Del 5
Økonomiske og administrative konsekvenser
20 Økonomiske og administrative konsekvenser
I dette kapittelet vurderer utvalget de økonomiske og administrative konsekvensene av anbefalingene i del IV. Utvalget vil understreke at utredningen ikke har gitt grunnlag for å fange opp den fulle bredden av konsekvensene av anbefalingene. En nærmere utforming av anbefalingene vil ha betydning for nytte- og kostnadsvirkningene, og disse bør utredes nærmere ved videre oppfølging.
Oslo Economics har på oppdrag fra utvalget bistått med samfunnsøkonomiske vurderinger av anbefalingene. Rapporten fra Oslo Economics følger som digitalt vedlegg.
Ny lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning
Utvalget anbefaler at det utarbeides en ny lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning. Den nye loven skal gjennomføre NIS-direktivet i norsk rett. Den skal gjelde for samfunnskritiske virksomheter og offentlig forvaltning, i tillegg til virksomheter som ellers omfattes av NIS-direktivet.
Oslo Economics trekker i sin rapport frem flere usikkerhetsmomenter når det gjelder de samfunnsøkonomiske konsekvensene ved innføring av en slik lov. Blant annet oppfatter Oslo Economics at det er usikkerhet knyttet til virkeområdene til eksisterende lover og forskrifter, og setter derfor spørsmålstegn ved om det er behov for en ny lov. Det pekes på at et alternativ til en ny lov er at man presiserer og avgrenser eksisterende regelverk.
Det er krevende å tallfeste de samfunnsøkonomiske kostnadene ved å innføre en ny lov. Det vil påløpe administrative kostnader i arbeidet med å utforme en ny lov. Det kan også tenkes at en ny lov om IKT-sikkerhet kan føre til alternativkostnader for virksomhetene, ettersom mer tid vil gå til å forstå og håndheve de nye reglene. Det er for eksempel ikke utenkelig at GDPR har medført betydelige kostnader for private virksomheter, og at dette eksemplet kan fungere som en analogi for en potensiell innføring av en ny lov. Videre er samfunnskritiske virksomheter en lite presis størrelse. Særlig når det gjelder utfordringer knyttet til IKT-sikkerhet, er det ikke enkelt å avgrense hvilke konkrete virksomheter loven skal gjelde for. Dette gjør det krevende å tallfeste de samfunnsøkonomiske kostnadene.
Utvalget har særlig vurdert insentivproblematikken i forkant av anbefaling av en ny lov. Selv om bedriftsøkonomiske kostnader ved IKT-sikkerhetsbrudd i noen tilfeller kan være relativt små, kan kostnadene for samfunnet være betydelige. Utvalget vurderer det slik at en ny lov vil påvirke insentivene til å prioritere IKT-sikkerhet, slik at den enkeltes beslutninger blir mer i samsvar med hva som er ønskelig sett fra samfunnets ståsted. Utvalget mener at de kravene som foreslås i en ny lov er et minimum av hva man kan forvente av samfunnskritiske virksomheter og offentlig forvaltning når det gjelder å sikre seg mot IKT-sikkerhetsbrudd.
Utvalget vurderer samlet sett at dersom man klarer å utforme en god lov vil mest sannsynlig de samfunnsøkonomiske nyttevirkningene av en ny lov overstige kostnadene.
Utvalget foreslår at det vurderes nærmere om det skal stilles krav om IKT-sikkerhet i lov til alle norske virksomheter. Det vil si virksomheter som ikke treffes av sikkerhetsloven og utvalgets forslag til lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning. En slik utredning må omfatte økonomiske og administrative konsekvenser.
Krav om IKT-sikkerhet ved anskaffelser
Utvalget anbefaler at det må stilles krav om IKT-sikkerhet ved alle offentlige anskaffelser. Videre må IKT-sikkerhet bedre ivaretas i SSAene, og veiledning om IKT-sikkerhet ved anskaffelser må videreutvikles.
Det er ikke enkelt å tallfeste kostnadene ved eventuelle IKT-sikkerhetskrav i offentlige anskaffelser, selv om de kvalitativt lar seg identifisere. Hvis det er slik at noen leverandører får konkurransefortrinn og større markedsmakt, kan det føre til at de tar høyere priser slik at det potensielt oppstår samfunnsmessige effektivitetstap.
Det kan allikevel være samfunnsøkonomiske nyttevirkninger av et slikt tiltak. Det er hovedsakelig fordi krav i anskaffelser kan endre adferden til både innkjøpere og tilbydere, slik at nødvendig sikkerhet prioriteres. Det kan også forventes at krav om IKT-sikkerhet i anskaffelser vil øke bevisstheten både hos de som kjøper og de som tilbyr tjenester.
Et krav vil medføre kostnader for de som lyser ut anbud, og også for tilbydere som må dokumentere sikkerheten i anskaffelsesprosessen. Som argumentert for i rapporten fra Oslo Economics kan forslaget derfor medføre samfunnsøkonomiske kostnader. Krav kan svekke konkurransen i noen markeder hvis de er for kostbare til å kunne innfris blant noen aktører. Formuleringene av kravene må derfor være veloverveide, slik at de stiller hensiktsmessige krav i lys av en samfunnsøkonomisk kost/nytte-vurdering.
Etablere et nasjonalt IKT-sikkerhetssenter
Utvalget mener det må etableres et nasjonalt IKT-sikkerhetssenter. Et slikt senter kan bidra til å styrke koordinering og samordning mellom sektorer og mellom offentlige og private aktører. Det vil være et sentralt kontaktpunkt som gir råd og veiledning til virksomheter, bidrar til å koordinere håndtering av uønskede digitale hendelser og sørger for å dele informasjon om trusler og sårbarheter.
Utvalget legger vekt på å organisere senteret med en tydelig forankring i sivile myndigheter. Senterets myndighetsforankring og kobling til NSM, og grensedragninger mot det planlagte nasjonale cyberkrimsenteret må avklares.
Parallelt med utvalgets arbeid er det kommet forslag fra myndighetene om å opprette et nasjonalt cybersikkerhetssenter som del av NSM. I den forbindelse har NSM utarbeidet et konseptnotat for senteret. Utvalget forstår forslaget i hovedsak som en intern omdisponering av ressurser i NSM. De fleste funksjonene til senteret slik det fremkommer i konseptnotatet ligger allerede i NSM sitt mandat.
Kostnadene ved å etablere et nasjonalt IKT-sikkerhetssenter er på nåværende tidspunkt ikke utredet.1 Utvalget mener at det må gjøres ytterligere vurderinger knyttet til samfunnets behov for et IKT-sikkerhetssenter og kostnader ved dette. Dette er fordi det kan ha positive effekter å organisere senteret på en annen måte som ikke er vurdert.
Utvalget anbefaler at Justis- og beredskapsdepartementet, i samarbeid med Forsvarsdepartementet, må sørge for at det gjennomføres en uavhengig behovs- og kostnadsanalyse før et slik senter etableres. Som del av analysen bør også det rettslige rammeverket knyttet til informasjonsdeling vurderes, slik at det ikke er unødvendige hindringer for informasjonsdeling, både mellom miljøer og overfor offentligheten. Utvalget legger vekt på at behovsanalysen må gjøres av en uavhengig part. Det vil komme utgifter i forbindelse med innkjøp av tjenester for å gjennomføre en uavhengig behovsanalyse.
Tydelig regulering og ansvar for tilkoblede produkter og tjenester
Et viktig samfunnsøkonomisk spørsmål er hvem som bærer kostnadene ved potensielle IKT-sikkerhetsbrudd i tilkoblede produkter og tjenester. Hvis aktører har anledning til å skyve noe av kostnadene over på andre, kan dette føre til at sikkerheten i produktene nedprioriteres, og at det oppstår underinvestering i IKT-sikkerhet på dette området.
Utvalget mener at ansvaret for IKT-sikkerhet i tilkoblede produkter og tjenester i større grad bør flyttes fra forbrukeren til produsentene og leverandørene. For å oppnå dette, bør det blant annet stilles krav om innebygd sikkerhet («Security by design») i tilkoblede produkter og tjeneste. Norge må fortsette sitt internasjonale samarbeid på dette område, særlig opp mot regelverksprosesser i EU. Myndighetene må gi bedre råd og veiledning til importører, forhandlere og norske produsenter av tilkoblede produkter og tjenester. Videre bør DSB få en tydelig rolle når det gjelder varsling, rapportering, tilbakekalling og håndtering i forbindelse med manglende IKT-sikkerhet i tilkoblede produkter og tjenester.
Den viktigste nyttevirkningen av tiltaket kan være at man får reduserte insentivproblemer. Et tydeligere ansvar gjør det vanskeligere for produsenter og brukere å benytte utstyr med betydelig risiko for andre. Det antas videre at forslaget vil øke kompetansen, øke bevisstheten rundt IKT-sikkerhet i tilkoblede produkter og tjenester samt gjøre myndigheter og andre bedre i stand til å gi rådgivning til produsenter og forhandlere.
Forslaget må imidlertid utredes nærmere før man endelig kan fastslå de økonomiske og administrative konsekvensene.
Tydeligere styring og bedre koordinering av nasjonal IKT-sikkerhet
Utvalget mener Justis- og beredskapsdepartementet må utøve et tydeligere lederskap for nasjonal IKT-sikkerhet. Etablering av et nasjonalt IKT-sikkerhetssenter og den nye loven om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning vil styrke departementets evne til å utøve et tydeligere lederskap for nasjonal IKT-sikkerhet. I tillegg anbefaler utvalget at Justis- og beredskapsdepartementet og Forsvarsdepartementet gjennomgår modellen for styring av NSM for å sikre at IKT-sikkerhet i sivil sektor blir bedre ivaretatt, samtidig som koblingen mellom sivil sektor og forsvarssektoren beholdes. Videre mener utvalget at departementet må tilrettelegge for at tilsyn på IKT-sikkerhetsområdet koordineres bedre, og at tilsyn med teknisk IKT-sikkerhet gis økt oppmerksomhet.
Anbefalingene om at Justis- og beredskapsdepartementet må ta tydeligere lederskap har ingen klar økonomisk konsekvens, men det kan innebære noen mindre kostnader.
Bedre og tydeligere samordning av fagmiljøene på IKT-sikkerhetsområdet kan føre til bedre forebygging og håndtering. Tydeligere lederskap fra departementet kan også bidra til å redusere interessekonflikter mellom ulike offentlige etater i tilfeller hvor ønske om mer digitalisering kommer i konflikt med økt sikkerhet.
Utvalget er opptatt av å sette Justis- og beredskapsdepartementet i stand til å ta større lederskap. Slik utvalget ser det, har NSM en sentral rolle som Justis- og beredskapsdepartementets fagmiljø innenfor IKT-sikkerhet på sivil side. De understøtter også Forsvarsdepartementet i deres ansvar for IKT-sikkerhetsområdet i forsvarssektoren. Utvalget anbefaler at Justis- og beredskapsdepartementet og Forsvarsdepartementet gjennomgår modellen for styring av NSM. I dette arbeidet må økonomiske og administrative konsekvenser vurderes. I tillegg kan det komme utgifter i forbindelse med å gjennomføre en slik vurdering av gjeldende styringsmodell for NSM, for eksempel gjennom kjøp av konsulenttjenester eller lignende.
I den grad tydeligere lederskap krever økt kompetanse på IKT-sikkerhet, vil eventuelle kostnader være knyttet til nye ansettelser, samt eventuelle kurs eller andre kompetansehevende tiltak for eksisterende ansatte og ledelse i departementet. Oslo Economics påpeker i sin rapport at det er sannsynlig at tydeligere lederskap fra Justis- og beredskapsdepartementet, gitt at det fører til tydeligere styring og bedre koordinering, vil være samfunnsøkonomisk lønnsomt. Dersom kostnadene i hovedsak dreier seg om en omdisponering av interne ressurser, vil kostnadene være begrensede, og tiltaket kan da bare bli ulønnsomt dersom nyttevirkningene ikke blir realisert.
Fotnoter
For vurderinger av økonomiske kostnader knyttet til forslaget i konseptnotatet til NSM, se rapport fra Oslo Economics (digitalt vedlegg).