6 Virksomhetens plikt til å beskytte egne objekter
6.1 Gjeldende rett
Sikkerhetslovens § 17, første ledd fastsetter at « vedkommende virksomhet» plikter å treffe nødvendige forebyggende sikkerhetstiltak for å beskytte skjermingsverdige objekter mot sikkerhetstruende virksomhet.
Det framgår av kommentaren til § 17 i Ot.prp. nr. 49 (1996-97), jf. s. 68 at denne generelle plikten til å treffe tiltak skal stå « tilbake for eventuelle særbestemmelser i lovverket forøvrig om plikt til å treffe forebyggende sikkerhetstiltak for skjermingsverdige objekter ».
Med vedkommende virksomhet framgår det av ordlyden i § 17, første ledd at det menes « eier » eller den som « på annen måte har kontroll over eller fører tilsyn med » det skjermingsverdige objektet. I sikkerhetsloven § 3 nr. 6 er «virksomhet» definert som «et forvaltningsorgan eller annet rettssubjekt som loven gjelder for, jf. § 2».
6.2 Arbeidsgruppens forslag
Arbeidsgruppen har foreslått at det fastsettes som et hovedprinsipp i sikkerhetsloven at ansvaret for beskyttelse av skjermingsverdige objekter ligger hos den som eier eller råder over et slikt objekt. Det er videre foreslått at beskyttelsen av objektet skal skje i samsvar med en risikovurdering.
Av pedagogiske grunner er det også foreslått lovfestet hvilke kategorier av tiltak som er å anse som forebyggende. Det er barrierer som skal avskrekke, forsinke eller forhindre anslag. Deteksjon som skal gi varsel om at anslag forsøkes eller gjennomføres eller at feil gjøres av egne medarbeidere eller oppstår pga. systemfeil. Verifikasjonstiltak som skal gå ut på å klargjøre situasjonen mest mulig dersom deteksjonstiltak utløses, herunder identifisering av gjerningsmann og klargjøring av hendelsesforløp. Til slutt reaksjonstiltak som går ut på å sikre spor (bevis), varsle sikkerhetspersonell, hindre følgeskader, starte skadevurdering og eventuelt varsle politimyndighet.
Det er videre foreslått å lovfeste de overordnede krav til sikkerhetstiltakene for objektet som følger:
Objekt klassifisert MEGET KRITISK skal beskyttes slik at forsøk på anslag oppdages umiddelbart, gjerningsmann så vidt mulig identifiseres, og tap av funksjon, ødeleggelse og rettsstridig overtakelse avverges.
Objekt klassifisert KRITISK skal beskyttes slik at anslag oppdages raskt, tap av funksjon og ødeleggelse begrenses, og rettsstridig overtakelse av vesentlige funksjoner avverges.
Objekt klassifisert VIKTIG skal beskyttes slik at anslag oppdages, og tap av vesentlig funksjon og ødeleggelse begrenses.
Arbeidsgruppen har påpekt at objektenes art, omfang og verdi kan være svært ulike, og den har derfor ikke funnet det hensiktsmessig å foreslå krav om konkrete sikkerhetstiltak som kan anvendes på enhver type objekt. Det vises til at sikkerhetstiltakene her i større grad enn innen informasjonssikkerhet, må tilpasses det enkelte objekts særegenheter.
Nasjonal sikkerhetsmyndighet, andre tilsynsmyndigheter og overordnede virksomheter, foreslås gitt adgang til å kunne overprøve vurderingen av risiko og nødvendige sikkerhetstiltak, men utgangspunktet bør etter arbeidsgruppens syn være at en stor grad av skjønn er overlatt til objekteier.
Koordinert og effektiv varsling ved anslag, eller forsøk på anslag, vil være viktig både for raskt å kunne begrense eventuelle skadefølger i virksomheten og for å forebygge tilsvarende anslag ved andre utsatte objekter. Arbeidsgruppen har derfor foreslått lovfestet en rapporteringsplikt til politiet.
6.3 Høringsinstansenes syn
Enkelte av høringsinstansene har merknader til begrepet «objekteier». Videre har det kommet inn merknader om hvor vidtrekkende objekteiers plikt til å beskytte egne objekter skal være og i hvilken grad den enkelte objekteier er i stand til å kunne gjennomføre tiltakene. Enkelte høringsinstanser er opptatt av hvilke kostnader som beskyttelsestiltakene vil påføre den enkelte objekteier og hvilke økonomiske og konkurransemessige konsekvenser det vil ha at et objekt er utpekt som skjermings-verdig.
Når det gjelder begrepet «objekteier» finner Datatilsynet det vanskelig å håndtere definisjonen av objekteier i lovforslaget § 3 ny nr. 17. Datatilsynet peker på at det i mange sammenhenger er slik at en eller flere juridiske/fysiske personer eier et skjermingsverdig objekt, samtidig som andre fysiske/juridiske personer har råderetten over dette, for eksempel gjennom leieforhold. Datatilsynet finner det unaturlig rent språklig å definere en person som kun har råderett over et objekt som en objekteier.
Forsvarets sikkerhetsavdeling foreslår å endre definisjonen av objekteier i § 1-2 d til «rettssubjekt som eier eller på annen måte råder over et eller flere skjermingsverdige objekt» .
Forsvarsbygg (FB) mener også objekteiers ansvar kan være uklart. FB viser til at det er Forsvarsdepartementet som er objekteier i Forsvaret, mens Forsvarsbygg ivaretar eierrollen for departementet, FLO er leietager, mens det normalt er andre enheter i Forsvarets militære organisasjon som er brukere. Forsvarsbygg uttaler:
«I denne sammenheng så er det bruker og da spesielt ved operative enheter som må være opptatt av objektsikkerhet og hvilke krav som skal stilles i de ulike planleggingsscenariene. Ergo burde bruker fremfor eier være ansvarlig for klassifisering og krav til objektsikkerhet. Tilsvarende forhold antas også å være aktuelt på sivil sektor».
Oljeindustriens landsforbund (OLF) stiller spørsmålstegn ved om eierskapet av et objekt skal være en sentral faktor og viser til at innenfor petroleumsindustrien er operatøren, det vil si den som på vegne av et fellesskap (felles eiere) opererer råder over et objekt/en virksomhet. OLF foreslår derfor at objekteier defineres som den som råder over objektet enten ved eierskap eller ved avtaler med eierne.
Vedrørende de økonomiske og administrative konsekvensene ved pliktene som stilles opp for objekteier stiller Nærings- og handelsdepartementet spørsmål ved hvorvidt det er rimelig at næringslivet skal dekke kostnadene ved sikkerhetstiltak utover eget behov.
Samferdselsdepartementet viser til at forslaget er omfattende og at de innebærer nye oppgaver for objekteiere. Samferdselsdepartementet stiller seg kritisk til at det i et så omfattende forslag ikke gjøres en nærmere vurdering av de økonomiske og administrative konsekvensene. Departementet mener det er viktig at tiltak i forbindelse med objektsikring blir vurdert og analysert i forhold til kostnad og nytte.
Telenor mener det av konkurransemessige hensyn er viktig at pålegg om sikkerhet og beredskap ikke legges ensidig på enkelte aktører uten at disse gis kompensasjon.
Oslo kommune viser til at den er vertskommune for Konge, Regjering, Høyesterett, departementene, diverse direktorater og lignende, og uttaler:
«I den grad samfunnsviktige funksjoner i Oslo av denne grunn klassifiseres til å være av større nasjonal viktighet enn tilsvarende objekter i andre kommuner, finner Oslo kommune det rimelig at staten finansierer den merkostnad de nødvendige skjermingstiltak medfører».
Oslo kommune viser til at dette ikke er vurdert eller kommentert nærmere i høringsutkastet.
Norsk Hydro viser til at noen av kravene til beskyttelse allerede er inkludert i bedriftsinterne krav og mener det er viktig i den grad det kommer ytterligere krav at bedriftene og det offentlige og bedriftene seg imellom kan samarbeide om anbefalte løsninger. Norsk Hydro registrerer at det også i forslaget er åpnet for muligheten for å få offentlige tilskudd ved å dekke omkostninger ved sikringstiltak som er urimelig tyngende.
Det er videre kommet inn merknader om hvor vidtrekkende objekteiers plikt til å beskytte egne objekter skal være, og i hvilken grad den enkelte objekteier er i stand til å kunne gjennomføre tiltakene.
Etter Telenors mening gir ikke forslaget detaljer om klassifiseringen og hvordan sikringen skal foregå og at «den legger for mye av ansvaret/vurderingen til sektordepartement og objekteier». Telenor uttaler at:
«Riktignok vil man ha både tilsynsmyndighet og ankemuligheter, men dette forhindrer ikke at man vil ha en risiko for forskjellige vurderinger og dermed ikke oppnå et harmonisert sikringsnivå.»
Det må etter Telenors mening gis kriterier for konkrete tiltak på de ulike nivåene for at kravene til sikring skal kunne omsettes i konkrete tiltak som er mulig å gjennomføre. Telenor mener det må «beskrives av relevante myndigheter (NSM) hvordan vi skal kunne beskytte objektene under de scenariene man legger til grunn gjennom både lovverk og forskrift».
Justisdepartementet uttaler til lovforlaget § 17 a om objekteiers plikt til å beskytte skjermingsverdig objekt:
«Justisdepartementet mener for øvrig at forsøk på anslag eller anslag mot alle skjermingsverdige objekter iht. sikkerhetsloven må kunne oppdages umiddelbart, gjerningsmannen må så vidt mulig identifiseres, og tap av funksjon, ødeleggelse og rettsstridig overtakelse må avverges. Objekteier må ha plikt på seg til å beskytte slike objekter med sikkerhetstiltak som ivaretar dette behovet, bl.a. gjennom krav til overvåknings- og kontrollsystemer».
Nasjonal sikkerhetsmyndighet (NSM) har enkelte merknader til de generelle krav til beskyttelse. NSM mener kravene er sentrale og gir sterke føringer for de enkelte objekteiere som kan gi store økonomiske, organisatoriske og personellmessige konsekvenser. Kravene bør derfor være presise, slik at man unngår feiltolkning. NSM mener videre at det er viktig å gjøre en avgrensning mellom tiltak som skal motstå logiske angrep mot informasjon og tiltak som skal motvirke fysiske angrep på et skjermingsverdig objekt. NSM peker på at samspillet og sammenhengen mellom bestemmelsene om informasjonssikkerhet og objektsikkerhet kan gi opphav til gråsoner. Tiltakene som foreslås er minimumstiltak i en normalsituasjon. Virksomhetene foreslås også pålagt å planlegge påbyggingstiltak. Disse tiltakene bør beskrives nærmere.
Oljeindustriens Landsforening (OLF) setter spørsmålstegn ved om objekteier er i stand til å møte de generelle krav til sikringstiltak, og uttaler:
«Dette gir et ubegrenset ansvar både mht trussel og mht tiltak. I realiteten har en sivil privatrettslig objekteier svært begrensede muligheter mht tiltak for beskyttelse. Dette gjelder mot personer, fartøy, fly og gjenstander. Han kan observere, varsle og alarmere; han kan sette opp gjerder og tilsvarende fysiske barrierer, men inngripningsmulighetene er svært begrenset. Hans muligheter til å anholde/arrestere eller vise bort med makt er begrenset. Men objekteier kan gjøre objektet og virksomheten robust (mindre sårbar). Begrepet ’beskytte’ kan derfor være misvisende mht objekteiers reelle muligheter.»
Telenor mener det i praksis er umulig å tilfredsstille kravene til sikring av et objekt 100 %. Etter Telenors mening blir det her «snakk om hvilke trusler man skal beskytte seg mot – med andre ord; hvilke ressurser f.eks en potensiell terrorist råder over» . Etter selskapets oppfatning må det defineres klare retningslinjer på hva som er truslene og hvilke sikringstiltak myndighetene forlanger.
Forsvarets forskningsinstitutt mener det vil være en vesentlig utfordring å utforme konkrete sikringstiltak, da selv rene fysiske systemer innen mange samfunnssektorer er i ferd med å bli svært komplekse i forhold til tidligere.
Fylkesmannen i Hordaland viser til at politi og forsvar tidligere var enerådende som sikringspersonell. Ved at objekteiere er foreslått et større ansvar på flere områder, herunder vakthold og sikring, ber fylkesmannen om at det vurderes i hvilken grad det i framtiden kan oppstå gråsoner i forhold til når myndighetene må overta sikringen av et objekt som har en privat eier.
Riksarkivaren antar at en vurdering av offentlige arkiver i de fleste tilfeller vil føre til klassifiseringen VIKTIG. Han mener at forskrift 11.12.1998 om offentlige arkiver som hovedregel vil gi tilstrekkelig beskyttelse av objektet i forhold til en slik vurdering. Riksarkivaren antar videre at de deler av offentlige arkiver som er gradert etter sikkerhetslovens regler i visse tilfeller vil få klassifisering som KRITISKE og i noen tilfeller også som MEGET KRITISKE objekter. Riksarkivaren mener at arkivforskriftens regler alene neppe vil tilfredsstille de krav som må stilles til skjerming på disse nivåene: «her må den foreslåtte forskriften, og andre forskrifter tilsikkerhetsloven komme i tillegg.» Når det gjelder Arkivverkets magasiner antar Riksarkivaren at disse, på grunn av det arkivmaterialet som befinner seg der, vil måtte klassifiseres som skjermingsverdige objekter, for deler av magasinene kanskje opp til nivået KRITISK. Riksarkivaren mener sikringstiltakene pr. i dag vil være tilstrekkelig i forhold til en slik vurdering.
Høgskolen i Stavanger diskuterer objekteiers plikt og militært–sivilt samarbeid. Høgskolen peker på at det skal legges opp til en helhetlig tenkning, men at objekteiere skal ha sitt fokus på det skjermingsverdige objektet. Forsvaret og politiet skal forestå etterretning, vurdering av trusler, informere objekteiere, tilby sikringsstyrker osv. Dette forutsetter etter høgskolens mening at det militær-sivile samarbeidet, eller at samarbeidet mellom objekteiere og andre aktører, fungerer. Høgskolen reiser spørsmål ved om alt tverrstatlig og tverrsektorielt samarbeid fungerer i praksis, og om i hvilken grad objekteiere og involverte aktører er forberedt på å samarbeide om objektsikkerhet. Etter høgskolens mening er det like viktig som et velfungerende samarbeid å ha en klar rollefordeling mellom aktørene, da objekteiere må kunne drive egen virksomhet uten at andre aktører er innblandet mer enn nødvendig.
Norges vassdrags- og energidirektorat uttaler:
«Objektsikkerhet i form av »punktsikkerhet« på et begrenset utvalg av objekter, må avveies mot evne til overordnet krisehåndtering, systemsikkerhet i form av etablering av alternativer og ulike rutingsmuligheter, gjenopprettingsevne m.v. Isolert sub-optimering av sikkerhet på noen utvalgte objekter uten å se dette i den totale sammenheng må unngås».
6.4 Departementets vurdering
Departementet støtter arbeidsgruppens anbefaling om at objekteier, som i dag, skal være den som har plikt til å beskytte objektet, og at objekteier skal gjennomføre forebyggende tiltak etter en forutgående risikovurdering.
Enkelte høringsinstanser har tatt opp spørsmålet om hvem som er «eier» i forhold til objektet og som således er pålagt plikten til å beskytte objektet. «Eier» vil etter departementets oppfatning kunne være både det rettssubjekt som er eier av objektet eller det rettssubjekt som på annen måte råder over det skjermingsverdige objektet. Spørsmålet vil særlig ha aktualitet i forhold til private rettssubjekt, og bør finne sin konkrete avklaring i forbindelse med det enkeltvedtak som fattes for anvendelse av sikkerhetsloven på det private rettssubjekt.
Arbeidsgruppen påpeker at objektenes art, omfang og verdi kan være svært ulike. Det er derfor ikke hensiktsmessig å oppstille krav om konkrete sikkerhetstiltak som kan anvendes på ethvert type objekt, men det foreslås lovfestet noen funksjonelle krav. Departementet deler denne oppfatning. I de fleste viktige samfunnssektorer med skjermingsverdige objekter pågår det et beredskapsarbeid og stilles krav til virksomhetenes forebyggende sikkerhetsarbeid. Det gjelder både i forhold til tilsiktede og utilsiktede hendelser. Dette er et arbeid som er forankret i det sektorvise lovverk.
Sikring mot tilsiktede hendelser må derfor sees i sammenheng med de tiltak som er nedfelt i særlovene. Sikkerhetstiltakene bør derfor tilpasses den enkelte sektor. Sektorlovgivningen - der den gir bestemmelser om konkrete sikkerhetstiltak mot tilsiktede hendelser - skal derfor etter departementets syn legges til grunn ved implementering av forebyggende tiltak. Der sektorlovgivningen ikke gir denne type bestemmelser, eller bestemmelsene som er gitt (åpenbart) ikke tilfredsstiller sikkerhetslovens norm for beskyttelse av skjermingsverdige objekter, vil ytterligere tiltak måtte implementeres, slik at de funksjonelle standarder som sikkerhetsloven stiller blir ivaretatt.
På objektsikkerhetsområdet kan flere sektorer i samfunnet vise til sikkerhetsbestemmelser nedfelt i lov eller forskrift som helt eller delvis kan sies å omfatte de sikkerhetshensyn som sikkerhetsloven på objektsikkerhetsområdet også søker å ivareta. På de områder slike hensyn fullt ut er ivaretatt i sektorbestemmelsene, vil sikkerhetsloven stå tilbake for disse.
Der hensyn delvis er ivaretatt gjennom sektorbestemmelsene, vil sikkerhetsloven som tverrsektoriell standard virke reparerende, slik at det helhetlige, tverrsektorielle nasjonale sikkerhetsbehovet knyttet til defensiv forebygging av spionasje, sabotasje og terrorhandlinger, blir ivaretatt.
Eksempler på sektorer med et «security»-regelverk finnes innen luftfarten, sjøfarten og kraftforsyningen. Regelverkene innen luftfart og sjøfart er begge resultat av internasjonale avtaler som Norge er forpliktet til å følge, og de enkelte bestemmelsene er ofte rene oversettelser av engelske tekster som er vedtatt i internasjonale fora som EU og IMO.
For luftfarten finnes en forskrift som har som formål å «forebygge anslag mot sikkerheten i sivil luftfart». Forskriften fokuserer klart på tilsiktede handlinger, som terrorisme og sabotasje. Bestemmelsene tar først og fremst sikte på å styrke sikkerheten (liv og helse) for de reisende og ansatte på bakken og i luften. Imidlertid vil gjennomføring av tiltakene også ha effekt i forhold til opprettholdelse av driftskontinuiteten i flytrafikken.
Et liknende perspektiv gjelder for bestemmelsene som er gitt for sikring av skip og havn, ISPS-koden (International Ship and Port facility Security Code). Denne har resultert i «Forskrift om sikkerhet og terrorberedskap i norske havner». Formålet i denne er å «forebygge og hindre terroranslag mot fartøy i internasjonal fart og mot havneterminaler som betjener slike fartøy». Den stiller krav til «etablering, iverksettelse og oppfølging av sikkerhets- og terrorberedskapstiltak for norske havneterminaler».
Sikkerhetsbestemmelsene for kraftforsyningen skiller seg ut fra andre sektorvise bestemmelser i forhold til formålsbeskrivelsen. Med bakgrunn i energiloven ble det så tidlig som i 1991 fastsatt «Sikkerhetsbestemmelser for kraftforsyningen». Her finnes et formål som entydig retter seg mot det å sikre funksjonalitet:
«1. Sikkerhetsbestemmelser for kraftforsyningen omhandler tiltak for sikring mot skade ved krigshandling eller sabotasje på bestående anlegg, anlegg under bygging eller planlagte anlegg som er eller trolig vil bli av betydning for landets kraftforsyning. Bestemmelsene skal hindre uvedkommende i å skaffe seg informasjon om og adgang til kraftforsyningsanlegg i den hensikt å forstyrre eller ødelegge virksomheten.»
For kraftforsyningen er det også utarbeidet en egen forskrift om beredskap, med en tilhørende omfattende veiledning.
Felles for regelverkene innen luftfart, skip/havn og kraftforsyning er at de – i ulik grad - refererer til bestemmelser i den tverrsektorielle sikkerhetsloven. Det gjelder først og fremst bestemmelsene om beskyttelse av informasjon (sikkerhetsgradering) og om personkontroll (sikkerhetsklarering). Det er altså en sammenheng mellom de særskilte bestemmelsene innen den enkelte sektor og de overordnete bestemmelsene om forebyggende sikkerhet i sikkerhetsloven.
Sikkerhetsbestemmelsene for kraftforsyningen illustrerer at sikring av nasjonale interesser og kritisk infrastruktur ikke bare er et spørsmål om fysisk sikring av objekter, men at beskyttelse av skjermingsverdig informasjon (bl.a. gjennom personellsikkerhetstiltak) også er en viktig del av dette. Sikkerhetsloven har i dag et detaljert regelverk for dette.
På andre områder har sektorlovgivningen regelverk som i mindre grad korresponderer med sikkerhetslovens formål. Infrastrukturutvalget omtaler vann- og avløpssektoren som et eksempel på et område hvor det har vært liten oppmerksomhet på risiko og sårbarhet og behovet for beredskap. Her har myndighets- og regelverksstrukturen vært fragmentert, noe som har gitt utfordringer innenfor sikkerhets- og beredskapsaspektet. Infrastrukturutvalget pekte i sin utredning også på at selv om etableringen av Mattilsynet var et riktig skritt, har sikring av drikkevann ikke vært tilstrekkelig prioritert.
Når det gjelder de funksjonelle krav som sikkerhetsloven skal oppstille foreslås det lovfestet at disse skal bestå av en kombinasjon av barrierer, deteksjon, verifikasjon og reaksjon, som i sum skal tilfredsstille følgende krav:
Objekt klassifisert MEGET KRITISK skal beskyttes slik at tap av funksjon, ødeleggelse og rettsstridig overtakelse avverges.
Objekt klassifisert KRITISK skal beskyttes slik at tap av funksjon og ødeleggelse begrenses, og rettsstridig overtakelse av vesentlige funksjoner avverges.
Objekt klassifisert VIKTIG skal beskyttes slik at tap av vesentlig funksjon og ødeleggelse begrenses.
Det foreslås videre at sikkerhetstiltakene også skal ta sikte på å redusere muligheten for etterretningsaktivitet mot objektet.