6 Lovens formål og virkeområde
6.1 Gjeldende rett
Gjeldende sikkerhetslov ble vedtatt i 1998 og trådte i kraft i 2001. I Ot.prp. nr. 49 (1996–97) sies det om bakgrunnen for proposisjonen på side 3:
«Forut for og parallelt med Lund-kommisjonens gransking, har spørsmålet om en lovregulering av de «hemmelige tjenester» vært satt på dagsorden. I Ot prp nr 83 (1993–94) uttalte Regjeringen at den vil iverksette arbeid med sikte på å fremme forslag til lovregulering av etterretnings-, overvåkings- og sikkerhetstjenesten (heretter samlet benevnt «EOS-tjenestene»). Justiskomitéen uttalte i Innst O nr 11 (1994–95), som Stortinget sluttet seg til, at den var av den oppfatning at en regulering av overvåkingstjenesten bør innarbeides i politiloven, og at det «bør utarbeides en egen lovgivning for Sikkerhetstjenestens arbeid».
Forsvarsdepartementet viser på side 7 i proposisjonen til Skaugekommisjonen, som anbefalte at det skulle «iverksettes arbeid med sikte på å gi en egen lov om EOS-tjenestene, dvs. om deres organisering, oppgaver og beføyelser». Departementet skriver videre i proposisjonen på side 7:
«Departementet har funnet det mest hensiktsmessig å fremme forslag om en egen lov om forebyggende sikkerhetstjeneste. Først og fremst skyldes dette at forebyggende sikkerhetstjeneste og den militære etterretningstjeneste har lite til felles. Regulering av Etterretningstjenestens virksomhet bør eventuelt skje gjennom separat lovgivning.»
Formålet med dagens sikkerhetslov framgår av § 1 i loven. Formålet er for det første å «legge forholdene til rette for effektivt å kunne motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser» (bokstav a). For det andre er formålet å «ivareta den enkeltes rettssikkerhet» (bokstav b). I tillegg skal loven legge til rette for å «trygge tilliten til og forenkle grunnlaget for kontroll med forebyggende sikkerhetstjeneste» (bokstav c).
Formålet er kort utdypet i forarbeidene (Ot. prp. nr. 49 (1996–97), side 64):
«Med «rikets…sikkerhet» siktes både til rikets indre og ytre sikkerhet. Begrepet er for øvrig en utpreget rettslig standard som kan forandre seg med samfunnsutviklingen. Departementet ser ikke i lovforslaget her grunn til å søke å presisere begrepet utover det som allerede er antatt på bakgrunn av andre rettskilder (juridisk teori, domstolspraksis, forarbeider til andre lover, forvaltningspraksis, mv.).
Som et samlebegrep skal forebyggende sikkerhetstjeneste motvirke trusler mot «vitale nasjonale sikkerhetsinteresser». Det anses imperativt at en på denne måten dekker samtlige felter innenfor rikets totale sikkerhetsbehov. Begrepet må derfor til enhver tid vurderes og defineres av overordnede politiske myndigheter. Terskelen for i medhold av denne loven å anse noe for å true slike interesser, vil være høy. Begrepet er nærmere omtalt under pkt 7.2.2 ovenfor. Det må understrekes at begrepet kan endres i pakt med samfunnsutviklingen og de sikkerhetsmessige utfordringer som Norge til enhver tid står overfor.»
På side 33 presiseres det at:
«For det første må fremheves at opplysningene må være knyttet til rikets sikkerhetsmessige interesser. I ordet «vitale» ligger videre en forutsetning om at det må dreie seg om helt essensielle og samfunnsviktige sikkerhetsinteresser.»
Virkeområdet i gjeldende sikkerhetslov er regulert i § 2. Hovedregelen er at loven gjelder for forvaltningsorganer og for leverandører som benyttes til sikkerhetsgraderte anskaffelser. I tillegg har Kongen myndighet til å fatte enkeltvedtak om at andre rettssubjekter skal være helt eller delvis underlagt loven. Loven gjelder dessuten med visse begrensninger også for domstolene.
Sikkerhetsloven har et såkalt security-perspektiv (i motsetning til safety); den oppstiller kun regler til beskyttelse mot de tilsiktede (viljestyrte) handlingene spionasje, sabotasje og terror. Sikkerhetsloven oppstiller således ikke krav til HMS-tiltak og omhandler ikke beskyttelse mot naturkatastrofer eller liknende, som for en rekke interesser utgjør den største trusselen. Mens det på safety-området i utgangspunktet foretas risikovurderinger hvor sannsynligheten for at en uønsket hendelse inntreffer står sentralt, vurderer man gjerne på security-feltet risiko som et forhold mellom verdien man ønsker å beskytte, trusler mot verdien og sårbarheter en trusselaktør kan tenkes å utnytte.
Sikkerhetsloven danner en minimumsstandard. Det er derfor ikke tale om et enten/eller-valg i forholdet mellom aktuelt sektorregelverk og sikkerhetsloven. I tråd med sektorprinsippet er det de enkelte sektordepartementene, sammen med sine respektive fag- og bransjemiljøer, som har ansvaret for å vurdere sikkerhetsbehovet i egen sektor, kvaliteten av eget sektorregelverk, og i hvilken utstrekning sikkerhetsloven kommer utfyllende til anvendelse. Sikkerhetsloven eksisterer i flere sektorer side om side med sektorregelverk som har bestemmelser om sikkerhet og beredskap. Sikkerhetsloven med forskrifter inneholder fleksible bestemmelser for særtilpasning til den enkelte sektor for å sikre at kravene som oppstilles, ikke blir unødvendig tyngende.
Praksis har imidlertid vist at sikkerhetsloven med forskrifter ikke oppfattes som tilstrekkelig fleksibel, men at regelverket tvert om oppfattes som tyngende både økonomisk og administrativt blant flere samfunnsaktører. Departementets arbeid med revisjon av sikkerhetsloven for å tilpasse den til de sikkerhetsutfordringene som dagens og morgendagens trusselbilde representerer, har avdekket grunnleggende utfordringer om hva sikkerhetsloven bør regulere, deriblant forholdet mellom sikkerhetsloven og annet sikkerhetsrelatert regelverk. Innenfor objektsikkerhetsområdet er det også avdekket uenighet mellom ulike sektorer om hva reglene skal ta sikte på å beskytte mot, og på hvilken måte, jf. omtalen i Prop. 97 L (2015–2016) Endringer i sikkerhetsloven (reduksjon av antall klareringsmyndigheter mv.), side 6.
6.2 Utvalgets forslag
Utvalget mener at sikkerhetsloven bør ha som formål å trygge Norges suverenitet, territorielle integritet og demokratiske styreform ved å motvirke tilsiktede uønskede hendelser mot grunnleggende samfunnsfunksjoner. Disse funksjonene er avgjørende for at staten skal kunne ivareta de verdiene loven skal beskytte og er de funksjonene en trusselaktør vil forsøke å ramme for å skade landets grunnleggende interesser.
I NOU 2016: 19 viser utvalget i kapittel 6.7.1 på side 113 til den usikkerhet som eksisterer når det gjelder hvordan dagens begrepsapparat skal forstås og praktiseres. Med en videreføring av dagens begrepsapparat risikerer man etter utvalgets oppfatning å videreføre denne usikkerheten. Utvalget uttaler også at en slik videreføring vil kunne gjøre virkeområdet til den nye loven for snevert og medføre at den nye loven vil være i utakt med beslektet lovverk for øvrig. Utvalget foreslår derfor at begrepet grunnleggende nasjonale funksjoner brukes for å angi lovens virkeområde, for å erstatte gjeldende lovs begrepsapparat og gi loven en funksjonell innretning. Sikkerhetsutvalget legger til grunn en begrenset utvidelse av virkeområdet sammenliknet med gjeldende lov og konkretiserer dette ved å angi fem kategorier knyttet til de grunnleggende nasjonale funksjonene, jf. lovforslaget § 1-2.
Sikkerhetsutvalget uttaler i NOU 2016: 19 kapittel 2 på side 17 at:
«Statens aller viktigste oppgave er […] å beskytte landets borgere og samfunnet de er en del av. En stat som ikke evner å sikre sin egen og borgernes overlevelse misligholder samfunnskontrakten mellom stat og borger. For å ivareta denne oppgaven og overholde samfunnskontrakten er det helt avgjørende at staten makter å opprettholde samfunnets grunnleggende funksjoner uavhengig av hvilken ekstern påvirkning de utsettes for.»
Fra kapittel 6.7.1 på side 113:
«[…] en ny lov om forebyggende nasjonal sikkerhet bør ha som formål å beskytte de funksjonene som er helt avgjørende for at staten skal kunne ivareta de verdiene sikkerhetsloven skal beskytte.»
Sikkerhetsutvalget uttaler i NOU 2016: 19 kapittel 2.1 om lovens virkeområde på side 18–19:
«Utvalget anbefaler at forebyggende nasjonal sikkerhet fortsatt reguleres i én lov som gjelder på tvers av sektorer og andre skillelinjer. Felles utfordringer krever felles løsninger, og én felles lov legger best til rette for tverrsektoriell samhandling og harmonisering av sikkerhetsnivået i samfunnet. Et felles rammeverk gir også de beste forutsetningene for god ledelse, styring, koordinering og ressursutnyttelse.
Utvalget mener at den nye sikkerhetsloven bør ha som formål å beskytte de funksjonene som er helt avgjørende for å ivareta de verdiene sikkerhetsloven skal hegne om. I ytterste konsekvens er det nettopp disse funksjonene en trusselaktør vil forsøke å ta ut ved et anslag mot Norge og dets mest grunnleggende interesser og verdier. En slik funksjonstilnærming vil også være i tråd med den øvrige metodikken i arbeidet med samfunnssikkerhet og beredskap. Utvalget har derfor valgt å benytte begrepet grunnleggende nasjonale funksjoner for å angi lovens virkeområde.
Selve grunnlaget for å beslutte hva som utgjør grunnleggende nasjonale funksjoner, er statens sikkerhetspolitiske ansvar for å ivareta Norges suverenitet, territorielle integritet og demokratiske styreform. En funksjon er å anse som grunnleggende for Norge dersom bortfall av denne får konsekvenser som truer disse overordnede interessene.
Utvalgets lovforslag innebærer en begrenset, men nødvendig utvidelse av virkeområdet sammenliknet med gjeldende sikkerhetslov. Loven vil ikke være en bred samfunnssikkerhetslov, men skal samtidig heller ikke være en ren statssikkerhetslov. Fra utvalgets side er utvidelsen av lovens virkeområde ment å reflektere den generelle samfunnsutviklingen som har funnet sted siden gjeldende sikkerhetslov trådte i kraft for 15 år siden.
Utvalget anbefaler at lovens virkeområde innrettes slik at enhver virksomhet, offentlig eller privat, som har råderett over informasjon, informasjonssystemer, objekter eller infrastruktur, eller som driver aktivitet, som er av kritisk betydning for grunnleggende nasjonale funksjoner, omfattes av loven.
Den nærmere avgrensningen av hva som vil utgjøre grunnleggende nasjonale funksjoner i medhold av den nye sikkerhetsloven, vil slik utvalget ser det måtte avgjøres konkret basert på en helhetlig vurdering der både sektorovergripende og sektorspesifikke perspektiver ivaretas. For at loven skal få den ønskede effekt vil det være avgjørende å etablere et system for å identifisere grunnleggende nasjonale funksjoner og hvilke virksomheter som er av kritisk betydning for disse.»
6.3 Høringsinstansenes syn
6.3.1 Formål og virkeområde
En hovedvekt av høringsinstansene uttaler seg positivt til beskrivelsene av dagens trussel- og sårbarhetsbilde som gis i NOU 2016: 19. Det er i stor grad også enighet om at dagens sikkerhetslov ikke er tilstrekkelig til å møte de utfordringene som eksisterer i dagens samfunn, og at det derfor er behov for en lov som i større grad enn gjeldende lov fanger opp samfunnssikkerhetsperspektivet i tillegg til statssikkerheten.
Utenriksdepartementet er enig i utvalgets tilnærming og uttaler:
«Utvalgets tilnærming, hvor det tas utgangspunkt i statens sikkerhetspolitiske ansvar for å ivareta Norges suverenitet, territorielle integritet og demokratiske styreform, og nødvendigheten av å beskytte de nasjonale funksjoner som har avgjørende betydning for statens evne til å ivareta dette ansvaret, synes fornuftig. Utenriksdepartementet støtter som følge av dette utkastets forslag til å heve sikkerhetsloven til å bli en overordnet og sektorovergripende lov som i større grad enn den nåværende loven respekterer den enkelte sektors og den enkelte virksomhets særpreg, men samtidig tar inn over seg betydningen av den økte avhengigheten mellom ulike sektorer.»
Helse- og omsorgsdepartementet mener lovforslaget i hovedsak synes å være en nødvendig oppdatering i tråd med samfunnsutviklingen og intensjonene til den gjeldende loven og uttaler at:
«Den pågående revisjon av totalforsvarskonseptet som skjer nasjonalt og i regi av NATO, hvor Forsvaret i større grad spesialiseres og baserer seg på støttefunksjoner fra sivil sektor, både offentlig og privat, vil øke betydningen av den sivile delen av totalforsvaret. Samfunnsutviklingen går i retning av mer konkurranseutsetting og «gjensidige avhengigheter» på tvers av sektorer, offentlige aktører og kommersielle aktører. En overgang fra fokus på «statssikkerhet» til også å omfatte «kritisk betydning for grunnleggende samfunnsfunksjoner» og kritisk infrastruktur, kan derfor være formålstjenlig.»
Samferdselsdepartementet er generelt positiv til utvalgets forslag og uttaler:
«Utredningen synes på en god måte å ta hensyn til de store teknologiske, demografiske og sikkerhetsmessige endringer som har skjedd i tiden som har gått siden gjeldende sikkerhetslov trådte i kraft i 2001. SD deler utvalgets vurdering om at det har vært behov for en bredere tilnærming til lovens virkeområde enn gjeldende sikkerhetslov har.»
Nasjonal sikkerhetsmyndighet (NSM) støtter i utgangspunktet innretningen på forslaget:
«Utvalgets lovforslag representerer en utvidelse av gjeldende sikkerhetslovs saklige virkeområde. Dagens sikkerhetslov gir tverrsektorielle bestemmelser om beskyttelse av sikkerhetsgradert informasjon og skjermingsverdige objekter. Lovforslaget omfatter i tillegg informasjonssystemer som er av kritisk betydning for grunnleggende nasjonale funksjoner, men som ikke behandler sikkerhetsgradert informasjon, samt infrastruktur av kritisk betydning for grunnleggende nasjonale funksjoner.
Utkast til ny sikkerhetslov inneholder mange gode elementer, og er langt bedre tilpasset dagens samfunnsutvikling enn eksisterende sikkerhetslov. NSM støtter i hovedsak innretningen på forslaget, og mener at dette vil legge til rette for en bedring av sikkerhetstilstanden og en god utvikling av denne. Behovet for sektorovergripende reguleringer er imidlertid mer omfattende enn utvalgets lovforslag.»
Politiets sikkerhetstjeneste (PST) mener at utvidelsen og innretningen på lovforslaget er hensiktsmessig og mer i takt med tiden og den rådende trusselsituasjonen og uttaler at:
«Samfunnets sårbarhet er ikke lenger bare knyttet til at rikets sikkerhet er tilfredsstillende ivaretatt, som et moderne samfunn er vi også avhengig av en rekke funksjoner for at Norge skal fungere tilfredsstillende.
PST støtter derfor forslaget om at lovens formål utvides til beskyttelse av grunnleggende samfunnsfunksjoner, herunder beskyttelse av informasjonssystemer og infrastruktur som er av kritisk betydning for disse. Likeledes støttes forslaget om at lovens virkeområde utvides til å omfatte virksomheter som er av kritisk betydning for at grunnleggende samfunnsfunksjoner opprettholdes.»
Konsulentselskapet BDOs hovedinntrykk av NOU 2016: 19 er:
«BDO mener forslaget redegjør for historikk, utfordringer, behov og mulige reguleringsløsninger for beskyttelse av nasjonale grunnleggende funksjoner på en meget god måte. BDO er også i det alt vesentlige enig i utvalgets forslag til konkrete bestemmelser i en ny lov på området.»
6.3.2 Virkeområde
Flere høringsinstanser, deriblant Avinor, BDO, Datatilsynet, Departementenes service- og sikkerhetsorganisasjon (DSS), Finans Norge, Forsvars- og sikkerhetsindustriens forening, Fylkesmannen i Rogaland, Fylkesmannen i Vestfold, Norges Bank, Norges Ingeniør- og Teknologorganisasjon (NITO),Norsk senter for informasjonssikring (NorSIS), Statens vegvesen, Telenor, Telia, og Thales stiller seg positive til utvidelsen av lovens virkeområde.
Norges Bank uttaler:
«Norges Bank ser positivt på den modernisering av loven som foretas gjennom utvidelse av lovens virkeområde. Overgangen til å vurdere «grunnleggende nasjonale funksjoner» er i bankens vurdering mer relevant for å redusere den sikringsrisiko loven omhandler enn tilnærmingen som legges til grunn i eksisterende lov.»
Datatilsynet uttaler:
«Vi viser til rapportens punkt 6.7.1 om at utvalgets forslag til innretning av lovens formål og virkeområde sannsynligvis vil medføre at flere virksomheter vil bli underlagt den nye loven, og til punkt 7.7.1 om at utvalget foreslår en systematikk for å identifisere virksomheter som bør omfattes av loven for å sikre grunnleggende nasjonale funksjoner. Vi mener dette er positivt og vi har en forventning til å se mer av sikkerhetsloven i den sivile sektor.»
Telenor Norge AS uttaler:
«Telenor oppfatter lovforslaget som et steg i riktig retning for å styrke nasjonal sikkerhet, herunder også samfunnssikkerhet. Vi anser utvidelsen av virkeområde[t] som naturlig og riktig sett i lys av at Norge i stor grad er avhengig av private virksomheter for å opprettholde grunnleggende samfunnsfunksjoner. Det er viktig for utviklingen av vår nasjonale forsvarsevne at vi har en sektorovergripende tilnærming, og samtidig at lovkravene er funksjonelt innrettet. Med lovforslaget legges det godt til rette for at Norge kan få en felles innretning på sikkerhetsarbeid på tvers av og innad i sektorene.
[…] I NOUen er det godt belyst at Norge i stor grad er avhengig av private virksomheter/rettssubjekter for å opprettholde nasjonale grunnleggende funksjoner. I lovforslaget bør dette tydeliggjøres, dvs. at man under lovens formål bør beskrive at begrepet virksomhet både omfatter offentlige og private virksomheter.»
Telia Norge AS er enig i utvalgets beskrivelse av de sikkerhetsutfordringene både aktører og myndigheter står overfor i dagens samfunn og støtter utvidelsen av virkeområdet. Telia uttaler:
«Som det fremgår på side 18 har en økende grad av digitalisering resultert i økte gjensidige avhengigheter på tvers av tradisjonelle skillelinjer mellom samfunnssektorer, mellom privat og offentlig virksomhet, og mellom sivile samfunnssektorer og landets militære forsvar og forsvarssektoren for øvrig. Utviklingen til et nettverksbasert samfunn er i det store og hele positiv. Det åpner for å løse store utfordringer på en fleksibel og ressurseffektiv måte. Samtidig har digitaliseringen skapt nye sårbarheter. Dette er særlig tydelig i ekomsektoren.
[…]
Vi mener en funksjonell tilnærming tilpasset den enkelte samfunnssektor vil gi bedre sikkerhet sett fra samfunnets ståsted. Dessuten innebærer dette en mer rasjonell fordeling av byrder og kostnader ved at ansvaret for å gjennomføre tiltakene pålegges den aktøren som er best plassert til å begrense risikoen for uønskede handlinger – uavhengig av eierskap eller organisasjonsform. Som utvalget selv fremhever er en slik funksjonstilnærming også i tråd med den øvrige metodikken i arbeidet med samfunnssikkerhet og beredskap.»
BDO mener utvidelsen «vil gi en mer moderne og helhetlig tilnærming til det som er viktigst å beskytte i samfunnet.»
Imidlertid har en rekke høringsinstanser, mange av dem i utgangspunktet positive til lovforslaget, særlig pekt på som et problem at rekkevidden til lovens virkeområde synes uklart. Norges vassdrags- og energidirektorat (NVE) uttaler i sin høringsuttalelse at virkeområdet er for vidt og skjønnsmessig:
«Utvalget har ment å foreslå en begrenset utvidelse av dagens sikkerhetslov. NVE mener eksempelbruken og uttalelser fra utvalgets side ikke støtter opp under dette og at forslaget har et for vidt virkeområde.
Bestemmelsen om virkeområdet i § 1-2 er den viktigste bestemmelsen for å definere hvem sikkerhetsloven skal gjelde for. Vi ser det som viktig at virkeområdet angis presist og inneholder minst mulig bruk av skjønnsmessige begreper. Dette er vesentlig for å sikre forutsigbarhet for de som blir underlagt plikter etter loven og avgrense mot annet regelverk.»
Kommunal- og moderniseringsdepartementet, Forsvarets forskningsinstitutt (FFI), Norsk Presseforbund, Petroleumstilsynet og UNINETT er blant dem som savner en mer konkret beskrivelse av lovens virkeområde og hvilke virksomheter som skal omfattes av loven.
Kommunal- og moderniseringsdepartementet uttaler:
«Med bakgrunn i utvalgets mandat, og utvalgets vurderinger i denne sammenheng, mener KMD at enkelte punkter i rapporten burde vært mer presisert. Dette gjelder spesielt lovens virkeområde – og hvilke virksomheter som skal omfattes av denne.
[…]
I mandatet fremgår det at formålet med nytt lovgrunnlag skal være å beskytte kritisk infrastruktur, kritiske samfunnsfunksjoner og sensitiv informasjon mot tilsiktede, uønskede hendelser. Etter KMDs vurdering burde også loven komme til anvendelse ved behov for sikring av kritisk samfunnsinfrastruktur mot utilsiktede hendelser som kan føre til langvarig utfall. Konsekvensen vil – uansett årsak – være utfall av viktig funksjon.»
Universitetet i Stavanger uttaler at «utvalget har fremmet et forslag til endringer av virkeområdet for loven som det ikke er mulig å overskue omfanget av, og lovens innhold er heller ikke risikovurdert.»
Olje- og energidepartementet understreker at utvalgets forslag innebærer en «forsiktig utvidelse» og at «[d]ette legger føringer for vurderingen av hva som omfattes av loven.»
Direktoratet for forvaltning og IKT (Difi) uttaler om lovens virkeområde:
«For IKT-sikkerhet vil loven legge sterke føringer. Det bør utredes om den vil føre til at det legges uforholdsmessig stor vekt på risiko som skyldes tilsiktede handlinger når virksomheters risikostyring krever en helhetlig tilnærming med god balanse mellom alle kategorier av uønskede hendelser.»
NSM uttaler seg blant annet slik om lovforslagets virkeområde:
«Utvalget legger til grunn at de virksomheter som allerede i dag er omfattet av sikkerhetsloven, enten i kraft av å være forvaltningsorgan eller ved enkeltvedtak i medhold av gjeldende lov, også vil være omfattet av den nye loven. NSM slutter seg til disse betraktningene, men kan ikke se at dette er reflektert godt nok i lovforslaget. Lovforslaget legger til grunn at det også skal foretas individuelle vurderinger hva gjelder forvaltningsorganer. NSM mener at alle forvaltningsorganer i utgangspunktet bør være underlagt sikkerhetsloven. De fleste forvaltningsorganer vil kunne komme i en situasjon hvor de må behandle eller tilvirke sikkerhetsgradert informasjon. Dette vil særlig gjelde planlegning for og håndtering av krise og beredskapssituasjoner. Man må ikke komme i en situasjon hvor et forvaltningsorgan ved behov ikke har rettslig grunnlag for å behandle sikkerhetsgradert informasjon.»
NorSIS støtter at «lovens virkeområde endres slik utvalget beskriver», men mener samtidig at «det er en fare for at virkeområdet blir for snevert i forhold til det som NorSIS oppfatter som nasjonale utfordringer.» Fellesforbundet og Kongsberg Gruppen er opptatt av at lovens virkeområde også burde utvides til å gjelde strategisk teknologi.
E-CO Energi er på sin side «bekymret for at forslaget til et bredt [virkeområde] i § 1-2 vil medføre at unødig mange virksomheter vil omfattes av loven», mens Næringslivets Hovedorganisasjon legger til grunn at utvalgets forslag innebærer en «vesentlig utvidelse» av lovens formålsbestemmelse.
Flere høringsinstanser, deriblant NSM, NVE og Energi Norge, har reagert på at forvaltningsorganer ikke eksplisitt er omfattet av forslaget til virkeområdebestemmelse i § 1-2. Statistisk sentralbyrå uttaler i den forbindelse at
«forholdet mellom bestemmelsen om lovens virkeområde, § 1-2 og departementenes ansvar og myndighet etter loven, § 2-1c, bør tydeliggjøres og formuleres slik at det ikke er noen tvil om statlige forvaltningsorganer faller inn under loven.»
Direktoratet for samfunnssikkerhet og beredskap (DSB) mener at en lov i tråd med forslaget «vil ha sterk innvirkning på det generelle samfunnssikkerhets- og beredskapsarbeidet». DSB uttaler om dette:
«DSB har i innspill til prosessen sagt seg enig i at det er behov for en ny lovregulering av sikkerhetsarbeidet i virksomheter med ansvar for kritiske samfunnsfunksjoner, men har pekt på at et slikt lovgrunnlag må legge et bredt risikoperspektiv («all hazards approach») til grunn. Samfunnet som helhet, sektormyndigheter og den enkelte virksomhet skal gjøre samlede vurderinger av hvordan ulike trusler og farer kan møtes. Bare på denne måten kan man oppnå en effektiv og helhetlig risikostyring med god forankring på alle nivåer.
Lovforslagets perspektiv er i utgangspunktet vesentlig smalere enn dette. Formålet er å «...motvirke tilsiktede uønskede hendelser som kan skade grunnleggende nasjonale interesser» (§1-1). Dette er også i samsvar med mandatet utvalget har hatt.
På objektsikkerhetsområdet utvides loven fra bare å gjelde utvalgte objekter til også å gjelde infrastruktur. Dette sammen med den funksjonsbaserte tilnærmingen loven legger opp til, vil imidlertid medføre at det ikke vil være mulig å sette klare grenser for lovens nedslagsfelt. Vår oppfatning er derfor at en ny lov i tråd med forslaget i betydelig grad vil influere også på det generelle sikkerhets- og beredskapsarbeidet i de virksomhetene som eventuelt vil bli omfattet av det, uten at dette er drøftet nærmere i rapporten.»
Uttalelser fra enkelte fylkesmannsembeter og fra Nasjonal kommunikasjonsmyndighet (Nkom) synes å støtte DSB sin tilnærming til et bredt risikoperspektiv. Fylkesmannen i Vestfold skriver for eksempel:
«Innenfor samfunnssikkerhet og beredskap legges det til grunn en «all-hazard approach», dvs. at forebygging og beredskap skal være enhetlig uansett hvilken trussel samfunnet står ove[r]for. Ut fra dette følger behov for at det bør stilles identiske krav til de ulike samfunnsfunksjoner, ettersom hybride trusler kan ramme telekommunikasjon eller økonomi like mye som det vil ramme forsvarsevnen. Imidlertid har Norge tradisjonelt hatt et totalforsvar hvor sektorene har ivaretatt hele spekteret av trusler gjennom særlovgivning og sektorvis forebygging og beredskap.»
Stortingets administrasjon har i sin høringsuttalelse merket seg at utvalget foreslår i ny lov § 1-3 første ledd at loven skal gjelde for Stortinget og Stortingets organer i den utstrekning Stortinget bestemmer, og uttaler blant annet videre:
«I tillegg til å fastsette i hvilken utstrekning loven skal gjelde, vil vi foreslå at Stortinget også gis en uttrykkelig hjemmel til å fastsette særskilte tilpasninger til loven eller forskrifter vedtatt i medhold av loven. I enkelte tilfeller vil det kunne være aktuelt å la lovens system gjelde, men med særskilte tilpasninger med bakgrunn i de spesielle hensyn som gjør seg gjeldende for Stortinget. Slike tilpasninger kan for eksempel være egne bestemmelser om behandling av klager på vedtak etter loven.»
Stortingets administrasjon foreslår på denne bakgrunn følgende ordlyd i § 1-3 første ledd:
«Loven gjelder for Stortinget og Stortingets organer i den utstrekning og med de tilpasninger til loven eller forskrifter vedtatt i medhold av loven, som Stortinget bestemmer.»
6.3.3 Begrepsbruk og definisjoner
Flere høringsinstanser har kommentarer til begrepsbruken i NOU 2016: 19, spesielt knyttet til lovens formål og virkeområde.
BDO mener at formålsbestemmelsen også bør omtale andre grunnleggende nasjonale interesser enn det utvalgets forslag angir:
«I merknaden til lovforslagets § 1-1 vises det til at angivelsen i bestemmelsen av de grunnleggende nasjonale interessene ikke er en uttømmende oppregning av de interessene loven tar sikte på å trygge, men kun en fremheving av avgjørende interesser.
BDO anser det regelteknisk uheldig at ordlyden i bestemmelsen ikke gir noen indikasjoner på at det også kan være andre grunnleggende nasjonale interesser som loven tar sikte på å beskytte. I stedet for at ordlyden skal tolkes utvidende i så stor grad, bør det heller tas inn i ordlyden en formulering som viser at oppregningen ikke er uttømmende. En måte å gjøre dette på er å benytte følgende formulering: «Loven skal bidra til å trygge Norges suverenitet, territorielle integritet, demokratiske styreform og andre nasjonale grunnleggende interesser, ved å …»
NVE er kritisk til innføringen av begrepet «grunnleggende nasjonale funksjoner» og mener at «nasjonale sikkerhetsinteresser» bør vurderes:
«Dagens sikkerhetslov bruker begrepet «vitale nasjonale sikkerhetsinteresser» som et samlebegrep som dekker samtlige felt innenfor rikets totale sikkerhetsbehov. Begrepet skal til enhver tid vurderes og defineres av overordnende politiske myndigheter.
Utvalget mener det er en utfordring med forståelsen og praktisering av begrepet og at en videreføring av dagens begrep risikerer å videreføre usikkerheten. Videre mener utvalget at virkeområdet blir for snevert og at loven ikke vil være i takt med moderniseringen. NVE er ikke enig med utvalget i disse vurderingene.
NVE mener utvalgets forslag om at det er «grunnleggende nasjonale funksjoner» som skal beskyttes gjennom sikkerhetsloven blir vagt og lite treffende. Vi mener dagens begrepsbruk, og særlig begrepet «nasjonale sikkerhetsinteresser» har et innarbeidet og allment kjent meningsinnhold og angir tydelig hva denne loven regulerer.
NVE mener at man kan skjerpe innholdet i dagens begrepet ved å fjerne begrepet «vitale». På denne måten vil man utvide virkeområdet av eksisterende lov, men innenfor en kjent ramme. NVE mener et slikt grep også vil fremheve at sikkerhetsloven skal være verktøy for å sikre Norges suverenitet, territorielle integritet og demokratiske styreform, mens det er andre lover som skal sikre den sivile samfunnssikkerheten. For å unngå dobbeltregulering og tydeliggjøre formålet, mener NVE det er viktig at dette skillet tydeligere kommer frem i lovteksten.
NVE mener derfor at § 1-1 første ledd bør endres slik at grunnleggende nasjonale funksjoner erstattes med nasjonale sikkerhetsinteresser.»
Norges Rederiforbund ønsker å videreføre gjeldende lovs «vitale nasjonale sikkerhetsinteresser»:
«Rederiforbundet er enig i at det er behov for å foreta moderniseringer og tilpasninger av eksisterende lovgivning til et nytt og stadig mer komplisert trusselbilde. Vi er imidlertid skeptiske til å innskrenke formålsbestemmelsen i § 1-1 i lovforslaget sammenlignet med gjeldende rett. I sikkerhetsloven benyttes formuleringen «andre vitale nasjonale sikkerhetsinteresser». Vi mener dette er en god uttrykksmåte som er tilpasset situasjoner der trusselbildet endrer seg. Det ligger altså et dynamisk element i loven som gir ønskelig fleksibilitet med hensyn til sikkerhetsrelaterte tiltak med hjemmel i loven. Det nye forslaget fremstår i større grad som funksjonsrettet, der grunnleggende nasjonale funksjoner blir den rettslige standarden. Vår bekymring er knyttet til om den nye loven vil frata myndighetene nødvendig handlefrihet til å definere samfunnets vitale interesser når verden rundt oss endrer seg.»
NSM uttaler om begrepet «grunnleggende nasjonale funksjoner»:
«Lovforslagets virkeområde defineres ut fra begrepet «grunnleggende nasjonale funksjoner». NSM forstår det slik at begrepet […] vil konsumere gjeldende lovs begreper som omfatter «rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser» og straffelovens, og utlendingslovens begrep «grunnleggende nasjonale interesser». Forslaget representerer derfor en utvidelse i forhold til dagens sikkerhetslov. NSM støtter en slik utvidelse.
Utvalget peker på at begrepet «andre vitale nasjonale sikkerhetsinteresser» i dagens sikkerhetslov aldri gjennomgikk den dynamiske utviklingen som lovgiver forutsatte da den ble vedtatt. NSM ser det derfor som positivt at det i det nye lovforslaget er inntatt en nærmere presisering av begrepets innhold gjennom fem tydelige kategorier. Erfaring med dagens lov har imidlertid vist at rettslige standarder i liten grad blir praktisert på en dynamisk måte. En proaktiv holdning for kontinuerlig å utvikle begrepets innhold vil derfor være helt nødvendig for å sikre en harmonisert tverrsektoriell utvikling.»
NITO uttaler blant annet:
«NITO slutter seg til at den nye sikkerhetslovens formål er å beskytte grunnleggende nasjonale funksjoner som er avgjørende for å ivareta verdiene sikkerhetsloven hegner om. Likevel er begrepet funksjon mer komplisert, ettersom den impliserer flere ikke-statiske deler. Det kan være vanskelig nok for aktører i samfunnet å ta inn over seg at deres virke utgjør kritisk infrastruktur. Det blir ikke lettere når aktørenes virke blir trukket inn som en kritisk funksjon i det norske samfunnet. NITO deler likevel definisjonen av en funksjon til å være grunnleggende for Norge dersom bortfall av denne får konsekvenser som truer overordnede interesser.»
Flere høringsinstanser, deriblant DSS, NSM, Oslo politidistrikt, Politidirektoratet, PST og Riksadvokaten har etterlyst legaldefinisjoner av sentrale begreper i loven.
6.4 Departementets vurdering
6.4.1 Generelt
Departementet har merket seg at det i høringsuttalelsene ikke har kommet mange innvendinger når det gjelder forslaget til overordnet rammeverk. Mange høringsinstanser er enige i at det er et behov for en utvidelse av sikkerhetsloven til i noen grad å omfatte samfunnssikkerhet i tillegg til tradisjonell statssikkerhet. Dette gjelder blant andre Utenriksdepartementet, Helse- og omsorgsdepartementet, PST, NSM, Datatilsynet og Norges Bank. På den andre siden uttrykker flere høringsinstanser, deriblant DSB og NVE, at det må skilles tydeligere mellom statssikkerhet og sivil samfunnssikkerhet, for å unngå dobbeltregulering og tydeliggjøre sikkerhetslovens formål. Departementet registrerer også at mange av høringsuttalelsene, som NVE, Kommunal- og moderniseringsdepartementets og Difis uttalelser, gir uttrykk for tvil om rekkevidden av lovforslagets virkeområde. Noen legger til grunn en beskjeden utvidelse, mens andre oppfatter dette som en betydelig utvidelse, eller bare at beskrivelsen av virkeområdet er for vag og upresis.
Sikkerhetsutvalgets foreslåtte endringer sett opp mot dagens sikkerhetslov er størst innenfor virkeområdet til loven, hvordan tilsyn skal gjennomføres i samhandling og samvirke mellom sektortilsyn og sikkerhetsmyndigheten, om eierskapskontroll og når det gjelder opprettelsen av et tvisteorgan. I tillegg innfører utvalget begrepet infrastruktur i NOU 2016: 19 kapittel 9.5.1 om objekt- og infrastruktursikkerhet for å «skape tydeligere skille mellom enkeltstående objekter og infrastruktur som del av et system som understøtter grunnleggende nasjonale funksjoner».
Gjeldende sikkerhetslov har vært oppfattet og praktisert som et regelverk som omhandler statssikkerhet, primært knyttet til rikets selvstendighet og sikkerhet. Siden sikkerhetsloven trådte i kraft i 2001, har endringer i samfunnet gjort det stadig vanskeligere å trekke en klar grense mellom statssikkerhet og samfunnssikkerhet. Dette skyldes flere forhold:
For det første har vi i dag et mer komplekst og uforutsigbart trusselbilde å forholde oss til. Et nærliggende eksempel er her de såkalte hybride truslene. Hybride trusler kjennetegnes ved at det benyttes et bredt spekter av konvensjonelle og ukonvensjonelle virkemidler, og av at det er vanskelig å spore og dokumentere hvilke aktører som står bak et angrep. Dette vanskeliggjør også vurderingen av om man befinner seg i statssikkerhets- eller samfunnssikkerhetsdomenet.
For det andre medfører de økte gjensidige avhengighetene – på tvers av samfunnssektorer, mellom offentlig og privat virksomhet, og mellom militær og sivil virksomhet – at grenselinjene mellom stats- og samfunnssikkerhet viskes ut. Dette må også ses i sammenheng med den raske teknologiske utviklingen i de senere år. Revitaliseringen av totalforsvarskonseptet, hvor Forsvaret i økende grad baserer seg på understøttelse fra det sivile samfunnet og det private næringslivet, er et illustrerende eksempel på avhengighetene mellom militær og sivil sektor.
Som en konsekvens av disse forholdene er det etter departementets vurdering nødvendig å tilpasse lovens nedslagsfelt til den virkeligheten vi befinner oss i. I lovproposisjonen foreslås det derfor at lovens formål bør være å trygge nasjonale sikkerhetsinteresser. Dette vil i praksis innebære en utvidelse av lovens formål til å gjelde mer enn bare statssikkerhet i snever forstand. Samtidig vil departementet understreke at loven ikke skal være en bred samfunnssikkerhetslov. De nasjonale sikkerhetsinteressene er delt inn i fem underkategorier, som igjen vil være styrende for hvordan loven skal forstås og praktiseres.
Systemet i utvalgets lovforslag er at hvert enkelt departement er ansvarlig for forebyggende sikkerhetsarbeid innenfor sitt myndighetsområde. Dette innebærer at de enkelte fagdepartementene er ansvarlig for å identifisere og holde oversikt over grunnleggende nasjonale funksjoner og virksomheter som er av vesentlig betydning for disse, og treffe enkeltvedtak om virksomheters underleggelse til loven.
Departementet har forståelse for de høringsinstansene som finner virkeområdet til utvalgets lovforslag uklart. Etter departementets syn har dette hovedsakelig sin årsak i at loven etter forslaget er ment å kunne utøves fleksibelt og dynamisk, og at det derfor ikke vil være formålstjenlig eller mulig å gi en uttømmende beskrivelse av virkeområdet. Departementet mener imidlertid at det er viktig å klarlegge virkeområdet og intensjonen med ny lov så langt som mulig. Det er viktig med forutsigbarhet for virksomhetene som vil omfattes av loven, og departementet foreslår i den forbindelse språklige og strukturelle endringer i formåls- og virkeområdebestemmelsene og i lovens begrepsbruk. Det er etter departementets oppfatning særlig viktig av pedagogiske årsaker å skille tydelig og forklare forholdet mellom de tre ulike nivåene i lovteksten, det vil si de overordnede interessene, funksjonene som understøtter interessene og virksomhetene som igjen understøtter funksjonene. Departementet understreker i denne sammenhengen, i likhet med utvalget, at de foreslåtte lovendringene innebærer en begrenset utvidelse av lovens virkeområde. Dette vil også legge føringer for tolkningen av lovens virkeområde.
6.4.2 Formål
Når det gjelder lovens formål, er ordlyden i utvalgets forslag til § 1-1 endret fra dagens formålsbestemmelse, først og fremst ved at begrepet «rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser» er byttet ut til fordel for begrepene «Norges suverenitet, territorielle integritet og demokratiske styreform». Disse interessene skal i henhold til utvalgets forslag trygges gjennom å motvirke tilsiktede uønskede hendelser mot «grunnleggende nasjonale funksjoner».
Departementet er enig i utvalgets funksjonstilnærming og vurderinger om at funksjonene er forutsetninger for å ivareta de overordnede interessene og derfor svært viktige å beskytte. Departementet mener at lovens primære formål er å trygge de overordnede nasjonale sikkerhetsinteressene, ved å forebygge, motvirke og avdekke sikkerhetstruende virksomhet, det vil si tilsiktede handlinger der målet er å ramme interessene og tilsiktede handlinger som indirekte kan true interessene. I dette ligger det implisitt at beskyttelse av nasjonale sikkerhetsinteresser også omfatter beskyttelse av de grunnleggende nasjonale funksjonene som understøtter dem. Departementet foreslår at begrepet grunnleggende nasjonale funksjoner tas ut av formålsbestemmelsen, men presiserer at begrepet skal forstås som en ramme for å angi lovens virkeområde. Det går etter departementets vurdering tydelig fram av lovteksten i sin helhet, inkludert av ny legaldefinisjon av grunnleggende nasjonale funksjoner, at å beskytte funksjonene er en forutsetning og et virkemiddel for å trygge interessene. Departementet mener slik sett å beholde utvalgets funksjonstilnærming, men anser at forholdet mellom interessene og funksjonene blir tydeligere ved at § 1-1 angir at lovens formål er å beskytte interessene, mens begrepet grunnleggende nasjonale funksjoner brukes for å angi lovens virkeområde.
I formålsbestemmelsen (§ 1-1 første ledd) foreslår utvalget at loven skal bidra til «å trygge Norges suverenitet, territorielle integritet og demokratiske styreform». Disse utgjør, slik utvalget beskriver dem i merknaden til bestemmelsen og i kapittel 6.7.2, overordnede sikkerhetspolitiske interesser. Utvalget skriver i kapittel 6.7.2 på side 114–115 at disse overordnede interessene kan deles inn i følgende underkategorier:
de øverste statsorganers virksomhet, sikkerhet eller handlefrihet
forsvars-, sikkerhets- og beredskapsmessige forhold
forholdet til andre stater
landets økonomiske velferd og trygghet
befolkningens grunnleggende sikkerhet og overlevelse
I utvalgets lovforslag introduseres disse interessene i § 1-2 første ledd, men her som kategorier av interesser knyttet til grunnleggende nasjonale funksjoner. Sett i sammenheng med de generelle merknadene framgår det at dette er de overordnede interessene som grunnleggende nasjonale funksjoner skal ivareta. Etter departementets syn er det imidlertid ut fra lovteksten krevende å forstå sammenhengen mellom de overordnede interessene, funksjonene som understøtter interessene og virksomhetene som igjen understøtter funksjonene. Mangelen på legaldefinisjoner av sentrale begreper i utvalgets lovforslag bidrar til å gjøre dette krevende. Slik departementet oppfatter det, mangler det en direkte tekstlig eller logisk binding i utvalgets forslag til lovtekst mellom de tre overordnede sikkerhetspolitiske interessene som oppregnes i § 1-1, underkategoriene som oppregnes i bokstav a til e i § 1-2, og grunnleggende nasjonale funksjoner. Departementet mener at en slik binding er vesentlig for at rekkevidden av lovens formål og virkeområde skal gå tydelig fram av lovteksten.
For å klargjøre dette foreslår departementet derfor først at oppregningen med «Norges suverenitet, territorielle integritet og demokratiske styreform» suppleres med «og andre nasjonale sikkerhetsinteresser». Dette grepet vil framheve i lovteksten at kategoriene som oppregnes i bokstav a til e, sammen med de tre overordnede interessene utgjør nasjonale sikkerhetsinteresser. Dette er i tråd med utvalgets beskrivelser i kapittel 6.7.2. Nasjonale sikkerhetsinteresser gis videre en legaldefinisjon i lovforslagets § 1-5, som omfatter både de tre overordnede interessene og underkategoriene i bokstav a til e. Dette gir en konkret avgrensning for hvilke interesser loven er ment å skulle beskytte, for å fjerne den usikkerheten som har vært knyttet til det sammenliknbare begrepet vitale nasjonale sikkerhetsinteresser i gjeldende sikkerhetslov. Ved å utelate vitale i angivelsen av interessene, mener departementet at lovens virkeområde skal tolkes videre enn hva tilfellet er med dagens lov, men innenfor tydelige rammer. Utvalget angir i merknaden til formålsbestemmelsen at de tre overordnede sikkerhetsinteressene ikke utgjør en uttømmende liste. Ved å innføre begrepet nasjonale sikkerhetsinteresser mener departementet å gjøre dette tydeligere. Forslaget om å ta inn nasjonale sikkerhetsinteresser i formålsbestemmelsen er for øvrig delvis i tråd med BDOs, NVEs og Norges Rederiforbunds høringsinnspill.
Når det gjelder hvordan de enkelte bokstavene i definisjonen av nasjonale sikkerhetsinteresser skal tolkes, er det hensiktsmessig å se til langtidsplanen for forsvarssektoren (Prop. 151 S (2015–2016) Kampkraft og bærekraft), som beskriver sikkerhetsbegrepet slik i kapittel 1.2 på side 17:
«Utformingen av norsk sikkerhetspolitikk legger til grunn et sikkerhetsbegrep som omfatter statssikkerhet, samfunnssikkerhet og individets sikkerhet. Sikkerhetspolitikkens formål er å ivareta statssikkerheten, som vil si å ivareta statens suverenitet og integritet, samt å sikre politisk handlefrihet. Begrepet inkluderer også Norges bidrag til kollektivt forsvar utløst av NATO-traktatens artikkel 5.»
Sikkerhetsutvalget har valgt å kategorisere de overordnede sikkerhetspolitiske interessene i fem underkategorier. De tre første kategoriene er hentet fra straffeloven (2005) § 121 Etterretningsvirksomhet mot statshemmeligheter.
Disse kategoriene (a, b og c) ligger etter departementets syn innenfor statssikkerhetsdefinisjonen.
Departementet mener at bokstav a, de øverste statorganers virksomhet, sikkerhet eller handlefrihet, må forstås som regjeringen med departementene i rollen som politisk sekretariat for regjeringen, Stortinget og Høyesterett. Evnen til å opprettholde konstitusjonelle funksjoner og virksomhet i prioriterte deler av forvaltningen er grunnleggende. Det samme er evnen til å opprettholde nasjonal beredskap og håndtere kriser og andre hendelser som kan true nasjonale sikkerhetsinteresser. Departementet understreker at statens råderett over og eksklusive rett til å utøve myndighet i Norge er en del av landets suverenitet, jf. beskrivelsen av begrepet suverenitet i lovforslagets særmerknad til § 1-1.
Departementet foreslår å endre bokstav b fra forsvars-, sikkerhets- og beredskapsmessige forhold til forsvar, sikkerhet og beredskap. Med dette mener departementet Forsvaret og den øvrige forsvarssektoren, med understøttende funksjoner i en totalforsvarssammenheng. Nasjonens evne til å håndtere episoder og sikkerhetspolitiske kriser, og om nødvendig forsvare norsk territorium, er grunnleggende. Totalforsvaret inngår som en grunnleggende faktor i nasjonens evne til militær respons. Gjennom totalforsvaret er Forsvaret direkte avhengig av sivile innsatsfaktorer som elektronisk kommunikasjon (ekom), kraftforsyning, transport, drivstofforsyning, helse og tilførsel av vann og mat. I sikkerhet inngår blant annet etterretnings- og sikkerhetstjenestenes virksomhet, altså virksomheten til Politiets sikkerhetstjeneste, Etterretningstjenesten og Nasjonal sikkerhetsmyndighet. Beredskap omfatter blant annet systemene for sentral krisehåndtering og beredskap, det vil si Nasjonalt beredskapssystem (NBS), Sivilt beredskapssystem (SBS) og Beredskapssystemet for Forsvaret (BFF).
Når det gjelder bokstav c, forholdet til andre stater, foreslår departementet at dette punktet utvides til også å omfatte internasjonale organisasjoner, slik at bokstaven lyder forholdet til andre stater og internasjonale organisasjoner. Departementet mener at dette omfatter samarbeidsrelasjoner med andre land innenfor statssikkerhetsområdet og relaterte internasjonale organisasjoner som NATO og EU, og norske forhandlingsposisjoner knyttet til nasjonale sikkerhetsinteresser. Punktet omfatter blant annet bilateralt samarbeid innen sikkerhet og etterretning, og deltakelse i ulike konstellasjoner av internasjonale operasjoner. Punktet omfatter også allierte staters sikkerhet, slik det forstås i gjeldende sikkerhetslov.
Departementet foreslår at ordet «velferd» utelates fra bokstav d, landets økonomiske trygghet og velferd, fordi velferdsbegrepet anses utelukkende å ligge innenfor samfunnssikkerhetsbegrepet. Med økonomisk trygghet for landet forstår departementet sikkerhet for politisk handlefrihet på det økonomiske området. Departementet er enig i utvalgets vurdering i NOU 2016: 19 kapittel 6.7.2 på side 115 om at
«anslag som rammer virksomheter som har en helt sentral rolle for ivaretakelsen av landets økonomiske trygghet og velferd […] [vil] kunne ha en vesentlig negativ innvirkning på nasjonens evne til å opprettholde økonomisk trygghet og velferd».
Utvalget vurderer at petroleumsvirksomheten er en næring som har «sentral betydning for landets økonomiske trygghet». Bokstav d omfatter etter departementets skjønn også stabilitet i økonomien og det finansielle systemet. Dette vil blant annet kunne omfatte en stabil utvikling i makroøkonomiske hovedstørrelser som inflasjon, valutakurs, vekst og sysselsetting, stabile kapitalforhold overfor utlandet, velfungerende systemer for å håndtere offentlige ytelser og inntekter, og stabilitet i den finansielle infrastrukturen og finansmarkedene for øvrig. Departementet foreslår at bokstav d omformuleres til økonomisk stabilitet og handlefrihet, for å favne de omtalte aspektene. Departementet vil samtidig understreke at det er opp til det enkelte departementet innenfor sitt myndighetsområde å avgjøre hvilke virksomheter som er av en slik betydning at de skal underlegges loven.
Bokstav e, befolkningens grunnleggende sikkerhet og overlevelse, kan oppfattes vidt. Departementet har lagt til grunn at dette alternativet skal forstås som en sikkerhetsventil for blant annet å dekke behovet for beskyttelse mot terrorhandlinger av et visst omfang eller med en viss målrettethet mot grunnleggende nasjonale funksjoner, slik utvalget formulerer det i kapittel 6.7.2 på side 115. Utvalget peker samme sted på at virksomheter som forvalter objekter eller infrastruktur som må anses som særlig utsatt for terrorhandlinger, omfattes, og eksemplifiserer dette blant annet med sentrale knutepunkter for lufttrafikken. Sikkerhetsloven skal trygge nasjonale sikkerhetsinteresser, mens det er andre lover som skal sikre den sivile samfunnssikkerheten. Etter departementets vurdering vil det likevel også være behov for å omfatte infrastruktur og tjenester som anses som avgjørende for at sivilsamfunnet skal kunne fungere på en slik måte at øvrige nasjonale sikkerhetsinteresser kan ivaretas. Særlig vil dette kunne gjelde infrastruktur og tjenester som ikke anses å understøtte Forsvaret direkte, jf. bokstav b, men som likevel er viktig for nasjonens samlede beredskap og forsvarsevne. Departementet foreslår av denne grunn formuleringen samfunnets grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhet, slik at bokstav e favner både infrastruktur og objekter som er avgjørende for at sivilsamfunnet skal fungere, og objekter som er særskilt utsatt for sikkerhetstruende virksomhet.
Når det gjelder strukturelle endringer, har departementet valgt å dele opp § 1-1 i tre bokstaver. Dette er gjort av pedagogiske årsaker og for å skjelne mellom lovens primære formål i bokstav a, hvilke tiltak loven skal legge til rette for i bokstav b for å bidra til dette formålet og i bokstav c at tiltak i medhold av loven skal være i samsvar med grunnleggende rettsprinsipper og demokratiske verdier.
Departementet har også vurdert begrepsbruken og språklige aspekter i lovteksten og har i den forbindelse enkelte forslag til endringer. Utvalget bruker verbet motvirke (i likhet med gjeldende lov) i formålsbestemmelsen for å beskrive det å hindre «tilsiktede uønskede hendelser». Departementet foreslår å erstatte dette med i § 1-1 bokstav b: forebygge, avdekke og motvirke. Forslaget begrunnes med at disse verbene gjensidig forsterker viktigheten av å hindre slike handlinger. De er delvis overlappende, samtidig som de indikerer noen ulike tilnærminger. For eksempel er det naturlig å snakke om å avdekke når NSM NorCERT oppdager mulige digitale angrep mot Norge, og det er naturlig at forebygge brukes i en lov som regulerer forebyggende sikkerhetsarbeid. NSM foreslår også i sitt høringsinnspill å bruke verbet forebygge. Bruken av disse tre begrepene er ikke ment å utvide virkeområdets rekkevidde, men snarere å presisere hva slags sikkerhetstiltak loven skal legge til rette for.
Utvalget forklarer begrepet tilsiktede uønskede hendelser i kapittel 4.1.2 på side 42 med at «noen har en intensjon om å påføre en eller annen form for skade». I tillegg uttaler utvalget:
«I forbindelse med nasjonal sikkerhet og samfunnssikkerhet innebærer dette at noen har til hensikt å påføre samfunnet betydelig skade. I praksis betyr dette at den eller de som utfører eller planlegger å utføre handlingen vil kunne tilpasse handlingen til de sikkerhets- og beredskapstiltak som de har kjennskap til, eller som de forventer skal finnes.»
Departementet er enig i denne forståelsen, som innebærer at tilnærmingen for å sikre mot tilsiktede handlinger i utgangspunktet er annerledes enn utilsiktede hendelser og som derfor utgjør en viktig avgrensning for sikkerhetslovens virkeområde. Imidlertid mener departementet at begrepet tilsiktede uønskede hendelser er en noe unaturlig språklig konstruksjon, ettersom tilsiktet innebærer at det ligger en intensjon bak, mens hendelse er noe som hender, uavhengig om det ligger en intendert handling eller et uhell bak. I tillegg er det en endring i synsvinkel fra tilsiktet til uønsket, fordi hendelsen er tilsiktet for den som utfører handlingen, men uønsket for den som rammes. Begrepet tilsiktede uønskede handlinger brukes gjerne i sikkerhetsarbeid, eksempelvis i Norsk Standards NS 5830-serie knyttet til risiko for slike handlinger. Det loven skal forebygge, avdekke og motvirke er tilsiktede handlinger, men også hendelser som oppstår som følge av en slik handling. I tilsiktet ligger at en aktør har en intensjon om å forårsake skade, jf. utvalgets definisjon av tilsiktet uønsket hendelse. Departementet har vurdert ulike begreper både for å fange opp at loven skal gjelde forsettlige handlinger og hendelsene disse medfører, og for å finne et begrep som kan erstatte tilsiktede uønskede hendelser flere steder i lovteksten. Begrepet sikkerhetstruende virksomhet er benyttet i gjeldende sikkerhetslov, definert som «forberedelse til, forsøk på og gjennomføring av spionasje, sabotasje eller terrorhandlinger, samt medvirkning til slik virksomhet», jf. gjeldende lov § 3.
Departementet foreslår å bruke sikkerhetstruende virksomhet i § 1-1 bokstav b og enkelte andre steder i lovteksten, men begrepet skal tolkes i en utvidet forstand som reflekterer og tilsvarer utvalgets beskrivelse av tilsiktede uønskede hendelser. Med sikkerhetstruende virksomhet legger departementet slik til grunn tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser. Tilsiktede handlinger som direkte kan skade vil si handlinger der intensjonen er å påføre en eller annen form for skade på nasjonale sikkerhetsinteresser, og hendelser forårsaket av slike handlinger. Dette vil blant annet kunne omfatte sabotasje- eller terroraksjoner der målet er å ramme en viktig samfunnsfunksjon, for slik å forsøke å skade myndighetenes styringsevne, jf. figuren over viktige funksjoner og interesser i kapittel 6.4.3. Med tilsiktede handlinger som indirekte kan skade, menes handlinger der intensjonen ikke nødvendigvis er å skade nasjonale sikkerhetsinteresser, men der konsekvensen eller hendelsen som følger av den tilsiktede handlingen kan skade sikkerhetsinteressene. Dette vil for eksempel kunne innebære etterretningsoperasjoner fra en fremmed stat, der målet ikke nødvendigvis er å skade norske interesser, men snarere å fremme egne interesser gjennom å skaffe sensitiv informasjon som kan gi den fremmede staten et fortrinn overfor Norge. Slik etterretningsinformasjon kan i en tilspisset situasjon eller i en forhandlingssituasjon mellom den fremmede staten og Norge potensielt skade norske interesser.
Tiltak etter loven for å forebygge, avdekke og motvirke sikkerhetstruende virksomhet skal redusere risikoen for at nasjonale sikkerhetsinteresser rammes av uønskede hendelser. Sikkerhetstiltakene skal også redusere skadene eller konsekvensene av uønskede hendelser som rammer virksomheten. Interessene og de grunnleggende nasjonale funksjonene som understøtter dem, hviler på de enkelte virksomhetene som er underlagt loven. Det er dermed i stor grad virksomhetenes sikkerhetstiltak som skal forhindre uønskede hendelser som følge av eller knyttet til sikkerhetstruende virksomhet. For en virksomhet som er underlagt loven, vil tiltakene hovedsakelig dreie seg om å forebygge uønskede hendelser, særlig gjennom å redusere virksomhetens egne sårbarheter. Ved å redusere sårbarhetene vil virksomheten også kunne redusere sannsynligheten for og skadevirkningene av å bli rammet av uønskede hendelser knyttet til sikkerhetstruende virksomhet. Forebyggende sikkerhetstiltak i en virksomhet som er omfattet av loven, vil for eksempel også kunne innebære tiltak som tar sikte på å forhindre uønskede hendelser som følge av ansattes slurv, uaktsomhet eller manglende risiko- og sikkerhetsforståelse, jf. lovforslaget § 4-1 andre ledd første punktum. Skjødesløs omgang med sikkerhetsgradert informasjon eller uaktsomhet ved bruk av et skjermingsverdig informasjonssystem vil eksempelvis kunne skape sårbarheter som kan utnyttes av en aktør med onde hensikter. Etterretnings- og sikkerhetstjenestenes arbeid vil i tillegg til forebygging dreie seg om å avdekke og motvirke sikkerhetstruende virksomhet. Se også lovens kapittel 4 og departementets vurdering i kapittel 9.4 knyttet til generelle krav til forebyggende sikkerhetsarbeid.
6.4.3 Virkeområde
Departementet understreker, som nevnt over, at det i likhet med utvalget legger til grunn en begrenset utvidelse av lovens virkeområde. Dette innebærer at begrepet grunnleggende nasjonale funksjoner angir en konkretisering av lovens virkeområde, innenfor rammen av de nasjonale sikkerhetsinteressene som funksjonene skal ivareta.
Utvalget har i NOU 2016: 19 kapittel 6.7.3 sett på sammenhengen mellom grunnleggende nasjonale funksjoner og kritiske samfunnsfunksjoner, og vist til at virkeområdet til loven gis en avgrensning ved innretningen på funksjoner og verdier som er av nasjonal betydning (i motsetning til funksjoner av regional og lokal betydning), og til beskyttelse av funksjonene mot tilsiktede uønskede hendelser (med utelukkelse av de utilsiktede hendelsene). Utvalget peker på side 116 på at en rekke av de samfunnsfunksjonene som identifiseres som kritiske i henhold til KIKS-metodikken (om sikkerhet i kritisk infrastruktur og kritiske samfunnsfunksjoner) som DSB benytter, også vil være å anse som grunnleggende nasjonale funksjoner etter den nye loven:
«Grunnleggende nasjonale funksjoner kan således ses på som en delmengde av kritiske samfunnsfunksjoner i henhold til KIKS-metodikken: Hvilke konkrete funksjoner som vil være å anse som grunnleggende nasjonale funksjoner, vil […] måtte vurderes konkret avhengig av både hvilke verdier som legges til grunn for vurderingen og hvilke kriterier som legges til grunn for kritikalitet.»
Utvalget peker i NOU 2016: 19 kapittel 6.7.5, side 117 og 118, på hvilke virksomheter som vil omfattes av loven, slik utvalget ser det. Utvalget viser her til beskrivelsen av virkeområdet i NOU 2016: 19 kapittel 6.7.1, der det angis at virksomheter «som har råderett over informasjon, informasjonssystemer, objekter eller infrastruktur, eller som driver aktivitet, som er av kritisk betydning for grunnleggende nasjonale funksjoner, omfattes av loven». Videre angir utvalget følgende typer virksomheter:
virksomheter som tilvirker, eller har behov for tilgang til, gradert informasjon
virksomheter som eier eller forvalter infrastruktur eller objekter av kritisk (avgjørende) betydning for de grunnleggende nasjonale funksjonene
virksomheter som har en rolle i Nasjonalt beredskapssystem (NBS), enten i Sivilt beredskapssystem (SBS) eller Beredskapssystemet for Forsvaret (BFF) («bør vurderes»)
aktører med en sentral rolle i totalforsvaret gjennom sin understøttelse av Forsvarets virksomhet («bør vurderes») og
virksomheter som har bestemmelsesrett over sivile objekter som er utpekt som nøkkelpunkter av Forsvaret
Departementet er enig i denne tilnærmingen, men presiserer at det for alle fem punktene må foretas en konkret vurdering av om det skal fattes vedtak i medhold av § 1-3 om at virksomheten skal underlegges loven. Punktene 1, 3 og 5 vil i hovedsak angi relativt konkret hvilke typer virksomheter det dreier seg om. For punkt 2 forventer departementet at noen flere virksomheter vil kunne omfattes av ny lov, som følge av introduksjonen av infrastrukturbegrepet. Departementet forventer at det vil knyttes størst grad av usikkerhet til hva punkt 4 om aktører med en sentral rolle i totalforsvaret gjennom sin understøttelse av Forsvarets virksomhet, vil innebære for ulike typer virksomheter. Det vurderes at dette også i stor grad vil dreie seg om private virksomheter som ivaretar oppgaver som er utkontraktert fra Forsvaret.
Totalforsvarskonseptet er av grunnleggende betydning for Forsvarets evne. De senere årene har denne evnen i økende grad blitt avhengig av sivil vare- og tjenesteproduksjon. Denne avhengigheten forsterkes ytterligere av økende direkte og indirekte avhengighet av tjenester fra sivile informasjonsinfrastrukturer. Leveransekjedene mellom sivile virksomheter og Forsvaret har samtidig blitt stadig mer komplekse og utgjør i dag ofte verdikjeder med svært mange ledd. Hvilke virksomheter som vil bli omfattet av loven, vil måtte være gjenstand for konkrete risikobaserte vurderinger. Det må også forventes at det vil skje betydelige endringer i rammebetingelsene for disse vurderingene gjennom hele lovens virketid.
For å gi et bilde av sammenhengen mellom Forsvarets behov og samfunnets funksjoner vises det til skissen under. Denne sammenhengen handler i stor grad om forståelsen av forholdet mellom statssikkerhet og samfunnssikkerhet. I figuren er det gitt en antydning av forholdet mellom statssikkerhet og samfunnssikkerhet sett opp mot en rekke viktige samfunnsinteresser. Dette skillet er imidlertid ikke så tydelig som det kan framstå av figuren. Figuren bør derfor brukes med forsiktighet til å antyde hvordan et begrenset utvidet virkeområde vil slå ut overfor ulike samfunnsfunksjoner. Eksempelvis forventer departementet at sivile ekom-tjenester vil ha stor betydning for Forsvaret i framtiden. Det må derfor forventes at en eller flere ekom-tilbydere vil bli omfattet av loven. Det samme gjelder enkelte virksomheter innen transport- og drivstofforsyning. Andre funksjoner som helse, mat og kraftforsyning vil også kunne ha stor betydning, og virksomheter på disse områdene vil dermed kunne bli omfattet av loven. Felles for eksemplene er at det uansett vil måtte legges til grunn konkrete risikobaserte vurderinger for hvilke virksomheter og hvilke funksjoner som blir omfattet av loven, se figur 6.2.
Utvalgets forslag til virkeområdebestemmelse slår fast at «loven gjelder for virksomheter som alene eller sammen med andre råder over informasjon, informasjonssystemer, objekter eller infrastruktur, eller som driver aktivitet, som er av kritisk betydning for grunnleggende nasjonale funksjoner knyttet til [bokstav a til e]». Det framgår deretter i § 2-1 at departementene skal treffe enkeltvedtak om at virksomheter er av slik kritisk betydning for grunnleggende nasjonale funksjoner. Departementet mener at utvalgets forslag er krevende å lese, fordi leseren i praksis må forholde seg til fire nivåer samtidig, det vil si
informasjon, informasjonssystemer, objekter eller infrastruktur, i tillegg til aktivitet
virksomhetene som råder over disse
grunnleggende nasjonale funksjoner og
de fem kategoriene av interesser som angis i bokstav a til e
Videre er ikke grunnleggende nasjonale funksjoner definert i lovteksten, men kun gitt en indirekte ramme ved å være «knyttet til» interessene som oppregnes i bokstav a til e.
For å tydeliggjøre og forenkle bestemmelsene om hvem loven skal gjelde for, foreslår departementet enkelte strukturelle og språklige endringer. Det foreslås for det første en bestemmelse om hvilke virksomheter loven i utgangspunktet gjelder for, i § 1-2 Hvem loven gjelder for. Enkelte høringsinstanser, som NSM, NVE og Energi Norge, har reagert på at forvaltningsorganer ikke eksplisitt er omfattet av forslaget til virkeområdebestemmelse i § 1-2, slik tilfellet er i gjeldende lov, og at dette bidrar til å skape usikkerhet om rekkevidden til bestemmelsen. Departementet er enig i dette synspunktet og foreslår at «statlige, fylkeskommunale og kommunale organer» tas inn i første ledd i § 1-2. Dette vil også, slik departementet ser det, bidra til å gjøre lovens virkeområde mer forutsigbart, fordi det dermed ikke er tvil om at statlige, fylkeskommunale og kommunale organer er omfattet av loven. I forskriftshjemmelen som ligger i bestemmelsens fjerde ledd, vil det også ligge en åpning for at bestemte virksomheter, som forvaltningsorganer, helt eller delvis vil kunne unntas fra loven.
Etter departementets mening bør det gå fram av § 1-2 at loven også gjelder for leverandører i forbindelse med sikkerhetsgraderte anskaffelser. Departementet foreslår derfor å flytte bestemmelsen om dette fra utvalgets lovforslag § 1-3 Særbestemmelser om lovens virkeområde fjerde ledd, til nytt andre ledd i § 1-2.
I tillegg foreslår departementet å flytte leddet som omtaler lovens virkeområde for virksomheter på Svalbard, Jan Mayen og i bilandene fra lovforslaget § 1-3 femte ledd til nytt tredje ledd i § 1-2. Departementet har gjort lovtekniske endringer fra utvalgets lovforslag, som nevnt over, for å kunne skille ut særbestemmelser for Stortinget, Stortingets organer, regjeringen og domstolene i en egen bestemmelse, § 1-4. Når det gjelder forslaget i høringsuttalelsen fra Stortingets administrasjon om at det i bestemmelsen skal gis en uttrykkelig hjemmel til Stortinget å fastsette særskilte tilpasninger, er departementet av den oppfatning at utvalgets foreslåtte ordlyd om at loven gjelder for «Stortinget og Stortingets organer så langt Stortinget bestemmer det» ivaretar de tilpasningsbehov som Stortinget måtte ha.
Etter departementets vurdering bør det videre gå tydelig fram av virkeområdebestemmelsene at loven gjelder for private virksomheter først etter at et departement innenfor sitt ansvarsområde har truffet enkeltvedtak om dette, slik blant andre NVE og Nkom også påpeker i sine høringsuttalelser. Departementet foreslår derfor en egen vedtaksbestemmelse, § 1-3 Vedtak om at loven skal gjelde for andre virksomheter. I denne bestemmelsen angis vilkårene for hva slags virksomheter et departement skal utpeke i sin sektor. Disse vilkårene er at virksomheten etter bokstav a behandler sikkerhetsgradert informasjon, etter bokstav b råder over informasjon, informasjonssystemer, objekter eller infrastruktur som har avgjørende betydning for grunnleggende nasjonale funksjoner eller etter bokstav c driver aktivitet som har avgjørende betydning for grunnleggende nasjonale funksjoner. Begrepet grunnleggende nasjonale funksjoner forklares i en ny legaldefinisjon i § 1-5 som er ment å være i tråd med utvalgets definisjon og beskrivelse av begrepet.
I legaldefinisjonen knyttes funksjonene direkte opp mot nasjonale sikkerhetsinteresser, ved at det slås fast at grunnleggende nasjonale funksjoner er tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser.
Etter departementets oppfatning er begrepet avgjørende betydning språklig sett bedre enn kritisk betydning, som Sikkerhetsutvalget bruker i lovteksten. Kritisk er mye brukt i sikkerhetssammenheng, men ordet er sterkt negativt ladet og departementet har i samråd med Språkrådet valgt å unngå det i lovteksten. Unntaket er i objektsikkerhetsregelverket, der KRITISK og MEGET KRITISK, jf. § 7-2, er så innarbeidede klassifiseringsnivåer at det anses uhensiktsmessig å endre dette. Ordet avgjørende brukes utstrakt i utvalgets vurderinger, blant annet i merknadene til §§ 1-1 og 1-2, og bør også etter departementets syn brukes gjennomgående i lovteksten. Departementet foreslår å erstatte utvalgets kritisk med avgjørende blant annet når det gjelder virksomheter som har avgjørende betydning for grunnleggende nasjonale funksjoner. Bruken av avgjørende betydning for er ment som terskelverdi for hvilke virksomheter som skal omfattes av loven, jf. særmerknaden til § 1-3. Kriteriene for hva som utgjør avgjørende betydning er ment å tilsvare kritisk betydning, slik utvalget bruker begrepet, noe som framgår blant annet av utvalgets særmerknad til § 1-2 (NOU 2016: 19, side 252). Bruken av avgjørende betydning må ikke forveksles med heltavgjørende skadefølger i informasjons- og objektsikkerhetsklassifiseringene for STRENGT HEMMELIG og MEGET KRITISK, jf. §§ 5-3 og 7-2.
Enkelte høringsinstanser, som DSS, NSM, Politidirektoratet og PST, har etterlyst definisjoner av sentrale begreper i lovforslaget. Departementet er enig i dette og foreslår enkelte sentrale begreper definert i en ny § 1-5.