Meld. St. 29 (2011–2012) - Finanstilsynet
Meld. St. 29 (2011–2012) - Finanstilsynet
Meld. St. 29 (2011–2012) - Finanstilsynet
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
106 <strong>Meld</strong>. <strong>St</strong>. <strong>29</strong> <strong>2011–2012</strong><br />
Samfunnssikkerhet<br />
9.3.2 Økt vektlegging av forebyggende<br />
sikkerhet<br />
Forsvarets langtidsplan, Prop 73 S (2011 – 2012),<br />
fremhever at det er behov for å motvirke sårbarhetene<br />
i det norske samfunnet gjennom økt vektlegging<br />
av forebyggende sikkerhet knyttet til all<br />
samfunnskritisk informasjon og infrastruktur.<br />
NSMs tilsynsaktivitet er innrettet mot å hjelpe<br />
virksomhetene til å styrke sitt eget sikkerhetsarbeid.<br />
En god objektsikkerhet er en forutsetning for<br />
informasjonssikkerheten. Både datasentre, kabler<br />
og kritiske digitale knutepunkt som noder, må<br />
beskyttes både fysisk og digitalt. Forskrift om<br />
objektsikkerhet trådte i kraft 1. januar 2011 og<br />
skal implementeres over en treårsperiode.<br />
Departementene skal utpeke objekter i egen<br />
sektor innen 2012, og objekteier skal iverksette<br />
egenbeskyttelsestiltak innen utløpet av 2013.<br />
Regelverket bidrar til en tverrsektoriell tilnærming<br />
til beskyttelse av blant annet kritisk infrastruktur,<br />
og skal sikre at man også tar hensyn til<br />
avhengigheteter på tvers av sektorer i samfunnet.<br />
NSM skal i samarbeid med fagdepartementene<br />
ivareta nødvendig koordinering i utvelgelsesprosessen,<br />
gi råd og veiledning, og føre tilsyn. En god<br />
objektsikkerhet er også en forutsetning for informasjonssikkerheten.<br />
Både datasentre og kritiske<br />
digitale knutepunkt som noder må beskyttes både<br />
fysisk og digitalt.<br />
Det fremgår i langtidsplan for Forsvaret at det<br />
er behov for å øke NSMs rådgivnings- og veiledningskapasitet<br />
for å tilrettelegge for at sikkerhetslovens<br />
krav om utvelgelse og klassifisering av<br />
objekter gjennomføres som forutsatt, og at nødvendige<br />
egenbeskyttelsestiltak implementeres.<br />
9.4 Ansvarsfordeling på IKT-området<br />
9.4.1 Virksomhetenes ansvar<br />
IKT-sikkerhet er først og fremst et virksomhetsansvar.<br />
Dette følger av ansvarsprinsippet, som<br />
innebærer at den som har et ansvar for en virksomhet<br />
under normale forhold, også har et ansvar<br />
ved en krisesituasjon. I praksis innebærer dette at<br />
primæransvaret for sikring av informasjonssystemer<br />
og nettverk ligger hos eieren.<br />
For å sikre en optimal organisering av samfunnssikkerhets-<br />
og beredskapsarbeidet har<br />
regjeringen bestemt at samvirkeprinsippet skal<br />
bygges inn som et bærende element på linje med<br />
allerede eksisterende prinsipper om ansvar, nærhet<br />
og likhet. Samvirkeprinsippet stiller krav til at<br />
myndighet, virksomhet eller etat har et selvstendig<br />
ansvar for å sikre et best mulig samvirke med<br />
relevante aktører og virksomheter i arbeidet med<br />
forebygging, beredskap og krisehåndtering.<br />
9.4.2 Fagdepartementenes ansvar<br />
Fagdepartementene har et overordnet ansvar for<br />
å ivareta sikkerheten i sektorens IKT-infrastruktur,<br />
og at det forebyggende arbeidet med IKT-sikkerheten<br />
i sektoren er tilfredsstillende. Dette<br />
innebærer at hvert enkelt fagdepartement har<br />
ansvar for å:<br />
– identifisere kritisk infrastruktur i egen sektor<br />
og sørge for tilfredsstillende sikring av denne<br />
– vurdere, beslutte og iverksette tiltak av forebyggende<br />
karakter i egen sektor<br />
– forberede beredskapstiltak (jf. beredskap,<br />
krise og krig)<br />
– planlegge for (og evt. iverksette) krisehåndtering<br />
innen egen sektor<br />
– føre tilsyn med, og følge opp, arbeidet med<br />
informasjonssikkerheten i egne underlagte<br />
etater og i egen sektor<br />
I praksis vil de fleste av disse oppgavene bli utført<br />
av etatene/underlagte ledd, ettersom det er disse<br />
som best kjenner til virksomhetens avhengighet<br />
til viktige informasjonssystemer og infrastruktur.<br />
9.4.3 Departementer med et særlig ansvar<br />
for IKT-sikkerhet i dag<br />
Fornyings-, administrasjons- og kirkedepartementet<br />
har i henhold til kgl.res. 17. desember 1997<br />
ansvaret for å koordinere arbeidet med forebyggende<br />
IT-sikkerhet. I følge <strong>St</strong>.meld. nr. 22 (2007 –<br />
2008) innebærer koordineringsansvaret at departementet<br />
skal være en pådriver overfor fagdepartementene<br />
på IT-sikkerhetsområdet, og tilføre<br />
merverdi til aktiviteter i regi av fagdepartementene.<br />
Videre skal Fornyings-, administrasjons- og<br />
kirkedepartementet identifisere og følge opp sektorovergripende<br />
spørsmål, samt initiere og koordinere<br />
tiltak av tverrsektoriell karakter. Departementet<br />
har også et ansvar for å utarbeide oversikter<br />
og strategier for utvikling av den overordnede<br />
politikken på fagområdet. Som fagdepartement,<br />
arbeider Fornyings-, administrasjons- og kirkedepartementet<br />
for at IT-sikkerhet skal bli en sterkere<br />
integrert del av ulike politikkområder, samt<br />
at IT-sikkerhet i sterkere grad blir inkludert på<br />
forskningssiden.<br />
Forsvarsdepartementet har ansvar for alt<br />
arbeid med IKT-sikkerhet knyttet til militær sek-