Hvordan etterlever norske myndigheter kravet om å føre risikobasert tilsyn på IKT-området, og hvilke begrensninger møter myndighetene når de skal samordne sin tilsynspraksis?

Abstract

Samfunnets kritiske infrastruktur og funksjoner er i dag avhengig av stabile IKT-systemer. IKT-sikkerhet er derfor en forutsetning for både samfunns- og statssikkerheten, sivilbefolkningens trygghet og vår videre velferd. Oppgaven vil undersøke hvordan staten bruker tilsynsrollen for å identifisere digitale sårbarheter og redusere den iboende risikoen som følger med den digitale utviklingen. Teksten tar utgangspunkt i kravet om risikobasert tilsynsmetodikk og analyserer hvordan staten etterlever dette kravet i praksis. Et mål for staten er at tilsynsmetodikken på IKT-området skal være av en kvalitetsmessig lik standard på tvers av sektorgrensene. Vi har derfor anvendt en kvalitativ forskningsmetode og samlet inn data som belyser hvordan Norges vassdrags- og energidirektorat, Nasjonal kommunikasjonsmyndighet, Havindustritilsynet, Finanstilsynet, Riksrevisjonen og Nasjonal sikkerhetsmyndighet fører tilsyn med IKT-sikkerhet. Vi har mottatt informasjon om intern praksis og metodikk, samt hvordan de sammen med andre tilsynsmyndigheter samarbeider og koordinerer på tvers av sektorgrensene for å løse felles utfordringer. Informasjonen vi har samlet inn gir oss grunnlag til å besvare følgende tre forskningsspørsmål: 1) Hva er et risikobasert tilsyn, og hvordan praktiserer norske tilsynsmyndigheter slike tilsyn på IKT-området? 2) Er det stor variasjon i hvordan tilsynsmyndigheter praktiserer risikobaserte tilsyn? 3) Hvorfor er samordning av IKT-tilsyn krevende i den norske forvaltningen? Spørsmålene legger opp til en flernivåanalyse i den forstand at vi analyserer intern tilsynspraksis og hvordan praksisen varierer mellom de ulike tilsynsmyndighetene. Gitt at det er et mål å forene tilsynsmetodikken på tvers av sektorgrensene, er det også naturlig å se dette i sammenheng med behovet for samstyring og koordinering. Derfor vil vi diskutere empiri ved hjelp av teorier som gir innsyn i tekniske risikofaktorer ved digitalisering, samordningsproblematikk og forvaltningsorganisering. Funn: Tilsynsmyndighetene bruker systemrevisjon som metode og vektlegger kritikalitet og sannsynlighet for feil som kriterier når de velger ut tilsynsobjekt. Vi finner at dette er to kriterier som er vanskelige å balansere. Myndighetene avgrenser tematikk forut for tilsyn, men en svakhet er at enkelte avgrenser tematikken etter egen kompetanse fremfor en objektiv risikovurdering. Metodisk eksisterer det også ulikheter når det kommer til bruk av IKT-tekniske verktøy som noen myndigheter bruker i forbindelse med tilsyn. Vi diskuterer argumenter for og imot anvendelse av slike verktøy. Vi finner at samordning er krevende gitt de sterke sektorsegmentene som eksisterer i den norske forvaltningen. Samordningspraksisen er begrenset til informasjonsdeling, noe som ut ifra samordningsstigen er et lavt nivå.