Nasjonal sikkerhetsmyndighet (NSM) er for mange den minst kjente av Norges tre «hemmelige tjenester». Hva er det egentlig NSM har ansvaret for, og hvorfor er arbeidet deres så viktig?
Nasjonal sikkerhetsmyndighet ble opprettet i 2003, og er Norges øverste ekspertorgan for informasjons- og objektsikkerhet. NSM utgjør, sammen med Politiets sikkerhetstjeneste (PST) og Etterretningstjenesten (E-tjenesten), Norges såkalte «hemmelige tjenester». NSMs jobb er å sikre beskyttelse for kritiske samfunnsfunksjoner mot angrep, og er en forebyggende sikkerhetstjeneste. Arbeidet innebærer beskyttelse av både fysisk infrastruktur og digitale tjenester.
Sikkerhetsloven er førende for NSMs virke, så vel som utvelgelsen av hvilke virksomheter NSM skal beskytte. Virksomhetene NSM skal bidra til å beskytte er hovedsakelig statlige organer, på nasjonalt, fylkeskommunalt og kommunalt nivå. I tillegg kan departementene fatte vedtak om at ikke-statlige virksomheter som enten behandler sikkerhetsgradert informasjon, eller ivaretar grunnleggende nasjonale funksjoner, også skal være underlagt sikkerhetsloven. Under dette ligger ikke bare virksomheter, men også infrastruktur, objekter og informasjonssystemer.
Fellesnevneren er er at de ulike virksomhetene og objektene er «skjermingsverdige». Med skjermingsverdig menes det at de har betydning for nasjonal sikkerhet, og er kritiske for den norske befolkningen eller statens funksjon. Det er dermed ganske naturlig at ulike virksomheter innen sektorer som forsvar og beredskap, samt økonomi og samferdsel, faller inn under loven og NSMs ansvarsområde.
Oppgaver
Direktoratet bidrar til samfunnssikkerheten gjennom informasjon, råd og veiledning om forebyggende sikkerhetsarbeid til både offentlig og privat sektor. Videre har NSM fire kjerneområder, og oppgaver knyttet til disse.
Et av dem er digital sikkerhet – også kjent som cybersikkerhet. NSM har blant annet det øverste ansvaret for å varsle og koordinere ved alvorlige dataangrep og andre IKT-sikkerhetshendelser. De fungerer også som det nasjonale fagmiljøet for IKT-sikkerhet. I 2018 ble Nasjonalt cybersikkerhetssenter (NCSC) etablert. Dette senteret bidrar til å beskytte grunnleggende nasjonale funksjoner, offentlig forvaltning og næringsliv mot cyberangrep.
NSM har også ansvar for den fysiske sikkerheten rundt kritiske nasjonale verdier, også kalt objektsikkerhet. For eksempel handler dette om å hindre uvedkommende tilgang til offentlige bygg som Regjeringskvartalet, Norges Bank og militære anlegg. NSM fører i forbindelse med dette også kontroll med filming og fotografering gjennom luftbårne systemer over disse stedene, som droner.
Det tredje ansvarsområdet til NSM er personellsikkerhet. NSM har ansvaret for sikkerhets- og adgangsklarering til virksomhetene direktoratet beskytter. Skal man få et adgangskort til en beskyttet virksomhet, eller motta informasjon som er unntatt offentligheten, så er det NSM som godkjenner eller avslår dette.
Det siste ansvarsområdet er oppsummert i paraplybegrepet ‘sikkerhetsstyring’. Sikkerhetsstyring omfatter alle aktiviteter rettet mot å forebygge uønskede hendelser som kan påvirke den norske stat. Ideelt sett skal dette arbeidet gjennomføres planlagt og systematisk, med et helhetlig blikk på det forebyggende sikkerhetsarbeidet. Det omfatter derfor både planlegging, etablering, gjennomføring og forbedring av alle forebyggende aktiviteter, og er en kontinuerlig prosess ettersom trusselbildet og risiko endrer seg.
NSM har derfor ansvar for å føre tilsyn med virksomhetenes sikkerhetsarbeid, veilede og bevisstgjøre for å skape en god sikkerhetskultur, samt å assistere ved anskaffelser og innkjøp av tjenester. Dette arbeidet inkluderer også å kartlegge og utrede sårbarheter. Det kan dermed innebære alt fra å holde kurs og veiledning for å skape en god sikkerhetskultur i en organisasjon, til å lete etter fysiske veier inn i et offentlig bygg.
Historie
NSM er et relativt ungt direktorat, med en lang – og forvaltningsmessig litt komplisert – historie. I mellomkrigstiden var Norges hemmelige tjenester lite utviklet. Interessen for etterretning og sikkerhet fikk derimot et oppsving da Det norske forsvaret etablerte seg i London under Den andre verdenskrig. Dette ble kalt Forsvarets Overkommando II. Her ble for eksempel kunnskapen om kryptologi, som er læren om sikker kommunikasjon, styrket betydelig. I dag reflekteres dette i NSMs kompetanse på digital sikkerhet.
Forsvarets Overkommando II ble, naturlig nok, flyttet hjem etter krigens slutt i 1945. Utover 50-tallet fikk NATO-samarbeidet økende innflytelse på norsk forsvars- og sikkerhetspolitikk. Samtidig ble idéen om «totalforsvaret» satt ut i livet. I forbindelse med dette ble en felles sikkerhetsinstruks for hele forvaltningen lansert. Starten på det vi i dag kjenner som NSM, ble til gjennom denne.
For å sørge for godt sivilt-militært samarbeid, ble det opprettet en sikkerhetsinspektør som fungerte som bindeledd mellom sivil- og militær sektor. Sikkerhetsinspektøren var ansatt i Forsvaret, men lå i begynnelsen tett opp til Statsministerens kontor (SMK). Etter en rekke reformer ble de øverste sikkerhetsorganene omorganisert. Reformene førte til at forsvarsministeren fikk det øverste politiske ansvaret for sikkerhetstjenestene.
I 1969 kom det første datasikkerhetsdirektivet. Direktiver er en form for retningslinjer for et oppdrag som skal løses, og i grove trekk hvordan det skal gjøres. Altså skulle hele den norske forvaltningen sørge for å beskytte viktig informasjon, ved å sikre kommunikasjon, infrastruktur, personer og objekter.
Et trusselbilde i endring
Norge fikk så en sikkerhetslov i 1998. Fokuset var på informasjons- og objektsikkerhet, og den har siden vært revidert i 2001, 2003 og 2019. NSM ble opprettet med 2003-endringen. Omorganiseringen nødvendig for å håndtere et mer komplekst sikkerhetslandskap, og resultat av et økt fokus på nasjonal beredskap.
Med den hurtige digitale utviklingen ble internetts samfunnsrolle vektlagt, og man så blant annet at den nye digitale infrastrukturen krevde mer støtte og sikkerhetskompetanse. Dette gjaldt både for den sivile og militære cybersikkerheten. NSM har derfor et sektorovergripende ansvar, men er en sivil myndighet. De bidrar hvert år med en nasjonal trusselvurdering sammen med PST og E-tjenesten.
NSM har ansvar for virksomhetene som er underlagt sikkerhetsloven. I 2003 endret loven seg fra å fokusere på hvordan virksomhetene skulle oppnå mål, til heller å fokusere på hva virksomhetene skal oppnå. Det har gjort loven mer dynamisk, og gitt friere spillerom for de utøvende etatene til å velge virkemidler selv. På den måten kan loven endres i takt med uforutsette sikkerhetsutfordringer som kan dukke opp.
Organisering og avdelinger
I dag er NSM en del av Justis- og beredskapsdepartementet, som har det administrative og budsjettmessige ansvaret for direktoratet. Justis- og beredskapsdepartementet og Forsvarsdepartementet deler imidlertid arbeidet. NSM rapporterer derfor direkte til begge departementene, i henholdsvis sivile og militære saker.
Med tiden har NSM også dannet flere sentere som fungerer som nasjonale kunnskapsmiljøer. Et av disse er Nasjonalt cybersikkerhetssenter (NCSC) som ble opprettet i 2018. Senteret er først og fremst den nasjonale responsfunksjonen ved alvorlige digitale angrep. Når et større dataangrep rammer norsk digital infrastruktur, for eksempel en institusjon eller et selskap, så er det NCSC som håndterer det. De drifter det nasjonale varslingssystemet for slike hendelser, og skal oppdage, analysere og håndtere denne typen cyberhendelser. I tillegg tilbyr NCSC tekniske sikkerhetstjenester for både offentlige og private aktører, og gir råd og veiledning.
NCSC har også blitt det nasjonale kunnskapssenteret for IKT-sikkerhet. De samarbeider tett med politiet, Forsvaret, akademia og næringslivet gjennom ulike partnerskap. Dette er for å sikre tverrfaglighet, kunnskapsutveksling og kommunikasjon. Utviklingen av cybertrusler går raskt og er i kontinuerlig endring. Det krever koordinering og godt samspill mellom alle relevante parter. Trusselbildet er komplisert og mangefasettert, noe som gjør det desto viktigere å til enhver tid for å ivareta vår felles digitale sikkerhet. For eksempel samarbeider NSM og Kripos tett i Felles cyberkoordineringssenter (FCKS).