SIKKERHET

Offentlig nasjonal skyløsning eller offentlig markedsplass for skyløsninger?

Vi har med interesse fulgt debatten rundt en nasjonal skyløsning. Nå foreslår regjeringen også opprettelse av en offentlig drevet markedsplass for skytjenester, uten at forholdet mellom disse er avklart. Og har man lært noe av Nødnettet?

Advokatfullmektig Petter Enholm (t.v.) og advokat Eivind Grimsø Moe i advokatfirmaet Hjort.
Advokatfullmektig Petter Enholm (t.v.) og advokat Eivind Grimsø Moe i advokatfirmaet Hjort.
Advokat Eivind Grimsø Moe og advokatfullmektig Petter Enholm, advokatfirmaet Hjort
28. okt. 2020 - 19:00

Det virker å være forskjellige tanker om både hva en nasjonal skyløsning skal være, hvem som skal bruke den, og hvorfor. Som advokater skal vi ikke mene altfor mye om dette, men fra et juridisk synspunkt er det nok først og fremst sikkerhetslovgivningen og anskaffelsesreglene som vil være aktuelle problemstillinger for en nasjonal skyløsning.

Innen offentlig sektor, og for mange private leverandører av samfunnskritisk infrastruktur, vil anskaffelser av skyløsninger (utenfor de såkalte sikkerhetsanskaffelsene) svært ofte være underlagt anskaffelsesregelverket. Man kan da stille krav om at skyløsningen er basert i Norge, og konkrete krav til sikkerheten, men anskaffelsesregelverket gir ikke mulighet for å utforme konkurransen slik at det i realiteten bare er én bestemt skyløsning som kan tilbys, enten den er drevet av det offentlige eller private. Det synes derfor klart at en nasjonal skyløsning enten vil kunne skape friksjon mot anskaffelsesregelverket, eller at den vil måtte konkurrere mot kommersielle tilbydere.

Fra et sikkerhetsregulatorisk perspektiv kan vi fastslå at mange typer virksomheter vil ha behov for digitale løsninger med høyt sikkerhetsnivå lokalisert her i Norge. Kravene er ganske absolutte, og virksomheter som omfattes av regelverket må forholde seg til disse ved enhver bruk av skytjenester. Det kan også synes som at en del av kravene er utformet slik at bruk av skyløsninger i praksis fremstår som umulig, uansett.

Som advokater kan vi vanskelig ta stilling til hvilket alternativ som gir best sikkerhet, men det er legitimt å spørre om sikkerheten i en nasjonal skyløsning reelt sett vil være høyere enn i kommersielle løsninger. Å legge mange samfunnskritiske systemer i én nasjonal skyløsning fremstår samtidig som et paradoksalt tiltak dersom man ønsker å forhindre konsentrasjonsrisiko hos kommersielle tilbydere.

Det er ikke mange år siden vi hadde en lignende diskusjon i Norge, knyttet til Nødnettet. Også der gikk diskusjonen i stor grad på om man skulle benytte kommersielle nett eller bygge et eget nett. Valget falt på sistnevnte alternativ, og det har i etterkant vært en rekke utfordringer ved Nødnettet, både som prosjekt og som teknisk løsning. Trenden både nasjonalt og internasjonalt går nå i retning av at man benytter kommersielle nett og tjenester som basis også for nødnett. Analogien er selvsagt ikke perfekt, men man kan i hvert fall ha dette i bakhodet når man gjør ytterligere vurderinger av en nasjonal skyløsning.

Regjeringen går i sin nye stortingsmelding (Meld. St. 5 (2020 -2021) Samfunnssikkerhet i en usikker verden) inn for å opprette en offentlig drevet markedsplass for det som i utgangspunktet er kommersielle skytjenester, der tilbyderne i noen grad har gjennomgått en kvalifikasjonsprosess for å kunne levere tilbud på markedsplassen. Dessuten legges det opp til at det utarbeides standardkrav for ulike typetilfeller av bruk av skytjenester, og tilbys veiledning til blant annet gjennomføring av anskaffelsesprosesser, risikoanalyser og sikkerhetsvurderinger. Anskaffelsesrettslig vil nok dette være en langt mindre utfordrende enn en offentlig drevet skyløsning. 

Det gjenstår selvsagt å se hvordan begge deler tenkes gjennomført, og forholdet mellom en markedsplass for skyløsninger og en nasjonal skyløsning er etter hva vi kan se ikke diskutert. Det kan godt hende det er både plass til å behov for begge, men etter vår erfaring og vurdering vil nok markedsplass-tilnærmingen være bedre for de fleste formål. Så får man eventuelt se om det er nødvendig med en offentlig drevet skyløsning for å ivareta krav til sikkerhet i særlige tilfeller.

Harald Næss er seksjonssjef for rådgivning ved Nasjonalt cybersikkerhetssenter (NCSC). I tillegg leder han prosjektet som leverte konseptvalgutredningen  «Nasjonal sky» i januar 2023.
Les også

NSM sier Eidsiva har noen fordeler når de nå vil levere en nasjonal sky-tjeneste

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.