18 Økonomiske og administrative konsekvenser
Reguleringen av forebyggende nasjonalt sikkerhetsarbeid har som formål å øke sikkerheten i samfunnet. Regelverket oppstiller krav om forebyggende sikkerhetstiltak som hovedsakelig er rettet mot å redusere sårbarhetene i samfunnet. Sikkerhet og sikringstiltak kan være kostnadskrevende, men manglende sikkerhet kan få svært store samfunnsmessige og økonomiske konsekvenser.
Forslaget til ny sikkerhetslov vil medføre en begrenset utvidelse av lovens virkeområde. Forslaget vil kunne innebære at både nye virksomheter, og større deler av allerede underlagte virksomheters infrastruktur og systemer, blir underlagt lovens bestemmelser. Dette er en følge av at ny lov vil gjelde objekter og infrastruktur av avgjørende betydning for grunnleggende nasjonale funksjoner, som er en utvidelse fra dagens regulering av skjermingsverdige objekter. Det er også en følge av at loven vil omfatte informasjonssystemer som behandler annen skjermingsverdig informasjon, eller som i seg selv er av avgjørende betydning for grunnleggende nasjonale funksjoner, og således ikke er begrenset til gradert informasjon eller graderte informasjonssystemer.
Lovforslaget vil som en følge av ovennevnte medføre økonomiske og administrative konsekvenser. Forslaget har imidlertid som formål å sikre en kostnadseffektiv regulering av forebyggende sikkerhetstiltak. Kostnader til sikkerhetstiltak skal ikke gå lenger enn det som er nødvendig for å sikre et forsvarlig sikkerhetsnivå i de virksomhetene som underlegges loven. Loven legger opp til at det i utgangspunktet er sektormyndighetene, som har kunnskap om egen sektor, som skal legge føringer for hva som er forsvarlig sikkerhet. Dette gir et mulighetsrom for å finne hensiktsmessige og tilpassede løsninger, også i et økonomisk perspektiv. Det legges også opp til at den enkelte virksomheten i sin vurdering av hvilke sikkerhetstiltak som er nødvendige for å opprettholde et forsvarlig sikkerhetsnivå, må vurdere hva som er akseptabel restrisiko holdt opp mot kostnaden ved tiltakene.
Siden tilsynsmyndighet vil kunne legges til myndigheter med sektoransvar, vil det i den utstrekning loven kommer til anvendelse i den enkelte sektor, også kunne innebære ekstra oppgaver og utgifter for sektormyndighetene. Det vil eksempelvis kunne påløpe utgifter knyttet til behov for personell og kompetanse i de ulike sektormyndighetene. Omfanget av nye oppgaver vil avhenge av sikringsnivået som allerede er etablert i den enkelte sektor. Utvidelsen av virkeområdet, og utøvelsen av rollen som sikkerhetsmyndighet, vil også medføre økte utgifter for Nasjonal sikkerhetsmyndighet (NSM).
For de virksomhetene som underlegges loven, vil det påløpe øvrige administrative kostnader, blant annet knyttet til sikkerhetsadministrasjon og personellsikkerhet. Eksempelvis vil kravet om rapportering fra myndigheter med tilsynsansvar til sikkerhetsmyndigheten innebære at det må etableres nye administrative rutiner.
Nedenfor følger en nærmere beskrivelse av forslagets antatte administrative og økonomiske konsekvenser.
18.1 Utvidelsen av virkeområdet
Det er ikke mulig å angi konkret de økonomiske konsekvensene av lovforslaget før loven har trådt i kraft og alle departementer har vurdert hvilke virksomheter som skal omfattes av loven. De fleste nye virksomhetene som vil omfattes av loven, vil være i sivil sektor. De økonomiske konsekvensene dette medfører vil imidlertid variere, og må vurderes konkret i hvert enkelt tilfelle.
Utgangspunktet er, som i dag, at det er den enkelte virksomheten som må finansiere utgiftene forbundet med forebyggende sikkerhetstiltak, og at kostnadene dekkes innenfor den enkelte samfunnssektor.
Forsvarsdepartementet har mottatt innspill til vurderinger av økonomiske og administrative konsekvenser fra Arbeids- og sosialdepartementet, Finansdepartementet, Helse- og omsorgsdepartementet, Kommunal- og moderniseringsdepartementet, Justis- og beredskapsdepartementet, Nærings- og fiskeridepartementet, Olje og energidepartement, Samferdselsdepartementet og Utenriksdepartementet.
Alle de nevnte departementene har kommet til at lovforslaget vil medføre merutgifter, men at det ikke er mulig å gi et konkret anslag av størrelsen på de økonomiske konsekvensene av forslaget. Dette skyldes i hovedsak, som nevnt over, at det ikke vil være mulig å anslå utgiftene før departementene har vurdert hvilke virksomheter som skal omfattes av loven. Det skyldes også at lovforslaget forutsetter et omfattende forskriftsarbeid, og at kravene virksomhetene må forholde seg til ikke vil være endelig fastlagt før dette arbeidet er gjennomført. I tillegg vil det være av betydning hvor mange myndigheter med sektoransvar som vil føre tilsyn etter loven. Også unntaksbestemmelsene i lovforslaget, §§ 1-2, 5-2 og 6-2, bidrar til usikkerhet med hensyn til å kunne vurdere de konkrete konsekvensene av lovforslaget. Det er spesielt i forbindelse med sikring av skjermingsverdige objekter og infrastruktur, informasjons- og informasjonssystemsikkerhet og økte administrative oppgaver at departementene vurderer at det vil oppstå et merbehov.
Eksempelvis anslås det i kraftsektoren at utgifter som følge av lovforslaget først og fremst vil komme i tilknytning til håndtering av gradert informasjon og sikkerhetsgraderte anskaffelser. Det kan imidlertid også påløpe kostnader til fysisk sikring, forutsatt at det vurderes som nødvendig med en økning av eksisterende sikringsnivå.
I justissektoren anslås det at det kan komme økte utgifter i forbindelse med at flere virksomheter enn i dag faller inn under loven. I tillegg vil antakelig den økte aktivitetsplikten for departementet og virksomhetene, utvidelsen til å omfatte skjermingsverdige informasjonssystemer, utvidelsen innen objekt- og infrastruktursikkerhet og adgangsklarering gi merutgifter.
I forsvarssektoren er det særlig forslaget om beskyttelse av skjermingsverdige, men ugraderte, informasjonssystemer som vil kunne medføre økte utgifter. For Nasjonal sikkerhetsmyndighet (NSM) vil særlig opplæring og tilsyn føre til merutgifter, se kapittel 18.5 nedenfor.
På bakgrunn av innspillene over er den begrensede utvidelsen av lovens virkeområde forsøkt klargjort i lovarbeidet. Det er også tatt inn forskriftshjemler i §§ 5-2 og 6-2 om informasjonssikkerhet og informasjonssystemsikkerhet, hvor det i særlige tilfeller kan gjøres unntak fra hovedregelen om gjennomføring av sikkerhetstiltak. Etter departementets syn vil de justeringene som er gjort, sammenholdt med fleksibilitet knyttet til gjennomføringen av sikkerhetstiltak, kunne redusere de økonomiske konsekvensene av loven.
18.2 Informasjonssikkerhet, informasjonssystemsikkerhet og objekt- og infrastruktursikkerhet
Flere systemer, objekter og infrastrukturer vil bli underlagt loven som følge av at virkeområdet utvides. Det må forventes at dette medfører økte utgifter til sikkerhetstiltak, og til administrative og organisatoriske tiltak, spesielt for sivile virksomheter.
Etter departementets vurdering vil tekniske tiltak for skjerming av ulike former for informasjon i systemer og infrastrukturer stå for en merutgift. Hvor stor merutgiften vil bli, er imidlertid forbundet med stor usikkerhet. Det hevdes i flere innspill til lovarbeidet at det allerede i dag er etablert en god grunnsikkerhet i mange infrastrukturer. I hvor stor grad den nye loven vil kreve en økning av sikkerheten, er dermed vanskelig å anslå før loven er trådt i kraft og har tatt til å virke. Det understrekes at lovens bestemmelser på dette området legger til grunn risikobaserte vurderinger ved bestemmelse av hvilke sikkerhetstiltak som er nødvendige.
Som følge av lovens utvidede virkeområde vil det også måtte forventes økte utgifter til beskyttelse av et større antall fysiske objekter enn i dag. Omfanget av kostnadene vil imidlertid være avhengig av eksisterende sikkerhetstiltak i virksomheten og behovet for nye sikkerhetstiltak. Videre vil bestemmelsene om beskyttelse av infrastruktur medføre utgifter til ulike typer sikkerhetstiltak og til økt kompetanse i forvaltningen og vedlikeholdet av tiltakene.
18.3 Personellsikkerhet
Hjemmelen for adgangsklarering til skjermingsverdige objekter og infrastruktur vil øke antall klareringssaker for klareringsmyndighetene. For å kunne gjennomføre en effektiv klareringsprosess vil det være behov for en økning av personellressurser som skal behandle disse sakene. Det konkrete merbehovet kan imidlertid ikke beregnes før det enkelte departementet har avgjort om det skal settes krav til adgangsklarering, jf. § 8-3. Det må i vurderingen av merbehovet tas høyde for at personer i en rekke stillinger i dag allerede er sikkerhetsklarert, og således ikke vil ha behov for adgangsklarering. Det hører med til denne vurderingen at en adgangsklarering i utgangspunktet skal være en enklere prosess enn en sikkerhetsklarering.
Det foreslås at hovedregelen i klareringssakene bør være en digitalisert overføring av registeropplysninger til sikkerhetsmyndigheten fra behandlingsansvarlige i registrene. Det vil påløpe investeringskostnader med å få etablert sikre kommunikasjonslinjer mellom sikkerhetsmyndigheten og de aktuelle registereierne som i dag ikke har slike kommunikasjonslinjer med sikkerhetsmyndigheten, samt å tilrettelegge de aktuelle registrene for en slik overføring. På lengre sikt vil imidlertid forslaget sannsynligvis innebære en effektivisering og redusert ressursbruk knyttet til behandling av denne type saker, både hos sikkerhetsmyndigheten og de aktuelle registereierne.
I tillegg legger forslaget til § 8-9 opp til at sikkerhetsmyndigheten skal kunne kreve rapport fra autorisasjonsansvarlige om hvilket personell som har blitt autorisert i den enkelte virksomhet, slik at opplysninger om dette kan legges inn i det sentrale klareringsregisteret. I den utstrekning sikkerhetsmyndigheten krever dette, vil det medføre administrative kostnader for den enkelte virksomheten.
18.4 Eierskapskontroll
De konkrete økonomiske konsekvensene av forslaget om eierskapskontroll er vanskelige å fastslå før det er bestemt hvilke virksomheter som underlegges loven. Departementet er imidlertid av den oppfatning at eventuelle uheldige konsekvenser for investeringslysten i, og konkurransekraften til, norske virksomheter vil være begrensede. Det vises til at terskelen for at bestemmelsene kommer til anvendelse er høy, og at bestemmelsene er utformet med tanke på at det skal være forutsigbart for virksomhetene når disse kommer til anvendelse, og hvilke saksbehandlingsregler som da gjelder. Før vedtakskompetansen i § 10-3 benyttes, skal det dessuten foretas en forholdsmessighetsvurdering av negative konsekvenser for virksomhetene og erververen, holdt opp mot hensynet til nasjonale sikkerhetsinteresser. I de tilfellene hvor vedtakskompetansen benyttes, forutsettes det at hensynet til nasjonale sikkerhetsinteresser veier tyngre enn de negative økonomiske konsekvensene for virksomhetene og erververen.
18.5 Sikkerhetsmyndigheten
Sikkerhetsmyndigheten er i dag Nasjonal sikkerhetsmyndighet (NSM). I henhold til Kronprinsregentens resolusjon av 4. juli 2003 og Kongelig resolusjon av 22. mars 2013 er NSM et direktorat administrativt underlagt Forsvarsdepartementet. Justis- og beredskapsdepartementet har imidlertid et overordnet ansvar og et samordningsansvar for forebyggende sikkerhetsarbeid i sivil sektor og skal innvirke på prosess og resultat i styringen av NSM. NSM har en faglig rapporteringslinje til Justis- og beredskapsdepartementet for saker som gjelder sivil sektor.
Forslaget får konsekvenser for NSMs ansvarsområde og vil medføre behov for økte personellressurser og potensielt et tilhørende behov for utvidelse av bygningsmassen. Følgende endringer vil i hovedsak kunne få betydning for hvor stort det samlede merbehovet til NSM vil bli:
Utvidelse av lovens virkeområde
Utvidelse av objektsikkerhetsregelverket fra skjermingsverdig objekt til også å omhandle skjermingsverdig infrastruktur.
Utvidelse av virkeområdet til også å gjelde informasjonssystemer som ikke behandler sikkerhetsgradert informasjon, men som behandler annen skjermingsverdig informasjon eller som i seg selv er av avgjørende betydning for grunnleggende nasjonale funksjoner.
Økning i antallet potensielle råd- og veiledningsobjekter. Antallet objekter NSM skal føre tilsyn med, vil avhenge av hvor mange sektormyndigheter som vil bli tildelt tilsynsansvar innen sin sektor. Videre vil antallet kontrollobjekter øke, i tillegg til at et økt antall virksomheter under sikkerhetsloven vil kunne medføre økt behov, og muligheter for, utplassering av sensorer i varslingssystemet for digital infrastruktur.
Rapportering fra de autorisasjonsansvarlige til NSM om hvilket personell som har blitt autorisert i den enkelte virksomhet for at opplysninger om dette kan legges inn i det sentrale klareringsregisteret, og anmodninger fra Politiets sikkerhetstjeneste vedrørende dette.
NSM har estimert det økonomiske merbehovet som følge av ny sikkerhetslov til å være i et spenn fra om lag 25 mill. kroner til i underkant av 105 mill. kroner i 2017-kroner. Middelsestimatet gir et netto merbehov for NSM på om lag 60 mill. kroner i 2017-kroner. Sistnevnte tilsvarer en budsjettøkning på 27,5 prosent, sammenholdt med regnskapet for 2016. Estimatene avhenger, som nevnt over, blant annet av hvor mange og hvilke virksomheter som blir omfattet av loven, hvor mange sektormyndigheter som vil bli tildelt tilsynsansvar innen sin sektor, antall tilsynsobjekter og omfanget av råd og veiledningsarbeidet.
Som et sentralt element i langtidsplanen for den videre utviklingen av forsvarssektoren, jf. Innst. 62 S (2016–2017) til Prop. 151 S (2016–2017), er det lagt opp til en større budsjettramme for NSM, for å styrke det forebyggede sikkerhetsarbeidet som et sentralt ledd i å øke Forsvarets operative evne og for å forbedre sikkerheten i samfunnet for øvrig. Langtidsplanen tar særlig sikte på å forbedre NSMs evne til, og mulighet for, IKT-tilsyn, håndtering av IKT-angrep, råd og veiledning og til å ivareta fagmyndighetsrollen innenfor personellsikkerhet.
Økt behov for økonomiske ressurser til NSM som følge av ny sikkerhetslov vil komme i tillegg til de allerede planlagte økningene som følger av Stortingets tilslutning til langtidsplanen for forsvarssektoren for perioden 2017–2020. Det økonomiske merbehovet for NSM vil måtte avklares nærmere i forbindelse med det videre forskrifts- og veiledningsarbeidet. Det antas i utgangspunktet at hoveddelen av merbehovet først vil realiseres mot slutten av inneværende langtidsplanperiode.