3 Forebyggende sikkerhetstjeneste
3.1 Generelt
Den forebyggende sikkerhetstjenesten er regulert i sikkerhetsloven og forskrifter gitt med hjemmel i denne. Formålet med loven er i henhold til § 1 å:
legge forholdene til rette for effektivt å kunne motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser,
ivareta den enkeltes rettssikkerhet, og
trygge tilliten til og forenkle grunnlaget for kontroll med forebyggende sikkerhetstjeneste.
Loven slår i § 4 første ledd fast at departementet har det overordnede ansvar for forebyggende sikkerhetstjeneste. Dette overordnede ansvar er ved forskrift av 4. juli 2003 nr. 900 delt mellom Forsvarsdepartementet i militær sektor og Justisdepartementet i sivil sektor. For øvrig er ansvaret for gjennomføringen av de forebyggende sikkerhetstiltak et linjeansvar, jf. lovens § 4 første ledd og § 5 første ledd.
Loven etablerer «Nasjonal sikkerhetsmyndighet» som iht. lovens § 4 annet ledd skal ivareta departementets utøvende funksjoner. I organets oppgaver ligger også en koordinering av de forebyggende sikkerhetstiltak, kontrollere sikkerhetstilstanden og være utøvende organ i forhold til andre land og internasjonale organisasjoner. Disse oppgavene er nærmere konkretisert i lovens § 9. Siden 1. januar 2003 har et eget direktorat kalt Nasjonal sikkerhetsmyndighet (NSM) ivaretatt lovens funksjon som nasjonal sikkerhetsmyndighet. NSM er administrativt underlagt Forsvarsdepartementet. Den faglige ansvarslinje er til Justisdepartementet for oppgaver i sivil sektor og til Forsvarsdepartementet i militær sektor. Forsvarsdepartementet er regelverksforvalter for sikkerhetsloven og skal ivareta regjeringens kontroll med forebyggende sikkerhetstjeneste gjennom regelmessige inspeksjoner av NSM.
Forebyggende sikkerhetstjeneste defineres i sikkerhetsloven § 3 som planlegging, tilrettelegging, gjennomføring og kontroll av forebyggende sikkerhetstiltak som søker å fjerne eller redusere risiko som følge av sikkerhetstruende virksomhet. Slik sikkerhetstruende virksomhet defineres i samme paragraf som forsøk på og gjennomføring av spionasje, sabotasje eller terrorhandlinger, samt medvirkning til slik virksomhet (jf. omtale av trusler i sikkerhetsloven § 1). Spionasje, sabotasje og terrorhandlinger er såkalte villede handlinger. Risikoeliminering eller risikoreduksjon i forhold til slike handlinger må også ta høyde for hendelser som ikke nødvendigvis har en intensjon om spionasje, sabotasje eller terrorhandlinger, men som likevel kan medføre det samme – men utilsiktede – resultat gjennom en kompromittering av sikkerheten. Slike hendelser kan være basert på menneskelig, rutinemessig eller teknisk svikt, naturskade eller intensjonsbaserte handlinger med annet formål, for eksempel vinningskriminalitet. Risikobegrepet i sikkerhetsloven omfatter således både planlagte og mer tilfeldige hendelser eller utilsiktede konsekvenser. En konsekvens av dette er at grunnlagsinformasjon til bedømming av risiko både må være etterretningsbasert (i forhold til spionasje, sabotasje og terrorhandlinger, samt relevante intensjonsbaserte handlinger med annet formål), samt statistikkbasert (i forhold til menneskelig, rutinemessig og teknisk svikt, samt naturskade).
De forebyggende sikkerhetstiltak som utformes mot spionasje, sabotasje og terrorhandlinger må ta utgangspunkt i at mulige trusselaktører er fremmede makter eller internasjonale terrororganisasjoner som har en betydelig kapasitet. Samtidig skal tiltakene på en god måte trygge den enkeltes rettssikkerhet, og trygge tilliten til og forenkle grunnlaget for kontrollen med den forebyggende sikkerhetstjeneste.
Sikkerhetsloven § 2 gjelder for ethvert forvaltningsorgan, dvs. ethvert organ for stat eller kommune. Loven gjelder videre for private leverandører av varer eller tjenester til et forvaltningsorgan i forbindelse med såkalte sikkerhetsgraderte anskaffelser. Slike anskaffelser innebærer iht. loven § 3 at leverandøren vil kunne få tilgang til skjermingsverdig informasjon eller objekt, eller at anskaffelsen av andre årsaker må sikkerhetsgraderes. Kongen kan videre iht. § 2 utvide lovens virkeområde til å omfatte ethvert rettssubjekt som eier eller råder over skjermingsverdige objekter eller som av et forvaltningsorgan - av andre grunner enn i forbindelse med sikkerhetsgraderte anskaffelser - gis tilgang til skjermingsverdig informasjon. Kongens myndighet er iht. loven § 2 tredje ledd delegert til Forsvarsdepartementet i forskrift av 27. juni 2003 nr. 802. Loven gjelder for domstolene. Stortinget og dets organer er imidlertid unntatt.
3.2 Om de forebyggende sikkerhetstiltak
Tiltakene som foreskrives i sikkerhetsloven med forskrifter benevnes ofte som defensive forebyggende tiltak eller sårbarhetsreduserende tiltak (på engelsk: «protective security»). Dette for å avgrense mot det som kalles offensiv forebygging. Med hensyn til den offensive forebygging av spionasje, sabotasje og terrorhandlinger, er det Politiets sikkerhetstjeneste (PST) som har hovedansvaret. PSTs aktiviteter og den defensive forebyggende sikkerhetstjeneste utfyller hverandre.
Tiltakene i sikkerhetsloven må videre avgrenses mot politiets utøvelse av sin generelle oppgave med å avverge og etterforske straffbare handlinger, samt opprettholde den alminnelige ro og orden i samfunnet.
Videre må tiltakene i sikkerhetsloven avgrenses mot nødetatene (politi, brann, redning) sitt ansvar knyttet til å håndtere skade som følge av ulykker, herunder sabotasje og terrorhandlinger. I denne sammenheng må det også foretas en avgrensning i forhold til Direktoratet for samfunnssikkerhet og beredskap (DSB) sine koordineringsoppgaver knyttet til planlegging og øving.
På objektsikkerhetsområdet er det videre viktig å avgrense sikkerhetslovens nedslagsfelt i forhold til sikkerhetsarbeidet generelt, dvs. behovet for en alminnelig og gjennomgående sikkerhet i samfunnet, omfattende alt fra husstander til små og mellomstore bedrifter, store bedrifter, det offentlige og organisasjonslivet.
Det er et grunnleggende prinsipp for alt forebyggende sikkerhetsarbeid at man definerer hva som har sikkerhetsmessig verdi, dvs. at man identifiserer og klassifiserer det som er beskyttelsesverdig ut fra:
en vurdering av hva som kan tenkes rammet av trusselhandlinger, og
en vurdering av viktigheten av å unngå at trusselhandlingen oppnår sitt formål (uttrykt ved skadeverdi).
En mest mulig korrekt identifisering og klassifisering av det som anses beskyttelsesverdig er av stor betydning for at det forebyggende sikkerhetsarbeidet ikke skal være mer omfattende eller inngripende enn det som er nødvendig. Ikke alle objekter vil være like viktige å beskytte. Det er derfor nødvendig å utpeke hvilke objekter som skal være skjermingsverdige og gradere i forhold til verdien, av hensyn til en mest mulig korrekt tilpasset ressursbruk og minst mulig inngripen overfor eier, ansatt, bruker og andre med tilknytning til objektet. En mest mulig korrekt verdivurdering er også viktig for at det som reelt sett er beskyttelsesverdig faktisk oppnår slik beskyttelse.
De forebyggende defensive sikkerhetstiltak skal søke å forhindre at sabotasje og terrorhandlinger gjennomføres mot det som anses som skjermingsverdig objekt. Hvorledes tiltakene utformes er i stor grad avhengig av hvordan slike objekter er konstruert. Tiltakenes utforming er imidlertid også i stor grad avhengig av hvordan man tenker seg at eventuelle angrep eller sikkerhetsbrudd vil kunne skje.
Tiltakene har tre samvirkende formål. For det første skal de som barrierer virke avvergende eller i det minste forsinkende i forhold til angrep og sikkerhetsbrudd. For det andre skal tiltakene gi årvåkenhet i forhold til de samme påkjenninger. Et poeng i den forbindelse er at årvåkenheten må søke å fange opp indikasjoner på påkjenninger så tidlig som overhode mulig. For det tredje skal tiltakspakken ha reaksjonsmuligheter for situasjoner i de tilfeller som er nevnt foran.
De forebyggende defensive tiltakene kan grupperes som fysiske, elektroniske, logiske, psykologiske og administrative tiltak.
Tiltakene er i mange tilfeller av en slik art at man ikke kan vente med å iverksette dem til man har mer konkrete opplysninger om at en trussel er overhengende. En del av tiltakene må derfor iverksettes som grunnsikring i en normalsituasjon uten at noen konkret trussel foreligger. Enkelte tiltak kan man vente med å iverksette. Dette kan også være hensiktsmessig av effektivitets-, økonomiske og rettssikkerhetsmessige hensyn. Disse tiltakene bør reserveres til taktisk tilpasning som ledd i et beredskapssystem.
De forebyggende defensive sikkerhetstiltak skal gjennomføres først og fremst i linjen, det vil si ute i virksomheter og sektorer som sikkerhetsloven gjelder for, og som besitter skjermingsverdige objekter. Enkelte tiltak vil av forskjellige grunner måtte gjennomføres mer sentralt. Årsaken vil være behovet for særlig kompetanse, eller at man ønsker en sterkere politisk kontroll med utførelsen. En årsak kan også være at en slik behandling gir økonomiske besparelser sammenlignet med en desentralisert utførelse. Eksempler på slik sentralisert gjennomføring er sikkerhetslovens fullmakter til NSM knyttet til tekniske sikkerhetsundersøkelser i § 16, inntregningstesting i informasjonssystemer i § 15 annet ledd, monitorering av informasjonssystemer i § 15 første ledd, og klareringsmyndighet for leverandørklarering i § 28 første ledd, siste setning. En annen sentraliserende bestemmelse, men som går noe videre enn til NSM, er reglene for utøvelse av klareringsmyndighet for sikkerhetsklarering av personer, jf. § 23 første ledd.
3.3 Kontroll med den forebyggende sikkerhetstjenesten
De forebyggende sikkerhetstiltak kan være meget inngripende overfor enkeltpersoner og virksomheter. Den forebyggende sikkerhetstjeneste er derfor underlagt særskilte kontrollmekanismer utover de som generelt er etablert for forvaltningen gjennom Riksrevisjonen, Sivilombudsmannen og Ombudsmannen for Forsvaret.
Denne særskilte kontrollen med den forebyggende sikkerhetstjeneste er etablert ved lov 3. februar 1995 nr. 7 om kontroll med etterretnings-, overvåkings- og sikkerhetstjenesten, og utøves av et utvalg (EOS-utvalget) nedsatt av Stortinget.
Regjeringens kontroll med den forebyggende sikkerhetstjenesten utøves gjennom NSM og ved Forsvarsdepartementets kontroll av NSM.