Jeg har ved flere anledninger gått tilbake til Kåre Willoch og hans NOU 2000:24, «Et sårbart samfunn», når jeg forsøker å trekke de historiske linjene som viser Norges oppvåkning rundt digitale trusler. Willoch var tidlig ute med å fokusere på det digitale trusselbildet. Han var ikke bare bekymret for hva som kunne skje, han var overbevist om at noe ville skje – og etterlyste handling.
Når vet vi nok?
Er det én ting vi har lykkes med siden Willoch, er det å kartlegge og systematisere trusler. Vi har en imponerende mengde rapporter: NOU 2015:13 «Digital sårbarhet – sikkert samfunn», «Nasjonal strategi for digital sikkerhetskompetanse» (2019) og NOU 2018:14 «IKT-sikkerhet i alle ledd», for å nevne noen. Mange av dem dekker samme tematikk og gir til en viss grad overlappende anbefalinger.
.png){kind=logo}
Et mer aktuelt eksempel er Totalberedskapskommisjonen og NOU 2023:17 «Nå er det alvor», etterfulgt av Totalberedskapsmeldingen, Meld. St. 9 (2024–2025), som «setter retningen» for omleggingen av totalforsvaret. På papiret, i hvert fall.
Vi trenger fortsatt innsikt og kompetanse, men vi må slutte å utrede det samme igjen og igjen, uten at det før til handling. Anbefalinger som ikke følges opp med tydelig eierskap, beslutninger og finansiering, hjelper lite. Det vi trenger nå, er konkret handling.
Og tiden er knappere enn før, fordi den globale sikkerhetssituasjonen slår rett inn i norsk samfunns- og næringsliv. I en verden preget av raske endringer, desinformasjon og emosjonelle reaksjoner blir vi sårbare for digitale påvirkningsoperasjoner og hybride trusler.
Ikke gå i ring
I alle organisasjoner utvikler det seg over tid mønstre som preger både arbeidet og leveransene til virksomheten. På området «digital sikkerhet» virker det som om en av disse gjentagelsene som går igjen i politikken, handler om kunnskap; et utvalg får et mandat, skriver en melding og får oppmerksomhet i en periode, før det dabber av. Så skjer noe nytt, og vi starter på igjen med en ny utredning.
Jeg er ikke jeg er alene om å se dette mønsteret: « La oss nå begynne å jobbe seriøst med dette, la oss ikke bare være ofre for tilfeldighetene som gjør at vi bare ender opp et sted. Og ikke sett ned et utvalg hvert tiende år som begynner på nytt og skal se på hvordan verden ser ut nå. Det kommer ikke til å gå bra.»
Advarselen kommer fra Olav Lysne i et intervju med Digi i forbindelse med overleveringen av nettopp Totalberedskapsmeldingen. Budskapet hans er tydelig: Det holder nå.
Kommer sektorprinsippet til kort?
Det kan være mange grunner til at gode intensjoner og ønsket om handling dør et sted på veien mellom «Regjeringen vil ...» i en stortingsmelding og konkret gjennomføring i forskjellige sektorer ute i samfunnet.
Riksrevisor Karl Eirik Schjøtt-Pedersen pekte på én av flere årsaker under Forbedringskonferansen i november i fjor da han snakket om deling av data og spurte «Spenner sektorprisnippet bein på løsningene?»
Sektorprinsippet er godt innarbeidet i norsk statsforvaltning, men særlig når det kommer til digital sikkerhet er det åpenbart for meg at denne måten å organisere ansvar på, ikke er hensiktsmessig.
For mange komplekse prosesser og ansvarsområder som går på tvers av verdikjeder, økosystem og lovverk skal koordineres, samtidig som verden og det politiske landskapet endrer seg raskt.
Hvem har ansvaret?
Andre land har valgt andre løsninger enn sektorprinsippet i møte med store og akutte problemstillinger som ikke lar seg avgrense til én sektor eller ett departement.
I USA og i en rekke europeiske land har man utnevnt såkalte «czarer» – en offentlig oppnevnt person med ansvar for et konkret område, som rapporterer direkte til statsministeren eller presidenten.
Vi trenger ikke å kalle det en «czar». Men innenfor rammen av vårt demokrati mener jeg det er verdt å vurdere om én person med ansvar og myndighet på tvers, som rapporterer til statsministeren, er verdt et forsøk – særlig når vi ser hvor lang tid ting tar når vi benytter den alternative arbeidsmodellen.
Vi trenger én ansvarlig person som ser helheten, tar beslutninger og mobiliserer samfunnets ressurser. En som faktisk kan sette anbefalingene fra NOU-er, rapporter og strategier ut i livet. For akkurat nå er det ikke ny kunnskap vi mangler. Det vi trenger er en som faktisk gjør noe med det vi allerede vet.
Konsulenttopp: – Var ikke forberedt på en så stor brems i markedet
