Norsk næringsliv på dypt vann etter geopolitisk skifte?
DEBATT: Da Bergen Engines for to år siden nesten endte opp i russisk eie, blottla det en rekke hull i trussel- og virkelighetsforståelsen mellom norske myndigheter og næringslivet.
- Cathrine LagerbergSenior Manager Cyber Risk, Deloitte AS
DebattGeopolitikk påvirker norske virksomheter i økende grad, men de færreste har ekspertisen og informasjonen til å håndtere dette. Den 1. februar i år fortalte Reuters hvordan norske eksportkontrollmyndigheter nektet den Equinor-ledede og Haugesunds-baserte beredskapssammenslutningen PRSI Pool-en å reparere den russisk opererte Nord Stream 2 gassrørledningen som ble sabotert i Østersjøen i fjor høst.
På grunn av Norges forpliktelser til EU og eksportforbud av «strategiske varer, tjenester og teknologi» til Russland, vurderte Utenriksdepartementet at slike tjenester ville være et brudd på det norske sanksjonsregelverket. Avslaget ble bekreftet av Equinor som også viser til sanksjonsforpliktelsene. Dette vil sterkt forsinke reparasjonsarbeidet og gjøre det svært utfordrende og kostbart.
Det viser også at det finnes håp for koordinert trusselforståelse mellom myndigheter og næringsliv der ute – hvor hensynet til nasjonal sikkerhet settes først.
Mer spesifikke trusselvurderinger
I desember vedtok regjeringen at Nasjonalt etterretnings- og sikkerhetssenter (NESS) skulle etableres som en «Forsterket innsats mot sammensatte trusler». Formålet er å sikre god beslutningsstøtte til myndighetene og «særlig utsatte sektorer». Dette er bra for myndighetene og de «utsatte sektorene» som sannsynligvis er de virksomhetene som er underlagt sikkerhetsloven. Samtidig viser Riksrevisjonen til store forsinkelser i myndighetenes kartlegging over nettopp hvilke virksomheter som skal sikres etter sikkerhetsloven.
Equinor ble underlagt sikkerhetsloven etter sabotasjen i Østersjøen. Dette ga selskapet tilgang til graderte vurderinger fra de norske sikkerhetstjenestene, og hadde sannsynligvis stor betydning for Equinor ledelsens trusselforståelse og beslutningsgrunnlag.
Men dette er altså ikke situasjonen for de fleste virksomheter i næringslivet, som i stor grad må basere seg på de årlige, ugraderte trusselvurderingene fra sikkerhetstjenestene. Eksportkontroll og sanksjonsetterlevelse har blitt så sammensatt at få selskaper forstår betydningen av geopolitikk. Flerbruksvarer og eierskap kan fort havne i feil hender.
En rekke bedrifter og industrisektorer får nå et ansvar de ikke har bedt om eller forstår, som de kanskje heller ikke har forutsetningene for å forstå. Virksomheter som produserer kritisk teknologi, kunnskap eller infrastruktur, mangler kunnskap om trussellandskapet og hvilken betydning verdensbildet har for dem. Ledelsen må forstå hvilke verdier og sårbarheter de har, og hvilke konsekvenser hendelser kan få både for bedriften, nasjonen og Norges allierte.
Fienden sover ikke
Næringslivets fundament er myndighetene hvor virksomheter støtter seg på råd. Men med dagens komplekse trusselbilde må næringslivet forstå at ansvaret også hviler på dem. En oppdatert trussel- og situasjonsforståelse er helt avgjørende for riktige beslutninger.
Uten sikkerhetsloven i ryggen og tilgang til sikkerhetstjenestene, har mange virksomheter nå to valg – enten investere i og utvikle egne trussel- og etterretningsressurser internt som over tid kan levere disse produktene, eller hente umiddelbart tilgjengelig kompetanse eksternt.
Med tilgang til kun de årlige og ugraderte trusselvurderinger må virksomhetene selv ta ansvar for kunnskap om verden. Men økende og sammensatte trusler medfører også at virksomheter utenfor sikkerhetsloven har behov for, og må få tilgang til bedriftsspesifikke trusselvurderinger mer enn én gang i året. Fienden sover ikke, er det på tide å våkne?
