11 Merknader til de enkelte paragrafer
Til § 1
Med «rikets...sikkerhet» siktes både til rikets indre og ytre sikkerhet. Begrepet er for øvrig en utpreget rettslig standard som kan forandre seg med samfunnsutviklingen. Departementet ser ikke i lovforslaget her grunn til å søke å presisere begrepet utover det som allerede er antatt på bakgrunn av andre rettskilder (juridisk teori, domstolspraksis, forarbeider til andre lover, forvaltningspraksis, mv).
Som et samlebegrep skal forebyggende sikkerhetstjeneste motvirke trusler mot «vitale nasjonale sikerhetsinteresser». Det anses imperativt at en på denne måten dekker samtlige felter innenfor rikets totale sikkerhetsbehov. Begrepet må derfor til enhver tid vurderes og defineres av overordnede politiske myndigheter. Terskelen for i medhold av denne loven å anse noe for å true slike interesser, vil være høy. Begrepet er nærmere omtalt under pkt 7.2.2 ovenfor. Det må understrekes at begrepet kan endres i pakt med samfunnsutviklingen og de sikkerhetsmessige utfordringer som Norge til enhver tid står overfor.
Til § 2
Begrepet «forvaltningsorganer», dvs «ethvert organ for stat eller kommune», skal i loven her tolkes på samme måte som etter forvaltningsloven § 1 og offentlighetsloven § 1.
I den utstrekning loven får anvendelse for norske forvaltningsorganer, vil den selvfølgelig også gjelde for slike i utlandet, f eks for militære enheter som deltar i internasjonale fredsoperasjoner, norske utenriksstasjoner i andre land, osv, med mindre noe annet skulle følge av folkerettslige regler.
Kongens myndighet etter tredje ledd bør kunne delegeres til departementet, idet det anses tungvint å måtte fremme saken for Kongen hver gang loven helt eller delvis skal gjøres gjeldende for enkeltpersoner, en bedrift e l.
Til fjerde ledd bemerkes at det anses tilstrekkelig i loven her å fastsette at loven gjelder for domstolene med de særregler som følger av bestemmelsene om sikkerhetsklarering og autorisasjon i og i medhold av domstolloven og straffeprosessloven, uten å vise direkte til hver enkelt paragraf i disse lover.
At loven formelt ikke gjøres gjeldende for Stortingets organer, er i samsvar med gjeldende praksis og følger også av konstitusjonelle hensyn. Som i dag, er dette naturligvis ikke til hinder for at disse organer etter egen beslutning finner det hensiktsmessig å anvende reglene så langt de passer. Nasjonal sikkerhetsmyndighet vil om ønskelig kunne bistå med råd og veiledning etter anmodning fra vedkommende stortingsorgan. Dette gjelder for øvrig også i forhold til andre virksomheter som loven ikke gjøres gjeldende for.
For øvrig vises til pkt 6 ovenfor.
Til § 3
«Virksomhet» (§ 3 nr 6) er i lovforslaget gjennomgående benyttet slik at begrepet skal omfatte ethvert rettssubjekt som loven gjelder for/er gjort gjeldende for etter virkeområdebestemmelsene i § 2. En «virksomhet» kan således være et enkeltindivid, f eks en konsulent som leies inn ifm en sikkerhetsgradert anskaffelse.
«Forebyggende sikkerhetstjeneste» er all planlegging, tilrettelegging, gjennomføring og kontroll av forebyggende sikkerhetstiltak som søker fjerne eller redusere risiko som følge av forberedelse til, forsøk på eller gjennomføring av spionasje, sabotasje eller terrorhandlinger (med et fellesbegrep «sikkerhetstruende virksomhet»; for ordens skyld presiseres at «virksomhet» i denne sammenheng selvfølgelig ikke skal defineres etter § 3 nr 6), eller medvirkning til slik virksomhet, uavhengig av om virksomheten er rettet mot aktiviteter, materiell, personell, informasjon mv. Definisjonene må sees i sammenheng med de interesser loven tar sikte på å verne (jfr definisjonene av skjermingsverdig informasjon og objekt).
Begrepet forebyggende sikkerhetstjeneste benyttes funksjonelt. «Sikkerhetstjenesten» som organisatorisk begrep vil bestå av ethvert organisatorisk ledd som involveres i forebyggende sikkerhetstjeneste, og er derfor ikke synonymt med Nasjonal Sikkerhetsmyndighet. Det sees ikke grunn til å definere sikkerhetstjenesten som organisatorisk begrep, da dette ikke benyttes i loven.
Med «spionasje» (§ 3 nr 3) menes i loven innsamling av informasjon ved hjelp av fordekte midler i etterretningsmessig hensikt. Forbyggende sikkerhetstjeneste skal således i utgangspunktet ikke være rettet mot åpen innsamling av offentlig informasjon, selv om innsamlingen skjer på vegne av fremmede stater, organisasjoner eller individer. Fremmede etterretningstjenester vil imidlertid være interessert i opplysninger på alle områder som har betydning for sitt land, og som direkte eller indirekte berører Norges sikkerhet. Virksomheten vil være rettet både mot det militære forsvar, mot totalforsvaret, norsk industri og andre vitale deler av vårt samfunn. Noen klar grense mellom hvilke midler som benyttes i så henseende, vil det neppe være. Informasjonsdelmengder som isolert sett ikke er skjermingsverdig kan, når mengden blir stor nok, utgjøre reelt skjermingsverdig informasjon. Dette må sikkerhetstjenesten ta i betraktning i sin virksomhet.
Med «sabotasje» (§ 3 nr 4) menes tilsiktet ødeleggelse, lammelse eller driftsstopp av utstyr, materiell, anlegg eller aktivitet, eller tilsiktet uskadeliggjøring av personer, utført av eller for en fremmed stat, organisasjon eller gruppering. I fredstid vil sabotasje normalt være begrenset til enkeltaksjoner og hærverk, men kan også bli benyttet som et ledd i terrorvirksomhet. Terrorhandlinger og sabotasje glir således noe over i hverandre, uten at det anses nødvendig i lovforslaget å gå opp grensen mellom disse begreper helt nøyaktig. Rekognosering og forberedelser til sabotasjeaksjoner i krise og krig kan foregå i fredstid.
«Terrorhandlinger» (§ 3 nr 5) er ulovlig bruk av, eller trussel om bruk av, makt eller vold mot personer eller eiendom, i et forsøk på å legge press på landets myndigheter eller befolkning eller samfunnet for øvrig for å oppnå politiske, religiøse eller ideologiske mål. Med eiendom menes i denne definisjonen ikke bare fast eiendom, men også løsøre, bygninger, utstyr, materiell, områder, naturmiljøet og andre objekter/annen virksomhet som ikke er personer. Aksjoner av dette slag har oftest til hensikt å fokusere mediaoppmerksomheten på saker av politisk, ideologisk eller religiøs natur. Aksjonene (kapring, gisseltaking, bombeattantater, osv) kan bli rettet mot enkeltpersoner, offentlige etablissementer, flyselskaper, norsk industri eller andre vitale deler av vårt samfunn. Om begrepet terrorisme og terrortrusselen vises for øvrig til NOU 1993:3 Strafferettslige regler i terroristbekjempelsen. Terrorisme er ikke et ord som ellers er benyttet i norsk lovgivning. Det engelske ordet «terrorism» synes for øvrig ikke helt egnet for oversettelse til bruk i en lovtekst. Ism'er i norsk språk forbindes gjerne med en politisk eller religiøs retning. I denne lov er det etter departementets oppfatning mer essensielt å benytte et begrep som er knyttet til selve handlingen. Kategorien av sikkerhetstruende virksomhet foreslås derfor benevnt «terrorhandlinger».
«Skjermingsverdig informasjon» (§ 3 nr 7 og 8) er enhver form for opplysninger i materiell eller immateriell form, som skal merkes med sikkerhetsgrad etter reglene i § 11. Når slik informasjon er merket med sikkerhetsgrad etter reglene i § 11, betegnes informasjonen også som «sikkerhetsgradert». Definisjonen av skjermingsverdig informasjon tar utgangspunkt i behovet for konfidensialitetssikring. Slik skade kan også oppstå dersom informasjonen blir endret på uautorisert måte eller blir gjort utilgjengelig for autorisert bruker. Definisjonen omfatter ikke disse aspekter. Regler om sikring av informasjon for å unngå slik skade kan imidlertid gis av Kongen i medhold av lovforslagets § 12 annet ledd siste punktum.
«Skjermingsverdig objekt» (§ 3 nr 12) er eiendom som må beskyttes mot sikkerhetstruende virksomhet av hensyn til rikets eller alliertes sikkerhet eller andre vitale nasjonale sikkerhetsinteresser. På samme måte som for begrepet «eiendom» i definisjonen av terrorhandlinger, omfatter dette også løsøre, bygninger, områder, naturmiljøet og andre stasjonære eller mobile objekter. Det forutsettes at aktiviteter i seg selv kan være skjermingsverdige, og vil indirekte kunne dekkes av definisjonen her, ved at stedet hvor aktiviteten foregår pga aktiviteten vil være et skjermingsverdig objekt. Alternativt kan det tenkes tilfeller hvor aktiviteten vil være beskyttet etter reglene om skjermingsverdig informasjon. Definisjonen vil også i gitte situasjoner dekke bygninger eller områder hvor personer befinner seg, utelukkende som følge av personenes tilstedeværelse, dersom personene f eks har en slik funksjon i den nasjonale beslutningsprosessen e l at det vil kunne skade rikets sikkerhet mv om deres tiltenkte funksjon elimineres eller på annen måte umuliggjøres eller hemmes som følge av sikkerhetstruende virksomhet. Se ellers pkt 8 ovenfor.
«Informasjonssystem» (§ 3 nr 10) omfatter enhver type data-/tele-/sambands-/kommunikasjonsnett hvor informasjon befinner seg, behandles, lagres eller transporteres, og er nærmere omtalt under pkt 7.3.1 ovenfor. Definisjonen omfatter f eks radiokommunikasjonsnett, telefaks, telefonsamband, mobiltelefonnett, datanettverk, osv. Definisjonen skal ikke forstås slik at alle elementer (periferutrustning, programvare, datamaskiner og kommunikasjonsnett) nødvendigvis må inngå for at det skal foreligge et informasjonssystem i lovens forstand.
Dersom en i forebyggende hensikt trenger inn i informasjonssystemer for å foreta stikkprøvekontroll av kommunikasjonen som foregår i informasjonssystemet eller mellom informasjonssystemer, kalles dette «monitoring» (§ 3 nr 11), som er et innarbeidet begrep innen forebyggende sikkerhetstjeneste. Monitoring er definert som avlytting av tale eller avlesing av elektroniske signaler som kommuniseres i eller mellom informasjonssystemer. Denne form for «avlytting» skiller seg imidlertid fra tradisjonell avlytting, som foregår uten at den som avlyttes er klar over avlyttingen. I realiteten dreier det seg mer om «medlytting/medlesing». For å unngå å introdusere nye og ukjente begreper, har departementet likevel valgt å benytte begrepene «avlytting» og «avlesing» i definisjonen av monitoring.
De øvrige definisjonene antas å være selvforklarende.
Til § 4
De overordnede ansvarsforhold er nærmere beskrevet under pkt 5.3 i proposisjonen.
Til § 5
Bestemmelsene viderefører instrukser som i dag gjelder for statsforvaltningen. Som i dag, foreslås at Nasjonal sikkerhetsmyndighet gir nærmere bestemmelser, bl a om organiseringen av sikkerhetsarbeidet i den enkelte virksomhet. Ytterligere plikter for den enkelte følger av bestemmelsene under de fagrelaterte kapitlene i lovforslaget (informasjonssikkerhet, objektsikkerhet, personellsikkerhet og sikkerhetsgraderte anskaffelser).
Utøvende funksjoner kan delegeres internt i virksomheten, i motsetning til ansvaret som sådan. I så fall skal dette gjøres skriftlig, jfr tredje ledd annet punktum. For virksomheter som har ansatte, bør det overfor disse kunngjøres detaljer om sikkerhetsorganisasjonen, slik at den enkelte vet hvem en skal forholde seg til i sikkerhetsspørsmål. Det anses ikke nødvendig å innta i loven regler om dette, da det anses å følge av virksomhetens alminnelige plikter etter denne paragrafen.
I sin høringsuttalelse uttaler Nærings- og handelsdepartementet bl a følgende i relasjon til den enkelte virksomhets plikter:
«Vi mener for øvrig at prinsippet om internkontroll bør nedfelles i loven, f eks i § 4 eller § 5. Kombinert med den tilsynsmyndighet som foreslås tillagt Nasjonal sikkerhetsmyndighet og departementenes ansvar vil dette gi et system hvor bl a tilsynet kan legge hovedvekten på systemer og rutiner. Vi viser til at internkontrollprinsippet bl.a. er lagt til grunn for organiseringen av sivil beredskap, jf. St meld nr 24 (1992-93). Departementet ser dette som en hensiktsmessig måte å organisere beredskaps- og sikkerhetsarbeidet på.»
Forsvarsdepartementet er enig i at internkontrollprinsippet i stor utrekning vil være en hensiktsmessig måte å organisere sikkerhetsarbeidet på i den enkelte virksomhet, men ser det ikke nødvendig med en uttrykkelig lovregel om dette.
Til § 6
Det foreslås lovfestes et forholdsmessighetsprinsipp (proporsjonalitetsprinsipp) ved utøvelse av forebyggende sikkerhetstjeneste. Paragrafen vil gjelde for alle som i medhold av loven har valget mellom ulike virkemidler for å oppnå det samme målet, fra departementet til den enkelte ansatte i en bedrift e l som loven er gjort gjeldende for. Selv om prinsippet må antas å gjelde uavhengig av en særlig lovregel, ligger det en fokuseringsmessig og informativ egenverdi i å medta en slik bestemmelse. Som eksempel på betydningen av bestemmelsen, vil være at sikkerhetsinspeksjoner bør varsles på forhånd og gjennomføres på tidspunkter som ikke oppleves inngripende og forstyrrende for virksomheten, når hensikten med inspeksjonen er like godt ivaretatt på denne måten.
I første ledd fastslås det at når utøvelse av forebyggende sikkerhetstjeneste etter eller i medhold av loven overlates til den ansvarliges skjønn, skal det ikke nyttes mer inngripende midler og metoder enn det som fremstår som nødvendig i forhold til den aktuelle sikkerhetsrisiko og omstendighetene for øvrig. I annet ledd fremheves det videre at det ved utøvelse av forebyggende sikkerhetstjeneste særlig skal tas hensyn til den enkeltes rettssikkerhet, selv om dette hensynet naturligvis også vil være innbakt i det skjønn som utøves etter første ledd.
Ved vurderingen vil det være nødvendig å avveie valg av middel mv i forhold til måloppnåelse. Utgangspunktet i den enkelte situasjon vil være valg av det minst inngripende middel, men det vil likevel kunne være behov for å anvende midler som går utover den umiddelbare måloppnåelse dersom sikkerhetsrisikoen er meget alvorlig. Forståelsen av bestemmelsen må derfor bygge på en helhetsvurdering, hvor en også tar hensyn til troverdigheten av norske myndigheters hevdelse av suverenitet og suverene rettigheter og ivaretakelse av rikets sikkerhet eller andre vitale nasjonale sikkerhetsinteresser. I den utstrekning andre enn forvaltningsorganer omfattes av loven, vil bestemmelsen naturligvis også gjelde for disse.
Til § 7
Paragrafen gjelder samarbeid innen sikkerhetstjenesten på det nasjonale plan. Internasjonalt samarbeid skal ivaretas av Nasjonal sikkerhetsmyndighet, se §§ 8 annet punktum og 9 første ledd bokstav b. Om nasjonalt samarbeid mellom etterretningstjenesten, overvåkingstjenesten og sikkerhetstjenesten viser departemenet til omtalen foran under pkt 5.6.7.
I medhold av denne bestemmelsen kan Kongen også gi andre regler om nasjonalt, regionalt eller lokalt samarbeid, f eks mellom en bestemt type virksomheter som loven er gjort gjeldende for. Det vil også kunne gis bestemmelser om samarbeid mellom Nasjonal sikkerhetsmyndighet og andre deler av sikkerhetstjenesten.
Til § 8
De overordnede ansvarsforhold er nærmere beskrevet under pkt 5.3 i proposisjonen. Som der anført, vil «Nasjonal sikkerhetsmyndighet», inntil organisatoriske endringer eventuelt foretas senere, i lovforslaget være Forsvarssjefen med sin fagstab Forsvarets overkommando/Sikkerhetsstaben.
Til § 9
Bestemmelsen angir Nasjonal sikkerhetsmyndighets generelle oppgaver. Ytterligere og mer detaljerte oppgaver fremgår av de enkelte paragrafer i loven. Det vises for øvrig til fremstillingen foran under pkt 5.3, 5.4 og 5.6.
Til § 10
En av Nasjonal sikkerhetsmyndighets viktigste oppgaver er å føre tilsyn og kontroll med sikkerhetsarbeidet og sikkerhetstilstanden i de virksomheter som loven gjelder for. For å kunne gjennomføre dette oppdraget, er det avgjørende at Nasjonal sikkerhetsmyndighet gis uhindret adgang til bygninger og andre lokaliteter mv hvor skjermingsverdig informasjon eller skjermingsverdig objekt befinner seg. Det foreslås derfor at Nasjonal sikkerhetsmyndighet gis en generell adgangsrett til slike steder. Adgangsretten gjelder bare så langt det er nødvendig for å utføre kontrolloppgaver etter loven, og begrenses dessuten av forholdsmessighetsregelen i § 6. I de fleste tilfeller og ifm regulær godkjennings- og inspeksjonsvirksomhet vil tilsynsbesøk varsles og avtales på forhånd for å unngå å forstyrre virksomheten i for stor grad. Det kan imidlertid også være påkrevet å gjennomføre overraskende inspeksjoner. I slike tilfeller vil det være straffbart, jfr lovforslagets § 32 første ledd, å nekte Nasjonal sikkerhetsmyndighet adgang til de områder som paragrafen omfatter.
Til § 11
En nærmere drøftelse av forholdet til offentlighetsloven, og omtale av endringer i ordlyden for de enkelte sikkerhetsgrader sett i forhold til den gjeldende Sikkerhetsinstruksen, er foretatt ovenfor under pkt 7.2.2.
Plikten til å merke informasjon etter annet ledd gjelder ikke bare for dokumenter som inneholder skjermingsverdig informasjon, men også for informasjon som er utstedt eller tilvirket i annen form, f eks film og fysiske objekter som røper skjermingsverdig informasjon eller materiale som er utstedt eller på annen måte tilvirket ved hjelp av elektronisk databehandling. Det kan tenkes tilfeller hvor «tilvirket» informasjon foreligger i immateriell form, f eks skjermingsverdig informasjon som kun foreligger i form av muntlige opplysninger. Plikten til å merke skjermingsverdig informasjon vil selvfølgelig ikke gjelde i slike tilfeller hvor det ikke er praktisk mulig å foreta fysisk merking. Det anses ikke nødvendig å si dette uttrykkelig i loven. Men dersom slik skjermingsverdig informasjon nedtegnes e l i et dokument eller annet medium, vil plikten til å merke informasjonen oppstå for den som foretar nedtegningen mv, uavhengig av om vedkommende var den som opprinnelig «tilvirket» informasjonen. Nasjonal sikkerhetsmyndighet vil gi nærmere retningslinjer.
Det foreslås lovfestet at sikkerhetsgradering ikke skal gis virkning for lenger tid enn det som er strengt nødvendig, og at graderingen skal bortfalle senest etter 30 år. Dette samsvarer med gjeldende regler i Sikkerhetsinstruksen og kgl res 7 oktober 1988. For øvrig foreslås at Kongen, som i dag, fastsetter de mer detaljerte regler om ned- og avgradering. For særskilte tilfeller bør Kongen fastsette unntak fra 30 års regelen, jfr tilsvarende unntak fastsatt i dag i Sikkerhetsinstruksen § 4a.
Når det gjelder selve beskyttelsestilstakene, foreslås at Kongen fastsetter regler om dette i medhold av § 12 annet ledd.
Sikkerhetsinstruksens regler er tilpasset gradering etter NATO-systemet, i samsvar med avtalen NATO-medlemmene imellom om å respektere hverandres graderingssystemer. Sikkerhetsinstruksen fastsetter i § 1 første ledd siste punktum følgende: «Instruksen skal således også - i den utstrekning det ikke er fastsatt særskilte regler - anvendes under behandling av NATO-graderte opplysninger». Det er ikke fastsatt tilsvarende bestemmelser når det gjelder gradering fra andre land eller andre internasjonale organisasjoner som Norge er tilsluttet. § 11 fjerde ledd vil gi hjemmel for dette. Departementet anser det hensiktsmessig at Kongen gis en uttrykkelig hjemmel for å inngå avtaler med andre land/internasjonale organisasjoner, jfr en tilsvarende lovbestemmelse i lov 26 juni 1953 nr 3 om oppfinnelser av betydning for rikets forsvar § 7 tredje ledd, selv om en slik bestemmelse ikke er absolutt påkrevet. Det presiseres at bestemmelsen ikke skal forstås som en innsnevring av Kongens alminnelige traktatkompetanse etter Grunnloven § 26; dvs at lovforslagets forutsetning om gjensidighet ikke skal tolkes motsetningsvis, dithen at Kongen etter sin alminnelige traktatkompetanse ikke skal kunne inngå avtaler/godta ordninger som ikke bygger på gjensidighet.
Til § 12
Første ledd oppstiller en lovbestemt taushetspliktregel knyttet til sikkerhetsgradert informasjon. I pkt 7.5 ovenfor er det beskrevet hvordan bestemmelsen skal forstås. Uttrykket «får tilgang til» i første punktum gjør det klart at bestemmelsen omfatter enhver måte vedkommende har fått tilgang til sikkerhetsgradert informasjon på, f eks også dersom vedkommende selv utsteder eller på annen måte tilvirker informasjonen eller dersom vedkommende uforvarende skulle få tilgang til sikkerhetsgradert informasjon (selv om dette ikke var tilsiktet fra virksomhetens side). Begrensningen ligger i at tilgangen må ha sammenheng med («som ledd i») vedkommendes arbeid, oppdrag eller verv for en virksomhet som omfattes av loven.
Bestemmelsen i § 12 første ledd siste punktum er ment å gi Kongen en forskriftshjemmel for å gi generelle regler om unntak fra taushetsplikt, jfr pkt 7.5 ovenfor.
I taushetspliktbestemmelsen ligger også en plikt til å iverksette nødvendige sikkerhetstiltak for at hindre at uvedkommende får tilgang til informasjonen. For øvrig foreslås at Kongen, som i dag, fastsetter de mer detaljerte regler om spredning, journalisering, oppbevaring, forsendelse, tilintetgjørelse, opptreden ved tap eller kompromittering, kontroll og andre minimumstiltak for beskyttelse av sikkerhetsgradert informasjon. Kongen kan også gi bestemmelser om tiltak for å sikre at informasjonen er korrekt, fullstendig og tilgjengelig. For øvrig vises til fremstillingen foran under pkt 7.2.2.
Til § 13
Det vises til omtalen foran under pkt 7.3.2. «Informasjonssystemer» er definert i § 3 nr 10.
Det foreslås at Nasjonal sikkerhetsmyndighet, som i dag, fastsetter detaljene i regelverket om sikkerhetsmessig godkjenning av informasjonssystemer.
Til § 14
Bestemmelsene er redegjort for under pkt 7.3.3 i proposisjonen.
Til § 15
Se pkt 7.3.4 ovenfor, hvor grunnlaget for disse bestemmelsene er beskrevet nærmere. Monitoring eller inntrengning i informasjonssystemer kan etter forslaget ikke gjennomføres hvis ikke den virksomhet som skal kontrolleres, har samtykket til dette på forhånd. For virksomheter som har ansatte, er det tilstrekkelig at virksomhetens leder samtykker. De ansatte skal orienteres om muligheten for stikkprøvemessig monitoring. For at monitoring ikke skal oppleves for belastende og et for stort inngrep i personvernet, foreslås lovfestet en tilsvarende regel som den som i dag gjelder for monitoringsvirksomheten i Forsvaret; at monitoring er forbudt mht privat kommunikasjon, f eks private telefonsamtaler. Det er kun tjenestesamtaler/tjenestlig kommunikasjon som kan monitoreres. Det samme gjelder kommunikasjon med andre rettssubjekter enn de loven gjelder for. Rasjonalet bak sistnevnte kan også søkes i at den «eksterne» kommunisator ikke er gjort kjent med muligheten for monitoring/tilsvarende. Nærmere bestemmelser som ivaretar dette, foreslås gitt av Kongen, se paragrafens fjerde ledd. Det er kun Nasjonal sikkerhetsmyndighet som kan gjennomføre monitoring av og inntrengning i informasjonssystemer.
Til § 16
Se pkt 7.4 ovenfor. I motsetning til hva som foreslås å gjelde ved monitoring av og inntrengning i informasjonssystemer, kan Nasjonal sikkerhetsmyndighet delegere TSU-oppdrag til andre som er kvalifisert for dette. Det foreslås for øvrig at Kongen gir nærmere forskrifter. Det kan være aktuelt å delegere Kongens myndighet til departementet eller Nasjonal sikkerhetsmyndighet, fordi utfyllende bestemmelser om TSU vil være av utpreget teknisk karakter.
Til § 17
Jfr den generelle omtalen av objektsikkerhet under pkt 8 i proposisjonen. «Skjermingsverdig objekt» er definert i lovforslaget § 3 nr 12.
Etter første ledd plikter enhver virksomhet å «utpeke» skjermingsverdige objekter som virksomheten eier eller på annen måte har kontroll over eller fører tilsyn med. I dette ligger ikke annet enn at virksomheten til enhver tid skal ha en oppdatert oversikt over slike objekter og hvor de befinner seg, hvilket vil kunne danne grunnlaget for Nasjonal sikkerhetsmyndighets tilsynsvirksomhet overfor virksomheten.
Virksomheten skal dernest «treffe nødvendige forebyggende sikkerhetstiltak» for å beskytte objektene mot sikkerhetstruende virksomhet. Nærmere regler vil bli gitt av Kongen, jfr annet ledd. Det foreslås også at Kongen kan bestemme at det kreves sikkerhetsklarering etter reglene i kapittel 6 for den som kan få tilgang til eller annen befatning med skjermingsverdige objekter. Det forutsettes at denne generelle bestemmelsen står tilbake for eventuelle særbestemmelser i lovverket for øvrig om plikt til å treffe forebyggende sikkerhetstiltak for skjermingsverdige objekter.
Til § 18
Bestemmelsen tilsvarer § 11 fjerde ledd om informasjonssikkerhet. Behovet for å inngå folkerettslige avtaler er muligens mindre når det gjelder beskyttelse av skjermingsverdige objekter, fordi politiet i de fleste tilfeller vil ha sikringsansvaret for utenlandske objekter som permanent eller midlertidig (f eks under statsbesøk) befinner seg i Norge. Behovet antas likevel å være til stede i forhold til alminnelige forebyggende sikkerhetstiltak. Inngåelse av slike avtaler vil dessuten kunne formalisere og styrke beskyttelsen av norske skjermingsverdige objekter som befinner seg i det land en har inngått avtale med. Departementet anser det hensiktsmessig at Kongen gis en uttrykkelig hjemmel for å inngå avtaler med andre land/internasjonale organisasjoner, jfr en tilsvarende lovbestemmelse i lov 26 juni 1953 nr 3 om oppfinnelser av betydning for rikets forsvar § 7 tredje ledd, selv om en slik bestemmelse ikke er absolutt påkrevet. Det presiseres at bestemmelsen ikke skal forstås som en innsnevring av Kongens alminnelige traktatkompetanse etter Grunnloven § 26; dvs at lovforslagets forutsetning om gjensidighet ikke skal tolkes motsetningsvis, dithen at Kongen etter sin alminnelige traktatkompetanse ikke skal kunne inngå avtaler/godta ordninger som ikke bygger på gjensidighet.
Til § 19
I første ledd fremgår det at en person skal sikkerhetsklareres og ved behov autoriseres dersom vedkommende «vil kunne få» tilgang til skjermingsverdig informasjon. Det er altså ikke noe vilkår for sikkerhetsklarering om at det må dokumenteres at vedkommende «vil få» slik tilgang (til sammenligning nevnes at ved autorisasjon vil dette normalt være avgjørende, jfr definisjonen i lovforslaget § 3 nr 17 som forutsetter at autorisasjon skal skje når den enkelte «gis» tilgang til skjermingsverdig informasjon). Dette kan bl a ha betydning for vakter, rengjøringspersonell og andre som forutsetningsvis ikke skal gis tilgang til skjermingsverdig informasjon, men som gjennom sitt arbeid e l er i en posisjon hvor en lett kan skaffe seg slik tilgang - selv om dette vil innebære brudd på arbeidsinstruks eller annet instruks- eller regelverk - eller på annen måte uforvarende kan komme over skjermingsverdig informasjon.
At man klareres for en nasjonal sikkerhetsgrad, innebærer ikke at man også er klarert for tilsvarende sikkerhetsgrader fastsatt av internasjonale organisasjoner, f eks NATO, hvilket er indikert ved ordet «eventuelt» i bestemmelsens annet ledd. Klareringsmyndigheten må i tilfelle treffe uttrykkelig avgjørelse om dette.
Bestemmelsen er for øvrig behandlet i pkt 9.4 ovenfor.
Til § 20
Bestemmelsene er behandlet i pkt 9.5 ovenfor. Femte ledd siste punktum er behandlet under pkt 9.6.8.
«Nærstående personer som er knyttet til vedkommende ved familiebånd», jfr tredje ledd, omfatter i denne bestemmelsens forstand også ektefelle, samboer og registrert partner. Dette er i samsvar med gjeldende personellsikkerhetsdirektiver. Tilsvarende gjelder i forhold til §§ 21 første ledd bokstav c og 21 fjerde ledd.
Til bestemmelsen i fjerde ledd fjerde punktum bemerkes at selv om forslaget i utgangspunktet innebærer rett og plikt for andre kilder til å gi personkontrollopplysninger til klareringsmyndighet, vil opplysningsretten og -plikten ikke gå foran lovbestemt taushetsplikt, i motsetning til utlevering av registeropplysninger fra offentlige registre, jfr annet punktum. Normalt vil imidlertid det være en klar forutsetning at den det gjelder har gitt samtykke til å innhente enhver opplysning om vedkommende uten hinder av taushetsplikt, f eks fra referansepersoner som vedkommende fører opp i egenopplysningsblanketten.
Til § 21
Reglene i denne paragraf er nærmere behandlet under pkt 9.6 ovenfor. Oppregningen i bokstav a-k i første ledd er i utgangspunktet uttømmende, men bokstav k vil likevel fungere som en sikkerhetsventil vedrørende opplysninger av sikkerhetsmessig karakter som ikke lar seg henføre under de øvrige forhold som kan tillegges betydning. At slike forhold «kan tillegges betydning», indikerer at det ikke lar seg gjøre å lese ut av paragrafen hvilken vekt slike opplysninger i den konkrete sak skal tillegges. Dette lar seg ikke gjøre å regulere i lov, uten at det går på bekostning av hensynet til å foreta en individuell helhetsvurdering.
Bestemmelsene skal naturligvis ikke forstås som en prioritert rekkefølge om at forhold som nevnt i bokstav a er viktigere enn forhold nevnt i bokstav b, osv.
«Nærstående personer som er knyttet til vedkommende ved familiebånd», jfr første ledd bokstav c og fjerde ledd, omfatter i disse bestemmelsers forstand også ektefelle, samboer og registrert partner. Dette er i samvsar med gjeldende personellsikkerhetsdirektiver. Tilsvarende gjelder i forhold til § 20 tredje ledd. § 21 fjerde ledd er for øvrig omtalt nærmere foran under pkt 9.7.
Til § 22
Bestemmelsen er behandlet under pkt 9.6.5 ovenfor.
Til § 23
Bestemmelsen er behandlet under pkt 9.8.5 ovenfor.
Delegasjon etter første og annet ledd kan skje generelt eller for det enkelte tilfelle. Hvor «stort» klareringsbehovet må være før delegasjon kan skje, er det vanskelig å uttale seg generelt om. Ut fra hensynet til en sentralisering av sikkerhetsklareringssaker, er det likevel klart at delegasjon bare bør kunne skje dersom det i motsatt fall ville utgjøre en urimelig omfattende arbeidsbyrde for departementet å sikkerhetsklarere personell i den angjeldende underlagte virksomhet.
For sikkerhetsgraderte anskaffelser som er foretatt av et kommunalt organ, vil paragrafens annet ledd ikke komme til anvendelse. Kongen må i slike tilfeller bestemme hvem som skal være klareringsmyndighet for personell hos leverandøren, jfr tredje ledd.
Fjerde ledd må leses i sammenheng med reglene i § 22. Det må i praksis antas at departementene sjelden vil fravike eventuelle råd som Nasjonal sikkerhetsmyndighet gir i denne type saker. I den utstrekning Nasjonal sikkerhetsmyndighet på forhånd har gitt råd til klareringsmyndigheten, kan det reises spørsmål om hvem som i realiteten har truffet avgjørelsen. Dette bør avgjøres i hvert enkelt tilfelle, men i forhold til reglene om klagerett vil departementet understreke at i de tilfeller det er gitt råd om hvilket utfall saken bør få, bør en anse at Nasjonal sikkerhetsmyndighet i realiteten har truffet avgjørelsen, og at klagen således skal behandles av departementet etter § 25 fjerde ledd siste punktum.
Når det i femte ledd angis at autorisasjon kan gis dersom autorisasjonsansvarlig ikke har opplysninger «som gjør det tvilsomt om vedkommende er til å stole på», er denne vurderingen ikke ment å gi anvisning på noen annen vurdering enn den klareringsmyndigheten skal foreta etter § 21; dvs at det er de samme opplysninger som nevnt i § 21, som kan tillegges vekt ved vurderingen av om autorisasjon skal gis. Behovet for regelen følger av at autorisasjonsansvarlig kan tenkes å besitte opplysninger som klareringsmyndigheten ved klareringsavgjørelsen ikke kjente til.
Autorisasjonsansvarlig er «normalt» virksomhetens leder, jfr femte ledd. I enkelte tilfeller vil dette utgangspunkt måtte fravikes. Bl a kan det være betenkeligheter forbundet med at enkelte leverandører av varer og tjenester selv skal være autorisasjonsansvarlig. Det foreslås derfor at Nasjonal sikkerhetsmyndighet kan gi tilpassede regler bl a om hvem som skal være autorisasjonsansvarlig.
Til § 24
Hvem som er autorisasjonsansvarlig, er regulert i § 23 femte ledd, eventuelt i utfyllende bestemmelser fastsatt av Nasjonal sikkerhetsmyndighet.
Avgjørelse om tilbakekalt, nedsatt eller suspendert autorisasjon skal innberettes til klareringsmyndigheten. Det forutsettes at klareringssaken må behandles uten ugrunnet opphold dersom autorisasjonen er suspendert. Dersom klareringsmyndigheten opprettholder sikkerhetsklareringen, reises spørsmålet om autorisasjonsansvarlig likevel kan opprettholde beslutningen knyttet til vedkommendes autorisasjon. Lovforslaget løser ikke dette spørsmålet. Eventuell uenighet om dette må løses gjennom dialog mellom klareringsmyndighet og autorisasjonsansvarlig. I verste fall må saken løses gjennom at den bringes opp på høyere nivå, i siste instans gjennom avgjørelse på regjeringsnivå. Erfaring viser imidlertid at slike konflikter ikke inntreffer i praksis.
En gitt sikkerhetsklarering bør være tidsbegrenset, da det ut fra sikkerhetsmessige hensyn vil kunne være behov for regelmessig å undersøke om det siden klareringen ble gitt, er kommet til opplysninger eller skjedd endringer som medfører at klareringen må revurderes. Tidsintervallet for reklarering kan variere alt ettersom hvilken sikkerhetsgrad klareringen gjelder for. Det foreslås derfor at Nasjonal sikkerhetsmyndighet fastsetter generell gyldighetstid for sikkerhetsklareringer. Gyldighetstiden kan således variere, bl a avhengig av hvilken sikkerhetsgrad klareringen gjelder for.
Når det i annet og femte ledd gis anvisning på å vurdere personens «sikkerhetsmessige skikkethet», er denne vurderingen ikke ment å gi anvisning på noen annen vurdering enn den som klareringsmyndigheten skal foreta etter § 21; dvs at det er de samme opplysninger som nevnt i § 21, som kan tillegges vekt ved vurderingen av om autorisasjon skal gis.
Til § 25
Bestemmelsene er behandlet under pkt 9.8.2, 9.8.3 og 9.8.4 ovenfor. «Negative avgjørelser» vil omfatte nektelse, tilbakekallelse, nedsettelse og suspensjon av sikkerhetsklarering.
Det hører normalt under virksomhetens (arbeidsgivers) styringsrett å avgjøre hvem som skal gis tilgang til sikringsverdig informasjon. Negative avgjørelser om autorisasjon kan således ikke påklages. Se for øvrig merknadene til § 24.
Til § 26
Forsvarssjefen har i dag gitt særskilte regler om sikkerhetsklarering av vernepliktige mannskaper i Forsvaret. Slike særregler bør fortsatt kunne gis, naturligvis innen rammen av lovens bestemmelser. Nasjonal sikkerhetsmyndighet bør også, innen rammen av loven, gi øvrige utfyllende bestemmelser, se for øvrig § 9 første ledd bokstav e.
Til § 27
Bestemmelsene er behandlet under pkt 10.2 ovenfor. «Sikkerhetsgradert anskaffelse» og «anskaffelsesmyndighet» er definert i § 3 nr 13 og 14. Nærmere bestemmelser om leveranser til eller fra utlandet vil ofte være regulert av bilaterale sikkerhetsavtaler inngått mellom de aktuelle land. Kongen bør i slike tilfeller kunne gi særregler, jfr § 29.
Til § 28
Bestemmelsene er behandlet under pkt 10.3 ovenfor.
Til § 29
Se merknadene til § 27. For øvrig vil det være påkrevet å fastsette en rekke detaljerte bestemmelser om gjennomføringen av sikkerhetsgraderte anskaffelser, tilsvarende de bestemmelser som i dag er regulert i industrisikkerhetsdirektivene av november 1989. Det vil bl a være nødvendig å fastsette bestemmelser om leverandørklarering som er tilpasset den aktuelle leverandørens størrelse og organisering.
Til § 30
Kontrollordningene er nærmere omtalt under pkt 5.3 ovenfor.
At Kongen kan etablere særskilte kontrollordninger, krever naturligvis ikke lovhjemmel når det gjelder kontroll av virksomheter som er underlagt Regjeringens alminnelige instruksjonsmyndighet. For øvrige virksomheter som går inn under loven, f eks overfor kommunene, er det imidlertid påkrevet å lovfeste en hjemmel for at Kongen kan opprette spesielle kontrollordninger (utover den tilsynsmyndighet som allerede i loven er tillagt Nasjonal sikkerhetsmyndighet), for om nødvendig å påse at gjennomføringen av forebyggende sikkerhetstjeneste holdes innenfor rammen av loven og utfyllende bestemmelser mv, samt at rettssikkerhetsmessige eller andre hensyn ivaretas.
Til § 31
Det foreslås en bestemmelse om at den som forsettlig eller uaktsomt overtrer bestemmelsene i eller i mehold av lovens §§ 5, 10, 12 annet ledd, 13 første og fjerde ledd, 14 første, tredje og fjerde ledd og 17, samt overtrer pålegg som Nasjonal sikkerhetsmyndighet gir i medhold av lovens § 9 første ledd bokstav c, straffes med bøter eller fengsel inntil seks måneder, hvis ikke forholdet går inn under en strengere straffebestemmelse. Det foreslås også at medvirkning straffes tilsvarende. Av hensyn til at bestemmelsene i loven oppstiller plikter som er av avgjørende betydning for å verne rikets eller alliertes sikkerhet eller andre vitale nasjonale sikkerhetsinteresser, må det knyttes et sanksjonssystem til lovens viktigste pliktbestemmelser. Straffebestemmelsen forutsettes kun benyttet dersom en ikke med andre tiltak, råd eller veiledning klarer å oppnå at den det gjelder, gjennomfører forebyggende sikkerhetstjeneste i samsvar med lovens bestemmelser.
Kun forsettlige eller grovt uaktsomme overtredelser av plikten til å sikkerhetsgradere informasjon i § 11 annet ledd første punktum, bør gjøres straffbart, for å unngå overdrevet sikkerhetsgradering av frykt for straffansvar. Også her gjelder at straffebestemmelsen forutsettes kun benyttet dersom en ikke med andre tiltak, råd eller veiledning klarer å oppnå at den det gjelder, gjennomfører de plikter som loven oppstiller.
Bestemmelsens tredje ledd er behandlet i pkt 7.5 i proposisjonen.
Til § 32
Loven forutsetter at det først må utarbeides utfyllende forskrifter, se f eks §§ 5 femte ledd, 11 annet ledd siste punktum, 12 annet ledd siste punktum, 13 fjerde ledd, 15 fjerde ledd, 17 annet ledd, 20 femte ledd, 23 tredje og femte ledd og 26.
I tillegg bør det overfor kommunal sektor og enkelte andre virksomheter først gjennomføres et informasjonsarbeid og opplæringprogram for berørt personell.
Det foreslås derfor at Kongen bestemmer når loven trer i kraft.
Til § 33
Ved at reglene i den någjeldende Sikkerhetsinstruksen foreslås lovhjemlet, foreslås at reglene i domstolloven §§ 12, 21 og 91 og straffeprosessloven §§ 102 og 141 som henviser til Sikkerhetsinstruksen, endres til å vise til sikkerhetsloven. Det anses tilstrekkelig å angi lovforslagets korttittel. For øvrig vises til omtalen av bestemmelsene under pkt 6 ovenfor.