AktueltKinesiske droner og norsk kritisk infrastruktur – når worst case møter jussen

Kinesiske droner og norsk kritisk infrastruktur – når worst case møter jussen

Norge har åpnet døren for omfattende bruk av kinesiske droner i både politiet, transportsektoren og kraftforsyningen. Samtidig advarer sikkerhetsmyndighetene mot «worst case»-scenarioer – og nye regelverk skjerper kravene til kontroll, beredskap og ansvar. Spørsmålet er ikke lenger om dronene er nyttige, men hvem som egentlig har kontrollen – vi eller leverandøren?

Den 12. oktober publiserte Dagens Næringsliv en sak som har fått mange til å sperre øynene opp: Kraftbransjen bruker i stor utstrekning droner fra kinesiske produsenter, særlig DJI. Tidligere NSM-sjef Sofie Nystrøm advarer i artikkelen om at dronene kan brukes til å «kartlegge Norge bit for bit», og at konsekvensene i et krisescenario kan bli dramatiske. I tillegg har Politiet gjort omfattende anskaffelser av slike droner, til tross for advarsler fra sikkerhetsmyndighetene. Dette skjer bare måneder etter Stortinget har snudd i spørsmålet om hvorvidt kinesiske droner bør forbys i statlige virksomheter.

Bildet som tegner seg er todelt: På den ene siden en stadig mer utbredt og operativ bruk av kinesisk droneteknologi i kritisk infrastruktur og sikkerhetssektor. På den andre siden: Et lovverk og et trusselbilde som skjerper kravene til kontroll, risikovurdering og leverandørvalg.

Droner: Fra livredder til angrepsflate

Droner har på få år gått fra å være nisjeteknologi til å bli et helt sentralt operativt verktøy i Norge. De brukes i dag både til å redde liv i nødsituasjoner og som en integrert del av politiets operative arbeid, og vi blir stadig mer avhengige av dem i kritisk infrastruktur. De gir rask oversikt, tilgang til vanskelig terreng og effektiv datainnsamling.

Men med økende nytte følger også økende sårbarhet. Forskere ved Høyskolen Kristiania publiserte tidligere i år en artikkel hvor de påpekte at droner ofte opererer utenfor operatørens synslinje og er avhengige av trådløs kommunikasjon som 5G og satellitt. Dette gjør dem sårbare for angrep, der angripere for eksempel kan manipulere sensorer og sende falske signaler slik at dronen tror den befinner seg et annet sted enn den faktisk gjør – såkalt «spoofing». Slike angrep kan føre til at droner flyr ut av kurs, styrter eller samler inn feilaktige data. Ondsinnede aktører kan også «jamme» kommunikasjonen mellom drone og operatør, stjele eller forfalske informasjon, eller få systemene til å rapportere feil.

Fordi droner bærer sensorer som GPS, video, varme- og lydmålere, kan denne informasjonen misbrukes til sabotasje eller etterretning. Det som gjør dronene til en styrke, gjør dem også til en mulig inngangsport for trusselaktører.

Når overvåkningen svikter

Episoder de siste månedene viser hvor sårbar infrastrukturen blir når sentrale overvåkingssystemer faller bort. Natt til 23. september var det høy beredskap og betydelig usikkerhet både i Norge og hos våre naboer i Danmark etter observasjoner av ukjent droneaktivitet over flere flyplasser.

Samtidig som det ble observert droner over Gardermoen var også det kinesiske DJI AeroScope-systemet som Avinor bruker til droneovervåkning også nede i totalt 19 timer denne dagen. Hendelsen illustrerer hvor avhengig norsk beredskap kan være av leverandørens egne systemer, særlig når systemet er fjernstyrt og data lagres i produsentens skytjenester.

NSM har i sin trusselvurdering for 2024 understreket at utenlandske droner kan utgjøre en direkte trussel mot kritisk infrastruktur. De kinesiske dronene DJI har vært svartelistet og sanksjonert av amerikanske myndigheter siden 2017, og dronene vil trolig omfattes av et automatisk forbud i USA fra 23. desember 2025. Til tross for signaler fra USA og gjentatte advarsler fra NSM inngikk Politiet i 2021 avtale om kjøp av inntil 585 DJI-droner til en verdi av nærmere 100 millioner kroner.

Politidirektoratet sier de har forsøkt å redusere risikoen ved å bytte ut programvaren og gjøre enkelte tekniske tilpasninger, men dette endrer ikke det grunnleggende forholdet: store deler av norsk politioperativ kapasitet er bygget på teknologi utviklet og driftet av en aktør underlagt kinesisk lovgivning.

Utviklingen i Norge viser at bruken av kinesiske droner langt ifra er begrenset til luftfart, politi og kraftbransjen. I samarbeid med politiet, Avinor og Forsvaret har NMS testet deteksjonssystemer ved ulike lokasjoner i Norge – og funnet langt høyere droneaktivitet enn forventet. I flere sentrale brasjer vurderer flere store selskaper nye investeringer i kinesiske droner og DJI-teknologi.

Dronene er en del av trusselbildet

Som NMS peker på i fjorårets trusselvurdering kan utenlandske droner kan brukes til både etterretning, sabotasje og terrorvirksomhet. Krigen i Ukraina har vist hvor raskt og enkelt sivile droner kan omgjøres til operative angrepsmidler. I norsk sammenheng kan slike droner kartlegge rutiner og sårbarheter ved skjermingsverdige områder og objekter. Dette er informasjon som har høy etterretningsverdi. NSM har blant annet avdekket tilfeller hvor entreprenører og eiendomsmeglere uaktsomt har fløyet droner over skjermingsverdige anlegg, og hvor bilder senere er lastet opp i boligannonser.

Poenget er det samme: selv tilsynelatende uskyldig droneaktivitet kan gi fremmede etterretningstjenester verdifull innsikt i kritisk infrastruktur. Når slike droner i tillegg styres og lagrer data gjennom utenlandske leverandørers systemer, øker risikoen ytterligere.

Denne spenningen mellom omfattende datadeling, økende bruk av droneteknologi og et skjerpet trusselbilde danner bakteppet for regjeringens stortingsmelding om droner og ny luftmobilitet, som varsler en betydelig opptrapping av offentlig dronebruk i årene som kommer – parallelt med at kravene til sikkerhet og styring strammes inn. Med andre ord: Bruken vil økes, trusselbildet utvikler seg – noe som nødvendiggjør en oppstramming av regelverket.

Lovverket strammer grepet

Den 1. oktober 2025 trådte Digitalsikkerhetsloven og tilhørende digitalsikkerhetsforskrift i kraft. Regelverket implementerer EUs NIS1-direktiv i norsk rett og stiller bindende krav til virksomheter i samfunnskritiske sektorer – herunder blant annet energi og luftfart, som er blant de sektorene der droner nå spiller en stadig viktigere rolle.

Særlig i kraftbransjen brukes droner systematisk til å inspisere linjenett, master og anlegg i avsidesliggende områder. Dette gjør at de rettslige kravene til styring, risikoanalyse og leverandørkontroll treffer direkte: dronebruken er ikke lenger et perifert verktøy, men en integrert del av driften i samfunnskritisk infrastruktur, og teknologi som tidligere ble sett på som støtteverktøy nå er underlagt lovpålagte sikkerhetskrav.

For eksempel vil et bortfall av et dronesporingssystem som AeroScope kunne regnes som en betydelig hendelse dersom det påvirker overvåkning av luftrommet ved en lufthavn. Tilsvarende gjelder dersom dronedata fra kraftnettet sendes ukontrollert til leverandørers skytjenester i tredjeland, uten at virksomheten har foretatt risikovurderinger eller stilt tilstrekkelige sikkerhetskrav.

Også manglende øvelser eller beredskap kan gi grunnlag for sanksjoner. Dersom en droneoperasjon utsettes for jamming eller spoofing uten at virksomheten har etablert rutiner for å håndtere slike hendelser, kan det vurderes som manglende oppfyllelse av plikten til å sikre systemene «i forhold til risikoen».

Unnlatelse av ovennevnte plikter kan alle utløse betydelige overtredelsesgebyr på opptil 4 % av årlig omsetning forutgående regnskapsår eller 25G, begrenset oppad til 50 millioner kroner.

I praksis betyr dette at dronebruk i kraft- og luftfartssektoren ikke bare må være teknisk effektiv – den må også være juridisk og sikkerhetsmessig forsvarlig. Lovverket gjør det klart at virksomheter ikke kan lene seg på leverandørenes teknologi alene. Ansvar for kontroll, sikkerhetsstyring og beredskap ligger hos virksomheten selv, og konsekvensene av svikt kan være både operative og økonomiske.

Hvem har egentlig kontrollen?

DNs «bit for bit»-scenario peker på noe grunnleggende: Det er ikke nødvendigvis enkeltbildet som er farlig, men helheten – mønstrene som kan avdekkes når data over tid aggregeres fra mange droneoperasjoner. Når slike systemer brukes i kraftnettet, på flyplasser eller langs grensen, reiser det spørsmål om hvorvidt virksomheten oppfyller kravet om å ha «et sikkerhetsnivå som står i forhold til risikoen» etter digitalsikkerhetsloven.

Rettmessig står bruken overfor et regelverk som forutsetter aktiv kontroll, dokumenterte risikovurderinger og styringssystemer som også omfatter leverandører. Når dronene og deres tilhørende systemer er utviklet og driftet av en aktør underlagt kinesisk lovgivning, blir spørsmålet om virksomheten faktisk har den kontrollen loven krever.

Energiselskaper, lufthavner og politi- og beredskapsmyndigheter som bruker utenlandske droner, må stille seg det grunnleggende spørsmålet: Har vi kontrollen – eller har leverandøren det? Lovverket krever at svaret kan dokumenteres.