7 Virksomhetsklarering
7.1 Gjeldende rett
Ved sikkerhetsgraderte anskaffelser skal vedkommende anskaffelsesmyndighet (forvaltningsorgan) inngå en sikkerhetsavtale med en leverandør, jf. sikkerhetslovens § 27. Sikkerhetsgradert anskaffelse er i sikkerhetslovens § 3 nr. 14 definert som:
«anskaffelse (...) som innebærer at leverandøren av varen eller tjenesten vil kunne få tilgang til skjermingsverdig informasjon eller objekt, eller som innebærer at anskaffelsen må sikkerhetsgraderes av andre årsaker».
Sikkerhetsavtalen skal fastsette nærmere regler for ansvar og plikter etter sikkerhetsloven. Hvis vedkommende leverandør får tilgang til sikkerhetsgradert informasjon gradert KONFIDENSIELT eller høyere, eller det av andre grunner anses nødvendig, skal leverandøren ha leverandørklarering, jf. sikkerhetsloven § 28.
7.2 Arbeidsgruppens forslag
Arbeidsgruppen har foreslått at private virksomheter som skal eie eller råde over skjermingsverdige objekter bør sikkerhetsklareres. Virksomheter som anses ustabile eller som man ikke kan stole på vil ivareta samfunnets interesser i tilstrekkelig grad, kan da om mulig velges bort eller i det minste pålegges endringer i sin struktur eller andre tiltak. I dag er det allerede regler om leverandørklarering ved en del sikkerhetsgraderte anskaffelser fra private til forvaltningsorganer. I en slik kontroll av virksomheten vil det bli tatt hensyn til solvens, eierskap, styremedlemmer, daglig leder, gjennomførte sikkerhetstiltak m.m. Det er derfor foreslått at et lignende klareringssystem innføres for private objekteiere – uavhengig av om virksomheten er å anse som «leverandør» eller ikke. Det antas at en slik «virksomhetsklarering» vil kunne redusere noen av de sikkerhetsmessige ulempene som følger av økt privatisering og internasjonalisering.
Virksomhetsklarering foreslås lovfestet i et nytt kapittel 6 a i sikkerhetsloven. Det foreslås at en leverandør eller objekteier som ikke er forvaltningsorgan må inneha virksomhetsklarering dersom:
virksomheten kan få tilgang til informasjon gradert KONFIDENSIELT eller høyere,
virksomheten eier eller på annen måte råder over objekt klassifisert KRITISK eller høyere, eller
det av særlige grunner anses nødvendig.
For tilgang til sikkerhetsgradert informasjon skal klarering for angitt sikkerhetsgrad foreligge. For objekt klassifisert KRITISK skal klarering for KONFIDENSIELT foreligge. For objekt klassifisert MEGET KRITISK skal klarering for HEMMELIG foreligge.
Dersom virksomhetsklarering ikke kan oppnås, skal departementet som forvalter vedkommende sektor om mulig sørge for at eventuelt oppdrag eller tillatelse som betinger virksomhetsklarering ikke gis eller bortfaller. Dersom bortfall av gitt oppdrag eller tillatelse ikke er mulig, skal departementet iverksette kompenserende tiltak for å redusere sårbarheten til et akseptabelt nivå. Dersom heller ikke kompenserende tiltak gir tilfredsstillende sikkerhet, kan departementet i det enkelte tilfelle pålegge at eierskapet eller annen rådighet opphører eller endres. Departementets vedtak kan påklages til Kongen i statsråd. Dersom skjermingsverdig objekt overføres fra offentlig virksomhet til privat virksomhet skal virksomhetsklarering foreligge før overføring skjer.
Virksomhetsklarering skal bare iverksettes etter anmodning fra forvaltningsorgan eller objekteier, med mindre annet er bestemt av Nasjonal sikkerhetsmyndighet. Ved vurderingen av om virksomhetsklarering kan gis, skal det foretas kontroll av virksomheten. Virksomheten skal gi alle opplysninger som antas å kunne være av betydning for klareringsspørsmålet. Virksomhetskontrollen skal omfatte personkontroll av personer i virksomhetens styre og ledelse.
Virksomhetsklarering skal ikke gis dersom det foreligger rimelig tvil om virksomhetens sikkerhetsmessige skikkethet. Ved avgjørelse av sikkerhetsmessig skikkethet skal det bare legges vekt på forhold som er relevante for å vurdere virksomhetens evne og vilje til å utøve forebyggende sikkerhetstjeneste. Opplysninger om følgende forhold i virksomheten kan tillegges betydning:
Økonomiske forhold, herunder muligheten for insolvens.
Eierform og eierinteresser.
Sikkerhetsmessige forhold vedrørende daglig leder og styre.
Sikkerhetsorganisasjonen.
Gjennomføringen av sikkerhetstiltak.
Mulige straffbare forhold, herunder forhold som kvalifiserer til foretaksstraff.
Andre forhold som kan gi grunn til å frykte at virksomheten vil kunne opptre i strid med sikkerhetsmessige interesser.
Nasjonal sikkerhetsmyndighet eller den departementet bemyndiger, foreslås å være klareringsmyndighet.
Det foreslås at reglene om begrunnelse og klage i sikkerhetsklareringssaker gis anvendelse så langt de passer. Kongen foreslås å gi nærmere forskrifter om virksomhetsklarering.
7.3 Høringsinstansenes syn
Det har kommet inn merknader fra høringsinstansene knyttet til uklarheter i de foreslåtte lovbestemmelsene om virksomhetsklarering.
Justisdepartementet viser til § 26 a fjerde ledd, tredje punktum i lovforslaget, hvor departementet i det enkelte tilfelle skal kunne «pålegge at eierskapet eller annen rådighet opphører eller endres» . Justisdepartementet finner det uklart hva som menes med dette, og særlig uklart er det hva et pålegg om opphør av eierskap er ment å innebære. Departementet mener videre at kravet om virksomhetsklarering må vurderes nærmere i forhold til kravet til sikkerhetsklarering, jf. sikkerhetsloven § 11, og viser til PSTs høringsuttalelse om dette.
I forhold til § 26 c første ledd om at det ikke skal gis virksomhetsklarering dersom det foreligger «rimelig tvil» om virksomhetens skikkethet, uttaler Justisdepartementet at det bør klargjøres i forarbeidene hva som ligger i dette kravet. Departementet mener videre at begrepet «sikkerhetsorganisasjonen» i bestemmelsens annet ledd bokstav d, bør klargjøres nærmere. I følge bestemmelsens bokstav f, kan klareringsmyndigheten legge vekt på «mulige straffbare forhold». Etter Justisdepartementets syn kan det knytte seg rettssikkerhetsmessige betenkeligheter til å legge vekt på antatte eller mulige straffbare forhold i saker hvor det ikke foreligger en rettskraftig fellende dom. Justisdepartementet savner en mer utførlig behandling av dette i arbeidsgruppens rapport. Det bør etter Justisdepartementets mening også gjøres klart om bokstav f kun er ment å omfatte straffbare forhold som kan føre til foretaksstraff eller om klarerings-myndighetene også skal kunne legge vekt på straffbare forhold hos ansatte eller andre som er tilknyttet virksomheten. Departementet mener videre at det også bør presiseres i forarbeidene hva som menes med at et forhold «kvalifiserer» til foretaksstraff.
Justisdepartementet har også merknader til § 26 f, hvor arbeidsgruppen har foreslått at sikkerhetsloven § 25 eller bestemmelser gitt i medhold av § 25 skal gjøres tilsvarende gjeldende for virksomhetsklarering når det gjelder begrunnelse og klage. Departementet viser til forarbeidene til sikkerhetsloven hvor det er gitt en begrunnelse for bestemmelsen. Denne begrunnelsen kan etter departementets mening ikke overføres til et vedtak om virksomhetsklarering og legger til grunn at en avgjørelse om virksomhetsklarering er et enkeltvedtak etter forvaltningsloven § 2 bokstav a og b. Dersom rettssikkerhetsgarantiene i forvaltningsloven ikke skal gjelde, må det etter departe-mentets mening gå klart fram av sikkerhetsloven, og regelverket i kapittel 6 a må sikre at viktige rettssikkerhetsgarantier ivaretas. Departementet viser til at det er foreslått at særreglene om begrunnelse og klage kommer til anvendelse for avgjørelse om virksomhetsklarering. Det er etter departementets syn uklart om de øvrige reglene i forvaltningsloven kapittel IV-VI skal gjelde.
Justisdepartementet viser til at Lund-kommisjonen peker på at etter moderne rettsoppfatning bør den enkelte ha krav på å bli gjort kjent med at sikkerhetsundersøkelser foretas og på forhånd samtykke til dette, at kriteriene og øvrige regelverk er nedfelt i regelverk som den enkelte kan sette seg inn i, å få gjøre seg kjent med resultatet av personkontrollen, og å få avslag begrunnet; med mindre tungtveiende hensyn taler mot å få avgjørelsene overprøvet ved klage til høyere myndighet. Departementet mener disse spørsmålene bør vurderes ved utforming av reglene i sikkerhetsloven.
Justisdepartementet mener det må redegjøres nærmere for hva kravet om virksomhetsklarering innebærer for den enkelte virksomhet. Etter departementets mening må særskilt prinsipper som innebærer endringer i selskaps- og eierstruktur tydeliggjøres. Det bør videre tydeliggjøres hvilke prinsipper som skal gjelde dersom et objekt er skjermingsverdig, samtidig som virksomhetsklarering i henhold til sikkerhetsloven ikke er mulig.
Direktoratet for samfunnssikkerhet og beredskap (DSB) finner det uklart hva virksomhetsklarering vil medføre av forpliktelser for den enkelte virksomhet og uttaler:
«Denne uklarheten er uheldig, særlig ettersom det synes å fremgå at eierskapsspørsmål alene, uavhengig av kontraktsforhold eller lignende, kan utløse virksomhetsklarering. Sannsynligvis er prinsippet likevel en nødvendighet når kritiske infrastrukturer dereguleres, privatiseres og etter hvert omsettes. Det antydes andre løsninger dersom virksomhetsklarering ikke er mulig. Hva disse går ut på bør avklares. Det kan ellers være svært vanskelig å skjerme et sensitivt objekt fra sine eiere».
Politiets sikkerhetstjeneste (PST) uttaler til § 26 a:
«Kravet til virksomhetsklarering må settes ut fra den gradering som er satt på informasjonen og som virksomheten skal behandle. Klarering ut fra en objekt-klassifisering er i strid med kravet til sikkerhetsklarering som er begrunnet med behov for en autorisasjon for tilgang til informasjon gradert KONFIDENSIELT eller høyere i samsvar med sikkerhetslovens § 11. Det er også i strid med definisjonen i sikkerhetslovens § 3 nr. 16 som blant annet sier at sikkerhetsklarering er en avgjørelse om en persons antatte sikkerhetsmessige skikkethet for angitt sikkerhetsgrad».
PST har også merknader til § 26 d om hvem som er klareringsmyndighet. PST viser til at i henhold til sikkerhetsloven § 4 er departementet å forstå som Forsvarsdepartementet. PST er i tvil om hvorvidt Forsvarsdepartementet kan bemyndige klareringsmyndighet til virksomheter som er underlagt et annet departement og viser til at sikkerhetsloven § 23 fastslår at hvert enkelt departement er klareringsmyndighet innenfor sitt myndighetsområde. Vedkommende departement kan delegere denne myndigheten. Denne delegeringen av myndighet bør etter PSTs mening videreføres også med hensyn til virksomhetsklarering. For å unngå misforståelser foreslår PST teksten i paragrafen forandret til: «Nasjonal sikkerhetsmyndighet eller den vedkommende departement bemyndiger er klareringsmyndighet.»
I forhold til § 26 e er det noe uklart for PST om en virksomhet som eier et objekt som er klassifisert som kritisk, og som ikke er et forvaltningsorgan, kan opprettholde sin sikkerhetsklarering selv om et oppdrag faller bort. PST finner det også uklart og forvirrende at en blander sammen begrepene graderte oppdrag og klassifisering av objekt (jf. forslag til § 26 a).
Nasjonal sikkerhetsmyndighet viser til at det i dag i forbindelse med så vel personklareringer som leverandørklareringer, så fører NSM sentralt register over disse. NSM mener det er naturlig at et tilsvarende register også etableres for virksomhetsklareringene. NSM foreslår derfor et nytt fjerde ledd til forskriften § 3-4: «NSM skal føre sentralt register over alle virksomhetsklareringer».
Nærings- og handelsdepartementet uttaler at:
«Forslagene innebærer bl.a. at lovens virkeområde utvides til også å omfatte private rettssubjekter som eier eller råder over et skjermingsverdig objekt eller er leverandører til slike. Det foreslås også etablert ervervskontroll i forhold til rettssubjekter som må inneha virksomhetsklarering. Denne kontrollen vil gi de ansvarlige departementene adgang til å gi pålegg om forbedringstiltak eller i ytterste fall opphør av rådighet eller eierskap. Disse endringene sammen med andre forslag i rapporten kan medføre endrede rammevilkår for mange bedrifter gjennom økte utgifter, merarbeid og restriksjoner på virksomhet og eierforhold. Generelt bør man etter Nærings- og handelsdepartementets syn unngå begrensninger av utenlandsk eierskap av norsk næringsliv, inkludert samfunnsviktige virksomheter. Det bør heller ikke innføres tiltak som får negativ effekt på norsk næringslivs virksomhet i utlandet og som kan skade konkurranseevnen i forhold til andre lands. Eiermessig ervervskontroll vil etter vårt syn undergrave mulighetene for gjennomføring av Regjeringens eierskapspolitikk.»
Til reglene om virksomhets- og personkontroll uttaler Stavanger kommune at den har en befolkning med sterkt internasjonalt innslag. Kommunen forutsetter at forskriften ikke utformes slik at enkelte ansatte i bedrifter blir ekskludert utelukkende pga. etnisitet eller opprinnelse.
Telenor uttaler at reglene om virksomhetsklarering vil
«ha stor innvirkning på måten bedriften administreres på, ved at det vil bli stilt krav til for eksempel informasjonssystemer og lagringsmedier, sikkerhetsmessig godkjenning av lokaliteter, sikkerhetsinspeksjoner osv., med store omkostninger og restriksjoner i forhold til hvordan bedriften drives. Dette er i direkte motsetning i forhold til dagens markedssituasjon som krever åpenhet og fleksibilitet i organisasjonen for å kunne hevde seg i konkurranse. For Telenor som består av mange forskjellige forretningsområder og selskap, vil virksomhetsklarering kun være praktisk for mindre avdelinger som jobber direkte med gradert informasjon og klassifiserte objekt».
Telenor foreslår at reglene om virksomhetsklarering kun skal gjøres gjeldende for de deler av en bedrift som er direkte involvert i arbeid som omfatter gradert informasjon.
7.4 Departementets vurdering
Spørsmålet om innføring av virksomhetsklarering må sees i sammenheng med arbeidsgruppens forslag om utvidelse av sikkerhetsloven til private rettssubjekter. Det vises til departementets vurdering i den sammenheng. Infrastrukturutvalget viser i sin utredning (NOU 2006: 6, pkt. 7.5.2.1 s. 83) til at sikkerhetsloven allerede har bestemmelser om virksomhetsklarering, og at loven omtaler dette i dag som leverandørklarering i forbindelse med sikkerhetsgraderte anskaffelser. Utvalget peker videre på at dersom manglende sikkerhetsklarering av en privat virksomhet som objekteier skulle føre til konsekvenser i forhold til eierskapet, ville dette ha karakter av ervervskontroll. Videre viser utvalget til at ervervsloven ble opphevet i 2002 og at det i forbindelse med stortingsbehandlingen bl.a. ble uttalt av komiteflertallet i Innst. O. nr. 72 (2001-2002):
«Fleirtalet ber regjeringa sørgje for at beredskapsomsyn og tryggingsomsyn blir innarbeidd i anna regelverk, om lova blir oppheva».
Infrastrukturutvalget mener derfor at det er mulig å gi bestemmelser om virksomhetsklarering for visse objekteiere, men at dette i så fall kun bør gjelde for virksomheter som eier eller råder over objekter som er spesielt kritiske for samfunnet.
Departementet fremmer derfor ikke forslag om virksomhetsklarering i denne proposisjonen.