Prop. 153 L (2016–2017)

Lov om nasjonal sikkerhet (sikkerhetsloven)

Til innholdsfortegnelse

19 Merknader til de enkelte bestemmelsene

19.1 Kapittel 1 Formål og virkeområde

Til § 1-1

Bestemmelsen er en videreføring av det materielle innholdet i utvalgets forslag, men det er gjort språklige og strukturelle endringer.

I bokstav a slås det fast at loven skal bidra til å trygge Norges suverenitet, territorielle integritet og demokratiske styreform og andre nasjonale sikkerhetsinteresser. Suverenitet og territoriell integritet skal per definisjon være uavkortet, med de begrensninger og tilpasninger som følger av Norges folkerettslige forpliktelser, herunder EØS-avtalen. Ingen andre land eller organisasjoner skal kunne frata Norge råderett over egne anliggender. Landets øverste statsorganer må ha handlefrihet og kontroll innen norsk territorium. Videre innebærer suverenitet evne til å hevde nasjonens interesser internasjonalt ved at Norge fører en selvstendig og egendefinert utenrikspolitikk. En forsvarlig beskyttelse vil være avgjørende for å opprettholde rettsstatens og demokratiets grunnleggende verdier. Det vises for øvrig til beskrivelsen av suverenitet i Meld. St. 32 (2015–2016) (Svalbard-meldingen kapittel 3.1, side 17), der det slås fast at «[s]uverenitet vil si at en stat har eksklusiv råderett over sitt territorium og eksklusiv rett til å utøve myndighet der, f.eks. rett til å vedta og å håndheve lover og andre regler.» Nasjonale sikkerhetsinteresser omfatter de tre omtalte og viktigste interessene som framheves i denne bokstaven, i tillegg til kategoriene som oppregnes i legaldefinisjonen av begrepet i § 1-5 nr. 1. Bruken av begrepet nasjonale sikkerhetsinteresser i formålsbestemmelsen innebærer en endring sammenliknet med utvalgets lovforslag. Dette er nærmere beskrevet under departementets vurderinger i kapittel 6.4.2.

I bokstav b spesifiseres det at loven skal bidra til å forebygge, avdekke og motvirke sikkerhetstruende virksomhet. I dette ligger at loven skal fastsette krav til sikkerhetstiltak som skal redusere risikoen for at nasjonale sikkerhetsinteresser rammes av hendelser som skyldes eller er knyttet til sikkerhetstruende virksomhet. Sikkerhetstiltakene skal også redusere skadene eller konsekvensene av slike uønskede hendelser. De nasjonale sikkerhetsinteressene og de grunnleggende nasjonale funksjonene som understøtter dem, hviler på de enkelte virksomhetene som er underlagt loven. Det er dermed i stor grad virksomhetenes sikkerhetstiltak som skal redusere risikoen i forbindelse med uønskede hendelser som følge av eller knyttet til sikkerhetstruende virksomhet. Begrepet motvirke, som er brukt i utvalgets forslag, er supplert med avdekke og forebygge for mer presist å angi hva slags sikkerhetstiltak det kan være tale om og for å dekke flere dimensjoner av etterretnings- og sikkerhetstjenestenes arbeid. For en virksomhet som er underlagt loven, vil tiltakene hovedsakelig dreie seg om å forebygge uønskede hendelser knyttet til sikkerhetstruende virksomhet, særlig gjennom å redusere virksomhetens egne sårbarheter. Etterretnings- og sikkerhetstjenestenes arbeid vil i tillegg dreie seg om å avdekke og motvirke sikkerhetstruende virksomhet.

Begrepet sikkerhetstruende virksomhet erstatter utvalgets tilsiktede uønskede hendelser. Med sikkerhetstruende virksomhet menes tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser, jf. definisjonen i § 1-5 nr. 4. Begrepet er også ment å omfatte hendelser slike handlinger forårsaker. Tilsiktede handlinger som direkte kan skade innebærer handlinger der intensjonen er å påføre en eller annen form for skade på nasjonale sikkerhetsinteresser. Dette vil blant annet kunne omfatte sabotasje- eller terroraksjoner der målet er å ramme en viktig samfunnsfunksjon for slik å skade myndighetenes styringsevne eller andre interesser. Med tilsiktede handlinger som indirekte kan skade menes handlinger der intensjonen ikke nødvendigvis er å skade nasjonale sikkerhetsinteresser, men der konsekvensen eller hendelsen som følger av den tilsiktede handlingen, kan skade sikkerhetsinteressene. Dette vil for eksempel kunne innebære spionasje fra en fremmed stat, der målet ikke først og fremst er å skade norske interesser, men snarere å fremme egne interesser. Resultatet av spionasjen kan imidlertid, i en tilspisset situasjon eller i en forhandlingssituasjon mellom den fremmede staten og Norge, skade norske interesser. I likhet med dagens sikkerhetslov tar loven sikte på å beskytte nasjonale sikkerhetsinteresser mot terrorhandlinger, sabotasje og spionasje. Loven er imidlertid ikke avgrenset til å gjelde for bare disse truslene. Det tas sikte på å beskytte mot alle typer tilsiktede handlinger som kan utgjøre en trussel mot de nasjonale sikkerhetsinteressene. Denne avgrensningen vil i seg selv være styrende for hvilke typer tilsiktede handlinger som vil være aktuelle. Eksempelvis vil annen alvorlig kriminalitet, herunder organisert kriminalitet, også kunne ha store skadefølger for nasjonale sikkerhetsinteresser. Betydningen av sikkerhetstruende virksomhet er således noe utvidet sammenliknet med gjeldende sikkerhetslov, jf. definisjonen av begrepet i § 1-5 nr. 4 og beskrivelsen i kapittel 6.4.2.

Virkemidler som er tilgjengelige for å sikre nasjonale sikkerhetsinteresser, kan på samme tid gjøre at de samme interessene og verdiene det tas sikte på å beskytte, kommer under press. Av bestemmelsens bokstav c følger det derfor at sikkerhetstiltak som iverksettes for å ivareta lovens formål, skal gjennomføres på en måte som er i samsvar med grunnleggende rettsprinsipper og verdier i et demokratisk samfunn. Med grunnleggende rettsprinsipper og verdier menes blant annet hensynet til den enkeltes personvern og rettssikkerhet. I dette ligger en presisering av at det kun er de sikkerhetsmessige tiltakene som er nødvendige og forholdsmessige, og har en dokumentert effekt, som skal iverksettes. Det ligger også en plikt til å vurdere alternative og mindre inngripende tilnærminger for å oppnå samme effekt. Bokstav c er en videreføring av utvalgets forslag til § 1-1 andre ledd.

Til § 1-2

Bestemmelsen er en videreføring av utvalgets forslag, men det er gjort språklige og strukturelle endringer. Enkelte særbestemmelser om virkeområdet er flyttet fra § 1-3 til § 1-2.

I første ledd angis at loven gjelder for alle statlige, fylkeskommunale og kommunale organer. Dette er en videreføring av gjeldende sikkerhetslov, der betegnelsen forvaltningsorganer brukes. I forskriftshjemmelen i fjerde ledd ligger det også en mulighet for å unnta enkelte statlige, fylkeskommunale eller kommunale organer, slik gjeldende lov § 2 første ledd, fjerde punktum åpner for.

Bestemmelsens andre ledd er en videreføring av gjeldende lov § 2 andre ledd om at leverandører til sikkerhetsgraderte anskaffelser automatisk er omfattet av loven. Leddet er flyttet sammenliknet med utvalgets forslag, der det var plassert i § 1-3.

Bestemmelsens tredje ledd er i hovedsak en videreføring av gjeldende lov § 2 åttende ledd, med de tilpasninger som er nødvendige i en modernisert lov. Med bilandene menes Bouvet-øya, Peter I’s øy og Dronning Maud Land, jf. lov 27. februar 1930 nr. 3 om Bouvet-øya, Peter I’s øy og Dronning Maud Land m.m. (bilandsloven) § 1. Leddet er flyttet sammenliknet med utvalgets forslag, der det var plassert i § 1-3.

Kongen i statsråd er i fjerde ledd gitt myndighet til å gi nærmere forskrifter om lovens virkeområde, der det åpnes for å unnta bestemte virksomheter eller visse typer informasjon, informasjonssystemer, objekter og infrastrukturer. Se blant annet kapittel 10.5.2 og 10.5.3 for omtale av bruk av unntakshjemmelen. Myndigheten kan ikke delegeres, jf. den nærmere omtalen av dette i NOU 2016: 19 i kapittel 7.7.10.

Det vises for øvrig til departementets vurderinger i kapittel 6.4.3

Til § 1-3

Bestemmelsen er en videreføring av utvalgets forslag til § 1-2, men begrenser seg til de virksomhetene som ikke faller inn under lovforslaget § 1-2. Bestemmelsen viderefører også vedtaksbestemmelsen i utvalgets forslag til § 2-1 første ledd bokstav c og andre ledd.

Virksomhetsbegrepet i loven skal forstås vidt og omfatter alle former for virksomhet, uavhengig av eierskap og organisasjonsform. Ved vurderingen av om en virksomhet omfattes, er det uten betydning om det er tale om et privat selskap, et foretak, en forvaltningsbedrift, et hel- eller deleid statlig selskap, et statsforetak, en ideell organisasjon, en stiftelse eller annet.

Bestemmelsens første ledd slår fast at departementene innenfor sitt fagområde skal fatte vedtak om at loven skal gjelde for virksomheter som enten behandler sikkerhetsgradert informasjon etter bokstav a, råder over informasjon, informasjonssystemer, infrastruktur eller objekter etter bokstav b eller driver aktivitet som har avgjørende betydning for grunnleggende nasjonale funksjoner etter bokstav c. Det må vurderes konkret i det enkelte tilfelle om bare deler av loven skal gjelde for virksomheten, og i så fall hvilke deler av loven. Loven kan eksempelvis gjøres gjeldende innenfor informasjonssikkerhet og personellsikkerhet, dersom det ikke er relevant å ta med informasjonssystemsikkerhet eller objekt- og infrastruktursikkerhet. Det kan også være slik at loven bare skal gjelde for deler av den aktuelle virksomheten. For eksempel kan deler av infrastrukturen som en virksomhet råder over være skjermingsverdig, mens andre deler ikke er det.

Hvorvidt en virksomhet råder over vil måtte avgjøres konkret i hvert enkelt tilfelle, ut fra en vurdering av om virksomheten har en faktisk og reell innflytelse eller påvirkningsmulighet over informasjonen, informasjonssystemet, objektet eller infrastrukturen.

Også virksomheter som driver aktivitet av avgjørende betydning for grunnleggende nasjonale funksjoner skal omfattes. Eksempelvis vil selskaper som har en nøkkelkompetanse som er av betydning for slike funksjoner, kunne tenkes å bli omfattet av loven. Normalt vil virksomheter som driver slik aktivitet, også ha en eller annen form for råderett over informasjon, informasjonssystemer, objekter eller infrastruktur, slik at de uansett vil falle inn under lovens virkeområde.

I begrepet avgjørende for grunnleggende nasjonale funksjoner ligger et kvalitetskrav. Det er ikke tilstrekkelig at virksomheter leverer innsatsfaktorer for grunnleggende nasjonale funksjoner, for at de skal falle inn under loven. Det er kun de aktørene som har en så sentral rolle for funksjonene at de må anses som avgjørende for evnen til å opprettholde funksjonsdyktighet, som vil omfattes. Vurderingen skal baseres på hvilken betydning bortfall eller svekkelse av virksomheten har for den funksjonen som virksomheten understøtter. Den nærmere vurderingen av hvilke virksomheter som konkret vil falle inn under lovens virkeområde må gjøres konkret, jf. § 2-1.

Etter bestemmelsens andre ledd skal virksomhetene varsles før vedtak fattes, jf. forvaltningsloven § 16. Vedtaket kan påklages til Kongen i statsråd.

Sikkerhetsmyndigheten kan etter tredje ledd på eget initiativ fremme forslag overfor et departement om å treffe vedtak etter andre ledd. Med et departement menes her det ansvarlige fagdepartementet. Dersom slikt vedtak ikke fattes, og sikkerhetsmyndigheten fastholder sin anbefaling, kan sikkerhetsmyndigheten bringe saken inn for endelig avgjørelse til det departementet som har det overordnede ansvaret for forebyggende sikkerhetsarbeid i sivil sektor, eller det departementet som har det overordnede ansvaret for forebyggende sikkerhetsarbeid i forsvarssektoren. Per i dag følger dette av kronprinsregentens resolusjon 4. juli 2003 om fordeling av ansvar for forebyggende sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet (Justis- og beredskapsdepartementet i sivil sektor og Forsvarsdepartementet i forsvarssektoren).

Etter fjerde ledd skal sikkerhetsmyndigheten treffe vedtak etter første ledd overfor virksomheter som ikke anses å falle inn under et departements ansvarsområde. Dette skal fange opp virksomheter som ikke naturlig tilhører en bestemt samfunnssektor. Ett eksempel kan være satelittbaserte tjenester, se nærmere NOU 2016: 19 kapittel 7.4.8.Vedtak kan påklages til departementet, som her skal forstås på samme måte som i tredje ledd andre punktum.

Til § 1-4

Bestemmelsen er en videreføring av utvalgets forslag når det gjelder i hvilken utstrekning loven gjelder for Stortinget, Stortingets organer, regjeringen og domstolene.

I motsetning til gjeldende sikkerhetslov § 2 sjuende ledd gjøres det ikke direkte unntak for Stortinget og dets organer. Bestemmelsens første ledd slår i stedet fast at loven gjelder for Stortinget og dets organer i den utstrekning Stortinget bestemmer det. Det forutsettes at Stortinget gjør et formelt vedtak om spørsmålet.

Bestemmelsens andre ledd er en videreføring av det vedtatte forslaget i Prop. 97 L (2015–2016) om en lovfesting av en langvarig og fast praksis om at det ikke stilles krav om sikkerhetsklarering og autorisasjon for regjeringens medlemmer og dommere i Høyesterett.

Bestemmelsens tredje ledd er en videreføring av gjeldende lov § 2 femte ledd om særregler for sikkerhetsklarering etter domstolloven og straffeprosessloven. Kongen er gitt myndighet til å fastsette ytterligere særregler.

Til § 1-5

Bestemmelsen angir definisjoner av sentrale begreper i loven.

I nr. 1 defineres nasjonale sikkerhetsinteresser. Begrepet er nærmere beskrevet i kapittel 6.4.2. Begrepet er en utvidelse av gjeldende lovs vitale nasjonale sikkerhetsinteresser og er brukt for å ramme inn interessene som loven skal beskytte. Bruken av begrepet medfører en språklig endring sammenliknet med utvalgets lovforslag, men er ikke ment å innebære en materiell endring.

Grunnleggende nasjonale funksjoner er definert i nr. 2. En funksjon er kun å anse som en grunnleggende nasjonal funksjon dersom den understøtter kategoriene i bokstav a til e i definisjonen av nasjonale sikkerhetsinteresser, og et helt eller delvis bortfall vil kunne få konsekvenser for disse overordnede sikkerhetsinteressene. Begrepet er nærmere beskrevet av utvalget i NOU 2016: 19 kapittel 6.7.2.

I nr. 3 er begrepet forebyggende sikkerhetsarbeid definert. Begrepet tilsvarer i all hovedsak gjeldende lovs forebyggende sikkerhetstjeneste. Det vises til beskrivelsen av begrepet i særmerknaden til § 11-1 i NOU 2016: 19.

Begrepet sikkerhetstruende virksomhet er definert i nr. 4. Begrepet er benyttet i gjeldende lov, men skal forstås videre i departementets lovforslag. Definisjonen, slik den er brukt i departementets lovforslag, er ment å tilsvare utvalgets bruk av tilsiktede uønskede hendelser. Begrepet er nærmere beskrevet i kapittel 6.4.2 og i særmerknaden til § 1-1.

Begrepet nærstående er definert i nr. 5 og er nærmere beskrevet i særmerknaden til § 8-5.

19.2 Kapittel 2 Ansvar og myndighet for forebyggende sikkerhetsarbeid

Til § 2-1

Bestemmelsen er utvidet sammenlignet med gjeldende sikkerhetslov § 4 og følger i hovedsak opp utvalgets forslag til § 2-1.

Bestemmelsen etablerer det enkelte departements ansvar for forebyggende sikkerhetsarbeid, og plikten til å identifisere og holde oversikt over grunnleggende nasjonale funksjoner som omfattes av loven og de virksomheter som har en sentral rolle i å understøtte slike funksjoner.

Første ledd slår fast at hvert enkelt fagdepartement er ansvarlig for forebyggende sikkerhetsarbeid innenfor sitt myndighetsområde. Departementenes ansvarsområde vil følge den til enhver tid sittende regjerings fordeling av ansvar mellom statsrådene og de ulike departementene. Dette innebærer både at de ansvarlige departementene gis myndighet til å fatte vedtak overfor virksomheter i egen sektor, og et særlig ansvar for å følge opp at det skjer et forsvarlig forebyggende sikkerhetsarbeid i sektoren. Ved endring av departementsstrukturen, må regjeringen ta stilling til mulige konsekvenser for fordeling av ansvarsområder etter loven.

Første ledd bokstav a til c slår fast departementenes oppgaver med å identifisere og fatte vedtak overfor de virksomheter som skal omfattes av loven. Det foreslås her en modell som består av tre trinn.

Departementene skal i henhold til bokstav a, først identifisere hvilke grunnleggende nasjonale funksjoner som finnes innenfor eget myndighetsområde. Med holde oversikt over menes at departementenes identifisering skal være en dynamisk prosess som må oppdateres ved behov.

På bakgrunn av departementenes oversikt over grunnleggende nasjonale funksjoner, plikter departementene etter bokstav b, å identifisere og holde oversikt over virksomheter som er av vesentlig betydning for understøttelsen av slike funksjoner.

Det at en virksomhet identifiseres til å være av vesentlig betydning innebærer ikke i seg selv at det påhviler virksomheten plikter etter loven. Det er imidlertid viktig at departementene til enhver tid har en oversikt over hvilke innsatsfaktorer de grunnleggende nasjonale funksjonene er avhengige av for å kunne opprettholde sin funksjonalitet. Generelle samfunnsmessige endringer, eller endringer i det gjeldende trusselbildet, kan også medføre at virksomheter som tidligere ikke har blitt ansett til å være av vesentlig betydning, blir det. Systematikken det legges opp til i bestemmelsen er ment å skulle legge til rette for at slike endringer blir fanget opp.

Ut fra den totale oversikten over grunnleggende nasjonale funksjoner og virksomheter av vesentlig betydning for disse, skal departementet treffe enkeltvedtak etter § 1-3.

Etter første ledd bokstav d skal departementene melde inn til sikkerhetsmyndigheten oversikter etter bokstavene a og b og vedtak etter § 1-3. På den måten skal sikkerhetsmyndigheten kunne ha en helhetlig nasjonal oversikt over hva som regnes som grunnleggende nasjonale funksjoner, og hvilke virksomheter som loven gjelder for.

I bestemmelsens andre ledd foreslås det en hjemmel for Kongen i statsråd til å gi forskrift om departementenes ansvar og myndighet for forebyggende sikkerhetsarbeid.

Til § 2-2

Bestemmelsen er i hovedsak en videreføring av gjeldende sikkerhetslov §§ 8 og 9 og utvalgets forslag til § 2-2.

Bestemmelsen angir sikkerhetsmyndighetens ansvar og myndighet etter loven. I praksis vil funksjonen som sikkerhetsmyndighet ivaretas av den aktøren som blir tildelt myndigheten fra ansvarlig fagdepartement. Ansvaret som tillegges sikkerhetsmyndigheten, er i dag lagt til Nasjonal sikkerhetsmyndighet (NSM). Forslaget innebærer ingen endring av dette.

I første ledd slås det fast at sikkerhetsmyndigheten har det sektorovergripende ansvaret for at forebyggende sikkerhetsarbeid skjer i samsvar med loven. Sikkerhetsmyndighetens ansvar griper ikke inn i de enkelte departementenes ansvar innen eget myndighetsområde. Med sektorovergripende ansvar menes i første rekke ansvaret for at forebyggende sikkerhetsarbeid etter loven har en helhetlig tilnærming, og at sikkerhetsarbeidet mellom ulike departementer og ulike relevante sektormyndigheter blir koordinert. Sikkerhetsmyndighetens ansvar og oppgaver er nærmere konkretisert i andre ledd bokstav a til h.

Etter bokstav a plikter sikkerhetsmyndigheten å påse at det føres tilsyn med at virksomheter oppfyller krav til forebyggende sikkerhetsarbeid. De nærmere reglene om tilsyn følger av loven kapittel 3.

Bokstav b regulerer ansvaret for å utarbeide og vedlikeholde grunnleggende kriterier for tilsyn. Dette vil være kriterier som både sikkerhetsmyndigheten som tilsynsorgan og myndigheter med tilsynsansvar etter loven, vil måtte etterleve. Dette skal legge til rette for en nasjonal enhetlig tilnærming til tilsyn innen forebyggende sikkerhetsarbeid.

Bokstav c setter en plikt for sikkerhetsmyndigheten til å innhente og vurdere informasjon som har betydning for det forebyggende sikkerhetsarbeidet.

I bokstav d reguleres sikkerhetsmyndighetens råd- og veiledningsansvar etter loven. Sikkerhetsmyndigheten skal ha en aktiv rolle når det gjelder konkret rådgivning overfor virksomhetene. Av ressursmessige og praktiske grunner forutsetter departementet at slik rådgivning fortrinnsvis gis gjennom generelle veiledere og felles kursopplegg o.l.

Bokstav e regulerer sikkerhetsmyndighetens plikt til å holde oversikt over de funksjoner og virksomheter som departementene har identifisert etter § 2-1, mens bokstav f angir plikten til å holde oversikt over de virksomheter som departementene og sikkerhetsmyndigheten har fattet vedtak om etter § 1-3. Sikkerhetsmyndighetens plikt innebærer å holde en tverrsektoriell og nasjonal oversikt over de funksjoner og virksomheter som er blitt identifisert av departementene. Plikten til å holde en slik oversikt er en sentral del av sikkerhetsmyndighetens sektorovergripende ansvar, og vil også danne grunnlaget for sikkerhetsmyndighetens forslagsrett overfor departementene når det gjelder virksomheter som bør underlegges loven jf. § 1-3 tredje ledd.

Den tverrsektorielle oversikten innbefatter også et særskilt ansvar for å identifisere gjensidige avhengigheter på tvers av samfunnssektorer og på tvers av virksomheter, slik at denne type avhengigheter kan synliggjøres overfor de ansvarlige departementene. Oversikten vil også bidra til å identifisere virksomheter som ikke faller naturlig inn under et departements ansvarsområde.

Bokstav g gir sikkerhetsmyndigheten plikt til å legge til rette for informasjonsdeling etter § 2-3, mens bokstav h setter krav til sikkerhetsmyndigheten for å bidra til utviklingen av sikkerhetstiltak, og til fastsettelse av krav til forebyggende sikkerhetsarbeid.

I tredje ledd framgår at sikkerhetsmyndigheten er nasjonal fagmyndighet overfor andre land og internasjonale organisasjoner. I denne funksjonen skal sikkerhetsmyndigheten ha nødvendig internasjonalt samarbeid innen forebyggende sikkerhetsarbeid. Med fagmyndighetoverfor andre land og internasjonale organisasjoner menes at sikkerhetsmyndigheten skal være utøvende organ og ivareta Norges sikkerhetsforpliktelser internasjonalt – herunder de sikkerhetsfunksjoner NATO forutsetter at Norge har etablert. Disse internasjonale forpliktelsene er ikke til hinder for at sektormyndigheter kan ha et internasjonalt samarbeid innen sine fagfelt.

I fjerde ledd gis sikkerhetsmyndigheten en rett til uhindret adgang til skjermingsverdig objekt, infrastruktur, informasjonssystem eller informasjon, så langt dette er nødvendig for å gjennomføre oppgavene i eller i medhold av loven.

I femte ledd gis Kongen hjemmel til i forskrift å gi utfyllende bestemmelser om sikkerhetsmyndighetens ansvar for forebyggende sikkerhetsarbeid.

Til § 2-3

Bestemmelsen omhandler sikkerhetsmyndighetens ansvar for å legge til rette for utveksling av informasjon om trusselvurderinger. At bestemmelsen er innrettet som en tilretteleggingsplikt, skyldes primært at sikkerhetsmyndigheten ikke vil ha full råderett over all trussel- og sikkerhetsinformasjon. For informasjon som utarbeides av andre relevante aktører, som Politiets sikkerhetstjeneste og Etterretningstjenesten, vil det i siste instans være opp til disse tjenestene hvorvidt de har anledning til å dele denne informasjonen. All informasjonsutveksling etter denne bestemmelsen må skje innenfor rammene av lovbestemt taushetsplikt og innenfor rammene av den enkelte aktørs lovmessige adgang til å dele slik informasjon. Det vises for øvrig til departementets vurderinger når det gjelder virksomhetenes ansvar for å dele sikkerhetsrelevant informasjon, se kapittel 7.4.3.

Etter første ledd plikter sikkerhetsmyndigheten å legge til rette for at virksomheter som loven gjelder for, får tilgang til informasjon om trusselvurderinger og andre opplysninger som er av betydning for virksomhetenes forebyggende sikkerhetsarbeid, som for eksempel virksomhetenes plikt til å foreta en vurdering av risiko, jf. § 4-2.

Etter andre ledd skal sikkerhetsmyndigheten påse at det etableres nødvendige arenaer for informasjons- og erfaringsutveksling, i samråd med sektormyndigheter og andre relevante myndigheter. Antakelig kan mye av tilretteleggingsansvaret nevnt i første ledd ivaretas gjennom etablering av slike arenaer eller felles arrangementer med øvrige relevante myndigheter.

I tredje ledd gis det hjemmel for Kongen til å gi forskrift om utveksling av trusselvurderinger og annen sikkerhetsinformasjon.

Til § 2-4

Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 9 første ledd bokstav e og § 10 a, med enkelte språklige endringer.

Etter første ledd skal Kongen utpeke en myndighet som skal drive en nasjonal responsfunksjon for digitale angrep og et nasjonalt varslingssystem for digital infrastruktur. Både responsfunksjonen og varslingssystemet har et bredere nedslagsfelt enn sikkerhetslovens virkeområde. Funksjonene har likevel så sterk tilknytning til nasjonalt forebyggende sikkerhetsarbeid, at lovfesting av funksjonene passer best i reguleringen av dette. Det vises til departementets vurderinger i kapittel 7.4.4.

Andre ledd gir myndigheten som skal drive den nasjonale responsfunksjonen og det nasjonale varslingssystemet for digital infrastruktur, hjemmel til å behandle personopplysninger i ulike former når det er nødvendig for å utføre oppgavene etter første ledd. Opplysningene kan være i form av metadata om IKT-trafikk, informasjon som er nødvendig for å analysere utløste alarmer, IP-adresser mottatt fra samarbeidspartnere, eller logger og infisert maskinvare når det er nødvendig for å bistå en virksomhet med å håndtere alvorlige digitale angrep, så framt virksomheten samtykker til det, jf. bokstavene a til d.

Tredje ledd åpner for at myndigheten også kan behandle personopplysninger i andre tilfeller når det er strengt nødvendigfor å utføre oppgavene etter første ledd.

Bestemmelsen er ikke ment å innebære noen materiell endring fra fra gjeldende sikkerhetslov § 9 første ledd bokstav e og § 10 a, jf. Innst. 352 S (2015–2016) til Prop. 97 L (2015–2016).

Til § 2-5

Bestemmelsen er i hovedsak en videreføring av gjeldende sikkerhetslov § 5 a og utvalgets lovforslag § 2-5. Departementet har imidlertid ikke fulgt utvalgets forslag til terskel, stor grad av sannsynlighet for skade, for at Kongen i statsråd kan fatte vedtak, men beholdt gjeldende retts ikke ubetydelig risiko. Første ledd gir Kongen i statsråd kompetanse til å fatte vedtak for å hindre en planlagt eller pågående aktivitet som kan innebære en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet.

Begrepet aktivitet favner vidt. Både iøynefallende aktiviteter som f.eks. oppføring av bygninger eller utplassering av antenner, og mindre synlige aktiviteter, som f.eks. planer om utbygging, ferdsel i et område eller oppkjøp av virksomheter, omfattes av begrepet. Hva gjelder oppkjøp av virksomheter, vil bestemmelsen kunne være et supplement til loven kapittel 10 om eierskapskontroll, eksempelvis der den aktuelle virksomheten det planlegges oppkjøp av ikke er underlagt loven ved enkeltvedtak. Vedtaksmyndigheten omfatter aktiviteter som er planlagt eller pågående, noe som innebærer at den også gjelder aktiviteter som ennå ikke har materialisert seg, men hvor det f.eks. er mottatt en søknad. Dette er viktig for å sikre at potensiell aktivitet som innebærer en risiko kan bli stanset før virksomheten faktisk blir etablert eller gjennomført. Hvilke typer aktivitet bestemmelsen er ment å ramme er verken mulig eller hensiktsmessig å angi nærmere konkret. Bestemmelsen er ment å være en sikkerhetsventil for å kunne hindre enhver aktivitet, uavhengig av hvordan disse materialiserer seg. Det avgjørende vil være hvorvidt aktiviteten har potensial til å innebære en ikke ubetydelig risiko mot nasjonale sikkerhetsinteresser. Det er ikke krav om at aktiviteten må rette seg direkte mot virksomheter som er omfattet av loven. Også aktivitet som mer indirekte eller avledet innebærer en ikke ubetydelig risiko mot nasjonale sikkerhetsinteresser, vil etter forholdene kunne omfattes av bestemmelsen.

Bestemmelsen stiller ikke krav om at det må foreligge en viss bestemt sannsynlighet for at aktiviteten vil innebære en risiko mot nasjonale sikkerhetsinteresser dersom den etableres eller gjennomføres. At aktiviteten skal kunne medføre en ikke ubetydelig risiko, innebærer derimot at vedtaksmyndigheten ikke inntrer hvis dette framstår som usannsynlig, eller det kun er en teoretisk mulighet for det. Terskelen for sannsynlighet må ellers ses i sammenheng med de mulige konsekvensene av den aktuelle aktiviteten. Dersom konsekvensen for nasjonale sikkerhetsinteresser kan bli katastrofal, vil også terskelen for når det fattes vedtak bli lav. Motsatt vil terskelen kunne heves dersom konsekvensen av den aktuelle aktiviteten regnes som liten.

Begrepet nasjonale sikkerhetsinteresser skal forstås på samme måte som i § 1-1.

Bestemmelsen gir Kongen i statsråd hjemmel til å fatte nødvendige vedtak. Hvilke vedtak Kongen i statsråd kan fatte med hjemmel i første ledd, vil avhenge av hvilken type aktivitet det tas sikte på å hindre. Heller ikke for vedtak vil det være mulig eller hensiktsmessig å gi en opplisting av hvilke typer vedtak Kongen i statsråd kan fatte med hjemmel i bestemmelsen, ut over at de må være egnet til å kunne hindre den aktuelle aktiviteten. At vedtaket skal være nødvendig innebærer imidlertid at Kongen i statsråd ikke skal fatte mer byrdefulle vedtak enn det som er påkrevd, og som vurderes som rimelig i den konkrete saken. Bestemmelsen vil som nevnt over være en sikkerhetsventil, og den forutsettes benyttet kun i helt spesielle tilfeller. Kompetansen til å fatte vedtak er lagt til Kongen i statsråd, og den kan ikke delegeres. Departementet legger til grunn at det vil være tale om et lite antall saker, og at disse sakene etter sin art vil være alvorlige og spesielle, jf. også formålet med sikkerhetsloven. At kompetansen legges til Kongen i statsråd sikrer at eventuelle tiltak som iverksettes, er resultat av en vurdering på høyt nivå, og at de står i et rimelig forhold til den foreliggende risikoen.

Det følger av første ledd andre punktum at vedtak etter første punktum kan fattes uten hensyn til begrensningene i forvaltningsloven § 35. Bestemmelsen tar høyde for tilfeller der forvaltningen allerede har fattet et vedtak, og det av hensyn til risiko mot nasjonale sikkerhetsinteresser anses nødvendig å omgjøre vedtaket. Videre slås det i bestemmelsen fast at vedtak etter første punktum også kan fattes uten hensyn til om aktiviteten er tillatt etter annen lov eller annet vedtak. Et vedtak av Kongen i statsråd kan derfor i praksis sette til side en rekke ulike former for vedtak og aktiviteter som i utgangspunktet er tillatt, f.eks. nekte gjennomføring eller stille ytterligere vilkår for en byggetillatelse, frekvenstillatelse, ferdselsrett, jaktrett, en våpentillatelse eller et privat oppkjøp av en virksomhet.

Etter andre ledd bør det før det fattes vedtak innhentes rådgivende uttalelser fra relevante organer med kompetanse innenfor det aktuelle fagområdet. Det vil være det departementet som mottar varsel som må vurdere saken og avgjøre hvordan den skal håndteres. Departementet som mottar varselet har også ansvaret for å innhente rådgivende uttalelser. Både Politiets sikkerhetstjeneste, Nasjonal sikkerhetsmyndighet og Etterretningstjenesten kan være aktuelle og naturlige organer å konsultere i slike situasjoner. Etter omstendighetene kan det også være aktuelt å innhente rådgivende uttalelser fra andre virksomheter med særlig kompetanse innen det aktuelle fagområdet. Det klare utgangspunktet skal her være at slike uttalelser skal innhentes. Departementet foreslår likevel ingen lovfestet plikt til dette. Å innhente en uttalelse vil i enkelte tilfeller være åpenbart unødvendig, og må derfor kunne unnlates. Dette kan for eksempel være aktuelt dersom saken vurderes å være tilfredsstillende opplyst gjennom varslingen, eller at varselet vurderes å være åpenbart grunnløst.

I tredje ledd er det fastsatt at vedtak etter første punktum er tvangsgrunnlag etter tvangsfullbyrdelsesloven kapittel 13. Dette innebærer at vedtak som fattes av Kongen i statsråd, kan tvangsfullbyrdes av namsmyndighetene, uten at man først må få dom for dette. Slik tvangsfullbyrdelse kan f.eks. gå ut på fravikelse av fast eiendom, ved at personer eller løsøre fjernes fra eiendommen etter tvangsfullbyrdelsesloven § 13-11, rett for staten til å gjennomføre riving eller fjerning av installasjoner etter tvangsfullbyrdelsesloven § 13-14 første ledd, eller pålegg om å stille sikkerhet etter tvangsfullbyrdelsesloven § 13-16 første ledd.

Etter fjerde ledd kan Kongen i statsråd gi forskrift om hvilke vedtak som kan fattes etter første ledd. Forskriftskompetansen er således lagt på samme nivå som kompetansen til å fatte vedtak, og heller ikke denne kompetansen kan delegeres til andre.

19.3 Kapittel 3 Tilsyn

Til § 3-1

Bestemmelsen regulerer fordelingen av tilsynsansvaret etter loven. Bestemmelsen er en videreføring av gjeldende rett, men åpner, i tråd med utvalgets forslag, for at tilsyn kan delegeres til sektormyndigheten i den enkelte sektor.

Det framgår av første ledd at det er sikkerhetsmyndigheten som fører tilsyn etter loven.

Etter andre ledd kan departementet bestemme at myndigheter med sektoransvar, som fører tilsyn med beskyttelse av informasjon, informasjonssystemer, objekter eller infrastruktur, skal føre tilsyn med virksomheter som er omfattet av loven. Det er tilstrekkelig at myndigheten med sektoransvar allerede fører tilsyn innenfor et eller flere av disse fagområdene. Departementet er det departement som har det overordnede ansvaret for forebyggende sikkerhetsarbeid i sektoren, jf. § 2-1. Bestemmelsen forutsetter at det foretas en helhetsvurdering i samarbeid med sikkerhetsmyndigheten, hvor det skal vurderes om den aktuelle myndigheten har nødvendige sikkerhetsfaglig kompetanse, eller kan opparbeide seg slik kompetanse uten uforholdsmessig høye utgifter, til å ivareta tilsynsansvaret på en forsvarlig måte. Et moment i denne vurderingen er om sektortilsynet allerede fører tilsyn med sikring gjennom sektorlovgivningen. Myndigheten med sektoransvar må også oppfylle de krav som oppstilles i forskrift, jf. § 3-1 fjerde ledd.

Etter andre ledd, andre punktum skal sikkerhetsmyndigheten, dersom det er nødvendig av hensyn til internasjonale forpliktelser, eller det er tvingende nødvendig, føre tilsyn med virksomheter uavhengig av om en myndighet med sektoransvar er gitt tilsynsansvaret for sektoren. Internasjonale forpliktelser kan for eksempel være knyttet til behandling av gradert informasjon gjennom bi- eller multilaterale avtaler med andre stater eller internasjonale organisasjoner. Tvingende nødvending forutsetter at det foreligger konkrete sikkerhetsinteresser som tilsier at sikkerhetsmyndigheten skal føre tilsyn. Bestemmelsen er ment som en sikkerhetsventil, som kun skal benyttes i spesielle tilfeller.

Sikkerhetsmyndigheten skal i henhold til tredje ledd føre tilsyn med departementene og de myndighetene med sektoransvar som er tillagt tilsynsansvar etter andreledd. Tilsyn med myndighetene med sektoransvar må ses i sammenheng med at sikkerhetsmyndigheten har et sektorovergripende ansvar, som også innebærer å påse at det føres tilsyn med at lovens bestemmelser overholdes.

Fjerde ledd gir Kongen hjemmel til å gi bestemmelser i forskrift om departementenes tildeling av tilsynsansvar, og om fordeling av ansvaret mellom sikkerhetsmyndigheten og aktuelle myndigheter med sektoransvar.

Til § 3-2

Bestemmelsen regulerer samarbeids- og samordningsplikten mellom sikkerhetsmyndigheten og myndigheter med tilsynsansvar etter § 3-1 andre ledd. Bestemmelsen er en videreføring av utvalgets forslag.

Første ledd oppstiller krav om at det skal inngås en avtale om samarbeid mellom sikkerhetsmyndigheten og myndigheten med tilsynsansvar. Samarbeidsavtalen bør inneholde ansvarsfordelingen mellom myndighetene knyttet til gjennomføring av tilsyn i den aktuelle sektoren. Avtalen bør også inneholde rammene for samarbeidet, herunder hvordan tilstrekkelig sikkerhetsfaglig kompetanse skal sikres i den aktuelle sektoren, og hvordan sektorspesifikk kompetanse skal deles med sikkerhetsmyndigheten.

Andre ledd pålegger sikkerhetsmyndigheten å utarbeide og vedlikeholde grunnleggende kriterier for tilsyn etter loven, og legge til rette for opplæring av tilsynspersonell. Kriteriene kan fastsettes i forskrift eller i instruks, og skal ivareta lovens formål innenfor alle sektorene. Forebyggende sikkerhetsarbeid er en kontinuerlig prosess, hvor tilsyn er et av verktøyene for å avdekke behov for nye sikkerhetstiltak. Det forebyggende sikkerhetsarbeidet forutsetter derfor at sikkerhetsmyndigheten gis mulighet til å påvirke hva det skal føres tilsyn med og hvordan tilsyn gjennomføres. Sikkerhetsmyndigheten skal gjennom kriteriene, gi overordnede føringer som skal sikre at lovens formål ivaretas, også i de tilfellene hvor tilsynsansvaret etter loven er gitt til en sektormyndighet. Bestemmelsen legger imidlertid opp til at myndighetene med tilsynsansvar har adgang til å supplere de overordnede føringene, med spesifikke kriterier som er tilpasset den enkelte samfunnssektor.

Det er også en viktig del av det forebyggende sikkerhetsarbeidet at sikkerhetsmyndigheten bidrar til å sikre at tilsynspersonell har tilstrekkelig sikkerhetsfaglig kompetanse. Sikkerhetsmyndigheten skal derfor legge til rette for sikkerhetsfaglig opplæring av tilsynspersonell. Det vil være naturlig at det etableres egne program for tilsynspersonell, eksempelvis på kurssenteret til Nasjonal sikkerhetsmyndighet.

Tredje ledd første punktum gir sikkerhetsmyndigheten adgang til å medvirke til forberedelse og gjennomføring av tilsyn dersom det er nødvendig. Det vil eksempelvis kunne være nødvendig dersom sikkerhetsmyndigheten har behov for innsikt i den enkelte samfunnssektor, for bl.a. å kunne avdekke behov for nye sikkerhetstiltak. Denne adgangen er begrunnet i sikkerhetsmyndighetens sektorovergripende ansvar for forebyggende sikkerhet. Gjennom deltakelse vil sikkerhetsmyndigheten kunne kvalitetssikre tilsyn og kunne bidra med sikkerhetsfaglige kompetanse. Sikkerhetsmyndigheten kan også kreve å delta på tilsyn dersom det er nødvendig.

Etter tredje ledd andre punktum kan myndigheter med tilsynsansvar be sikkerhetsmyndigheten om bistand til forberedelser og gjennomføring av tilsyn. Hva sikkerhetsmyndigheten skal bistå med, og hvordan bistanden skal ytes, bør reguleres i samarbeidsavtalen, jf. første ledd.

Fjerde ledd pålegger myndighetene med tilsynsansvar å orientere sikkerhetsmyndigheten om planlagte tilsyn, rapportere om gjennomførte tilsyn og informere om eventuelle avvik og pålegg. Formålet med rapporteringsplikten er å sikre at sikkerhetsmyndigheten får tilgang til nødvendig informasjon for å kunne utvikle nye sikkerhetskrav, som igjen er nødvendig for at sikkerhetsmyndigheten skal kunne ivareta sitt sektorovergripende ansvar for forebyggende sikkerhet.

Femte ledd gir Kongen hjemmel til å gi forskrift om samarbeid og informasjonsutveksling mellom sikkerhetsmyndigheten og myndighetene med tilsynsansvar. De nærmere reglene for tilsyn vil framgå av forskrift.

Til § 3-3

Bestemmelsen angir generelle prinsipper for gjennomføring av tilsyn etter loven. Bestemmelsen er en videreføring av gjeldende rett, men utvides, i tråd med utvalgets forslag, til også å regulere behandlingen av opplysninger som innhentes ved tilsyn. Med tilsynsmyndighet menes både sikkerhetsmyndigheten og myndigheter med tilsynsansvar etter loven.

I første ledd slås det fast at tilsyn etter loven skal skje på en slik måte at tilsynsobjektenes daglige drift ikke forstyrres mer enn nødvendig. Tilsyn kan være en belastning for virksomhetene som utsettes for dette, både ved at det er ressurskrevende å forberede tilsyn og ved at stedlig tilsyn potensielt kan medføre at den daglige driften blir redusert i den perioden tilsynet pågår. En god forutgående dialog mellom tilsynsmyndigheten og tilsynsobjektet, hvor dette er mulig uten å undergrave formålet med tilsynet, vil i de fleste tilfeller redusere unødvendig merarbeid og potensiell negativ innvirkning på daglig drift.

Andre ledd avgrenser bruken av opplysninger som innhentes som ledd i tilsynet, til bruk i forbindelse med tilsynet og i det forebyggende sikkerhetsarbeidet. I forbindelse med det forebyggende sikkerhetsarbeidet vil si at opplysningene kan tenkes brukt til å samle erfaring fra tilsyn, i risikovurderinger og i vurderinger av sikkerhetstilstanden i sektorene. Opplysningene kan også brukes til utvikling og forbedring av sikkerhetstiltak, videreutvikling av tilsynsvirksomheten, forbedring av rådgivningsarbeidet og avdekke behov for utarbeidelse av veiledninger mv. Videre kan erfaringer fra tilsyn brukes til utdanning og kompetanseheving av tilsynspersonell. En forutsetning for bruken er at denne skjer innenfor lovens formål.

Til § 3-4

Stedlig tilsyn er tilsyn som gjennomføres hos en virksomhet. Gjennomføring av stedlige tilsyn forutsetter at tilsynsmyndigheten får tilgang til tilsynsobjektet, enten det er informasjon, objekt, infrastruktur eller relevant sikkerhetspersonell i virksomheten. Bestemmelsen er en videreføring av gjeldende rett og utvalgets forslag men med enkelte språklige justeringer.

Første ledd fastslår at tilsynsmyndigheten kan kreve å få tilgang til virksomhetens informasjon, informasjonssystemer, objekter og infrastruktur. Første ledd andre punktum pålegger virksomheten som blir underlagt tilsyn å stille med relevant personell under tilsynet, så langt det er nødvendig for å få gjennomført tilsynet.

Andre ledd slår fast at stedlige tilsyn skal varsles skriftlig. Dersom et varsel vil kunne undergrave formålet med tilsynet, kan tilsyn likevel gjennomføres uten varsel.

Til § 3-5

Bestemmelsen inneholder særlige bestemmelser om tilsynsmyndighetens behandling av personopplysninger.

Som ledd i tilsynsvirksomheten vil tilsynsmyndigheten kunne få tilgang til personopplysninger, enten fordi det er behov for å behandle slike opplysninger eller som overskuddsinformasjon.

Første ledd etablerer et generelt hjemmelsgrunnlag for behandling av personopplysninger der dette er nødvendig for å utføre tilsynsoppgavene etter loven.

I andre ledd slås det fast at tilsynsmyndighetens behandling av personopplysninger ikke skal utgjøre et uforholdsmessig inngrep i personvernet. Behandling kan skje der det etter en konkret vurdering er nødvendig og proporsjonalt i forhold til det inngrepet behandlingen representerer.

I tredje ledd gis det nærmere prosedyreregler for tilsynsmyndighetenes behandling av personopplysninger. Som hovedregel skal personopplysninger kun behandles ved hjelp av virksomhetens egne informasjonssystemer. Tilsynsmyndigheten kan kreve kopi av personopplysninger i den utstrekning dette er nødvendig for å påvise eller avkrefte lovbrudd.

Til § 3-6

Bestemmelsen gir tilsynsmyndigheten hjemmel til å gi pålegg. Bestemmelsen viderefører utvalgets forslag. Et pålegg behøver ikke å omfatte gjennomføring av et konkret tiltak, kun at det må gjennomføres tiltak for å korrigere et avvik fra lovens krav. I de tilfellene hvor det pålegges konkrete tiltak, må disse være nødvendige for å ivareta lovens formål, og kostnadene forbundet med pålegget må være rimelige sett i forhold til det som kan oppnås ved tiltaket. Det må foretas en konkret vurdering av om tiltakene er uforholdsmessig kostbare, sett i forhold til hva som er en akseptabel restrisiko for virksomheten, jf. § 4-3.

Andre ledd gir sikkerhetsmyndigheten mulighet til å gi myndigheter med tilsynsansvar pålegg om å føre tilsyn i samsvar med krav fastsatt i eller i medhold av loven. Adgangen forutsetter at myndigheten med tilsynsansvar ikke fører tilsyn eller at tilsynene ikke er gjennomført i tråd med de fastsatte kriteriene i eller i medhold av loven.

I tredje ledd slås det fast at pålegg etter første og andre ledd kan påklages. For selvstendige rettssubjekter gjelder reglene i forvaltningsloven kapittel VI.

19.4 Kapittel 4 Generelle krav til forebyggende sikkerhetsarbeid

Til § 4-1

Første ledd første punktum slår fast at det er ledelsen i virksomheten som har ansvaret for det forebyggende sikkerhetsarbeidet. Ansvaret kan delegeres, men en god forankring hos ledelsen er avgjørende for et godt og tilstrekkelig prioritert sikkerhetsarbeid. Bestemmelsen slår også fast at det skal gjennomføres intern kontroll av sikkerhetstilstanden i virksomheten. Bestemmelsen er en videreføring av gjeldende rett, men tydeliggjøres i tråd med utvalgets forslag. Det er også gjort enkelte språklige justeringer i forhold til utvalgets forslag.

Andre ledd presiserer at virksomheten har et ansvar for å sørge for opplæring av eget personell, og en plikt til å sørge for at leverandører, underleverandører og andre oppdragstakere har tilstrekkelig risiko- og sikkerhetsforståelse. Formålet med bestemmelsen er å slå uttrykkelig fast at en virksomhet ikke kan frasi seg ansvaret for det forebyggende sikkerhetsarbeidet. Leverandører til sikkerhetsgraderte anskaffelser vil ha et selvstendig ansvar for det forebyggende sikkerhetsarbeidet i forbindelse med den konkrete anskaffelsen, herunder en plikt til å sørge for opplæring av eget personell, jf. § 1-2 andre ledd og lovens kapittel 9.

Til § 4-2

Bestemmelsen er ny i den forstand at gjeldende rett ikke oppstiller en eksplisitt plikt for virksomhetene til å foreta en vurdering av risiko. Det framgår av gjeldende sikkerhetslov og av forskrift om sikkerhetsadministrasjon at «[e]nhver virksomhet plikter å utøve forebyggende sikkerhetstjeneste». § 4-2 innebærer således en klargjøring av hva en sentral del av det forebyggende sikkerhetsarbeidet består i. Bestemmelsen er i hovedsak en videreføring av utvalgets forslag til § 4-3. Imidlertid videreføres ikke forslaget om at det skal gjennomføres en risiko- og sårbarhetsanalyse (ROS-analyse).

Første ledd regulerer virksomhetens plikt til å gjennomføre en vurdering av risiko, som grunnlag for virksomhetens plikt til å gjennomføre forebyggende sikkerhetstiltak etter loven.

Vurderingen er ikke knyttet opp mot bruk av en spesiell standard, men skal gjøres for å kartlegge den risikoen virksomheten er utsatt for. Vurderingen skal skape bevissthet og kunnskap om risiko- og sikkerhetsnivået, og danne grunnlaget for målrettet å kunne unngå/redusere virkninger av handlinger som kan skade informasjon, informasjonssystemer, infrastruktur og objekter som er beskyttet av loven. Vurderingen skal gi grunnlag for prioriteringer av hvilke tiltak som bør iverksettes. Med regelmessig menes at risikovurderingene må oppdateres slik at det tas høyde for endringer av sårbarheter, trusler eller verdier.

En forutsetning for å kunne gjøre en tilfredsstillende vurdering, er at de ulike virksomhetene blir satt i stand til å forstå det til enhver tid gjeldende trusselbildet. Bestemmelsen må således ses i sammenheng med sikkerhetsmyndighetens plikt til aktiv rådgivning og veiledning, jf. § 2-2, og plikten til å legge til rette for tilgjengeliggjøring av trusselinformasjon og annen sikkerhetsrelevant informasjon, jf. § 2-3.

Av andre ledd følger at virksomheten som en del av vurderingen også må kartlegge hvilke andre virksomheter den er avhengig av, for å opprettholde sin funksjon. I lovbestemmelsen fastsettes ingen nærmere avgrensning av kartleggingen. I utgangspunktet vil det imidlertid være de virksomhetene som ved bortfall, vil få en direkte konsekvens for virksomhetens funksjon etter loven.

I bestemmelsens tredje ledd pålegges virksomheten å gjennomgå, og om nødvendig revidere, vurderingen av risiko på jevnlig basis. Arbeidet skal være en dynamisk prosess, som skal ta høyde for endringer i gjeldende trusselsituasjon, virksomhetens sårbarheter og andre sikkerhetsrelevante endringer. Når, og hvor ofte, en virksomhet må gjennomføre en slik vurdering vil i stor grad være situasjonsbetinget.

Etter fjerde ledd skal den myndigheten som utfører tilsyn, også etter forespørsel gi råd og veiledning knyttet til vurderingen. Som hovedregel vil plikten til å gi råd og veiledning etter bestemmelsen følge fordelingen av tilsynsansvaret etter § 3-1. Råd- og veiledningsplikten er nærmere beskrevet under kapittel 8.4. Det vil imidlertid kunne være forhold som gjør at ansvarsfordelingen bør eller må være annerledes. For enkelte sektormyndigheter vil eksempelvis EØS-rettslige forpliktelser sette begrensninger for hvor langt sektormyndigheten kan gå i forhold til konkret rådgivning overfor virksomheter i egen sektor. Hvorvidt det er sikkerhetsmyndigheten eller aktuelle sektormyndigheter som skal bistå virksomheten i slike situasjoner, bør fastlegges i samarbeidsavtalen mellom dem.

I bestemmelsens femte ledd gis Kongen myndighet til å fastsette nærmere bestemmelser om hvordan vurdering av risiko skal gjennomføres. Dette vil blant annet innebære om det skal benyttes standarder, i så fall hvilke, hvor regelmessig vurderinger må gjennomføres, og en nærmere angivelse av kartleggingen av gjensidige avhengigheter mellom virksomheter.

Til § 4-3

Bestemmelsen er en videreføring og klargjøring av gjeldende rett, og regulerer de generelle pliktene til å gjennomføre sikkerhetstiltak for virksomheter som er underlagt loven. Bestemmelsen viderefører i hovedsak utvalgets forslag til §§ 4-1 og 4-5.

Første ledd slår fast at virksomheten plikter å gjennomføre de forebyggende sikkerhetstiltak som må til for å gi et forsvarlig sikkerhetsnivå og redusere risikoen knyttet til sikkerhetstruende virksomhet. Med begrepet knyttet til menes at sikkerhetstiltakene både skal omfatte tiltak som reduserer risikoen for at slik virksomhet inntreffer, og tiltak som reduserer konsekvensene av slik virksomhet ved å redusere skadeomfanget. Nødvendig reduksjon av risiko kan både skje ved enkeltstående tiltak eller kombinasjoner av flere typer tiltak. Kombinasjoner av tiltak vil ofte være aktuelt. Tiltak kan være av en art som direkte reduserer sannsynligheten for at hendelser rammer et spesifikt objekt eller en infrastruktur. Eksempler på dette er ulike former for barrierer, systemer for tidlig deteksjon av uønskede hendelser, verifikasjonssystemer og ulike former for reaksjon for å stoppe eller redusere omfanget av slike hendelser. Reduksjon av risiko kan også bestå av tiltak som reduserer skadevirkningene dersom en hendelse inntreffer. Dette kan enten være tiltak som baseres på økt redundans eller økt resiliens, eller en kombinasjon av slike tiltak. Høy redundans innebærer at det er flere enheter eller delsystemer som bidrar til å opprettholde funksjonen. Dersom noen av enhetene eller delsystemene mister sin funksjon, vil de øvrige kunne fylle funksjonen til den eller de som er falt ut, og dermed forhindre alvorlige konsekvenser. Høy resiliens betyr at funksjonen har stor evne til raskt å gjenopprette normaltilstand dersom hele eller deler av funksjonen blir påvirket av en hendelse. Egenberedskap kan også være et nødvendig og hensiktsmessig risikoreduserende tiltak, for eksempel ved bortfall av strømforsyning.

Grunnlaget for virksomhetens sikkerhetstiltak skal være virksomhetens vurdering av risiko, jf. § 4-2.

Begrepet forsvarlig sikkerhetsnivå er en rettslig standard som trekker opp rammene for hvilket handlingsrom virksomheten har for etablering av sikkerhetstiltak. Innholdet i den rettslige standarden er nærmere omtalt i kapittel 9.4.

Sikkerhetstiltakene skal inkludere alle tiltak for å ivareta lovens formål, herunder informasjonssikkerhet, informasjonssystemsikkerhet, fysisk sikkerhet og personellsikkerhet, samt andre relevante sikkerhetstiltak. Det er kombinasjonen av relevante tiltak som er avgjørende for om virksomheten kan sies å ha et forsvarlig sikkerhetsnivå, ikke de ulike tiltakene vurdert hver for seg. For enkelte virksomheter vil det være umulig, eller uforholdsmessig kostbart, å etablere sikkerhetstiltak som gjør at tilsiktede uønskede hendelser blir helt forhindret. Redundante systemer vil imidlertid kunne redusere risikoen for at slike hendelser får kritiske konsekvenser, slik at kravet til forsvarlig sikkerhetsnivå er oppfylt.

Første ledd andre punktum presiserer at tiltakene som iverksettes for å motvirke tilsiktede uønskede hendelser, kan ses i sammenheng med behov for tiltak for å håndtere annen type risiko. Bestemmelsen legger opp til at virksomheten har en helhetlig tilnærming, hvor kravene til forebyggende sikkerhetsarbeid etter loven kan ses i sammenheng med krav til sikkerhet i andre regelverk. Forutsetningen for at planlegging og gjennomføring kan ses i sammenheng, er at kravene etter sikkerhetsloven oppfylles.

I andre ledd slås det fast at virksomheten, ved vurderingen av hvilke sikkerhetstiltak som skal gjennomføres, skal foreta en forholdsmessighetsvurdering mellom kostnadene ved tiltakene og den sikkerhetsmessige effekten som oppnås. Et absolutt krav er imidlertid at slike vurderinger gjøres innenfor rammen av det som skal til for å oppnå et forsvarlig sikkerhetsnivå etter første ledd.

Bestemmelsens tredje ledd oppstiller et krav til å gjennomføre øvelser. Formålet med øvelser er dels å utdanne og trene eget personell, og dels å teste at sikkerhetstiltak er iverksatt og fungerer etter intensjonen.

Bestemmelsens fjerde ledd inneholder en forskriftshjemmel til å fastsette nærmere plikter for virksomheter som omfattes av loven, og nærmere bestemmelser om øvelser. For nærmere omtale av øvelser, se kapittel 9.4.

Til § 4-4

Bestemmelsen er ny og regulerer virksomhetens plikt til å dokumentere det forebyggende sikkerhetsarbeidet. Formålet med bestemmelsen er å legge til rette for at tilsyn med virksomhetene etter lovens kapittel 3 kan gjennomføres på en effektiv og hensiktsmessig måte. Bestemmelsen er i hovedsak en videreføring av utvalgets forslag til § 4-4.

I bestemmelsen pålegges virksomheten å dokumentere at vurdering av risiko, jf. § 4-2, er gjennomført. Videre skal virksomheten dokumentere at nødvendige tiltak er iverksatt med sikte på å redusere sannsynligheten for, og konsekvensene av, handlinger som har til mål å skade informasjon, informasjonssystemer, objekter og infrastruktur. Det nærmere omfanget av dokumentasjon som er nødvendig, bør fastsettes i forskrift, jf. andre ledd.

Til § 4-5

Bestemmelsen regulerer virksomhetenes varslingsplikt til tilsynsmyndighetene. Bestemmelsen er i hovedsak en videreføring av gjeldende rett, men presiserer at i de tilfellene en sektormyndighet er gitt tilsynsansvar, skal begge myndighetene varsles. En forutsetning for at myndighetene skal kunne ha oversikt over sikkerhetstilstanden i de ulike samfunnssektorene, er at myndighetene får rettidig og tilstrekkelig informasjon om hendelser av betydning, jf. § 2-5.

I første ledd slås det fast at virksomhetene plikter å varsle sikkerhetsmyndigheten og andre myndigheter som skal føre tilsyn i medhold av § 3-1 andre ledd. For at sikkerhetsmyndigheten skal kunne ivareta sitt sektorovergripende ansvar, er det nødvendig at denne har en tilstrekkelig informasjonstilgang om relevante hendelser også i samfunnssektorer der den ikke har et direkte tilsynsansvar. Ved at sikkerhetsmyndigheten får tilgang til varsel fra alle samfunnssektorer, vil denne også ha muligheten til å kartlegge og holde oversikt over trusler som rammer flere samfunnssektorer parallelt, og å gi nødvendig råd, veiledning og tidlig varsling til samfunnssektorer som ennå ikke er berørt av de aktuelle truslene. Virksomheten skal gi slikt varsel i tre tilfeller.

Første ledd bokstav a regulerer de tilfeller der det er klarlagt at virksomheten faktisk er rammet av sikkerhetstruende virksomhet, det vil si en tilsiktet handling som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser, jf. definisjonen i § 1-5.

Varslingsplikten inntrer bare der den aktuelle handlingen er rettet mot den aktuelle virksomheten.

Etter første ledd bokstav b inntrer varslingsplikten også der det er en begrunnet mistanke om at sikkerhetstruende virksomhet er gjennomført eller planlagt. I begrepet begrunnet mistanke ligger et krav om at det må være en viss grad av sannsynlighet før varslingsplikten inntrer. Der det foreligger en mistanke om at slik virksomhet er planlagt, vil virksomheten uansett ha en egeninteresse i å varsle myndighetene slik at nødvendige tiltak for å avverge hendelsen kan iverksettes.

Etter bokstav c skal virksomheten også varsle der det har skjedd alvorlige brudd på sikkerhetskrav til beskyttelse av informasjon, informasjonssystemer, infrastruktur eller objektsikkerhet.

Etter andre ledd følger en plikt for virksomheten til å varsle tilsynsmyndigheten ved kunnskap om en planlagt eller pågående aktivitet som kan medføre en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet. Det slås fast at det skal varsles selv om dette innebærer videreformidling av opplysninger som i utgangspunktet er omfattet av lovbestemt taushetsplikt. Sett hen til de funksjoner og interesser loven tar sikte på å beskytte, er det avgjørende at taushetsplikt etter annet regelverk ikke er til hinder for varsling om aktivitet som kan medføre en slik risiko for nasjonale sikkerhetsinteresser. Uttrykket får kunnskap om stiller ikke krav om visshet eller andre krav til graden av kunnskap om aktiviteten. Både kjennskap til og indikasjoner på slik aktivitet er tilstrekkelig. Om begrepene aktivitet,ikke ubetydelig risiko og nasjonale sikkerhetsinteresser vises det til særmerknaden til § 2-5.

Tilsynsmyndigheten skal varsle sikkerhetsmyndigheten og videresende varsel om forhold som angitt i andre ledd til ansvarlig departementet så snart som mulig etter at tilsynsmyndigheten har tilstrekkelig informasjon om saken. Det kan tenkes situasjoner der tilsynsmyndigheten har behov for å innhente ytterligere informasjon før de har et tilstrekkelig informasjonsgrunnlag til å formidle videre.

Etter tredje ledd kan Kongen gi nærmere regler om varslingsplikten etter andre ledd i forskrift.

19.5 Kapittel 5 Informasjonssikkerhet

Til § 5-1

Bestemmelsen etablerer begrepet skjermingsverdig informasjon som en samlebetegnelse på all informasjon som skal beskyttes etter loven. Begrepet utvides sammenlignet med tidligere sikkerhetslov. I motsetning til tidligere lov, da det utelukkende var konfidensialitetsbehov som skulle vurderes, skal nå også integritets- og tilgjengelighetsbehov inngå som kriterier i verdivurderingen av informasjonen. Det må vurderes hvilke konsekvenser det vil kunne få for nasjonale sikkerhetsinteresser dersom informasjonen blir kjent for uvedkommende, blir endret av uvedkommende eller er utilgjengelig for personer eller informasjonssystemer som har tjenstlig og lovlig behov for tilgang.

Begrepet informasjon skal forstås vidt. Måten informasjonen er tilvirket på og hvilken form informasjonen har, er ikke relevante momenter i vurderingen av om noe er informasjon. Begrepet omfatter for eksempel informasjon i form av fysiske dokumenter, digitale og maskinlesbare signaler, film, lydopptak og muntlige opplysninger.

Til § 5-2

Bestemmelsen fastsetter en plikt for virksomheten til å beskytte skjermingsverdig informasjon. Denne plikten er videre enn den som følger av § 5-4 om taushetsplikt. Virksomhetens vurdering av risiko, jf. § 4-2, sett i sammenheng med § 5-1, vil danne grunnlaget for å angi hvilken informasjon som skal beskyttes etter sikkerhetsloven. Forsvarlig sikkerhetsnivå i første ledd skal forstås på samme måte som andre steder i loven, se merknadene til § 4-3. Første ledd andre punktum bokstavene a til c konkretiserer at det er særlig egenskapene konfidensialitet, integritet og tilgjengelighet som ligger i begrepet informasjonssikkerhet og som skal beskyttes. Informasjonen vil bare kunne endres når det er godkjent av utsteder av informasjonen. Videre er det ofte behov for å begrense tilgjengeligheten til informasjon, slik at det kun er personer og informasjonssystemer som har lovlig og tjenstlig behov for informasjon som har tilgang.

Behovet for å beskytte de ulike egenskapene ved informasjonen må ses i sammenheng. En konkret helhetsvurdering av behovet for beskyttelse må ligge til grunn for å kunne iverksette passende sikkerhetstiltak. Opplistingen i bestemmelsen skal forstås som et minimum av hensyn som må vurderes for å oppnå god informasjonssikkerhet. Andre egenskaper som for eksempel autentisitet, og ikke-benektbarhet må også vurderes der det er relevant. Med ikke-benektbarhet menes å knytte en handling til avsender slik at avsender ikke senere kan benekte å stå bak handlingen. Det må også vurderes om det er behov for å kunne spore brudd på egenskapene. Nødvendighetsvurderingen vil i stor grad avhenge av de nærmere bestemmelser om beskyttelse som blir fastsatt i forskrift, jf. andre ledd.

Andre leddførste punktum gir Kongen forskriftshjemmel til å fastsette nærmere bestemmelser om identifisering og sikkerhetskrav for beskyttelse av skjermingsverdig informasjon, herunder hvilke minstekrav til beskyttelse som skal gjelde. I dette ligger også hjemmel til å fastsette regler for beskyttelse av sikkerhetsgradert informasjon, jf. § 5-3. Det kan også gjøres unntak fra hovedregelen om bortfall av gradering etter 30 år, jf. § 5-3 andre ledd andre punktum og gjeldende lov § 11 tredje ledd tredje punktum. Som etter gjeldende rett vil det være nødvendig å regulere nærmere i forskrift hvilke tilfeller det skal gjøres unntak fra hovedregelen.

Bestemmelsens andre ledd andre punktum gir Kongen hjemmel til å i særlige tilfeller gjøre unntak fra beskyttelsestiltakene. Det kan ikke gjøres unntak fra plikten til å foreta en verdivurdering og eventuell sikkerhetsgradering av informasjonen. Hva som ligger i særlige tilfeller er nærmere omtalt i kapittel 10.5.2.

Til § 5-3

Bestemmelsen er i stor grad en videreføring av gjeldende lov § 11 og utvalgets forslag til § 5-1. Den grunnleggende systematikken med verdivurdering, sikkerhetsgradering og merking er den samme. Første ledd fastslår hvem som er pliktsubjekt og som dermed har plikt til å foreta en verdivurdering av informasjonen som er utgangspunktet for en eventuell sikkerhetsgradering. Bokstav a til d gir nærmere anvisning på innholdet i verdivurderingen. Det skal vurderes hvilket skadepotensial informasjonen har for nasjonale sikkerhetsinteresser dersom informasjonen blir kjent for uvedkommende.

Plikten til å merke sikkerhetsgradert informasjon gjelder ikke der merking i praksis er umulig. Det gjelder for eksempel for informasjon som ikke har en fysisk tilstand, slik som muntlige opplysninger. Merkingsplikt inntrer imidlertid for den som bringer informasjonen over i et format der merking er mulig.

Ordlyden i bestemmelsen skiller seg noe fra gjeldende lov. Der tidligere lov brukte begrepene utsteder eller på annen måte tilvirker, brukes nå bare tilvirker, uten at dette utgjør en realitetsforskjell. Begrepet nasjonale sikkerhetsinteresser skal forstås på samme måte som i § 1-5 nr. 1.

Tema for skadevurderingen og dermed om informasjonen skal sikkerhetsgraderes, er i hvilken grad en trusselaktør, dersom denne blir kjent med informasjonen, kan påføre nasjonale sikkerhetsinteresser skade. Vurderingen vil være bestemmende for i hvilken grad informasjonens konfidensialitet må beskyttes. Er konklusjonen at konfidensialitetsbrudd ikke i noen grad kan få skadefølger, jf. bokstav d, for nasjonale sikkerhetsinteresser, skal informasjonen ikke sikkerhetsgraderes. Informasjonen skal dermed heller ikke beskyttes etter de særlige bestemmelsene for sikkerhetsgradert informasjon i §§ 5-4 til 5-6. Dette utelukker imidlertid ikke at informasjonen skal beskyttes etter andre regler som følger av sikkerhetslovens bestemmelser om skjermingsverdig informasjon, eller av andre regelverk slik som for eksempel personopplysningsloven eller beredskapsforskriften.

Innholdet i og forholdet mellom de ulike sikkerhetsgradene videreføres. Dette innebærer blant annet at forarbeidene (Ot.prp. nr. 49 (1996–97) Om lov om forebyggende sikkerhetstjeneste (sikkerhetsloven)) til tidligere lov fortsatt er relevante, og at tilknytningen til NATO systemet videreføres. Endringen fra skade i tidligere lov bokstav b og c til skadefølge i ny lov er kun en språklig justering som ikke innebærer realitetsendring. Det samme gjelder endringen i bokstav d fra medføre i tidligere lov til i ny lov. Se også NOU 2016:19 kapittel 8.2.1 som beskriver nærmere hvilken informasjon som omfattes av BEGRENSET.

Sikkerhetshensyn skal være styrende for nødvendighetsvurderingen etter andre ledd første punktum. Bestemmelsen skal sikre at det faktisk foretas en grundig vurdering av beskyttelsesbehovet og at andre relevante hensyn, slik som hensynet til offentlighet, tas i betraktning.

Andre ledd viderefører gjeldende sikkerhetslov § 11 tredje ledd første punktum. 30-årsregelen må anses som en hovedregel. For enkelte typer informasjon vil det imidlertid være nødvendig å gjøre unntak fra denne. Kongens myndighet som følger av dagens § 11 tredje ledd andre og tredje punktum, foreslås videreført i lovforslaget § 5-2 andre ledd.

Tredje ledd viderefører i all hovedsak gjeldende § 11 fjerde ledd. Leddet inneholder ikke lenger en uttrykkelig hjemmel for Kongen til å inngå avtaler med fremmed stat eller organisasjon. Det innebærer ikke en realitetsendring, ettersom Grunnloven § 26 gir Kongen denne kompetansen. Se nærmere merknadene til gjeldende § 11, jf. Ot.prp. nr. 49 (1996–97), side 67.

Til § 5-4

Bestemmelsen er en videreføring av gjeldende lov §§ 11 andre ledd og 12 første ledd, og utvalgets forslag til § 5-3. Endringene innebærer ingen realitetsendring fra gjeldende sikkerhetslov.

Første ledd fastsetter uttømmende og absolutte vilkår for å kunne overlate sikkerhetsgradert informasjon til en annen. Se merknadene til § 8-1 om autorisasjon.

Andre ledd fastsetter en plikt til å bevare taushet om sikkerhetsgradert informasjon i alle andre tilfeller enn det som følger av første ledd. Den som skal overlate sikkerhetsgraderte informasjon til en annen må forsikre seg om at vilkårene er oppfylt. Formuleringen arbeidet eller tjenesten skal forstås vidt, og omfatter både oppdrag, verv eller aktivitet for, og andre formaliserte relasjoner til, virksomheten.

Til § 5-5

Bestemmelsen er i hovedsak en videreføring av gjeldende lov § 16 og utvalgets forslag til § 5-4.

Første ledd hjemler at det kan foretas kontroll hos virksomheten med sikte på å avdekke om uvedkommende kan skaffe seg tilgang til sikkerhetsgradert informasjon. Begrepet innsyn erstatter avtitting, uten at det er ment å utgjøre en realitetsforskjell.

Andre ledd setter begrensning for hva informasjonen som sikkerhetsmyndigheten tilegner seg gjennom kontrollen, kan brukes til. For det første kan informasjonen brukes til gjennomføring av selve kontrollen og til rapporteringen som følger av tredje ledd. For det andre kan informasjonen brukes i sikkerhetsmyndighetens øvrige forebyggende sikkerhetsarbeid. Dette skal særlig dekke sikkerhetsmyndighetens behov for å kunne samle og analysere funn og erfaringer fra kontrollen, som igjen kan brukes i risikovurderinger, til å forbedre sikkerhetstiltak, til utvikling av metodikk for undersøkelser og i rådgivningsarbeidet. De nærmere vilkårene for bruken skal fastsettes i forskrift, og vil måtte ta tilstrekkelig hensyn til personvern og virksomhetssensitiv informasjon.

Tredje ledd pålegger den som utfører kontrolleren en rapporteringsplikt overfor virksomheten som blir kontrollert. Formålet er å bidra til å bedre virksomhetens sikkerhet.

Det følger av fjerde ledd at andre enn sikkerhetsmyndigheten kan utføre tekniske sikkerhetsundersøkelser. Det kan være virksomheten selv eller andre egnede private eller offentlige virksomheter. Det er en nødvendig forutsetning at slik aktivitet gjennomføres i tråd med vilkår fastsatt i forskrift.

Til § 5-6

Bestemmelsen er en videreføring av gjeldende lov § 14. Første ledd setter begrensninger for hvilke kryptosystemer som kan brukes til å beskytte sikkerhetsgradert informasjon. Andre ledd fastsetter sikkerhetsmyndighetens rolle som nasjonal forvalter av kryptomateriell og leverandør av kryptosikkerhetstjenester til virksomheter, som brukes til å beskytte sikkerhetsgradert informasjon.

Krypto er en kortform for kryptografi, og handler om prinsipper og teknikker for å skjule informasjon slik at bare de(n) som er autorisert har mulighet til å avsløre innholdet.

Bestemmelsen gjelder bruk av krypto for beskyttelse av skjermingsverdig informasjon. Nærmere bestemmelser om kryptosikkerhet kan gis i forskrift.

19.6 Kapittel 6 Informasjonssystemsikkerhet

Til § 6-1

Bestemmelsen viderefører i all hovedsak forslaget i utvalgets § 6-1. Bestemmelsen definerer hvilke informasjonssystemer som skal beskyttes etter loven, og etablerer begrepet skjermingsverdige informasjonssystemer som en samlebetegnelse for disse.

Skjermingsverdige systemer kan defineres på to måter. Enten ved å fastslå at systemet behandler skjermingsverdig informasjon, jf. § 5-1, eller ved å fastslå av systemet har en særlig viktig rolle i virksomhetens leveranse av sine kritiske tjenester. Alle systemer som behandler sikkerhetsgradert informasjon, jf. § 5-3, er skjermingsverdige.

Det legges til grunn samme definisjon av begrepet informasjonssystem og begrepet behandler som utvalget, se NOU 2016: 19, side 262–263 :

«Med begrepet informasjonssystem menes systemer som anvendes for å løse en oppgave eller utføre en funksjon i en organisasjon. Det omfatter menneskelige, organisatoriske og tekniske ressurser, metoder og teknikker.
Informasjonssystem skal i sikkerhetsloven forstand forstås vidt. Begrepet omfatter både manuelle og digitale informasjonssystemer, og favner alt fra saksbehandlingssystemer, kontorstøttesystemer og rene kommunikasjonssystemer til kontroll- og styringssystemer.
[…]
Med begrepet behandler menes alle former for behandling av informasjon i et informasjonssystem, blant annet transport, lagring og prosessering.»

Et system kan falle inn under begge beskrivelsene av skjermingsverdige informasjonssystemer. For eksempel kan et system ha en særlig viktig rolle i en virksomhet, samtidig som det behandler sikkerhetsgradert informasjon.

Til § 6-2

Bestemmelsen viderefører i all hovedsak forslaget til § 6-2 i NOU 2016: 19.

Første ledd fastsetter en plikt for virksomheten til å beskytte virksomhetens skjermingsverdige informasjonssystemer. Virksomhetens vurdering av risiko, jf. § 4-2, vil sammen med verdivurderingen av informasjonssystemer etter § 6-1, danne grunnlaget for å angi hvilke av virksomhetens informasjonssystemer som skal beskyttes. Virksomheten plikter å sørge for et forsvarlig sikkerhetsnivå for informasjonssystemene. Begrepet forsvarlig sikkerhetsnivå skal forstås på samme måte som i §§ 4-3 og i 5-2, se merknaden til § 4-3.

Som nevnt i merknaden til § 6-1 kan skjermingsverdige informasjonssystemer defineres på to ulike måter, med to tilhørende hovedformål for beskyttelsestiltakene. Ivaretakelse av de to hovedformålene må ses i sammenheng. Funksjonaliteten vil ofte henge tett sammen med ivaretakelsen av konfidensialitet, integritet og tilgjengelighet. For eksempel er det ikke tilstrekkelig å kun se på graderingsnivået for et sikkerhetsgradert informasjonssystem. Hvis systemet i tillegg til å behandle BEGRENSET informasjon, også spiller en viktig rolle for at en sentral myndighet skal kunne ivareta sin rolle under en krise, kan det være at sikkerhetsnivået må være høyere for dette systemet enn det som er vanlig for systemer som behandler BEGRENSET informasjon. Virksomhetens vurdering av risiko, jf. § 4-2, vil være sentral i vurderingen av hvilke sikkerhetstiltak som er tilstrekkelige for å oppnå et forsvarlig sikkerhetsnivå.

Det vil kunne variere fra system til system hva som skal til for å oppnå et forsvarlig sikkerhetsnivå. Ved utarbeidelse av tilstrekkelige sikkerhetstiltak bør det ses hen til internasjonale standarder for beskyttelse av informasjonssystemer.

Andre ledd første punktum gir Kongen hjemmel til å fastsette nærmere bestemmelser om identifisering og sikkerhetskrav for beskyttelse av skjermingsverdige informasjonssystemer, herunder minstekrav, i forskrift. Etter andre ledd andre punktum kan Kongen i særlige tilfeller gjøre unntak i forskrift fra beskyttelsestiltak som følger av lov eller forskrift. Eksempelvis kan det være behov for spesielle tilpasninger i enkelte skarpe militære oppdrag, eller hvor store komplekse systemer skal behandle sikkerhetsgradert informasjon. Unntakshjemmelen tilsvarer § 5-2 andre ledd andre punktum, se merknadene til § 5-2 og kapittel 10.5.2.

Til § 6-3

Bestemmelsen viderefører i all hovedsak forslaget til § 6-3 i NOU 2016: 19.

Første ledd fastslår at alle skjermingsverdige informasjonssystemer, jf. § 6-1, skal godkjennes. Det er imidlertid ikke krav om at systemene godkjennes før de tas i bruk, da det eksempelvis kan være svært vanskelig å gjennomføre en forhåndsgodkjenning av informasjonssystemer i virksomheter som nylig er blitt utpekt til å omfattes av sikkerhetsloven, samtidig som at beskyttelsesbehovet ikke nødvendigvis er like stort som for systemer som behandler sikkerhetsgradert informasjon.

Det følger imidlertid av første ledd andre punktum et krav om at informasjonssystemer som behandler sikkerhetsgradert informasjon forhåndsgodkjennes. Dette er en videreføring av gjeldende rett, jf. gjeldende lov § 13 første ledd.

Det følger av andre ledd at Kongen i forskrift kan bestemme hvem som skal være godkjenningsmyndighet, hvilke vilkår som skal gjelde for godkjenning, og hvilke krav som skal gjelder for leverandører til skjermingsverdige informasjonssystemer. Eksempelvis kan det være grunn til å videreføre dagens ordning i en del tilfeller, jf. gjeldende forskrift om informasjonssikkerhet § 5-28 andre ledd, der virksomhetenes leder kan godkjenne enkelte systemer. Gjennomføring av verifikasjoner kan utføres av godkjenningsmyndigheten, uavhengig av om denne har tilsynsansvar.

Til § 6-4

Virksomhetens overvåking av sine egne skjermingsverdige informasjonssystemer, kan innebære mange former for sikkerhetstiltak. Eksempelvis er logging av aktivitet i systemet, automatiserte alarmer og manuell sammenstilling og analyse av innhentet data, aktuelle tiltak. Bestemmelsen er i hovedsak en videreføring av gjeldende sikkerhetslov § 13 a og forslaget til § 6-4 i NOU 2016: 19.

Første ledd oppstiller en plikt for virksomheten til å foreta sikkerhetsmessig overvåking av virksomhetens skjermingsverdige informasjonssystemer, jf. § 6-1. Med begrepene forebygge, avdekke og motvirke menes sikkerhetstiltak som omfatter hele livssyklusen til en uønsket hendelse, herunder evne til å oppdage (detektere) og gjenopprette sikker tilstand etter hendelsen, jf. merknaden til §1-1. Med hendelse som kan skade menes potensiell eller faktisk kompromittering av systemet. Det kan også være tale om at systemet blir brukt til å skade andre systemer, eller at systemet blir brukt som utgangspunkt for virksomhet som truer nasjonale sikkerhetsinteresser. Bestemmelsens siste punktum erstatter gjeldende lov § 13a om sikkerhetsrelevante hendelser. Dette innebærer ikke en realitetsendring. Selv om lovens virkeområde bruker begrepet sikkerhetstruende virksomhet, brukes begrepet hendelse i bestemmelsen fordi virksomheten ofte må iverksette tiltak før det er kjent om hendelsen er tilsiktet eller ei, eller om den er resultat av en handling eller en teknisk feil.

Andre ledd gir hjemmel for og pålegger en plikt til lagring, registrering og analyse av ulike former for utveksling av informasjon. Omfanget av overvåkingen, herunder lagring og registrering, strekker seg til og begrenses av formålet med overvåkningen. For nærmere omtale av andre ledd, se NOU 2016: 19 kapittel 8.6.4.

Ved overvåking av systemer som behandler personopplysninger, stiller tredje ledd ytterligere krav til at virksomhetens vurdering av formåls- og forholdsmessigheten av overvåkningen. For det første stilles det strengere krav til vurderingen av om overvåkingen ivaretar formålet, enn det krav som følger av andre ledd. Videre må virksomheten i hvert enkelt tilfelle foreta en forholdsmessighetsvurdering der behovet for overvåking ses i sammenheng med eventuelle negative virkninger for personvernet. Omfanget av overvåkingen må være begrunnet og nødvendig. Virksomheten må dessuten – der det er valgmuligheter – velge den metoden som er minst inngripende for personvernet til brukerne av systemet. I noen tilfeller kan for eksempel automatisert overvåking, med et innhold som er utilgjengelig for mennesker, være mindre inngripende enn manuell overvåking.

I fjerde ledd gis det hjemmel til å lagre informasjon fra overvåkingen i inntil fem år. Loven setter ikke begrensninger for bruken av informasjon som ikke er personopplysninger. Femte ledd er i hovedsak en videreføring av gjeldende sikkerhetslov § 13 a tredje ledd. Femte ledd andre punktum fastsetter at lagrede personopplysninger bare kan benyttes i den grad formålet med overvåkningen krever det.

Sjette ledd er en videreføring av gjeldende sikkerhetslov § 13 a femte ledd. Her pålegges virksomheten en informasjonsplikt overfor brukerne av systemet i samsvar med personopplysningsloven § 19. Sjuende ledd er en videreføring av gjeldende sikkerhetslov § 13 a sjette ledd, men med noen presiseringer.

Til § 6-5

Bestemmelsen er i all hovedsak en videreføring av gjeldende sikkerhetslov § 15, andre ledd, om inntrengingstesting og utvalgets forslag til § 6-6.

Det framgår av første ledd at virksomheten kan be sikkerhetsmyndigheten om inntrengningstesting, men at denne ikke har en plikt til å gjennomføre en slik test. Ordningen er et tilbud til virksomhetene som er omfattet av loven. Det er opp til den enkelte virksomhet å vurdere behovet for tiltaket. Se nærmere om dette i kapittel 10.5.3.

Første ledd andre punktum fastsetter at formålet med inntrengningstesten skal være å bedre virksomhetens sikkerhet. Virksomhetens orienteringsplikt etter første ledd tredje punktum er generelt utformet, og innebærer eksempelvis at det er tilstrekkelig at de ansatte er klar over at slike kontroller tidvis kan forekomme.

Av andre ledd framgår det at i de tilfellene hvor inntrengingstesten gjelder informasjonssystemer som behandler personopplysninger, skal formåls- og forholdsmessigheten av testen vurderes. Det må foretas en vurdering av konsekvensene for personvernet, i tillegg til den vurdering skal gjøres etter første ledd.

Tredje ledd fastslår at informasjonen bare kan brukes til å ivareta formålet med kontrollen. Dette innebærer for det første at informasjonen kan brukes til gjennomføring av selve kontrollen og til rapportering etter femte ledd. I de tilfellene hvor det oppdages alvorlige avvik, bør informasjonen videreformidles til det departementet som har det overordnede sektoransvaret for virksomheten. For det andre, jf. tredje punktum, kan informasjonen brukes i sikkerhetsmyndighetens øvrige forebyggende sikkerhetsarbeid. Dette skal særlig dekke behovet for at sikkerhetsmyndigheten kan samle og analysere funn og erfaringer fra kontrollen, slik at dette kan brukes i risikovurderinger, for å forbedre sikkerhetstiltak, til utvikling av metodikk for undersøkelser og i rådgivningsarbeidet. De nærmere vilkårene for slik bruk må fastsettes i forskrift, og det må tas tilstrekkelig hensyn til personvern og virksomhetssensitiv informasjon, jf. sjette ledd.

Fjerde ledd tilsvarer deler av gjeldende § 11-8 i forskrift om informasjonssikkerhet. Rapporteringen må ses i sammenheng med sikkerhetsmyndighetens plikter, jf. § 2-2. Hovedformålet med rapporten er å forbedre virksomhetens sikkerhet. Se for øvrig kapittel 10.5.3.

Det følger av femte ledd at andre enn sikkerhetsmyndigheten kan utføre inntrengingstesting. Det kan være virksomheten selv eller andre offentlige eller private virksomheter. Det er en nødvendig forutsetning for slik aktivitet at nærmere vilkår for aktiviteten fastsettes i forskrift.

Til § 6-6

Bestemmelsen er i all hovedsak en videreføring av gjeldende sikkerhetslov § 15 første ledd om monitoring, og utvalgets forslag til § 6-5.

Etter første ledd kan virksomheten be sikkerhetsmyndigheten gjennomføre kontroll av om systemet behandler gradert informasjon det ikke er godkjent for. Ordningen skal kun være et supplement til øvrige relevante sikkerhetstiltak, og er et tilbud til de virksomhetene som ser behov for slik kontroll av sine informasjonssystemer. Hjemmelen til å bestemme om og når andre enn sikkerhetsmyndigheten kan utføre kommunikasjons- og innholdskontroll, er lagt til Kongen, jf. åttende ledd.

Formålet med kontrollen er å undersøke om det behandles sikkerhetsgradert informasjon i systemer utover det systemet er godkjent for. Eksempelvis kan systemer godkjent for sikkerhetsgradert informasjon gradert opp til KONFIDENSIELT, undersøkes med sikte på å finne ut om de behandler informasjon som er gradert HEMMELIG eller høyere, eller tilsvarende for utenlandsk gradert informasjon. Informasjonssystemer som er helt åpne og som ikke er kategorisert som skjermingsverdig etter sikkerhetsloven, kan undersøkes for å se om de likevel behandler sikkerhetsgradert informasjon gradert BEGRENSET eller høyere, eller tilsvarende for utenlandsk gradert informasjon. Bestemmelsen gir hjemmel til å undersøke alle virksomhetens informasjonssystemer, ikke bare de som er skjermingsverdige. Virksomhetens orienteringsplikt etter første ledd andre punktum er generelt utformet og innebærer at det er tilstrekkelig at de ansatte er klar over at slike kontroller tidvis kan forekomme.

Andre ledd setter rammene for hvilke metoder som kan inngå i kontrollen. Både avlytting og avlesing av informasjon er tillatt.

Tredje ledd viderefører forbudet etter gjeldende sikkerhetslov § 15, mot å kontrollere privat kommunikasjon og kommunikasjon med virksomheter som ikke omfattes av sikkerhetsloven. Kontroll av kommunikasjon mellom skjermingsverdige informasjonssystemer i ulike virksomheter som er omfattet av sikkerhetsloven, er likevel tillatt.

Fjerde ledd fastsetter taushetsplikt for den som blir kjent med slik informasjon som det er forbud mot å samle inn. For en nærmere beskrivelse av hva som ligger i begrepene arbeid og tjeneste, se merknadene til § 5-4.

Femte ledd skal sikre at virksomhetens ledelse foretar en grundig vurdering av behovet for, og konsekvensene av kontrollen. Det følger forutsetningsvis av første punktum at sikkerhetsmyndigheten må vurdere faren for at kontrollen fanger opp kommunikasjon som beskrevet i tredje ledd. Virksomhetens ledelse må godta både metodene for kontrollen, og sikkerhetsmyndighetens vurdering, før kontrollen kan settes i gang. Virksomhetens ledelse må i sin avgjørelse vurdere betydningen kontrollen vil kunne ha for sikkerheten i virksomhetens informasjonssystemer, opp mot faren for brudd på personvernet.

Sjette ledd regulerer sikkerhetsmyndighetens behandling og bruk av informasjon som den blir kjent med gjennom kontrollen. Blant annet kan informasjonen brukes til gjennomføring av selve kontrollen og til rapporteringen som følger av sjuende ledd. Etter tredje punktum kan informasjonen brukes i sikkerhetsmyndighetens øvrige forebyggende sikkerhetsarbeid. Dette skal særlig dekke behovet for at sikkerhetsmyndigheten kan samle og analysere funn og erfaringer fra kontrollen, slik at dette kan brukes i risikovurderinger, for å forbedre sikkerhetstiltak, til utvikling av metodikk for undersøkelser og i rådgivningsarbeidet. De nærmere vilkårene for slik bruk må fastsettes i forskrift, og det må tas tilstrekkelig hensyn til personvern og virksomhetssensitiv informasjon.

Sjuende ledd tilsvarer deler av dagens forskrift om informasjonssikkerhet § 11-8. Rapporteringen må ses i sammenheng med sikkerhetsmyndighetens plikter, jf. forslaget til § 2-2. Hovedformålet med kontrollen er å forbedre virksomhetens sikkerhet.

Det følger av åttende ledd at andre enn sikkerhetsmyndigheten kan utføre kommunikasjons- og innholdskontroll. Det kan være virksomheten selv eller andre offentlige eller private virksomheter. Det er en nødvendig forutsetning for slik aktivitet at nærmere vilkår for aktiviteten fastsettes i forskrift.

19.7 Kapittel 7 Objekt- og infrastruktursikkerhet

Til § 7-1

Bestemmelsen er i hovedsak en videreføring av gjeldende sikkerhetslov § 17, med den viktige forskjell at begrepet infrastruktur er lagt som tillegg til begrepet objekt. Materielt sett er innholdet en videreføring av utvalgets forslag til § 7-1, bortsett fra forslaget om å gi sikkerhetsmyndigheten en adgang til å påklage et departementsvedtak inn for et tvisteorgan. I stedet kan sikkerhetsmyndigheten med dette lovforslaget bringe saken inn for det departement som har overordnet ansvar for forebyggende sikkerhetsarbeid i sivil sektor eller det departement som har overordnet ansvar for forebyggende sikkerhetsarbeid i forsvarssektoren, dersom departementet ikke fatter vedtak i tråd med sikkerhetsmyndighetens forslag, jf. redegjørelsen for sjette ledd nedenfor.

Bestemmelsen regulerer departementenes og sikkerhetsmyndighetens ansvar og myndighet til å utpeke, klassifisere og holde oversikt over skjermingsverdige objekter og infrastruktur. Begrepene skjermingsverdig objekt og skjermingsverdig infrastruktur er nærmere omtalt i kapittel 11.2 ovenfor.

Bestemmelsen må ses i forlengelsen av departementenes og sikkerhetsmyndighetens myndighet til å treffe enkeltvedtak etter § 1-3 første og fjerde ledd.

Det heter i første ledd at objekter og infrastruktur er skjermingsverdige dersom det kan skade grunnleggende nasjonale funksjoner om de får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse. Det avgjørende for relevans til sikkerhetsloven er at enhetene, enkeltvis eller en sammensetning eller en samling av enheter, har et beskyttelsesbehov for å hindre skade på grunnleggende nasjonale funksjoner. Det må gjøres en konkret vurdering hvorvidt et objekt eller en infrastruktur er skjermingsverdig. I en slik vurdering skal det legges vekt på redundans og desentralisering der dette er naturlig. I enkelte særlige tilfeller vil loven også kunne omfatte virksomheter som forvalter objekter som ikke anses å ha avgjørende betydning for grunnleggende nasjonale funksjoner, jf. § 1-1. Dette gjelder objekter som, dersom de blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse, har et skadepotensial som direkte kan ha konsekvenser for nasjonale sikkerhetsinteresser.

Etter bestemmelsens andre ledd gis departementene myndighet til å utpeke og klassifisere skjermingsverdige objekter og infrastruktur innen egne ansvarsområder. Hva gjelder skjermingsverdige objekter, er dette en videreføring av departementenes myndighet etter gjeldende sikkerhetslov kapittel 5. Departementene pålegges også en plikt til å holde oversikt over slike objekter og slik infrastruktur. Plikten må ses i sammenheng med departementenes overordnede ansvar for forebyggende sikkerhet i egen sektor, jf. § 2-1 første ledd. De objekter og den infrastruktur som utpekes og klassifiseres, skal dessuten meldes inn til sikkerhetsmyndigheten med angivelse av klassifiseringsgrad. På den måten kan sikkerhetsmyndigheten ha en helhetlig og sektorovergripende oversikt over skjermingsverdige objekter og infrastruktur, og får muligheten til å kunne se gjensidige sammenhenger og avhengigheter.

I bestemmelsens tredje ledd gis sikkerhetsmyndigheten en tilsvarende myndighet og plikt som departementene har etter andre ledd første punktum, overfor objekter og infrastruktur som ikke ligger innenfor et departements ansvarsområde, se også merknad til § 1-3 fjerde ledd.

Etter fjerde ledd skal virksomheter som råder over objekter eller infrastruktur som utpekes etter andre eller tredje ledd, varsles om utpekingen. Etter femte ledd kan en avgjørelse om slik utpeking overfor et selvstendig rettssubjekt påklages til overordnet organ etter reglene i forvaltningsloven kapittel VI, på samme måte som klage etter enkeltvedtak etter § 1-3 første ledd og etter § 2-2 fjerde ledd, se merknad til disse bestemmelsene. Vedtak fattet av et departement kan påklages til Kongen i statsråd, mens vedtak av sikkerhetsmyndigheten kan påklages til departementet.

Etter bestemmelsens sjette ledd kan sikkerhetsmyndigheten på eget initiativ fremme forslag overfor ansvarlig departement om at det bør treffes vedtak etter andre ledd. Med et departement menes her det ansvarlige fagdepartementet. Dersom slikt vedtak ikke fattes, og sikkerhetsmyndigheten fastholder sin anbefaling, kan sikkerhetsmyndigheten bringe saken inn for endelig avgjørelse til det departementet som har det overordnede ansvaret for forebyggende sikkerhetsarbeid i sivil sektor, eller det departementet som har det overordnede ansvaret for forebyggende sikkerhetsarbeid i forsvarssektoren. Per i dag følger dette av kronprinsregentens resolusjon 4. juli 2003 om fordeling av ansvar for forebyggende sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet (Justis- og beredskapsdepartementet i sivil sektor og Forsvarsdepartementet i forsvarssektoren).

I sjuende ledd gis det en hjemmel til Kongen om å gi forskrift om utpeking og klassifisering av objekter og infrastruktur, og om melding til sikkerhetsmyndigheten.

Til § 7-2

Bestemmelsen er i hovedsak en videreføring av utvalgets forslag til § 7-2. Imidlertid er begrepet «risiko- og sårbarhetsanalyse» erstattet med «skadevurdering», som skal forstås som en mindre omfattende vurdering.

Bestemmelsen regulerer hvordan skjermingsverdige objekter eller infrastruktur skal klassifiseres. Myndigheten til å klassifisere objekter og infrastruktur tilligger ansvarlig departement eller sikkerhetsmyndigheten, jf. § 7-1 andre og tredje ledd. Formålet med klassifisering av objekter og infrastruktur er dels at det er styrende for hvilke sikkerhetstiltak som skal iverksettes, jf. § 7-3, og dels at det gir myndighetene anledning til å kunne prioritere mellom ulike objekt eller infrastruktur, avhengig av hvor store skadefølger redusert funksjonalitet vil kunne ha for grunnleggende nasjonale funksjoner.

Første ledd i bestemmelsen slår fast at skjermingsverdige objekter og infrastruktur skal klassifiseres dersom det kan skade grunnleggende nasjonale funksjoner at de får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse.

Etter første ledd bokstav a skal MEGET KRITISK benyttes dersom redusert funksjonalitet kan få helt avgjørende skadefølger. Begrepet helt avgjørende skadefølger skal forstås på samme måte som i § 5-3 første ledd bokstav a.

Etter første ledd bokstav b skal KRITISK benyttes dersom redusert funksjonalitet kan få alvorlige skadefølger. Begrepet alvorlige skadefølger skal forstås på samme måte som i § 5-3 første ledd bokstav b.

Etter første ledd bokstav c skal VIKTIG benyttes dersom redusert funksjonalitet kan få skadefølger. Begrepet kan få skadefølger skal forstås på samme måte som i § 5-3 første ledd bokstav c.

Bestemmelsens andre ledd slår fast at klassifiseringen skal skje på grunnlag av en skadevurdering, og det skal spesifiseres hvilke grunnleggende nasjonale funksjoner objektet eller infrastrukturen understøtter og hva konsekvensene av redusert funksjonalitet vil være. Som en konsekvens av dette er det nødvendig at ansvarlig departement eller sikkerhetsmyndigheten får tilgang til virksomhetens vurdering på dette punkt i klassifiseringsarbeidet, siden klassifiseringen vil bygge på den foretatte skadevurderingen og inngå i begrunnelsen i den oversikt som skal sendes til sikkerhetsmyndigheten. Disse begrunnelsene vil være av sentral betydning for sikkerhetsmyndighetens mulighet til å kunne kvalitetssikre departementenes klassifisering av objekter og infrastruktur i medhold av bestemmelsen. Selve begrunnelsen vil i seg selv være meget sensitiv informasjon, og vil måtte behandles deretter, jf. kapittel 5 om informasjonssikkerhet.

I bestemmelsens tredje ledd presiseres det at klassifiseringsnivået kan være forskjellig for ulike deler av et objekt eller en infrastruktur. I den utstrekning dette er tilfelle, skal slike deler defineres som selvstendige objekter eller infrastruktur. Det er altså mulig å definere objekt i objekt, infrastruktur i infrastruktur og objekt i infrastruktur. Dette innebærer at det kan være ulike klassifiseringsnivåer for ulike deler innad i samme objekt eller infrastruktur, med ulike beskyttelsesbehov. Sikkerhetstiltakene, jf. § 7-3, vil da også kunne differensieres avhengig av de ulike delenes klassifisering.

I fjerde ledd gis hjemmel for Kongen til å gi forskrift om klassifisering av skjermingsverdige objekter og infrastruktur.

Til § 7-3

Bestemmelsen er i all hovedsak en videreføring av utvalgets forslag til § 7-3.

Bestemmelsen regulerer virksomhetenes plikt til å iverksette sikkerhetstiltak for utpekt og klassifisert objekt eller infrastruktur. Bestemmelsen må ses i sammenheng med de generelle kravene til forebyggende sikkerhet i § 4-3.

Etter første ledd plikter virksomheten å iverksette de sikkerhetstiltak som er nødvendige for å opprettholde et forsvarlig sikkerhetsnivå. Begrepet forsvarlig sikkerhetsnivå viser tilbake på den rettslige standarden i § 4-3 første ledd, og skal forstås på samme måte. Slike tiltak kan bestå av fysiske, elektroniske, menneskelige eller organisatoriske barrierer, systemer som skal oppdage og varsle om aktivitet eller hendelser (deteksjon), systemer og rutiner for avklaring vedrørende aktiviteter og hendelser og bakgrunnen for dem (verifikasjon) eller oppfølging av uønskede aktiviteter og hendelser (reaksjon), eller en kombinasjon av slike tiltak, jf. bokstavene a til e. Tiltakene skal være funksjonsbaserte og derfor vil også andre passende tiltak kunne være aktuelle.

I andre ledd presiseres det at de nødvendige sikkerhetstiltakene skal bygge på en vurdering av risiko, jf. § 4-2. Vurderingen skal bidra til å avklare hvilke tiltak som er nødvendige for å beskytte objektet eller infrastrukturen.

I tredje ledd angis det at beskyttelse av objekter og infrastruktur også kan omfatte krav til personers adgangsklarering etter § 8-3, for tilgang til hele eller deler av skjermingsverdige objekter eller infrastruktur. Med tilgang menes i denne sammenheng både fysisk og logisk tilgang til objekt eller infrastruktur. For enkelte typer objekt eller infrastruktur vil det ikke være nødvendig med fysisk tilgang for å gjøre skade. En logisk (digital) tilgang kan i noen tilfeller gi like gode muligheter til å gjøre skade av betydning for objektets eller infrastrukturens funksjonalitet.

I fjerde ledd gis hjemmel for Kongen til å gi forskrift om beskyttelse av objekter og infrastruktur innenfor hvert klassifiseringsnivå og om bruk av sikringsstyrker.

Til § 7-4

Bestemmelsen er i hovedsak en videreføring av utvalgets forslag til § 7-4. Departementet foreslår et nytt fjerde ledd om rapportering av resultatet av den kontroll som paragrafen omhandler. Utvalgets fjerde og femte ledd blir derfor femte og sjette ledd her.

Bestemmelsen regulerer i første ledd virksomhetens adgang til å be sikkerhetsmyndigheten om å gjøre forsøk på å forsere virksomhetens etablerte sikkerhetstiltak for tilgang til skjermingsverdig objekt eller infrastruktur. Bestemmelsen korresponderer og må ses i sammenheng med hjemmelen for inntrengingstesting av skjermingsverdige informasjonssystemer, jf. § 6-5.

Slik testing er et frivillig tilbud til den enkelte virksomhet, og kan bare gjøres på anmodning fra ledelsen i den aktuelle virksomheten. Formålet med denne typen testing er å forsøke å avdekke svakheter ved de tiltak som en virksomhet har iverksatt for å hindre at uvedkommende får tilgang til objektet eller infrastrukturen. Virksomhetens orienteringsplikt etter første ledd tredje punktum er generelt utformet og innebærer at det er tilstrekkelig at de ansatte er klar over at slike kontroller tidvis kan forekomme.

Bestemmelsens andre ledd hjemler behandling av personopplysninger ved testing, og fastslår at det skal gjøres en nødvendighets- og forholdsmessighetsvurdering av behovet for slik kontrollvirksomhet, ved at kontrollen ikke skal gjøres mer omfattende enn det som formålet med kontrollen krever.

Tredje ledd angir en formålsavgrensing for bruk av informasjon som testingen gir tilgang til. Med informasjon menes i denne sammenheng både personopplysninger og opplysninger om virksomheten. Bestemmelsens formål om å kontrollere og eventuelt forbedre virksomhetens sikkerhetsnivå, vil være styrende for hva informasjonen kan brukes til. Den læring og kunnskap som sikkerhetsmyndigheten tilegner seg gjennom slike kontroller, kan brukes til myndighetens videreutvikling av sitt generelle sikkerhetsarbeid.

Etter bestemmelsens fjerde ledd skal sikkerhetsmyndigheten gi rapport om resultatet av kontrollen til virksomheten, der innholdet i rapporten bare skal være informasjon som kan bidra til en bedre sikkerhet hos virksomheten.

Etter femte ledd kan Kongen i forskrift gi nærmere bestemmelser om testing av sikkerhetstiltak for skjermingsverdige objekter og infrastruktur, og at slik testing kan gjennomføres av andre enn sikkerhetsmyndigheten.

Til § 7-5

Bestemmelsen viderefører i hovedsak gjeldende sikkerhetslov § 18 a første ledd bokstav a, b og c, men i en modernisert språkdrakt og tilpasset øvrig innretning på lovforslaget.

Begrepene militære øvelser og forsøk skal forstås som øvelser og forsøk som gjøres av, eller i regi av aktører i forsvarssektoren (Forsvarsdepartementet og underliggende etater), og vil ikke utelukkende gjelde øvelser og forsøk som utføres av etaten Forsvaret. Den til enhver tid gjeldende organiseringen av forsvarssektoren vil være styrende for hvordan bestemmelsen må forstås og praktiseres. Det avgjørende vil være om aktiviteten det tas sikte på å skjerme ved et adgangsforbud, direkte eller indirekte har betydning for Forsvarets operative evne. Eksempelvis vil etatene Forsvarets forskningsinstitutt og Forsvarsmateriell kunne gjennomføre øvelser og forsøk som har eller vil få betydning for Forsvarets operative evne.

Formuleringen «bestemte angitte steder eller områder» behøver ikke å knytte seg til militær virksomhet, men avgrenses til aktiviteter eller virksomhet som ligger innenfor sikkerhetslovens ramme.

Endringene er ikke ment å gjøre store realitetsendringer i dagens rettstilstand på området.

19.8 Kapittel 8 Personellsikkerhet

Til § 8-1

Bestemmelsen er i hovedsak en videreføring av gjeldende sikkerhetslov § 19 første ledd, og regulerer når sikkerhetsklarering, adgangsklarering og autorisasjon skal gjennomføres.

Med sikkerhetsklarering menes en avgjørelse fra klareringsmyndigheten om at en person er sikkerhetsmessig skikket til å kunne håndtere sikkerhetsgradert informasjon opp til et gitt sikkerhetsnivå.

Med adgangsklarering menes en avgjørelse om at en person er sikkerhetsmessig skikket for tilgang til klassifiserte områder innenfor skjermingsverdige objekter eller infrastruktur jf. § 8-3.

Med autorisasjon menes avgjørelse fra autorisasjonsansvarlig i den enkelte virksomhet om at en person, etter en konkret helhetsvurdering, gis tilgang til sikkerhetsgradert informasjon eller tilgang til klassifiserte områder innen objekter eller infrastruktur.

Første ledd er en videreføring av utvalgets forslag til § 8-1 første ledd og slår fast at autorisasjon i medhold av § 8-9 skal gjennomføres for to kategorier personell. For det første gjelder det for personer som skal gis tilgang til sikkerhetsgradert informasjon, jf. første ledd første punktum. [S]kal få tilgang indikerer at vedkommende gjennom sitt arbeid har tjenstlig behov for tilgang til slik informasjon. For det andre gjelder kravet til autorisasjon, i henhold til første ledd andre punktum, personer som skal ha tilgang til klassifiserte områder innen objekter og infrastruktur, der det er fattet vedtak etter § 8-3. Med adgang menes både fysisk og logisk tilgang til slike objekter eller infrastruktur, se merknad til § 8-3. Adgangsklarering for laveste klassifiseringsgrad er ment å være en mindre omfattende og enklere klareringsprosess enn for de høyere klassifiseringsgradene, som kan være tilnærmet lik klareringsprosessen for sikkerhetsklarering.

Andre ledd er en videreføring av utvalgets forslag til § 8-1 andre ledd og gjeldende sikkerhetslov § 19 andre ledd, og slår fast at personer som skal autoriseres for tilgang til sikkerhetsgradert informasjon KONFIDENSIELT eller høyere, på forhånd skal sikkerhetsklareres. Andre ledd andre punktum er ny og slår fast at personer som skal ha adgang til skjermingsverdige objekter eller infrastruktur som det er truffet vedtak om etter 8-3 tredje ledd, på forhånd må adgangsklareres.

Etter tredje ledd kan Kongen gi forskrift om behandling av klareringssaker og gyldighetstiden til klareringer. På samme måte som etter dagens regelverk, vil det være behov for nærmere regler for saksbehandlingen, blant annet når og på hvilken måte autorisasjon og sikkerhetsklarering skal gjennomføres.

Til § 8-2

Bestemmelsen er i hovedsak en videreføring av gjeldende sikkerhetslov § 19 andre til fjerde ledd. Bestemmelsen regulerer bruk av sikkerhetsklarering og de ulike nivåene som sikkerhetsklarering gjelder for. Bestemmelsen er utledet av utvalgets forslag til § 8-1 fjerde og femte ledd. Reguleringen av sikkerhetsgrader i NATO videreføres i forskrift, jf. tredje ledd.

Første ledd slår fast at en person må sikkerhetsklareres før vedkommende kan få tilgang til informasjon gradert KONFIDENSIELT eller høyere etter § 5-3.

Andre ledd gjelder personer som gjennom sitt arbeid vil kunne få tilgang til sikkerhetsgradert informasjon. Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 19 tredje ledd. Det er ikke et vilkår for sikkerhetsklarering at vedkommende faktisk vil få tilgang til slik informasjon. I forarbeidene til gjeldende sikkerhetslov vises det som eksempel til vakter, rengjøringspersonell og andre som forutsetningsvis ikke skal ha tilgang til slik informasjon, men som gjennom sitt arbeid er i en posisjon hvor en lett kan skaffe seg slik tilgang. Et vilkår for sikkerhetsklarering av slikt personell er at andre risikoreduserende tiltak som kan kompensere for bruk av sikkerhetsklarering skal vurderes først.

Etter tredje ledd kan Kongen gi forskrift om forholdet mellom nasjonale sikkerhetsgrader og sikkerhetsgrader i NATO, andre nasjoner, eller andre internasjonale organisasjoner.

Til § 8-3

Bestemmelsen er ny og regulerer forutsetningene for bruk av adgangsklarering.

Første ledd er en videreføring av utvalgets forslag til § 7-3 tredje ledd og slår fast at det enkelte ansvarlige departement innen sitt myndighetsområde kan fatte vedtak om krav til adgangsklarering. Dette gjelder tilgang til hele eller deler av skjermingsverdige objekter eller infrastruktur. Det slås også fast at sikkerhetsmyndigheten kan fatte slike vedtak overfor virksomheter som ikke ligger innenfor et departements myndighetsområde.

I bestemmelsens andre ledd slås det fast at adgangsklarering ikke skal brukes dersom det finnes andre sikringstiltak som er bedre egnet og kan kompensere for bruk av klarering. For eksempel kan visse områder skjermes for innsyn eller dersom adgangsbehovet er sjeldent forekommende, kan sikkerhetsbehovet dekkes ved at vedkommende følges av sikkerhetspersonell. Tredje ledd slår fast at avgjørelse om adgangsklarering som gjelder selvstendige rettssubjekter kan påklages.

Fjerde ledd slår fast at adgangsklarering gjelder for personer som skal ha tilgang til objekter og infrastruktur klassifisert etter § 7-2. I bestemmelsen andre punktum slås det fast at departementet kan bestemme at personer med sikkerhetsklarering for et bestemt nivå også er klarert for adgang til et bestemt skjermingsverdig objekt eller en bestemt skjermingsverdig infrastruktur. Adgangsklarering skal være et forenklet supplement til sikkerhetsklarering og ikke en erstatning. Det er det konkrete behovet som skal avgjøre hvilken klarering som velges.

Etter femte ledd kan Kongen gi forskrift om krav til adgangsklarering og forholdet mellom sikkerhetsklarering og adgangsklarering. Det vil være behov for nærmere å regulere bruken av de to klareringstypene, blant annet for å klargjøre forholdet mellom sikkerhetsgradert informasjon og den type informasjon tilgang til skjermingsverdig objekt eller infrastruktur kan gi.

Til § 8-4

Bestemmelsen angir det nærmere vurderingstemaet for når klarering skal gis eller opprettholdes. Bestemmelsen skiller seg fra utvalgets forslag til § 8-5 ved at opplistingen av vurderingstemaene er tatt inn i bestemmelsens fjerde ledd, som er en videreføring av gjeldende sikkerhetslov § 21. Vurderingstemaene er omredigert noe, slik at opplistingen går fra a til o.

Hvorvidt en person skal gis en sikkerhetsklaring beror på en helhetsvurdering av om en person er sikkerhetsmessig skikket. Etter første ledd skal klarering bare gis eller opprettholdes dersom det ikke foreligger rimelig grunn til å tvile på om en person er sikkerhetsmessig skikket. Vurderingen av rimelig tvil må ses i sammenheng med det nivået vedkommende skal klareres for. Desto høyere klareringsnivå, desto mindre grad av tvil kan aksepteres.

Andre ledd slår fast at i vurderingen om personen er sikkerhetsmessig skikket, skal det legges vekt på personens pålitelighet, lojalitet og dømmekraft i forbindelse med behandlingen av sikkerhetsgradert informasjon og tilgang til skjermingsverdige objekter eller infrastruktur. En personkontroll etter § 8-5, skal være grunnlaget for vurderingen.

Tredje ledd slår fast at klareringssaken skal være så godt opplyst som mulig, og at dersom det er tvil om en person er sikkerhetsmessige skikkethet skal det gjennomføres en sikkerhetssamtale. Det er klareringsmyndigheten som er ansvarlig for at saken er tilstrekkelig opplyst.

Fjerde ledd lister opp forhold som det i vurderingen kan legges vekt på i forbindelse med personkontrollen.

I fjerde ledd bokstav a er terror lagt til som en naturlig del av hva som kan vektlegges, jf. gjeldende sikkerhetslov § 21 første ledd bokstav a. I bokstav c er ordlyden endret i tråd med endret definisjon av nærstående, jf. § 1-5 nr. 5 og merknad til § 8-5. I bokstav h er unnlatelse lagt til som en naturlig del av hva som kan vektlegges, jf. dagens sikkerhetslov § 21 første ledd bokstav g. Videre er bokstav g splittet opp hvor den delen som omhandler unnlatelse av å gi autorisasjonsansvarlig løpende underretning er ny bokstav i, nektelse av å gi taushetsløfte eller delta i sikkerhetssamtale er ny bokstav j. De påfølgende bokstavhenvisingene er dertil endret. I ny bokstav k er ordlyden endret fra friste til utroskap til å handle i strid med nasjonale sikkerhetsinteresser. Dette er ikke en materiell endring men en tydeliggjøring av hva som er hensikten med vurderingskriteriet.

Etter femte ledd er det et totalforbud mot å legge vekt på lovlig politisk engasjement og annet lovlig samfunnsengasjement i vurderingen av sikkerhetsmessig skikkethet.

I bestemmelsens sjette ledd avgrenses klareringsmyndighetens anledning til å vektlegge opplysninger om nærstående personer til tilfeller der det antas at disse forholdene vil kunne påvirke om en person er sikkerhetsmessig skikket.

Etter sjuende ledd kan Kongen gi forskrift om klarering og gjennomføring av sikkerhetssamtale. Bestemmelsen er en videreføring av forskriftshjemmelen i gjeldende sikkerhetslov § 26 andre ledd og utvalgets forslag til § 17 andre ledd bokstav a og c.

Til § 8-5

Bestemmelsen er i hovedsak en videreføring av gjeldende sikkerhetslov § 20 og utvalgets forslag til § 8-7. Bestemmelsen regulerer gjennomføring av personkontroll som grunnlag for klareringsmyndighetens vurdering av om en person er sikkerhetsmessig skikket etter § 8-4.

Etter første ledd første punktum skal sikkerhetsmyndigheten gjennomføre personkontroll av alle som skal adgangs- eller sikkerhetsklareres. Med personkontroll menes i denne sammenhengen både opplysninger fra vedkommende selv og de opplysninger klareringsmyndigheten selv besitter eller innhenter fra relevante registre eller andre kilder.

Etter andre ledd er det et vilkår for å igangsette personkontroll at den aktuelle personen er gjort oppmerksom på, og har samtykket til, at slik kontroll igangsettes. I tredje punktum slås det fast at samtykket også omfatter muligheten for fornyet personkontroll innenfor gyldighetstiden, dersom det er behov for det, jf. tredje ledd. Utvalget har i sitt forslag erstattet samtykke med aksept og begrunnet dette med at en person som søkes klarert i de fleste tilfeller er i en arbeids-/arbeidstakerrelasjon, noe som gjør det vanskelig til å oppfylle kravene til et frivillig samtykke. Departementets vurdering er at det kun er unntaksvis at krav til klarering inntreffer etter at en person er tilsatt i en stilling. I de aller fleste tilfeller har den enkelte et valg om hvorvidt man vil søke på en stilling som har krav til klarering. Et samtykke til gjennomføring av en personkontroll anses derfor som frivillig og informert, og videreføres fra gjeldende lov.

Tredje ledd er i all hovedsak en videreføring av utvalgets forslag til § 8-8, men med språklige forenklinger, jf. kapittel 12.5.8. Bestemmelsen regulerer klareringsmyndighetens adgang til å kunne anmode om fornyet personkontroll ved behov, når som helst i klareringens gyldighetstid. Retten til å anmode om slik fornyet personkontroll gjelder både ved mistanke om nye forhold som kan påvirke om en person er sikkerhetsmessig skikket, og som et ledd i regelmessig oppfølging av klarert personell. Med klareringsmyndigheten menes også klagemyndigheten ved behandling av klager på avgjørelse om klarering, jf. § 8-17.

Etter fjerde ledd skal personkontrollen omfatte opplysninger gitt av personen selv, og som plikter å gi fullstendige opplysninger som kan ha betydning for den sikkerhetsmessige skikketheten, jf. § 8-4. Bestemmelsens andre punktum er ny og slår fast at en klareringssak kan avsluttes uten realitetsbehandling dersom en person ikke svarer på henvendelser fra klareringsmyndigheten. Departementet viser til at det i noen særskilte tilfeller ikke er mulig for en person å besvare henvendelser fra klareringsmyndigheten. Under slike omstendigheter kan saken avsluttes uten realitetsbehandling. Dette til forskjell for unnlatelsestilfellene nevnt i § 8-4 bokstav h, som regulerer de tilfellene som gjelder nektelse eller aktiv handling av ikke å forholde seg til de krav som settes til medvirkning i klareringsprosessen.

Etter femte ledd kan det gjennomføres personkontroll av nærstående personer dersom det søkes om sikkerhetsklarering for HEMMELIG eller høyere sikkerhetsgrader. Det samme gjelder for adgangsklarering for objekter og infrastruktur med klassifiseringsgraden MEGET KRITISK. Det kan også gjennomføres personkontroll av nærstående i andre særlige tilfeller. Med begrepet nærstående menes personer som er i nær familie eller som har annen nær tilknytning som kan ha betydning for om en person er sikkerhetsmessig skikket, jf. § 1-5 nr. 5. Dette omfatter i første rekke vedkommendes ektefelle, partner, samboer, barn, foreldre og søsken, og andre personer vedkommende er knyttet til ved familiebånd. Begrepet nærstående omfatter imidlertid ikke bare de personer vedkommende har en familiær tilknytning til. Det avgjørende er hvorvidt den aktuelle personen har en relasjon til vedkommende av en slik art at den reelt påvirker om en person er sikkerhetsmessig skikket.

I sjette ledd heter det at personkontrollen også skal omfatte andre opplysninger som klareringsmyndigheten sitter med, og opplysninger fra relevante registre. Med relevante registre omfattes også opplysninger som virksomheten har lagret på annen måte, eksempelvis i elektroniske saksarkiv. I bestemmelsens andre punktum, vises det til at personkontrollen også kan omfatte andre kilder. Dette kan for eksempel være opplysninger fra private kredittopplysingsregistre, jf. gjeldende forskrift om personellsikkerhet § 3-4.

I sjuende ledd slås det fast at det ikke skal innhentes, registreres eller videreformidles opplysninger om politisk engasjement som nevnt i § 8-4 femte ledd.

Etter åttende ledd plikter behandlingsansvarlige for relevante registre å utlevere registeropplysninger uten hinder av taushetsplikt. Opplysningene skal gis skriftlig, og det kan ikke kreves vederlag for denne type tjeneste. Behandlingsansvarlig skal forstås på samme måte som registereier i gjeldende sikkerhetslov § 20 fjerde ledd andre punktum. Det vil være sikkerhetsmyndigheten som forestår personkontrollen på vegne av de ulike klareringsmyndighetene.

Niende ledd slår fast at behandlingsansvarlige for relevante registre skal legge til rette for en digitalisert overføring av personkontrollopplysninger. Se omtale under 12.5.7.

Tiende ledd slår fast at opplysningene i klareringssakene ikke benyttes til andre formål enn vurdering av klarering. Andre punktum viser til at klareringsmyndigheten kan gi autorisasjonsansvarlige opplysninger dersom det av sikkerhetsmessige hensyn er nødvendig. Se omtale under 12.5.9.

I ellevte ledd kan Kongen gi forskrift om personkontroll av nærstående, fornyet personkontroll, hvilke registre som er relevante for personkontroll, framgangsmåten ved registerundersøkelser i utlandet, utlevering av opplysninger ved tilsvarende personkontroll som utføres av andre lands myndigheter og arkivering, oppbevaring, forsendelse og digitalisert overføring av personkontrollopplysninger. Bestemmelsen viderefører blant annet gjeldende hjemmel i sikkerhetsloven § 26 andre ledd bokstav b.

Til § 8-6

Første ledd er en videreføring av utvalgets forslag til § 8-9 og er i utgangspunktet også en videreføring av gjeldende lov § 21 siste ledd. Med begrepet særlige tilfeller menes at det skal være en viss tilbakeholdenhet med å gi klarering på vilkår eller stillingsklarering, blant annet av likebehandlingshensyn. Men i de tilfeller der alternativet er å avslå klareringsanmodningen, vil bruk av vilkår kunne benyttes dersom dette vurderes som et tilstrekkelig risikoreduserende tiltak. Bruk av vilkår for klarering, herunder stillingsklarering, vil blant annet kunne bidra til et mer fleksibelt system hvor verdifull kompetanse kan rekrutteres, uten at dette innebærer en uakseptabel risiko.

Etter andre ledd kan Kongen i forskrift gi nærmere bestemmelser om bruk av vilkår ved klarering.

Til § 8-7

Bestemmelsen er i all hovedsak en videreføring fra gjeldende sikkerhetslov § 22 og utvalgets forslag til § 8-10. Utenlandske statsborgere i gjeldende lov § 22 er endret til klarering av personer med utenlandsk statsborgerskap. Dette for å tydeliggjøre at det avgjørende er at personen har et utenlandsk statsborgerskap. Personer med både norsk statsborgerskap og utenlandsk statsborgerskap skal vurderes etter denne bestemmelsen. Det samme gjelder statsløse personer.

Vurderingen om klarering kan gis til utenlandsk statsborger skal baseres på en konkret helhetsvurdering, der tilknytning til Norge, tilknytning til hjemlandet og hjemlandets sikkerhetsmessige betydning skal vektlegges i vurderingen, i tillegg til vurderingstemaene i § 8-4, jf. kapittel 12.5.2.

I andre ledd er det presisert at bruk av vilkår, som for eksempel stillingsklarering, skal vurderes særskilt ved klarering av personer som har utenlandsk statsborgerskap, hvis slik avgrensning kan være et risikoreduserende tiltak, jf. kapittel 12.5.4.

I tredje ledd er Kongen gitt myndighet til i forskrift å gi nærmere bestemmelser om klarering av personer med utenlandsk statsborgerskap

Til § 8-8

Bestemmelsen regulerer i hvilke tilfeller klareringsmyndigheten plikter å vurdere klareringen tilbakekalt, nedsatt eller suspendert for å iverksette nærmere undersøkelser, dersom klareringsmyndigheten får opplysninger som gir grunn til å tvile på at en klarert person fortsatt er sikkerhetsmessig skikket. Klareringsmyndigheten har en plikt til ved slike tilfeller å varsle sikkerhetsmyndigheten og autorisasjonsansvarlig. Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 24 andre og tredje ledd, og utvalgets forslag til § 8-6, og skal forstås på samme måte.

Til § 8-9

Bestemmelsen regulerer hvem som har ansvaret for autorisasjon etter loven, og det nærmere vurderingstemaet for om personer kan gis autorisasjon. Bestemmelsen er videreføring av utvalgets forslag til § 8-2, men med språklige endringer.

Første ledd slår fast at virksomhetens leder er ansvarlig for autorisasjon og den sikkerhetsmessige ledelse og kontroll av autorisert personell i virksomheten. Ansvaret for forebyggende sikkerhetsarbeid er et lederansvar, jf. 4-1 første ledd første punktum. Myndigheten til å gi autorisasjon kan ved behov delegeres, men det presiseres at det er virksomhetens ledelse som har ansvaret. Myndigheten til å ha sikkerhetsmessig ledelse og kontroll av personellet, vil i praksis følges opp av den som har fått delegert myndighet etter første ledd, eksempelvis autorisert personells nærmeste foresatte. Med sikkerhetsmessig ledelse og kontroll menes blant annet ansvaret for å påse at autorisert personell har tilstrekkelig opplæring og kompetanse på forebyggende sikkerhetsarbeid, og å påse at personellet faktisk etterlever sikkerhetsbestemmelsene i sitt daglige virke. Autorisasjonsansvarlig skal foreta en tilstrekkelig identitetskontroll av personer som skal autoriseres.

Andre ledd første punktum slår fast at det ikke kan gis autorisasjon før autorisasjonssamtale er avholdt. Andre ledd andre punktum angir vurderingstemaet for avgjørelser om autorisasjon og er en videreføring av gjeldende sikkerhetslov § 23 første ledd. Hvorvidt vedkommende er sikkerhetsmessig skikket, må baseres på en konkret helhetsvurdering av de opplysninger autorisasjonsansvarlig har tilgjengelig, og på det inntrykket som gis i autorisasjonssamtalen.

I tredje ledd slås det fast at sikkerhetsmyndigheten kan kreve at virksomheten skal holde sikkerhetsmyndigheten orientert om hvilke personer som er autoriserte, jf. kapittel 12.5.9. Bestemmelsen er nødvendig for at PST skal kunne be om opplysninger etter § 8-12. Nærmere bestemmelser om utleveringen av opplysningene kan gis i forskrift.

I fjerde ledd er Kongen gitt myndighet til å gi nærmere bestemmelser om autorisasjon, autorisasjonsansvarliges plikter og virksomhetens plikt til å holde sikkerhetsmyndigheten orientert om hvilke personer som er autorisert i forskrift.

Til § 8-10

Første ledd regulerer i hvilke tilfeller autorisasjonsansvarlig plikter å vurdere autorisasjonen opprettholdt, tilbakekalt, nedsatt eller suspendert. Etter første ledd andre punktum framgår det at autorisasjonsansvarlig skal melde fra om avgjørelser til klareringsmyndigheten. Bestemmelsen ivaretar utvalgets forslag til varslingsplikt i § 8-11 andre ledd, jf. kapittel 12.5.6. Andre ledd regulerer i hvilke tilfeller autorisasjon automatisk bortfaller.

Bestemmelsen er en videreføring av utvalgets forslag til § 8-3, og av gjeldende sikkerhetslov § 24 andre og fjerde ledd, men med enkelte språklige endringer.

Til § 8-11

Bestemmelsen er en videreføring av utvalgets forslag til § 8-11 første ledd. Bestemmelsen er en presisering av gjeldende sikkerhetslov § 24 første ledd, jf. kapittel 12.5.6.

Til § 8-12

Bestemmelsen er en videreføring av utvalgets forslag til § 8-12, men med språklige endringer. Bestemmelsen er ny og regulerer sikkerhetsmyndighetens adgang til å utlevere opplysninger fra klareringssaker til Politiets sikkerhetstjeneste.

Etter første ledd er det et vilkår for utlevering av informasjon at det foreligger en forutgående anmodning fra Politiets sikkerhetstjeneste. Anmodningen må i en viss utstrekning ha et presist innhold, slik at utleveringen av informasjon begrenses til det som er nødvendig. Anmodningen kan eksempelvis være avgrenset til å gjelde informasjon om personer som har tilknytning til en bestemt nasjon, eller personer med utenlandsk tilknytning som tjenestegjør innen nærmere definerte virksomheter. Anmodningen bør normalt være avgrenset til å gjelde en nærmere avgrenset tidsperiode. Sikkerhetsmyndigheten vil kunne oppdatere informasjonsgrunnlaget dersom det skjer endringer innenfor den angitte tidsperioden. Anmodningene vil uansett måtte tilpasses det konkrete informasjonsbehovet Politiets sikkerhetstjeneste har på tidspunktet for anmodningen.

De tre typene opplysninger som informasjonsdelingen omhandler framgår av første ledd.

Med klareringsstatus menes hvilket nivå de aktuelle personene er klarert for og klareringens gyldighetstid.

Begrepet tilknytning til andre stater skal forstås vidt, i den forstand at ulike slags tilknytninger vil kunne være relevante. Det kan for eksempel dreie seg om personene har familiær tilknytning til en fremmed stat eller økonomiske interesser i en fremmed stat. Samtidig vil ikke enhver tilknytning til en annen stat være tilstrekkelig til å oppfylle kravet. Det avgjørende i vurderingen vil være om personen har en slik tilknytning til en annen stat, at denne vil kunne utgjøre et effektivt pressmiddel overfor personen eller på annen måte ha betydning for personens lojalitet til Norge. Praksis vedrørende forståelsen av tilknytningskriteriene etter gjeldende sikkerhetslov § 21 første ledd bokstav k vil være relevant i denne sammenheng. Kriteriene er videreført i § 8-4 femte ledd bokstav n.

Utvalgets forslag til bokstav c tjenestested er endret til tjenestested eller hvilken virksomhet som har anmodet om klarering. Det vises til omtalen i kapittel 12.5.9. Med tjenestested menes hvor de aktuelle personene arbeider, og viser til konkret virksomhet og hvilken stilling personene innehar i denne virksomheten.

Etter andre ledd er det et vilkår for utlevering av informasjon som nevnt i første ledd, at Politiets sikkerhetstjeneste anfører at det er nødvendig for å ivareta tjenestens oppgaver etter politiloven §§ 17 b og 17 c nr. 1. Begrunnelsen for hvorfor utlevering er nødvendig i de enkelte tilfellene vil ofte være av slik karakter at Politiets sikkerhetstjeneste ikke kan, eller ikke ønsker, å dele denne begrunnelsen med andre. Når Politiets sikkerhetstjeneste anfører at slik informasjon er nødvendig, skal derfor sikkerhetsmyndigheten legge til grunn at vilkårene for utlevering av informasjon er oppfylt. Begrunnelsen vil i ettertid kunne kontrolleres av EOS-utvalget.

Tredje ledd inneholder en forskriftshjemmel for Kongen til å gi nærmere bestemmelser om utlevering av informasjon til Politiets sikkerhetstjeneste.

Til § 8-13

Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 25 og utvalgets forslag til § 8-13, men med strukturelle og språklige forenklinger.

I andre ledd er ordlyden endret, jf. utvalgets forslag til 8-13 tredje ledd andre punktum. Det presiseres at det er opplysningene som kan røpe forhold, jf. bokstav a til e, som ikke skal inngå i begrunnelsen.

I andre ledd bokstav a er grunnleggende nasjonale funksjoner i utvalgets forslag til § 8-17 erstattet med nasjonale sikkerhetsinteresser, jf. § 1-5 nr. 1

I tredje ledd slås det fast at klareringsmyndigheten skal utarbeide en begrunnelse hvor alle relevante forhold skal inngå. Begrunnelsen må vise til reglene og de faktiske omstendighetene som avgjørelsen bygger på, og de hensyn som har vært vektlagt. I den interne begrunnelsen må også alle vesentlige omstendigheter tas med, også de som er unntatt etter andre ledd.

Til § 8-14

Bestemmelsen er en videreføring av utvalgets forslag til § 8-14 og gjeldende sikkerhetslov § 25 a.

Etter først ledd kan en person kreve å få innsyn i sin klareringssak når det er fattet avgjørelse i saken. Begrepet sakens dokumenter skal forstås på samme måte som offentleglova § 4 første ledd, jf. andre ledd.

Etter andre ledd kan personen ikke kreve innsyn i opplysninger som nevnt i § 8-13 andre ledd. Det kan heller ikke kreves innsyn i dokumenter som er utarbeidet for den interne saksforberedelsen. Dette skal forstås på samme måte som etter forvaltningsloven § 18 a. Det kan ikke nektes innsyn i faktiske opplysninger, jf. andre ledd tredje punktum.

Det er tatt inn en forskriftshjemmel i fjerde ledd.

Henvisningen i gjeldende lov til «audiovisuelt opptak av egen sikkerhetssamtale», jf. § 25 a første ledd andre punktum og tredje ledd andre punktum, er ikke videreført. Audiovisuelle opptak omfattes av offentleglovas sitt dokumentbegrep, og nærmere regler om framgangsmåten for gjennomsyn av slike opptak vil bli fastsatt i forskrift etter fjerde ledd.

Til § 8-15

Bestemmelsen er en videreføring av utvalgets forslag til § 8-15 og av gjeldende sikkerhetslov § 25 b, med enkelte språklige endringer.

Første ledd gir en person som har fått avslag på innsyn etter 8-14 eller har fått en begrunnelse hvor opplysninger som nevnt i § 8-13 andre ledd er utelatt, rett til å få bistand fra en advokat. Formålet med bestemmelsen er å ivareta rettsikkerheten til den avgjørelsen gjelder. Advokaten kan få innsyn i de dokumentene som er unntatt etter § 8-13 andre ledd. Advokaten har ikke rett til innsyn i dokumenter som er utarbeidet i den interne saksforberedelsen, jf. andre ledd.

Det er i dag Forsvarsdepartementet som er ansvarlig for oppnevningen av advokater, jf. fjerde ledd.

I femte ledd er Kongen gitt myndighet til å gi forskrift om retten til bistand fra advokat, oppnevning av advokater og hvilke opplysninger advokatene kan få tilgang til.

Til § 8-16

Bestemmelsen viderefører gjeldende sikkerhetslov § 23 andre ledd og utvalgets forslag til § 8-4, jf. Prop. 97 L (2015-2016) om endring av klareringsmyndighetsstrukturen. Gjeldende sikkerhetslov § 26 første ledd og utvalgets forslag til § 8-17 første ledd er videreført i tredje ledd.

Til§ 8-17

Bestemmelsen er i stor grad en videreføring av gjeldende sikkerhetslov § 25 c og utvalgets forslag til § 8-6 med strukturelle og språklige endringer.

Begrepet «negativ avgjørelse» er ikke videreført. Første ledd viser til hvilke avgjørelser som kan påklages. Avgjørelser om klarering, klaring på vilkår, fastsettelse av tidspunkt for når klaringssaken tidligst kan tas opp på nytt, avslag på begrunnelse og avslag på innsyn påklages. Det er kun den avgjørelsen retter seg mot som kan klage.

Andre ledd regulerer hvem som er klageinstans. Klagen sendes til klareringsmyndigheten som behandler sakene i første instans. Det er sikkerhetsmyndigheten som er klageinstans, med mindre sikkerhetsmyndigheten har fattet vedtaket. I de tilfellene er det departement som er klageinstans.

I tredje ledd fremgår hvilke klagefrister som gjelder.

19.9 Kapittel 9 Sikkerhetsgraderte anskaffelser mv.

Til § 9-1

Bestemmelsen regulerer hva som skal anses som en sikkerhetsgradert anskaffelse.

Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 3 nr. 17, men utvides også til å gjelde hvor leverandøren får tilgang til skjermingsverdig infrastruktur i tråd med utvalgets forslag. Det er også inntatt en presisering om at det vil være en sikkerhetsgradert anskaffelse i de tilfellene der leverandører tilvirker sikkerhetsgradert informasjon, jf. kapittel 13.4.2. Det vil være opp til virksomheten som anskaffer en vare eller tjeneste å vurdere om den leverandøren som skal gjennomføre anskaffelsen vil kunne få tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller infrastruktur.

Det vil også være en sikkerhetsgradert anskaffelse hvor leverandøren bruker underleverandører, eller personell fra underleverandører, som kan få tilgang til eller tilvirker sikkerhetsgradert informasjon, jf. § 5-3, eller som kan få tilgang til et skjermingsverdig objekt eller infrastruktur, jf. § 7-1.

Det er for øvrig gjort mindre språklige endringer for å gjøre bestemmelsen enklere å forstå.

Til § 9-2

Bestemmelsen er i hovedsak en videreføring av gjeldende sikkerhetslov § 27, og utvalgets forslag til § 9-2. Det er inntatt enkelte presiseringer for å tydeliggjøre at en sikkerhetsavtale skal konkretisere de kravene loven og tilhørende forskrifter oppstiller for virksomheten og leverandøren i den sikkerhetsgradert anskaffelsen, jf. §§ 9-1 og 1-2 andre ledd. Utvalgets forslag til andre ledd bokstav b og c er tatt ut av bestemmelsen, og vil bli vurdert tatt inn i forskrift.

For å synliggjøre at sikkerhetsavtalen skal inngås mellom virksomheten som anskaffer varen eller tjenesten, og leverandøren, er det tatt inn et tillegg i overskriften. Videre er anskaffelsesmyndighet i første ledd erstattet med virksomheten.

Av andre ledd framgår det hva sikkerhetsavtalen skal inneholde. Sikkerhetsavtalen skal tydeliggjøre og konkretisere hvilke av lovens krav som gjelder for virksomheten og leverandøren i den konkrete anskaffelsen, og hvordan disse skal oppfylles. Hvilke krav som gjelder for den enkelte anskaffelsen vil avhenge av graderingsnivået på informasjonen, jf. lovens kapittel 5, og klassifiseringsgraden og sikringstiltakene for objektet eller infrastrukturen, jf. lovens kapittel 7, som leverandøren får tilgang til ved anskaffelsen. Det vil også kunne gjelde krav som følge av det forebyggende sikkerhetsarbeidet i den aktuelle virksomhet. Kravene vil variere ut fra om gradert informasjon skal oppbevares hos leverandøren eller ikke. Kravene vil dessuten kunne oppfylles gjennom forskjellige typer sikkerhetstiltak.

Eksempelvis vil det i de tilfellene hvor leverandørens personell bare får tilgang til gradert informasjon, skjermingsverdig objekt eller infrastruktur hos virksomheten som foretar anskaffelsen, i utgangspunktet kun være et krav om at leverandørens personell oppfyller kravene etter personellsikkerhetsreglene i lovens kapittel 8. Hvilket krav som stilles til personellet i disse tilfellene, avhenger av om personellet må klareres, jf. §§ 8-2 og 8-3, jf. § 7-3. I tillegg kommer eventuelle krav som følger av det forebyggende sikkerhetsarbeidet i den anskaffende virksomheten, bl.a. reglene om informasjonssikkerhet og informasjonssystemsikkerhet i lovens kapittel 5 og 6. I disse tilfellene kan kravet til sikkerhetsavtale være oppfylt ved at det avtales hvilket personell som eventuelt skal klareres, for hvilken sikkerhetsgrad, og hvilke andre krav som følger av det forebyggende sikkerhetsarbeidet i den anskaffende virksomheten. Dersom leverandørens personell i utgangspunktet skal klareres, jf. §§ 8-2 eller § 8-3, men dette kravet heller skal oppfylles ved at personellet følges rundt av sikkerhetspersonell hos virksomheten, må det framgå av avtalen. Bestemmelsen er ikke ment å være uttømmende, jf. kapittel 13.4.2 og 13.4.3, og vil suppleres av bestemmelser i forskrift.

I første ledd framgår det at i de tilfellene der anskaffelsen innebærer at en utenlandsk leverandør, eller personell fra den utenlandske leverandøren, må adgangs- eller sikkerhetsklareres, eller kan få tilgang til sikkerhetsgradert informasjon, skal sikkerhetsmyndigheten godkjenne leverandøren og/eller personellet. Sikkerhetsmyndigheten kontakter sikkerhetsmyndighetene i hjemstaten til leverandøren, som vil bekrefte eller avkrefte hvorvidt leverandøren eller personell fra leverandøren oppfyller de av sikkerhetslovens krav som gjelder i forbindelse med anskaffelsen. Eksempelvis om leverandøren har gyldig leverandørklarering eller om leverandørens personell har nødvendige klareringer. Sikkerhetsmyndigheten i hjemstaten vil også kunne føre sikkerhetsmessig tilsyn med leverandørens utførelse av anskaffelsen i disse tilfellene.

Dersom leverandøren eller personellet ikke har nødvendige klareringer, kan sikkerhetsmyndigheten anmode sikkerhetsmyndigheten i hjemstaten om å foreta nødvendige klareringer. Eventuelt må sikkerhetsmyndigheten og/eller klareringsmyndigheten kunne utveksle nødvendig informasjon med sikkerhetsmyndigheten i hjemstaten for å selv kunne klarere leverandøren eller personellet. Kontakten mellom sikkerhetsmyndigheten og sikkerhetsmyndigheten i hjemstaten til leverandøren forutsetter at det foreligger en bi- eller multilateral avtale om utveksling og plikt til gjensidig beskyttelse av sikkerhetsgradert informasjon mellom norske myndigheter og hjemstaten til leverandøren, jf. kapittel 13.4.3.

En leverandør vil anses som utenlandsk dersom den driver sin virksomhet fra et annet land og under et annet lands jurisdiksjon, og hvor den sikkerhetsmessige oppfølging av leverandøren vil måtte foretas av et annet lands sikkerhetsmyndighet.

Tredje ledd slår fast at leverandøren selv som utgangspunkt skal dekke kostnadene forbundet med å oppfylle sikkerhetslovens krav ved anskaffelsen.

I fjerde ledd gis Kongen hjemmel til å bestemme nærmere krav til innholdet i en sikkerhetsavtale, og for hvilke tilfeller det kan gjøres unntak fra kravet om sikkerhetsavtale.

Det er for øvrig gjort mindre språklige endringer for å gjøre bestemmelsen enklere å forstå.

Til § 9-3

Bestemmelsen er i hovedsak en videreføring av gjeldende sikkerhetslov § 28, og utvalgets forslag til § 9-3.

Det følger av første ledd at før leverandøren kan få tilgang til sikkerhetsgradert informasjon som er gradert KONFIDENSIELT eller høyere, eller det av andre grunner anses nødvendig, skal leverandøren ha gyldig leverandørklarering for den aktuelle sikkerhetsgraden. I utgangspunktet kreves leverandørklarering kun dersom leverandøren skal ha tilgang eller tilvirke sikkerhetsgradert informasjon i egne lokaler. Der hvor den enkelte leverandørens ansatte bare skal ha innsyn i sikkerhetsgradert informasjon hos virksomheten som gjennomfører anskaffelsen, er det normalt tilstrekkelig at personellet klareres i tråd med reglene for personellsikkerhet i kapittel 8. I tillegg kommer eventuelle bestemmelser om sikkerhetsadministrasjon, informasjonssikkerhet, informasjonssystemsikkerhet m.m., som gjelder hos virksomheten som gjennomfører anskaffelsen.

Med andre grunner anses nødvendig i første ledd andre punktum menes i første rekke de tilfeller der leverandøren kun vil få tilgang til klassifiserte områder innen skjermingsverdig objekt eller infrastruktur, hvor ansvarlig departement har truffet vedtak om krav til adgangsklarering, jf. § 7-3. Hvorvidt det kreves leverandørklarering for anskaffelser til skjermingsverdig objekt eller infrastruktur, må avgjøres i hvert enkelt tilfelle. I vurderingen bør det særlig tas hensyn til hvorvidt leverandørens personell får tilgang til hele eller deler av objektet eller infrastrukturen som har et høyt skadepotensial. Hvilke andre momenter som skal vektlegges kan fastsettes i forskrift.

Leverandørklarering forutsetter at klareringsmyndigheten faktisk og rettslig har mulighet til å vurdere om en leverandør er sikkerhetsmessig skikket. For utenlandske leverandører har myndighetene bare denne muligheten hvor det foreligger en bi- eller multilateral sikkerhetsavtale mellom Norge og leverandørens hjemstat. Denne avtalen etablerer en gjensidig forpliktelse for myndighetene til å beskytte den annen parts sikkerhetsgraderte informasjon som sin egen og til å bistå hverandre ved sikkerhetsgraderte anskaffelser. Sikkerhetsmyndigheten er kontaktpunktet mot utenlandske sikkerhetsmyndigheter, jf. § 9-2. Ved leverandørklarering av utenlandske leverandører vil derfor sikkerhetsmyndigheten måtte undersøke om leverandøren har gyldig leverandørklarering i hjemstaten. En bi- eller multilateral sikkerhetsavtale gjør at klareringsmyndigheten kan legge leverandørklarering fra leverandørens hjemstat til grunn for vurderingen av sikkerhetsmessig skikkethet. Hva som menes med utenlandsk leverandør framgår av merknaden til § 9-2.

Bestemmelsen andre til og med femte ledd skal forstås på samme måte som gjeldende sikkerhetslov § 28 andre til og med femte ledd. Med ledelse i andre ledd siste punktum, menes daglig leder eller de som har ansvaret for den daglige ledelsen av virksomheten.

Femte ledd viser hovedsakelig til bestemmelsene om begrunnelse og klage i kapittel 8.

For å gjøre regelverket mer fleksibelt for framtidige organisatoriske endringer er det i sjette ledd første punktum foreslått at Kongen utpeker hvem som er klareringsmyndighet for leverandørklareringer. Endringen er ikke ment å innebærer materielle endringer.

Det er for øvrig gjort mindre språklige endringer for å gjøre bestemmelsen enklere å forstå.

Til § 9-4

Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 29 a, og utvalgets forslag til § 9-4. Bestemmelsen er imidlertid utvidet til også å omfatte virksomheter som råder over skjermingsverdige informasjonssystemer, for å tilpasse bestemmelsen til at skjermingsverdige informasjonssystemer nå er omfattet av loven. Bestemmelsen pålegger virksomheter som er underlagt loven, og som råder over skjermingsverdig informasjonssystem, objekt eller infrastruktur, jf. §§ 6-1 og 7-1, en varslingsplikt. Første ledd er endret for å tilpasse bestemmelsen til endring i begrepsbruken til sikkerhetstruende virksomhet, jf. omtalen under kapittel 6.4.2.

For nærmere om innholdet i bestemmelsen vises til kapittel 13.4.5 og til merknaden til § 29 a i Prop. 97 L (2015–2016), side 75 til 77.

Det er for øvrig gjort mindre språklige endringer for å gjøre bestemmelsen enklere å forstå.

19.10 Kapittel 10 Eierskapskontroll

Til § 10-1

Bestemmelsen er ny, og viderefører meldeplikten i utvalgets forslag til § 10-1.

Bestemmelsens første ledd omfatter erverv av eierandeler som gir erverver betydelig innflytelse over forvaltningen av en virksomhet som gjennom enkeltvedtak, jf. § 1-3, er underlagt loven. Informasjon om hvilke virksomheter som er underlagt loven vil være tilgjengelig hos det departement som har truffet vedtak om å underlegge virksomheten loven, eller hos sikkerhetsmyndigheten som skal ha oversikt over alle virksomheter som er underlagt loven, jf. § 2-1 første ledd bokstav d.

Bestemmelsen gir ikke meldeplikt ved beslutninger som er et resultat av forvaltningen av virksomheten, eksempelvis et salg av eiendeler eller overføring av rettigheter og forpliktelser til uønskede aktører, jf. kapittel 14.4.

Bestemmelsens andre ledd definerer når det foreligger kvalifisert eierandel. Det er erververs totale innflytelse på forvaltningen av selskapet som er avgjørende. Ved en eierandel på over en tredjedel vil eieren kunne motsette seg beslutninger om forvaltningen av selskapet som det fra et sikkerhetsperspektiv er viktig å kunne ha en viss kontroll over. Eksempelvis flytting av hovedkontor, vedtektsendringer etc. Se kapittel 14.4. Eierandelen vil også kunne anses som kvalifisert dersom den er mindre enn en tredjedel, så lenge eierposten gir rett til å velge et flertall av styret eller motsette seg overnevnte beslutninger på bakgrunn av vedtekter eller aksjonæravtale, eller på annen måte gir mulighet til å utøve betydelig innflytelse over forvaltningen av selskapet.

Meldingen skal som hovedregel gå til det departementet som har truffet vedtaket om at virksomheten er underlagt loven, jf. § 1-3 første ledd. Ved erverv i virksomheter som ikke faller inn under ansvarsområdet til et departement, skal meldingen gå til sikkerhetsmyndigheten.

Nærmere krav til innholdet i meldingen kan reguleres i forskrift, jf. kapittel 14.4, avsnitt sju.

Til § 10-2

Bestemmelsen viderefører utvalgets forslag til § 10-1 tredje ledd. I tillegg angir bestemmelsen frister for behandlingen av meldingen.

Det følger av første ledd at meldingen skal behandles så snart som mulig. Utgangspunktet er forvaltningslovens saksbehandlingsregler, jf. forvaltningsloven § 11 a.

Av andre ledd framgår det at departementet eller sikkerhetsmyndigheten som hovedregel bør innhente uttalelse fra relevante organer som grunnlag for vurderingen av ervervets risikopotensial og om erverver er sikkerhetsmessig pålitelig. Eksempelvis vil graden av erververens tilknytning til land Norge ikke har et sikkerhetssamarbeid med, kunne være relevant. Det vil også kunne være relevant å se hen til hvilken relasjon erververen har til andre eiere i virksomheten, og hvordan erververen samlet vil kunne ha innflytelse på forvaltningen av selskapet. Hvilke momenter som er relevante i vurderingen av risikopotensialet og erververens sikkerhetsmessige pålitelighet, vil framgå av forskrift. Relevante organer vil eksempelvis være EOS-tjenestene.

Av tredje ledd framgår det at melder innen 60 arbeidsdager skal bli orientert om ervervet er godkjent eller om det skal behandles av Kongen i statsråd. Fristen tar høyde for at det i noen tilfeller vil måtte medregnes noen tid for informasjonsinnhenting og vurdering av meldingen. Fristen avbrytes dersom departementet eller sikkerhetsmyndigheten har bedt om ytterligere opplysninger før det har gått 50 arbeidsdager.

Kongen er i fjerde ledd gitt myndighet til å gi nærmere bestemmelser om behandlingen av meldingen i forskrift.

Til § 10-3

Bestemmelsen er en videreføring av utvalgets forslag til § 10-1 fjerde ledd, med noen presiseringer.

Bestemmelsen gir Kongen i statsråd adgang til å stanse et erverv som anses som en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet. Begrepet ikke ubetydelig risiko skal forstås på samme måte som i § 2-5. Det oppstilles heller ikke i § 10-3 krav om sannsynlighetsovervekt.

Et vedtak må ligge innenfor formålet med sikkerhetsloven, samtidig som det må være forholdsmessighet mellom den økonomiske ulempen for erverver og virksomheten, og hensynet til nasjonale sikkerhetsinteresser. Det er ikke av betydning om det er mottatt melding om ervervet, eller om ervervet alt er gjennomført. Det forutsettes at vedtaket kan begrunnes og at denne begrunnelsen kan dokumenteres i tilstrekkelig grad.

19.11 Kapittel 11 Særskilte kontroll- og tilsynsordninger. Tvangsmulkt, overtredelsesgebyr og straff

Til § 11-1

Bestemmelsen viderefører gjeldende sikkerhetslov § 30 første ledd og utvalgets forslag til § 11-1 første ledd. Andre ledd i § 30 er en etterlevning fra tidligere bestemmelser, som forarbeidene til sikkerhetsloven, Ot.prp. nr. 49 (1996–97), ikke gir nærmere rede for, bortsett fra behov for en hjemmel til å kunne utøve særskilt kontroll eksempelvis med den kommunale forvaltningen når det gjelder forebyggende sikkerhetsarbeid. Slike særskilte ordninger utover EOS-utvalget har ikke blitt etablert siden sikkerhetsloven trådte i kraft i 2001. I dag utøver departementet tilsyn med NSM, som dens overordnede organ, mens NSM fører tilsyn med virksomheter underlagt loven, inkludert kommunene. Departementet ser derfor ikke behov for bestemmelsen og foreslår at andre ledd ikke blir videreført i det nye lovforslaget.

Bestemmelsen fastslår gjennom begrepet underlagt at forebyggende sikkerhetsarbeid etter sikkerhetsloven kan bli gjenstand for kontroll og tilsyn av EOS-utvalget. Bestemmelsen gir ikke direkte føringer for verken organiseringen, gjennomføringen eller omfanget av EOS-utvalgets kontroll.

Med forebyggende sikkerhetsarbeid etter loven menes planlegging, tilrettelegging, gjennomføring og kontroll av forebyggende sikkerhetstiltak som søker å fjerne eller redusere risiko som følge av sikkerhetstruende virksomhet, jf. § 1-5 nr. 3. Begrepet tilsvarer i all hovedsak begrepet forebyggende sikkerhetstjeneste slik det er definert i gjeldende sikkerhetslov § 3 første ledd nr. 1.

Bestemmelsen må ses i sammenheng med EOS-kontrolloven (lov 3. februar 1995 nr. 7), herunder § 1, som angir EOS-utvalgets kontrollområde til «etterretnings-, overvåkings- og sikkerhetstjeneste som utføres av den offentlige forvaltning eller under styring eller på oppdrag fra denne». Kontrollområdet er funksjonelt og ikke organisatorisk definert, se nærmere Dokument 16 (2015–2016) Rapport til Stortinget fra Evalueringsutvalget for Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjeneste, kapittel 17.3.

Til § 11-2

Bestemmelsen er en videreføring av utvalgets forslag til § 11-2, men konkretisert for hvilke bestemmelser sanksjonen tvangsmulkt kan anvendes på. Det er videre i andre ledd tatt inn at et vedtak om tvangsmulkt kan påklages til departementet.

Bestemmelsen gir hjemmel til å ilegge en virksomhet som har overtrådt loven, med konkret angitte bestemmelser som setter plikter på virksomheter som loven gjelder for, jf. tilsvarende § 11-3, en løpende mulkt for å tvinge virksomheten til å rette opp i forholdet og å etterleve de plikter som loven setter. Tvangsmulkt forutsetter at det er truffet gyldig enkeltvedtak som pålegger virksomheten å endre sin praksis, jf. § 3-6. Vedtaket må være rettskraftig før mulkten kan begynne å løpe. Mulighetene for å angripe vedtaket ved klage eller rettslige skritt, må altså være uttømt. Med tilsynsmyndigheten menes i denne sammenheng sikkerhetsmyndigheten eller den sektormyndighet som har fått tildelt tilsynsansvaret etter § 3-1.

Tvangsmiddelet må være forholdsmessig, jf. blant annet § 1-1 bokstav c. Vedtaket må ikke være mer tyngende enn det som er nødvendig for å oppnå formålet med mulkten, og må dessuten være egnet til å oppnå formålet.

Bestemmelsen er en videreføring av utvalgets forslag til § 11-2, men det er tatt inn i andre ledd at vedtak om tvangsmulkt kan påklages til departementet.

Til § 11-3

Bestemmelsen er en videreføring av utvalgets forslag til § 11-3.

Bestemmelsen gir tilsynsmyndigheten hjemmel til å ilegge overtredelsesgebyr ved overtredelse av lovbestemmelsene angitt i første ledd.

Begrepet noen som handler på dennes vegne i første ledd angir virksomhetens ansvar utover egen organisasjon. Det må være en viss tilknytning mellom virksomheten og den som har overtrådt bestemmelsen, jf. også § 5-4.

Oppregningen av lovens bestemmelser der overtredelsesgebyr er aktuelt omfatter de bestemmelser i loven som anses særlig viktig å overholde og som dessuten er tilstrekkelig klart formulert ved å legge plikter for de virksomhetene som loven gjelder for, til at denne type sanksjon lar seg forsvare.

Ileggelse av gebyr er inngripende og må være forholdsmessig. Bestemmelsens andre ledd angir relevante momenter som skal tas i betraktning ved fastsettelse av gebyrets størrelse. Momentene er relevante også ved vurderingen av om gebyr skal ilegges.

Bestemmelsens tredje ledd fastsetter foreldelsesfristen for adgangen til å pålegge overtredelsesgebyr. Utover det som er regulert i tredje ledd gjelder alminnelige regler om foreldelse.

Til § 11-4

Bestemmelsen er i hovedsak en videreføring av gjeldende sikkerhetslov § 31 og utvalgets forslag til § 11-4.

Bestemmelsens første ledd fastslår at overtredelse av nærmere angitte bestemmelser – de samme som i § 11-3 første ledd bokstav a og b – er straffbart, se merknadene til denne bestemmelsen. Første ledd retter seg i første rekke mot virksomheter som er ansvarlig for overholdelse av de enkelte bestemmelsene. I første ledd er det tilføyd eller begge deler slik at bestemmelsen også gir adgang til å bruke tvangsmiddelet pågripelse, dersom de generelle og spesielle vilkårene etter straffeprosessloven § 171, jf. § 170 a er oppfylt. Strafferammen blir da bot eller fengsel inntil 6 måneder eller begge deler.

Bestemmelsens andre og tredje ledd retter seg mot enkeltpersoner som ikke overholder § 5-4 eller § 6-6 eller forbud gitt i medhold av § 7-5. Strafferammen her er bot eller fengsel inntil 1 år.

19.12 Kapittel 12 Ikrafttredelse og endringer i andre lover

Til § 12-1

Bestemmelsens første punktum fastslår at loven trer i kraft fra det tidspunkt Kongen bestemmer. Det ligger blant annet i dette at ikraftsettelse forutsetter at det først må utarbeides nærmere forskrifter, se f.eks. §§ 3-2, 4-3, 5-5, 5-6, 6-2, 6-6, 7-1, 7-2, 8-3, 8-6 og 10-2. I tillegg vil det være behov for gjennomføring av et informasjons- og opplæringsprogram for berørt personell, særlig i forbindelse med den foreslåtte tilsynsmodellen, jf. §§ 3-1 til 3-6, før loven kan tre i kraft.

I bestemmelsens andre punktum slås det fast at Kongen kan sette i kraft forskjellige bestemmelser til ulik tid. Dette innebærer at det ikke vil være påkrevet å vente med ikrafttredelse av loven til alle forskrifter er på plass, men at deler av loven kan ta til å gjelde når det foreligger forskrifter som hører til tilsvarende deler av loven.

Til § 12-2

Når den nye loven trer i kraft, oppheves lov 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste (sikkerhetsloven). Dersom forskjellige bestemmelser i den nye loven blir satt i kraft til ulik tid, jf. § 12-1 andre punktum, skjer tilsvarende delvis opphevelse av 1998-loven, så langt det passer.

Til forsiden