasjonelt handlingsrelevant. Det trengs mer fleksible ordninger for klarering og mer systematisk deling på ugradert nivå, slik at regionalt og lokalt nivå, leverandører og SMB-er kan forberede seg bedre.

For det tredje: Teknologi og leverandøravhengighet. Økende avhengighet av globale leverandører og komplekse kjeder gir beredskapsrisiko. Flere etterlyser tydeligere forventninger til strategisk sikkerhet i anskaffelser, bedre oversikt over eierskap og leverandørkjeder, og krav om exit-strategier for kritiske leverandører.

For det fjerde: Samspill og risikodeling. Totalberedskap krever kapabiliteter som ikke er «produktive i fredstid». Da må det avklares hvordan krav til robusthet følges av insentiver, kompensasjon og risikodeling.

Totalberedskap utøves lokalt, men må designes, øves og støttes nasjonalt.

Tre grep for nasjonal motstandskraft

Det viktigste er å bygge felles gjennomføringsevne. Vi vil peke på tre konkrete grep:

  1. Etabler et forpliktende nasjonalt øvingsregime for sammensatte og digitale kriser. Øving tvinger frem avklaringer om ansvar, informasjonsdeling og avhengigheter på tvers av stat, fylke og kommune.
  2. Bygg et bedre nasjonalt situasjonsbilde, med mer deling på ugradert nivå. NSM understreker selv at varsling fra virksomheter bidrar til det nasjonale situasjonsbildet. Da må også myndighetene sørge for at informasjon flyter tilbake, raskt nok og i en form som kan brukes i styrerom og drift.
  3. Gi næringslivet mer samordnede krav og tydeligere retning for teknologivalg og leverandørrisiko. Konsentrasjonsrisiko og skyavhengighet er nasjonale utfordringer. Da kan vi ikke ha en situasjon der hver virksomhet må gjette seg frem til «riktig» nivå av redundans, exit og beredskap.

Trusselaktørene utnytter gråsoner, treghet og manglende koordinering. Vårt svar kan ikke være å fragmentere ansvaret ytterligere. Totalberedskap utøves lokalt, men må designes, øves og støttes nasjonalt.

Målet må være at førstelinjen – kommuner, leverandører og virksomheter – bygger sikkerhet, ikke at de kompenserer for manglende nasjonal koordinering og øving. Hvis ikke ender vi i praksis med et samfunn der hver bedrift må være sin egen sikkerhetsmyndighet.

Det har vi hverken råd eller tid til. 

Les også på Altinget: IT-innkjøp er sikkerhetspolitikk


Stemmer er ABC Nyheters debattseksjon. Dette er meningsytringer, og innholdet står for skribentens regning. Ønsker du å bidra? Send kronikk eller debattinnlegg til stemmer@abcnyheter.no.

beredskap altinget kronikk nasjonal sikkerhet stemmer