4 Rettstilstanden i andre land
4.1 Sverige
4.1.1 Sikkerhetslovgivningen i Sverige
Säkerhetsskyddslagen (1996:627) er Sveriges lov som regulerer forebyggende sikkerhet. Det framgår av 1 § at loven gjelder for «staten, kommunerna och landstingen», for «aktiebolag, handelsbolag, föreningar og stiftelser» som myndighetene utøver «ett rättslig bestämmande inflytande» over og for «enskilda, om verksamheten är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism». For riksdagen og underlagte organer gjelder loven i begrenset utstrekning.
I 6 § framgår det at loven skal legge til rette for säkerhetsskydd mot «spioneri, sabotage och andra brott som kan hota rikets säkerhet» og mot andre tilfeller som omfattes av hemmelighold etter offentlighets- och sekretesslagen og som berører rikets sikkerhet. I tillegg skal loven legge til rette for beskyttelse mot terrorhandlinger, selv om handlingen ikke truer rikets sikkerhet.
Lovens 7 § regulerer at sikkerhetstiltak etter loven skal omfatte informasjonssikkerhet, adgangsbegrensninger og sikkerhetsklarering av personer.
Säkerhetsskyddslagen er for øvrig under revisjon.
4.1.2 Informasjonssikkerhet og informasjonssystemsikkerhet
Säkerhetsskyddslagen og säkerhetsskyddsförordningen (1996:633) regulerer informasjonssikkerheten i relasjon til rikets säkerhet. Etter säkerhetsskyddslagen 7 § 1 om skal sikkerhetstiltakene forebygge at opplysninger som er sensitive av hensyn til rikets sikkerhet avsløres, endres eller slettes uten autorisasjon. Hvilke beskyttelsesbehov som oppstår når informasjonen behandles automatisk, skal særlig vurderes ved utforming av regler om informasjonssikkerhet, jf. 9 §. I säkerhetsskyddsförordningen paragrafene 9 til 13 er det fastsatt mer konkrete regler om informasjonssikkerhet. Alle virksomheter som omfattes av loven, må dessuten gjennomføre en säkerhetsanalys for å kartlegge hvilke opplysninger i deres virksomhet som må holdes hemmelig av hensyn til rikets sikkerhet, jf. forordningen 5 §. Forordningen regulerer også varsling av sikkerhetsbrudd, nedtegning av såkalte hemliga handlingar og forsendelse av dokumenter.
I SOU 2015:25 En ny säkerhetsskyddslag foreslås det flere endringer i gjeldende rett. Utredningen viser til at det er utviklingsbehov både på grunn av gjeldende lovs fokus på konfidensialitetsbeskyttelse og av hensyn til ivaretakelse av Sveriges internasjonale forpliktelser. Beskyttelse av sikkerhetsgraderte opplysninger videreføres og det foreslås også å videreføre et system for sikkerhetsgradering som korresponderer med NATOs system.
Det foreslås videre å beskytte informasjon som av andre grunner er av betydning for säkerhetskänslig verksamhet. For denne kategorien framheves behovet for å beskytte integritet og tilgjengelighet.
I utredningen foreslås det også en ny säkerhetsskyddsförordning, som blant annet inneholder bestemmelser for beskyttelse av IT-systemer. Det stilles krav til beskyttelse av systemer som skal behandle informasjon som er gradert konfidentiell eller høyere. Disse systemene skal sikres gjennom blant annet tilgangskontroll, logging av hendelser i systemet som er av betydning for sikkerheten og beskyttelse mot uautorisert avlytting, inntrenging, skadelig kode og forstyrrende signaler. I tillegg følger det av forslaget i kapittel 4 om informationssäkerhet 2 § at systemer «som är av motsvarande betydelse för Sveriges säkerhet», skal beskyttes. Det uttales at disse systemene er så ulike at det ikke er hensiktsmessig å fastsette spesifikke sikkerhetstiltak for disse i forordningen.
4.1.3 Personellsikkerhet
Personellsikkerhet reguleres i säkerhetsskyddlagen, særlig i paragrafene 11 til 29.
I Sverige skal det etter 11 § i loven gjøres en säkerhetsprövning av personer som deltar i virksomhet som er av betydning for rikets sikkerhet eller som får tilgang til opplysninger som er viktige for beskyttelse mot terrorisme. Den enkelte virksomhet skal kartlegge hvilke ansettelser som medfører behov for plassering i säkerhetsklass. Registerkontroll og særskilt personutredning utføres avhengig av säkerhetsklass. Det er også registerkontroll forbundet med sikkerhetsprøvingen for virksomheter som har et særlig behov for beskyttelse mot terrorhandlinger. En sikkerhetsklassifisert stilling i stat, kommune eller landsting kan, med visse unntak, bare innehas av personer med svensk statsborgerskap.
4.1.4 Objekt- og infrastruktursikkerhet
Sverige har også en beskyttelseslov, skyddslagen (2010:305), som er relevant for objekt- og infrastruktursikkerhet. Säkerhetsskyddslagen er i stor grad innrettet for å sikre konfidensialitet for informasjon av betydning for säkerhetskänslig verksamhet, mens skyddslagen med tilhørende forskrifter og forordninger er innrettet for å beskytte skyddsobjekter mot sikkerhetstruende virksomhet. Skyddsobjekt kan være bygninger, anlegg og områder, samt militære fartøy og luftfartøy, jf. NOU 2016: 19 kapittel 9.4.4.
4.2 Danmark
4.2.1 Sikkerhetslovgivningen i Danmark
Danmark har ikke en egen sektorovergripende lov som regulerer forebyggende sikkerhetsarbeid. Cirkulære om sikkerhedsbeskyttelse af informationer af fælles interesse for landene i NATO eller EU, andre klassificerede informationer samt informationer af sikkerhedsmæssig beskyttelsesinteresse i øvrigt (CIS nr 10338 af 17. desember 2014, Sikkerhedscirkulæret), regulerer beskyttelse av sikkerhetsgradert informasjon. I denne beskyttelsen ligger blant annet sikkerhetsklarering av personell og
«fysiske og proceduremæssige foranstaltninger, der tilsigter, at informationerne beskyttes mod uautoriseret indsigt og ændring samt er til rådighed for autoriserede brugere, når de skal anvendes».
Danmark har heller ikke et sektorovergripende lovverk som omhandler beskyttelse av kritisk infrastruktur.
4.2.2 Informasjonssikkerhet og informasjonssystemsikkerhet
Sikkerhedscirkulæret står sentralt for ivaretakelse av informasjonssikkerhet i Danmark. Sirkulæret forutsettes å gjelde for sentraladministrasjonen, og kan gjøres gjeldende for private etter nærmere avtale.
Sirkulæret regulerer informasjonssikkerhet i vid forstand og regulerer – utover informasjonssikkerhet – både sikkerhetsmyndigheter, personellsikkerhet og fysisk sikkerhet.
Det skal foretas en klassifisering av informasjonen, ut fra en vurdering av det skadepotensialet som uautorisert tilgang til informasjonen vil kunne ha for Danmark, NATO eller EU. Sirkulæret benytter graderingene YDERST HEMMELIGT, HEMMELIGT, FORTROLIGT og TIL TJENESTEBRUG. For sistnevnte gradering forutsettes det ikke et uttrykkelig skadepotensial. Den skal brukes om informasjon som ikke må offentliggjøres eller komme uvedkommende til kjennskap. Sikkerhetstiltakene som fastsettes i sirkulæret er blant annet sikkerhetsklarering av personell, beskyttelse av sikkerhetsgradert informasjon, godkjenning av IKT-systemer, sikkerhetsstyring og fysisk sikring.
I 2015 ble lov nr. 1567 om net- og informationssikkerhed vedtatt. Loven setter krav til informasjonssikkerheten for virksomheter som tilbyr offentlige nett- og kommunikasjonstjenester. Dette omfatter både infrastrukturaktører og leverandører av mobiltelefoni, fasttelefoni, bredbånd og lignende. Loven gir dessuten Center for Cybersikkerhed relativt vidtgående myndighet for utforming av regelverk om og tilsyn med virksomhetenes informasjonssikkerhet.
4.2.3 Personellsikkerhet
Personellsikkerhet reguleres i Sikkerhedscirkulæret, underkapittel A II, Indsigt i klassificerede informationer.
Det følger av Sikkerhedscirkulæret § 12 at sikkerhetsgradert informasjon kun må gis til personer som er sikkerhetsgodkjent for den aktuelle sikkerhetsgrad. Sikkerhetsgodkjenningen er avgrenset til en konkret stilling. Politiets Efterretningstjeneste (PET) gjennomfører en sikkerhetsundersøkelse av den enkelte. Hvilke kilder og registre PET gjennomgår, er avhengig av hvilket klareringsnivå det bes om. Ettersom PET har direkte tilgang til en rekke av de relevante registrene, er saksbehandlingstiden vesentlig kortere enn i Norge.
4.2.4 Objekt- og infrastruktursikkerhet
Sektorprinsippet er styrende for beskyttelse av kritisk infrastruktur i Danmark. Dette innebærer at alle myndigheter har ansvaret for beredskap i egen sektor. Disse myndighetene arbeider systematisk med beredskap. Sikkerhetsutvalget fikk opplyst fra Beredskapsstyrelsen, som er underlagt Forsvarsministeriet, at denne etaten har en generell plikt til å veilede myndighetene om beredskapsplanleggingen, men har ikke et tverrsektorielt ansvar for myndighetenes virkemidler overfor eiere og operatører av kritisk infrastruktur, jf. NOU 2016: 19 kapittel 9.4.3.
4.3 Storbritannia
4.3.1 Sikkerhetslovgivningen i Storbritannia
I Storbritannia utgjør Security Service Act fra 1989 lovgrunnlaget for sikkerhetstjenestens virksomhet. I henhold til lovens artikkel 1 skal sikkerhetstjenesten beskytte nasjonal sikkerhet, særlig mot
«[…] threats from espionage, terrorism and sabotage, from the activities of agents of foreign powers and from actions intended to overthrow or undermine parliamentary democracy by political, industrial or violent means.»
Sikkerhetstjenesten skal også beskytte Storbritannias økonomiske velferd og støtte politiets og andre organers arbeid innen forebygging og avdekking av alvorlig kriminalitet.
I NOU 2016: 19 kapittel 6.3.3, side 107, skriver utvalget at
«[a]rbeidet med beskyttelse av kritisk infrastruktur er etter det utvalget har fått opplyst lovmessig forankret i Security Service Act (1989), og ivaretas av MI5s Centre for the Protection of National Infrastructure (CPNI).»
Government Security Classifications Policy (2014) regulerer beskyttelse av sikkerhetsgradert informasjon. Utvalget påpeker at disse retningslinjene ikke har
«lovmessig status, men er etablert innenfor rammene av nasjonal britisk lovgivning og inkluderer de krav som følger av Official Secrets Acts (1911 og 1989), Freedom of Information Act (2000) og Data Protection Act (1998).»
4.3.2 Informasjonssikkerhet og informasjonssystemsikkerhet
Systematikken for sikkerhetsgradering av informasjon i Storbritannia følger ikke den samme systematikken som NATO. Det opereres nå med tre sikkerhetsgraderinger, TOP SECRET, SECRET og OFFICIAL. I praksis benyttes to kategorier av sistnevnte, OFFICIAL-SENSITIVE og OFFICIAL. Til grunn for graderingen skal det ligge en vurdering av informasjonens skadepotensial dersom den blir kjent for uvedkommende. Graderingen danner utgangspunkt for hvilke tiltak innenfor personellsikkerhet, fysisk sikkerhet og informasjonssikkerhet som må iverksettes. Kravene omfatter blant annet need-to-know-prinsippet, varsling, merking, sikkerhetsstyring, fysisk håndtering, deling og hvorvidt det er krav om sikkerhetsklarering for tilgang til gradert informasjon.
4.3.3 Personellsikkerhet
I Storbritannia er det fire forskjellige nivåer for personkontroll, avhengig av den enkeltes behov for tilgang til informasjon og lokaliteter. Tre av nivåene omhandler sikkerhetsklarering hvor laveste nivå er Counter Terrorist Check (CTC). CTC omfatter personell som skal ha tilgang til personer som vurderes særlig utsatt for terrorhandlinger, tilgang til informasjon eller materiell av verdi for terrorister, eller tilgang til lokaliteter særlig utsatt for terror. Alle de fire nivåene av personkontroll innebærer sjekk av relevante registre og kilder. For det øverste klareringsnivået Developed Vetting skal det gjøres en full revisjon av den enkeltes økonomi, samt et detaljert intervju med Investigating Officer.
4.3.4 Objekt- og infrastruktursikkerhet
Arbeidet med beskyttelse av kritisk infrastruktur i Storbritannia er forankret i Security Service Act fra 1989 og ivaretas av Centre for the Protection of National Infrastructure (CPNI), underlagt MI5. Oppgaven til CPNI er å få implementert det som er vedtatt forebyggende sikkerhetspolicy og sikkerhetsregimer i både offentlig og privat sektor, med målsetting om å minimere risiko og redusere sårbarhet med tanke på tilsiktede handlinger. Dette gjelder fysisk objektsikring, personellsikkerhet og informasjonssikkerhet, inkludert cyber.
Ansvarlig departement utpeker kritisk infrastruktur innenfor sitt område, og CPNI har oppsyn med at definisjonene og klassifikasjonen av infrastruktur er foretatt etter gjeldende standarder og praksis.
4.4 NATO
4.4.1 Informasjonssikkerhet og informasjonssystemsikkerhet
NATO Security Policy C-M(2002)49 regulerer beskyttelse av NATO-sikkerhetsgradert informasjon. Dokumentet er sammen med flere understøttende direktiver bindende for alle NATOs medlemsland, inkludert Norge. Sikkerhetsavtalen (C-M(2002)49 Enclosure «A», Security agreement), som alle medlemslandene har sluttet seg til, danner det formelle grunnlaget for et relativt omfattende og til dels teknisk regelverk for beskyttelse av NATO-sikkerhetsgradert informasjon. NATOs råd har vedtatt de overordnede rammer og prinsipper for regelverket, mens utfyllende bestemmelser er fastsatt av de fagansvarlige komiteer, henholdsvis Security Committee og C3 Board. NATOs sikkerhetsregelverk er dels bindende for nasjonene og dels veiledende.
Blant NATOs grunnprinsipper kan nevnes at sikkerhetsgradert informasjon kun skal deles etter need-to-know-prinsippet, at sikkerhetsrisikostyring er obligatorisk for NATO-enheter, men frivillig for medlemslandene, og at sikkerhetstiltakene skal være balansert og bestå av både personell-, fysisk-, informasjons- og IKT-sikkerhet. Videre fastsettes at det etableres en nasjonal sikkerhetsorganisasjon med kompetanse innen og ansvar for ulike sikkerhetsfaglige områder.
Informasjonssikkerhet reguleres særlig i C-M(2002)49 Enclosure «E». Et grunnleggende tiltak er at informasjon skal graderes ut fra den potensielle skaden det kan medføre for NATO eller medlemslandene om den blir kjent for uvedkommende. I NATO benyttes sikkerhetsgradene COSMIC TOP SECRET, NATO SECRET, NATO CONFIDENTIAL og NATO RESTRICTED. Gjennom hele informasjonens livssyklus skal beskyttelsen være på et nivå som er tilpasset sikkerhetsgraderingen. Sikkerhetsgradering skal ikke benyttes i større utstrekning enn nødvendig.
Informasjonssystemsikkerhet, jf. Enclosure «F», omfatter beskyttelse av informasjon som behandles i kommunikasjons-, informasjons- og andre elektroniske systemer mot brudd på konfidensialitet, integritet og tilgjengelighet, både ved utilsiktede og tilsiktede hendelser. Sikkerhetstiltakene skal også beskytte mot brudd på integritet og tilgjengelighet i selve systemet. Dersom en konkret risikovurdering tilsier det, skal det iverksettes ytterligere sikkerhetstiltak. Alle IKT-systemer som behandler gradert informasjon må gjennomgå en sikkerhetsgodkjenningsprosess, som kan fastslå om et relevant sikkerhetsnivå er oppnådd og blir opprettholdt.
4.4.2 Objekt- og infrastruktursikkerhet
NATOs sivile beredskapssystem ble gjennom 1990-tallet gradvis styrket og omstrukturert. Det har vært et økt fokus på internasjonalt samarbeid om beskyttelse av kritisk infrastruktur etter 11. september 2001. Selv om critical infrastructure protection (CIP) tradisjonelt ikke er et kjerneområde for NATO, har området fått økt oppmerksomhet.
NATOs arbeid med CIP inkluderer sikring for å ivareta samfunnsfunksjoner og infrastruktur som alliansen er avhengig av for å gjennomføre operasjoner. Det er et formål for alliansen å kunne gjennomføre militære operasjoner uten at det går på bekostning av befolkningens trygghet. Dette innebærer at befolkningens behov er dekket før en eventuell militær operasjon iverksettes. CIP spiller blant annet en nøkkelrolle når det gjelder NATOs energisikkerhet.
4.5 Reguleringen av informasjonssikkerhet og informasjonssystemsikkerhet i EU
Beslutning om regler for beskyttelse av EUs sikkerhetsgraderte informasjon (2013/488/EU) fastsetter prinsipper og minimumsstandarder for beskyttelse av sikkerhetsgradert EU-informasjon (EUCI). Beslutningen gjelder for Rådet og dets sekretariat og skal overholdes av medlemslandene i henhold til nasjonalt regelverk, slik at enhver kan være trygg på at informasjonen beskyttes tilstrekkelig.
Systematikken korresponderer med NATOs systematikk. Informasjon skal sikkerhetsgraderes ut fra en vurdering av skadepotensialet for EU eller en eller flere av medlemsstatenes interesser, dersom informasjonen blir kjent for uvedkommende. I EU benyttes sikkerhetsgradene EU TOP SECRET, EU SECRET, EU CONFIDENTIAL og EU RESTRICTED. Beslutningen inneholder også bestemmelser om merking, risikostyring, personellsikkerhet, fysisk sikkerhet, forvaltning av gradert informasjon og industrisikkerhet.
Det er også egne bestemmelser om IKT-sikkerhet som gjelder for informasjonssystemer som behandler sikkerhetsgradert informasjon. Systemene må godkjennes, med det for øye å sikre at alle nødvendige sikkerhetstiltak er gjennomført, og at det er oppnådd tilstrekkelig grad av beskyttelse.