Die norwegische nationale Sicherheitsbehörde (NSM) hat die IT-Unternehmen des Landes gewarnt, bei der Auslagerung ihrer Aktivitäten in Übersee der nationalen Sicherheit Vorrang vor Kostensenkungen einzuräumen.
Die Warnung folgt dem sogenannten "Broadnet-Fall", der nach Angaben der norwegischen Regierung die Gefahren extremer Kostensenkungsmaßnahmen der stark privatisierten norwegischen IT-Branche aufgezeigt hat.
Im September von 2015 hat Broadnet 120 seiner in Norwegen ansässigen Mitarbeiter entlassen und ihre Arbeitsplätze in Indien auf der Suche nach Kostensenkungsmaßnahmen neu platziert. Das Unternehmen hat einen Multi-Millionen-Dollar-Vertrag mit Tech Mahindra, einem Outsourcing-Unternehmen mit Sitz in Mumbai, unterzeichnet. Aber ein norwegisches Regierungsaudit entdeckte bald mehrere Fälle von Sicherheitsverletzungen durch Tech Mahindra-Mitarbeiter. Letzterer hätte Nødnett ohne Genehmigung über das zentrale Broadnet-IT-Netzwerk erreichen können, das für ausgelagertes Personal ohne norwegische Sicherheitsgenehmigungen gesperrt sein sollte.
Kurz nachdem die Verstöße entdeckt wurden, begann Broadnet, seine ausgelagerten Aktivitäten nach Norwegen zurückzubringen. Bis Ende 2017 waren alle sicherheitsrelevanten IT-Aktivitäten nach Norwegen zurückgekehrt. In der Zwischenzeit wurde Broadnet jedoch von der norwegischen Regierung, Oppositionspolitikern und der NSM, der Regierungsbehörde, die für den Schutz der norwegischen IT-Infrastruktur vor Cyber-Bedrohungen wie Spionage und Sabotage verantwortlich ist, heftig kritisiert. .
Die Warnung der norwegischen Nationalen Sicherheitsbehörde (NSM), die Anfang dieses Monats herausgegeben wurde, bezieht sich ausführlich auf den Fall Broadnet. Es erkennt das Recht norwegischer IT-Unternehmen an, einige oder alle ihrer operativen Aufgaben als Kostensenkungsmaßnahme auszulagern. Es wird jedoch auch darauf hingewiesen, dass die IT-Unternehmen des Landes gesetzlich verpflichtet sind, die nationalen Sicherheitsprotokolle einzuhalten, wenn sie einen Teil ihres IT-Portfolios an ausländische Unternehmen auslagern. In den letzten Jahren gab es eine Reihe von Fällen, in denen „die Risikomanagementverpflichtungen im Zusammenhang mit Outsourcing-Entscheidungen norwegischer [IT] Unternehmen zurückgegangen sind“, heißt es im NSM-Bericht. Er fügt hinzu, dass IT-Unternehmen bei ausgelagerten Entscheidungen strenge Risikomanagementprotokolle einhalten und in jeder Phase des Prozesses einen vollständigen Überblick über ausgelagerte Projekte haben müssen.