2 Hovedpunktene i lovforslaget
Lovens formål er å legge forholdene til rette for effektivt å kunne motvirke trusler mot rikets selvstendighet eller sikkerhet og andre vitale nasjonale sikkerhetsinteresser, gjennom utøvelse av forebyggende sikkerhetstjeneste. Det er også lovens formål å ivareta den enkeltes rettssikkerhet, samt trygge tilliten til og forenkle grunnlaget for kontroll med forebyggende sikkerhetstjeneste. Utøvelse av forebyggende sikkerhetstjeneste er et nasjonalt anliggende, selv om det foregår internasjonalt samarbeid på enkelte felter, bl a mellom NATO-land. Det bør utvikles et nasjonalt lovgrunnlag for sikkerhetstjenestens virksomhet. Samtlige høringsinstanser som har avgitt realitetsuttalelse, er generelt positive til å regulere de rettslige prinsipper på dette området i lovs form.
Forebyggende sikkerhetstjeneste omfatter i Norge alle tiltak for å sikre skjermingsverdig informasjon og skjermingsverdige objekter mot sikkerhetstruende virksomhet (spionasje, sabotasje og terrorhandlinger). Med skjermingsverdig informasjon menes informasjon som - noe unøyaktig - er av betydning for rikets eller alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser, dersom det kan medføre skade om informasjonen blir kjent av uvedkommende. Nærmere angivelse av hva som menes med skjermingsverdig informasjon, er angitt i lovens regler om sikkerhetsgradering (etter sikkerhetsgradene STRENGT HEMMELIG, HEMMELIG, KONFIDENSIELT og BEGRENSET). Med skjermingsverdige objekter menes eiendom som må beskyttes mot sikkerhetstruende virksomhet av hensyn til rikets eller alliertes sikkerhet eller andre vitale nasjonale sikkerhetsinteresser.
Lovforslaget benytter «forebyggende sikkerhetstjeneste» som et funksjonelt begrep. Sikkerhetstjenesten som organisatorisk begrep benyttes enkelte steder i proposisjonen, og henspeiler da på alle organisatoriske ledd som involveres i forebyggende sikkerhetstjeneste. Et snevrere organisatorisk begrep er Nasjonal sikkerhetsmyndighet, som benyttes i loven, jfr nærmere om dette nedenfor.
Loven foreslås ikke bare å omfatte Forsvaret, men hele kommunal- og statsforvaltningen samt bedrifter og andre som leverer varer eller tjenester til forvaltningen i forbindelse med sikkerhetsgraderte anskaffelser.
Lovforslaget vil ikke gjelde informasjon som trenger beskyttelse av andre grunner (f eks av personvernhensyn etter Beskyttelsesinstruksen). Dette er i samsvar med Forsvarsministerens oppdrag i kgl res 24 september 1965, som ansvarlig for rikets sikkerhet i hele statsforvaltningen.
Sikkerhetsinstruksen har i dag ingen annen hjemmel enn den alminnelige instruksjonsmyndigheten. Departementet foreslår gjennom loven at reglene utvides til også å omfatte enkelte virksomheter som ikke er underlagt Kongens instruksjonsmyndighet. Nytt - sett i forhold til dagens rettstilstand - er at plikten til å beskytte skjermingsverdig informasjon også gjøres gjeldende for kommunal sektor. Andre virksomheter utenfor statsforvaltningen som av et forvaltningsorgan gis tilgang til sikkerhetsgradert informasjon, eller som eier eller på annen måte har kontroll over eller fører tilsyn med skjermingsverdig objekt, kan Kongen etter forslaget ved forskrift gjøre loven gjeldende for.
Forslaget er på dette punkt begrunnet i at det er nødvendig å avbøte mangler ved dagens rettstilstand, som eksempelvis innebærer at kommunale organer, formelt sett, ikke plikter å følge Sikkerhetsinstruksens regler selv om de bl a behandler høyt gradert beredskapsinformasjon. Med enkelte begrensninger vil lovforslaget derfor kunne gjøres gjeldende for enhver som av et forvaltningsorgan får tilgang til sikkerhetsgradert informasjon, uavhengig av om det dreier seg om ulike offentlige organer eller om det dreier seg om et forvaltningsorgan eller annen virksomhet. Det er f eks ikke grunn til å ha ulike personellsikkerhetsregler i stat og kommune, når beskyttelsesbehovet er det samme.
For leverandører av varer og tjenester foreslås særskilte bestemmelser knyttet til sikkerhetsgraderte anskaffelser, som er anskaffelser foretatt av et forvaltningsorgan som innebærer at leverandøren av varen eller tjenesten vil kunne få tilgang til skjermingsverdig informasjon eller objekt. Det anses i dag utilfredsstillende at sikkerhetsgraderte anskaffelser utelukkende er regulert i direktiver gitt av Forsvarsdepartementet. Disse reglene, som indirekte kan være av stor økonomisk betydning for private bedrifter og andre som leverer varer eller tjenester til forvaltningsorganer, bør etter departementets oppfatning gis av Stortinget i lovs form. Forhold knyttet til inngåelse av sikkerhetsavtale mellom anskaffelsesmyndighet og leverandøren, samt gjennomføring av såkalt leverandørklarering, foreslås lovfestet. Ved nektet eller tilbakekalt leverandørklarering har leverandøren i dag ikke rett til å få avgjørelsen begrunnet og overprøvet. Dette foreslås endret.
For øvrig foreslås at loven skal gjelde for domstolene - i samsvar med dagens praksis mht Sikkerhetsinstruksens anvendelse - med de særregler som følger av bestemmelsene om sikkerhetsklarering og autorisasjon i og i medhold av domstolloven og straffeprosessloven. Det foreslås en forskriftshjemmel som gir mulighet for å fastsette ytterligere avvik dersom dette skulle vise seg nødvendig.
For at loven ikke skal fremstå som en ren fullmaktslov, er den gjort relativt omfattende. Etter departementets syn vil det være hensiktsmessig, og i tråd med Stortingets intensjoner når den ga Regjeringen pålegg om å fremme forslag til lovregulering av sikkerhetstjenesten, å innby Stortinget til en grundig diskusjon om de temaer som foreslås lovregulert. Dette vil også styrke forutberegneligheten i regelverket. Særlig gjelder dette saksfeltet personellsikkerhet, som har klare rettssikkerhetsaspekter, som har stått sentralt i Lund-kommisjonens rapport og som Stortinget tidligere i detalj har drøftet og tatt stilling til ved behandlingen av St meld nr 18 (1980-81).
På denne bakgrunn er det i lovforslaget nedfelt, med enkelte endringer, de viktigste hovedregler som en i dag kan finne spredt i:
Kgl res 24 september 1965 om ordning av sikkerhetstjenesten i statsforvaltningen
Kronprinsregentens res av 4 november 1983 om Direktiv for personellsikkerhetstjenesten og personkontrolltjenesten innen den sivile forvaltning
Direktiv for personellsikkerhetstjenesten i Forsvaret, fastsatt av Forsvarsdepartementet i februar 1990.
Kgl res 6 juni 1975 om direktiv for sikkerhetsmessig kontroll av utenlandske statsborgere som er tenkt nyttet i den sivile del av statsforvaltningen
Direktiver om Sikkerhetstjenesten i industrien, fastsatt av Forsvarsdepartementet i november 1989
Direktiv for monitoringstjenesten i Forsvaret, fastsatt av Forsvarssjefen 12 mai 1980
Kgl res av 17 mars 1972 om Instruks for behandling av dokumenter som av sikkerhetsmessige grunner må beskyttes (Sikkerhetsinstruksen)
Datasikkerhetsdirektivet, fastsatt av Forsvarssjefen 1 desember 1989 med senere endringer
Direktiv for TSU-tjenesten i Forsvaret, fastsatt av Forsvarssjefen 1 januar 1980
Departementet har imidlertid begrenset seg til å medta bestemmelser som anses sentrale av hensyn til rettssikkerheten, eller som av andre grunner anses viktig å få nedfelt i en samlet lov om forebyggende sikkerhetstjeneste.
Det tas i forslaget ikke stilling til hvorledes Forsvarsministerens utøvende sikkerhetsfunksjoner skal organiseres i fremtiden. Eventuelle fremtidige organisasjonsendringer kan således gjennomføres uavhengig av loven. Departementet foreslår imidlertid at det fortsatt bør være ett sentralt organ som skal ha ansvaret for å koordinere de forebyggende sikkerhetstiltak og bl a forestå veiledning, opplæring og kontroll. Organet foreslås benevnt «Nasjonal sikkerhetsmyndighet»; oversatt fra den innarbeidede engelske betegnelsen «National Security Authority». Ved at dagens organisasjonsmodell foreløpig foreslås opprettholdt, må «Nasjonal sikkerhetsmyndighet» i loven leses som «Forsvarssjefen», eventuelt «Forsvarssjefen og Forsvarets overkommando/Sikkerhetsstaben». Hovedbestemmelsene om Nasjonal sikkerhetsmyndighet fremgår av et eget kapittel i lovfremlegget. Dersom det i fremtiden vil være aktuelt å gjøre endringer i organiseringen av Nasjonal sikkerhetsmyndighet, vil dette bli forelagt for Stortinget på vanlig måte.
Hovedreglene i gjeldende personellsikkerhetsdirektiver foreslås lovfestet og presisert. Det legges imidlertid opp til en sentralisering av behandlingen av klareringssaker. Bl a vil forslaget innebære at dagens ca 150 klareringsinstanser i den sivile del av statsforvaltningen blir betydelig redusert, gjennom at klareringsmyndighet i utgangspunktet skal legges til de respektive departementer. For kommunale virksomheter fremstår vedkommende fylkesmann som den naturlige klareringsmyndighet.
Klareringsavgjørelser skal dessuten i større grad enn tidligere baseres på en konkret og individuell helhetsvurdering av de opplysninger som er kommet frem om den enkelte, basert på gjeldende forutsetning om at det ikke må foreligge rimelig tvil om vedkommendes pålitelighet, lojalitet eller sunne dømmekraft i forhold til behandling av skjermingsverdig informasjon. Negative opplysninger om nærstående personer skal bare tas i betraktning dersom det antas at forhold knyttet til disse vil kunne påvirke hovedpersonens sikkerhetsmessige skikkethet. Ved sikkerhetsklarering foreslås at opplysninger om følgende forhold kan tillegges betydning:
Spionasje, planlegging eller gjennomføring av sabotasje, attentat eller lignende, og forsøk på slik virksomhet.
Straffbare handlinger eller forberedelser eller oppfordringer til slike.
Forhold som kan lede til at vedkommende selv eller nærstående personer som er knyttet til vedkommende ved familiebånd, utsettes for trusler som innebærer fare for liv, helse, frihet eller ære med risiko for å kunne presse vedkommende til å handle i strid med sikkerhetsmessige interesser.
Forfalskning av, eller feilaktig eller unnlatt fremstilling om, faktiske forhold som vedkommende måtte forstå er av betydning for sikkerhetsklareringen.
Misbruk av alkohol eller andre rusmidler.
Enhver sykdom som på medisinsk grunnlag anses å kunne medføre forbigående eller varig svekkelse av pålitelighet, lojalitet eller sunn dømmekraft.
Kompromittering av skjermingsverdig informasjon, brudd på gitte sikkerhetsbestemmelser, nektelse av å gi personopplysninger om seg selv, unnlatelse av å gi autorisasjonsansvarlig løpende underretning om egne forhold av betydning for sikkerheten, nektelse av å gi taushetsløfte, tilgjennegivelse av ikke å ville være bundet av taushetsløfte eller nektelse av å delta i sikkerhetssamtale.
Økonomiske forhold som kan friste til utroskap.
Forbindelse med innen- eller utenlandske organisasjoner som har ulovlig formål, som kan true den demokratiske samfunnsordenen eller som anser vold eller terrorhandlinger som akseptable virkemidler.
Manglende mulighet for gjennomføring av en tilfredsstillende personkontroll.
Andre forhold som kan gi grunn til å frykte at vedkommende vil kunne opptre i strid med sikkerhetsmessige interesser.
Lovforslaget søker å fastslå på en klarere måte enn tidligere prinsippet om at lovlig politisk engasjement ikke skal registreres eller vektlegges i forbindelse med sikkerhetsklareringer. Det foreslås bl a en uttrykkelig regel om at politisk engasjement, herunder medlemskap i, sympati med eller aktivitet for lovlige politiske partier eller organisasjoner og annet lovlig samfunnsengasjement, ikke skal ha betydning for vurdering av en persons sikkerhetsmessige skikkethet.
For øvrig foreslås at begrunnelse ved nektelse av sikkerhetsklarering som hovedregel skal gis, og at dersom begrunnelse nektes, må dette henføres under et av de unntak som loven oppstiller. Dette må anses som en styrking av den undersøktes rettsstilling. Det samme gjelder prinsippet om at negative klareringsavgjørelser uoppfordret skal gjøres kjent for den undersøkte.
Departementet foreslår enkelte endringer og presiseringer i forhold til gjeldende regler om sikkerhetsgradering av informasjon, som vil medføre færre sikkerhetsgraderinger enn i dag. Hovedregelen om bortfall av gradering senest etter 30 år foreslås lovfestet. Lovforslaget vil samlet sett ikke innebære noen innskrenkning av den enkeltes innsynsrett etter offentlighetsloven, og vil pga skjerpede vilkår for sikkerhetsgradering snarere styrke offentlighetsprinsippet på forsvars- og utenrikssektoren. Det innføres en lovbestemt, straffesanksjonert taushetsplikt knyttet til sikkerhetsgradert informasjon.
Den som utsteder eller på annen måte tilvirker skjermingsverdig informasjon, plikter å sikkerhetsgradere informasjonen. Det lovfestes også plikt å beskytte slik informasjon. Videre foreslås regler som sikrer kontroll med informasjon som behandles, lagres eller transporteres i informasjonssystemer; dvs ethvert data- eller sambandssystem eller annet system som består av en organisert samling av periferutrustning, programvare, datamaskiner og kommunikasjonsnett som knytter dem sammen. Nasjonal sikkerhetsmyndighet skal sikkerhetsmessig godkjenne og sertifisere informasjonssystemer som skal håndtere skjermingsverdig informasjon. Den enkelte virksomhet kan videre bemyndige Nasjonal sikkerhetsmyndighet til å kontrollere tjenestlig kommunikasjon i og mellom informasjonssystemer gjennom avlytting av tale eller avlesing av elektroniske signaler (monitoring), eller gjennomføre forsøk på inntrengning for å kontrollere informasjonssystemenes motstandskraft. Det er et ufravikelig vilkår at angjeldende virksomhet(er) på forhånd har samtykket til dette og at de ansatte i virksomheten(e) på forhånd er orientert om kontrollen.
Departementet foreslår videre at Nasjonal sikkerhetsmyndighet er nasjonal forvalter av kryptomateriell og leverandør av kryptosikkerhetstjenester i Norge, og skal godkjenne kryptoalgoritmer som brukes i utstyr som planlegges eksportert. Bare kryptosystemer som er godkjent av Nasjonal sikkerhetsmyndighet, skal tillates brukt for beskyttelse av skjermingsverdig informasjon. Forslagene er i hovedsak i samsvar med gjeldende regelverk, likevel slik at også disse regler - som følge av lovens generelle virkeområde - vil gjelde for virksomheter som i dag ikke er omfattet av de eksisterende direktiver.
Det foreslås en egen bestemmelse om den enkelte virksomhets plikt til å beskytte skjermingsverdige objekter av andre grunner enn å beskytte informasjonen knyttet til objektene.
Brudd på lovens viktigste pliktbestemmelser bør kunne straffes med bøter eller fengsel i inntil seks måneder, med mindre strengere straffebud kommer til anvendelse. Medvirkning foreslås straffet på samme måte. Ved brudd på taushetsplikt foreslås en strafferamme på bøter eller fengsel i inntil 1 år.
Lovforslagets bestemmelser er primært utformet med henblikk på anvendelse under normale fredsforhold. Dersom krig truer eller rikets selvstendighet eller sikkerhet er i fare, kan eventuelle tilpasninger om nødvendig fremmes for Stortinget eller skje med hjemmel i beredskapslovgivningens fullmakter. Departementet anser det ikke nødvendig eller hensiktsmessig å regulere sikkerhetstjenestens oppgaver eller beføyelser i krise og krig i det foreliggende lovforslag.