Kontinuerlig fornying og forbedring
6. OPPDRAG, RAMMER OG FORUTSETNINGER FOR NSM NSM er et sivilt direktorat med sektorovergripende oppgaver innenfor ansvar for
forebyggende sikkerhet. som skal sikre høy grad av gjenbruk mellom samfunnssektorene.
NSM er også det nasjonale fagmiljøet for IKT-sikkerhet. NorCERT er, som en del av NSM, Norges nasjonale senter for å håndtere NSM skal koordinere håndteringen av alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon.
NSM skal utøve sitt ansvar i tråd med Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven), lov om oppfinnelser av betydning for rikets forsvar og forskrift om fotografering mv. fra luften og kontroll av luftfotografier og opptaksmateriale fra luftbårne sensorsystemer. NSM skal utøve sertifiseringsmyndighet for IT-sikkerhet i produkter og systemer (SERTIT). NSM skal også, som det nasjonale fagmiljøet for IKT-sikkerhet, understøtte og bidra til utøvelsen av Forsvarsdepartementets (FD) og Justis- og beredskapsdepartementets (JD) ansvar på IKT-sikkerhetsområdet. JD har
samordningsansvaret for forebyggende IKT-sikkerhet i sivil sektor ved kgl.res. 22. mars 2013.
NSM rapporterer med faglig ansvarslinje til FD om sikkerhetssaker i militær sektor og til JD om tilsvarende saker i sivil sektor. NSM er underlagt FD. JD har instruksjonsmyndighet overfor NSM i saker innenfor JDs ansvarsområde. NSM skal på eget initiativ og uten unødig opphold informere FD og JD om saker av særlig viktighet, eller av prinsipiell eller politisk karakter innenfor sitt ansvarsområde. NSM skal til enhver tid holde de to departementer orientert om saker av betydning for sikkerhetstilstanden og foreslå tiltak for å bedre denne.
FD og JD har opprettet prosjekt ”Evaluering og videreutvikling av NSM”41. Prosjektet
skal vurdere NSMs oppgaver, innretning og etatsstyringsmodell og skal fremlegge en rapport innen utgangen av 2013.
Det pågår et arbeid med sikte på revisjon av sikkerhetsloven. Revisjonen eller en ny sikkerhetslov vil kunne medføre endringer i oppgavene for NSM. Slike endringer vil etter behov bli håndtert gjennom PET til IVB LTP, eventuelt i neste LTP.
FD har igangsatt en evaluering med sikte på en mulig revisjon av sikkerhetsloven. En slik revisjon vil kunne medføre endrede oppgaver for NSM, som etter behov vil håndteres gjennom PET til IVB LTP.
6.1 Oppdrag med krav og prioriteter
Instruks for sjef Nasjonal sikkerhetsmyndighet angir ansvar, roller og oppgaver til sjef NSM.
For oppdrag og prioriteter vises det til denne instruksen.
NSM skal legge til rette for, støtte og rapportere om gjennomføringen av de defensive forebyggende tiltak mot spionasje, sabotasje og terrorhandlinger i alle sektorer.
NSM skal utøve funksjonen som nasjonal sikkerhetsmyndighet iht. Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven). Hovedoppgaven er å koordinere de forebyggende sikkerhetstiltak og -tilstand i virksomheter som omfattes av sikkerhetsloven, koordinere den
41 Jf. Prop. 1 S (2011–2012) og Prop. 73 S (2011–2011), punkt 8.1.6.
nasjonale håndteringen av alvorlige angrep mot samfunnskritisk IKT-infrastruktur og være utøvende organ i forholdet til andre land og internasjonale organisasjoner på
sikkerhetsområdet. Med bakgrunn i dette skal NSM:
Innhente og vurdere informasjon av betydning for gjennomføringen av forebyggende sikkerhetstjeneste.
Søke og etablere internasjonalt samarbeid der dette er kostnadseffektivt og formålstjenlig.
Føre tilsyn med sikkerhetstilstanden i virksomheter, herunder kontrollere at den enkeltes plikter i eller i medhold av loven her overholdes, og eventuelt gi pålegg om forbedringer.
Bidra til at sikkerhetstiltak utvikles, herunder iverksette forskning og utvikling på områder av betydning for forebyggende sikkerhetstjeneste.
Gi informasjon, råd og veiledning til virksomheter.
For øvrig utføre de oppgaver som fremgår av bestemmelsene i og i medhold av loven I tillegg til oppgavene iht. sikkerhetsloven skal NSM ivareta følgende oppgaver:
Nasjonal varslings-, informasjonsdelings- og koordineringsinstans for håndtering av alvorlige angrep mot samfunnsviktig IKT-infrastruktur (NorCERT), herunder drift av Varslingssystem for digital infrastruktur (VDI).
Sertifiseringsmyndighet for IT-sikkerhet i produkter og systemer (SERTIT).
Kontrollmyndighet iht. lov om oppfinnelser av betydning for rikets forsvar og forskrift om fotografering mv. fra luften og kontroll av luftfotografier og opptaksmateriale fra luftbårne sensorsystemer.
Sekretariatsfunksjon for Koordineringsutvalget for forebyggende informasjonssikkerhet (KIS).
Gi støtte til norsk kryptoindustri.
NSM skal støtte FDs koordineringsgruppe for informasjonssikkerhet og cyberoperasjoner (KG cyber).
NSM skal støtte FB i utviklingen av Kompetansesenteret for beskyttelse og sikring av statlig EBA. Dette skal utvikles i nært samarbeid mellom FB og NSM. Senteret skal være komplementært til NSMs rolle som rådgiver og veileder innenfor
objektsikkerhetsområdet.
Oppfølging av sikkerhetsarbeidet i EUs Galileoprogram, herunder avtaler om utveksling av sikkerhetsgradert informasjon, leverandørerklæringer,
sikkerhetsgodkjenninger av infrastruktur samt deltakelse i sikkerhetsorganer.
Revisjon av målbilde og styringsparametere for NSM vil bli ivaretatt gjennom PET til IVB LTP, jf. punkt 3.2 Strategisk målbilde IVB LTP.
6.2 Tiltak/ Organisasjonsutvikling
NSM skal videreutvikles for å kunne møte sikkerhetsutfordringene i samfunnet og de føringer som er gitt i dette IVB LTP.
6.2.1 Styrking av NorCERT-funksjonen
NorCERT-funksjonen skal styrkes for å sette samfunnet bedre i stand til å møte økte trusler og sårbarheter samt oppdage og håndtere alvorlige dataangrep. Styrkingen av NorCERT inkluderer også å øke NorCERTs evne til effektivt å få varslet stadig flere norske virksomheter som har blitt rammet eller står i fare for å bli rammet av dataangrep.
6.2.2 Utvikling av tilsynskapasiteten og -aktiviteten
Tilsynskapasiteten og aktiviteten i NSM skal økes, herunder på slik at flere tilsyn
gjennomføres årlig. Tilsynsaktiviteten skal også økes på objektsikkerhetsområdet. NSM skal særlig ha for øye at avhengighetsforhold mellom forskjellige samfunnssektorer blir avdekket og tatt hensyn til, samt at sikkerhetstiltakene blir balanserte mellom sektorene.
Inntrengningstesting i informasjonssystemer, monitoringsvirksomhet, tekniske sikkerhetsundersøkelser og emisjonssikkerhet skal som teknisk kontroll- og undersøkelsesaktivitet trekkes aktivt inn som virkemidler i det forebyggende sikkerhetsarbeidet. Disse tekniske kapasitetene skal løpende tilpasses risikobildet.
Rammefaktorer for bruk av virkemidlene skal gjennomgås og videreutvikles. Der dette er hensiktsmessig skal disse tekniske kapasitetene støtte tilsynsvirksomheten.
6.2.3 Styrke objektsikkerhetsarbeidet
NSMs rådgivings- og veiledningskapasitet innenfor objektsikkerhet skal styrkes slik at sikkerhetslovens krav om utvelgelse og klassifisering av objekter blir gjennomført som forutsattutført og nødvendige egenbeskyttelsestiltak blir implementert i sektorene.
Styrkingen skal bidra til at NSM bedre kan føre tilsyn på objektsikkerhetsområdet, og legge til rette for et helhetlig samfunnsmessig sikkerhetsregime på dette området. NSM skal føre en oppdatert oversikt over skjermingsverdige objekt iht. Sikkerhetsloven. Oversikten skal oppdateres innen 31.12.2014 og deretter årlig.. NSM skal i RKR 3, jf. punkt 10.3.1.2 – Resultat- og kontrollrapport, gi en årlig helhetlig vurdering av progresjonen i
objektsikkerhetsarbeidet, herunder i forhold til gjennomføring av grunnsikringstiltak for skjermingsverdige objekter.
6.2.4 Videreutvikling og styrking av kompetansemiljøene
NSM skal videreutvikle og styrke kompetansemiljøene innenfor forbyggende sikkerhet generelt og informasjonssikkerhet spesielt, herunder videreutvikle sin råd- og
veiledningsaktivitet innenfor forebyggende sikkerhet med fokus på skriftlig veiledningsmateriale, holdningskampanjer og undervisningsvirksomhet.
6.2.5 Utvikle det nasjonale fagmiljøet for IKT-sikkerhet
Justis- og beredskapsdepartementet (JD) har fra 1. april 2013 ansvaret for samordning av forebyggende IKT-sikkerhet i sivil sektor. Samordningen av IKT-sikkerhetsområdet skal bl.a.
gjennomføres ved å videreutvikle NSM som det nasjonale fagmiljøet for IKT-sikkerhet i Norge. Denne videreutviklingen skal bidra til bedret IKT-sikkerhet i samfunnet og til å møte utviklingen i det stadig mer komplekse IKT-risikobildet. Fagmiljøet er viktig for å understøtte JDs ansvar og samordningsaktiviteter. Fagmiljøet skal holde seg orientert om den
internasjonale utviklingen på området og skal særlig ha fokus på etablering og vedlikehold av godt samarbeid med sentrale aktører på området. For å sikre en helhetlig tilnærming til de grenseoverskridende utfordringene knyttet til IKT-sikkerhet, skal fagmiljøet også understøtte FDs sektoransvar.
6.3 Personell og kompetanse
NSM skal så langt det er praktisk mulig søke å utnytte synergier med andre virksomheter nasjonalt og internasjonalt for å for løse sine oppgaver på en rasjonell måte.
Det er særlig NorCERT-funksjonen, tilsynsvirksomheten, teknisk kontroll- og
undersøkelsesaktivitet og fagområdet objektsikkerhet som skal styrkes frem mot 2016.
NSM skal opparbeide tilstrekkelig kompetanse tilknyttet F-35 (inkludert ALIS).
6.4 Operativ evne
NSM skal innenfor eget ansvarsområde bidra til å understøtte Forsvarets operative evne.
Dette forutsetter at NSM har oppdaterte beredskapsplanverk og operative planverk. NSM skal ha beredskapsplaner som sikrer at direktoratet er i stand til å iverksette og gjennomføre tiltak iht. Nasjonalt beredskapssystem (BFF og SBS). Det operative planverket skal beskrive generisk hvordan NSMs kapasiteter er tenkt benyttet for å møte ulike situasjoner
(plansituasjoner). Det skal gjennomføres årlige kontroller av planverket. Hoved- og enhetsplaner skal holdes oppdatert, slik at planverket til enhver tid er realiserbart ved aktivering.
NSM skal i rollen som National Distribution Authority (NDA) være i stand til å levere krypto i henhold til NATOs krav, samt ha planer for hvordan direktoratet skal kunne levere utvidet drift ved NDA ved behov.
6.5 Materiell
Materiellinvesteringsbehovet skal gjennomgås. Dette gjelder bl.a. NorCERT-funksjonen, den tekniske kontroll- og undersøkelsesaktiviteten (inntrengningstesting, tekniske
sikkerhetsundersøkelser (TSU) og monitoring) og National Distributing Authority (NDA)-funksjonen42.
NSMs aktiviteter innenfor forskning- og utvikling (FoU) skal videreføres. Direktoratet skal i størst mulig grad søke partnerskap med andre forskningsinstitusjoner.
42 Sentral enhet for kryptonøkkelproduksjon og –distribusjon.
6.6 Flerårig budsjett
Den økonomiske rammen for NSM tar utgangspunkt i budsjettet på 129,6 mill. 2012-kroner. I perioden justeres rammen iht. tekniske endringer, konsekvensjusteringer og effektivisering. Det legges til grunn en gradvis styrking av NSM i perioden. Operativitet i NorCERT-funksjonen, objektsikkerhet, økt tilsynskapasitet samt videreutvikling og styrking av kompetansemiljøene i NSM skal prioriteres. Styrkingen av NSM forutsetter frigjorte midler på kapittel 1792.
NSM har et årlig krav om varige effektiviseringstiltak tilsvarende 0,5 % av bevilgningen, jf.
punkt 3.5.2.2 Effektivisering. Midlene skal omdisponeres til høyere prioritert aktivitet i etaten. Det forventes at NSM gradvis øker inntekter fra kunder utenfor forsvarssektoren.
Det legges opp til at NSM får disponere en del av denne økte inntekten på sitt utgiftskapittel, men dette vil avklares nærmere for det enkelte budsjettår. For ytterligere detaljer om det flerårige budsjettet henvises til vedlegg G – Økonomi.