Riksrevisjonen: Justis- og beredskapsdepartementet ivaretar ikke ansvaret for digital sikkerhet i sivil sektor godt nok
Justis- og beredskapsdepartementets håndtering av digital sikkerhet i sivil sektor, bærer preg av svak samordning av roller, ansvar og krav.
Publisert
Sist oppdatert
«Justis- og beredskapsdepartementet ivaretar ikke ansvaret de har for digital sikkerhet i sivil sektor godt nok. [...] Dette kan få alvorlige konsekvenser for kritiske samfunnsfunksjoner og nasjonale sikkerhetsinteresser», skriver Riksrevisjonen i en pressemelding.
– Grunnleggende nasjonale funksjoner kan bli satt ut av spill, sier riksrevisor Karl Eirik Schjøtt-Pedersen under en pressekonferanse i dag.
Hovedkonklusjoner
Hovedkonklusjonen i rapporten er disse:
- Svak samordning av roller, ansvar og krav gjør arbeidet med digital sikkerhet krevende for virksomhetene.
- Justis- og beredskapsdepartementet har ikke sørget for god nok informasjon om den nasjonale digitale sikkerhetstilstanden.
- Justis- og beredskapsdepartementet har ikke sørget for god nok oppfølging av Nasjonal strategi for digitalsikkerhet.
- Justis- og beredskapsdepartementet har ikke lagt godt nok til rette for tverssektoriell hendelseshåndtering.
– Kan svekke den digitale sikkerheten
«Digital sikkerhet er avgjørende for å ivareta Norges kritiske samfunnsfunksjoner og nasjonale sikkerhetsinteresser. Krigen i Ukraina og den tilspissede sikkerhetspolitiske situasjonen i Europa gjør dette svært aktuelt. Justis- og beredskapsdepartementet har ansvar for å samordne arbeidet med digital sikkerhet i sivil sektor. Riksrevisjonens undersøkelse viser at de ikke ivaretar ansvaret sitt godt nok», skriver Riksrevisjonen i pressemeldingen.
– Justis- og beredskapsdepartementet slår seg for ofte til ro når frister ikke følges, med at sikkerhetsanalyser ikke er dekkende og at det gjøres få tilsyn. De følger heller ikke opp tiltak for håndtering av alvorlige digitale hendelser, godt nok. Dette kan svekke den digitale sikkerheten. Det er kritikkverdig, sier riksrevisor Schjøtt-Pedersen i en pressemelding.
Samfunnskritiske funksjoner som helsetjenester, kraftforsyningen og betalingsløsninger kan bli satt ut av spill, og det kan få alvorlige konsekvenser.
– Et departement som har ansvar for samordning, kan ikke tillate alle avvik og forsinkelser. Og de kan ikke stå på sidelinjen og se på at ting går for sakte. Da må de få fortgang i sakene, sier Schjøtt-Pedersen.
Rapporten tar for seg perioden 2018 til 2021, men inkluderer også relevante data fra 2022 der det har vært tilgjengelig.
Manglende oppfølging
Riksrevisjonen peker også på dårlig oppfølging av utfordringer ved Felles cyberkoordineringssenter - et permanent, samlokalisert fagmiljø med representanter fra Nasjonal sikkerhetsmyndighet, Etterretningstjenesten, Politiets sikkerhetstjeneste og Kripos.
«Undersøkelsen viser at senteret ikke når målene sine. Det skyldes flere vedvarende utfordringer og handler blant annet om ressurser og bemanning», skriver Riksrevisjonen i pressemeldingen.
– Partene har ikke klart å løse utfordringene selv. Justis- og beredskapsdepartementet burde gjort mer for å sikre seg informasjon om utfordringene i senteret og hvilke tiltak som trengs, sier Schjøtt-Pedersen.
