2 Forslagets bakgrunn
Offentlige myndigheter ved PST, NSM, Økokrim og Kripos har i en årrekke og i flere ulike trusselvurderinger og rapporter pekt på innsidetrusler som en utfordring for både offentlige og private virksomheter. Gode sikkerhetsrutiner for personkontroll ved, under og etter ansettelse er derfor vurdert som nødvendig for å redusere denne risikoen.
En arbeidsgruppe ved NVE har vurdert behovet for å styrke arbeidet med å håndtere risiko som følge av digitalisering. Arbeidsgruppens vurderinger er sammenfattet i NVE Rapport 26: 2017 Regulering av IKT-sikkerhet. Arbeidsgruppen vurderte det slik at dagens regelverk i stor grad samsvarer med internasjonale standarder og praksis, men så likevel behov for ytterligere presiseringer i regelverket for å bidra til at virksomheter og systemer i energisektoren er best mulig beskyttet mot digitale trusler. Arbeidsgruppen anbefalte på denne bakgrunn blant annet at det innføres større mulighet for kontroll med personer som skal få tilgang til anlegg, system eller annet som er klassifisert etter kapittel 5 i kraftberedskapsforskriften.
Energiloven § 9-3 gir departementet hjemmel for å fastsette ytterligere regler om informasjonssikkerhet for kraftforsyningen ved forskrift. Energiloven § 9-5 inneholder bestemmelser om meldeplikt ved igangsetting av arbeid for å bygge eller endre anlegg eller systemer som nevnt i energiloven § 9-2. Kraftberedskapsforskriften § 6-7 om personkontroll har bestemmelser om bakgrunnssjekk av personer som gis tilgang til klassifiserte anlegg.
Departementet mener det er behov for større mulighet for kontroll av personer som skal få tilgang til klassifiserte anlegg enn det som følger av dagens kraftberedskapsforskrift. Det foreslås derfor en ny lovhjemmel som gir beredskapsmyndigheten kompetanse til å gi forskrift om krav om fremleggelse av politiattest for personer som skal få tilgang til klassifiserte anlegg. Departementet foreslår at bestemmelsen plasseres i energiloven.