Prop. 153 L (2016–2017)

Lov om nasjonal sikkerhet (sikkerhetsloven)

Til innholdsfortegnelse

8 Tilsyn

8.1 Gjeldende rett

Nasjonal sikkerhetsmyndighet (NSM) fører tilsyn med sikkerhetstilstanden i virksomheter som er underlagt sikkerhetsloven, jf. § 9 første ledd bokstav c:

«[Nasjonal sikkerhetsmyndighet skal] føre tilsyn med sikkerhetstilstanden i virksomheter, herunder kontrollere at den enkeltes plikter i eller i medhold av loven her overholdes, og eventuelt gi pålegg om forbedringer.»

NSM ivaretar rollen som fagmyndighet og tilsynsmyndighet. NSMs rolle er nærmere beskrevet i kapittel 7 ovenfor.

Et hovedmål med NSMs tilsyn, som en viktig del av det forebyggende sikkerhetsarbeidet, er å avdekke sårbarheter og andre behov for forbedring av virksomhetenes forebyggende sikkerhetsarbeid og vurdere den enkelte virksomhets sikkerhetstilstand. NSMs tilsyn gjennomføres i dag som styringssystemrevisjon som understøttes av fagrevisjoner, med utgangspunkt i standarden NS-EN ISO 19011.

Tilsyn er en myndighetsutøvelse og må gjennomføres med nødvendig uavhengighet til sikkerhetsarbeidet som undersøkes. NSM gir derfor ikke råd samtidig som et tilsyn gjennomføres.

Informasjon fra tilsyn benyttes i utgangspunktet som grunnlag for forbedringer av den forebyggende sikkerheten i den enkelte virksomhet, men tilsynserfaringer benyttes også i forbindelse med risikovurderinger for å forbedre sikkerhetstiltak og sikkerhetsarbeid, og for videreutvikling av tilsynsvirksomheten og forbedring av rådgivningsarbeidet.

Som utgangspunkt innehar NSM tilsynsfunksjonen innen alle fagområder knyttet til forebyggende sikkerhetstjeneste etter loven. Innenfor objektsikkerhet er ordningen noe annerledes, se NOU 2016: 19, side 135.

For objektsikkerhet er tilsynsansvaret fordelt mellom NSM og sektortilsyn med ansvar for forebyggende sikkerhet i sin sektor. NSM fører tilsyn med at utvelgelse og klassifisering av skjermingsverdige objekter skjer i henhold til bestemmelser gitt i og i medhold av sikkerhetsloven, jf. forskrift om objektsikkerhet § 4-3 Tilsyn og påleggskompetanse.

I de tilfeller hvor det i sektorlovgivning foreligger relevante og tilstrekkelige bestemmelser, og det er etablert et tilsynsorgan, vil det være dette tilsynsorganet som fører tilsyn med at de iverksatte sikkerhetstiltakene hos objekteierne tilfredsstiller de funksjonelle kravene i objektsikkerhetsregelverket.

For andre objekter utpekt som skjermingsverdige, vil NSM ivareta tilsynsfunksjonen.

NSM skal i henhold til forskriften § 4-3 andre ledd siste punktum føre et overordnet tilsyn som «sikrer implementeringen av sektorovergripende harmoniserte sikkerhetstiltak».

8.2 Utvalgets forslag

Sikkerhetsutvalget har vurdert hvordan det skal føres tilsyn med etterlevelsen av ny lovgivning.

Utvalget anbefaler at den ansvarsfordeling som er beskrevet i kapittelet om ansvar og myndighet (NOU 2016: 19 kapittel 2.2, side 19–20) bør etableres også for tilsyn. Utvalget anbefaler en tilsynsmodell som skal ivareta en målsetting om en helhetlig og tverrsektoriell tilnærming til forebyggende sikkerhet, samtidig som den skal ivareta hensynet til den enkelte samfunnssektors særegenheter. Utvalget skriver i NOU 2016: 19, side 19:

«I samfunnssektorer hvor det eksisterer sektormyndigheter med tilsynsansvar for forebyggende sikkerhetsarbeid, bør disse myndighetene også gjennomføre tilsyn med virksomheter som omfattes av den nye loven. Samtidig må Nasjonal sikkerhetsmyndighet ha en sentral rolle overfor de enkelte sektormyndigheter for å sikre en helhetlig tilnærming til det forebyggende sikkerhetsarbeidet.»

Utvalget har vurdert om det vil være hensiktsmessig å skille mellom tilsynsoppgaver og rollen som fagmyndighet, og skriver i NOU 2016: 19, side 139:

«Utvalget foreslår at funksjonen Sikkerhetsmyndigheten på samme måte som i dag blir organisert etter en tradisjonell integrert modell, hvor flere roller ivaretas innenfor samme organisasjon».

Videre skriver utvalget på side 120 at en av utfordringene med dagens sikkerhetslovgivning er

«knyttet til mangelfull formalisering og/eller praktisering av samhandlingen mellom tilsynsregimet etter sikkerhetsloven og de ulike tilsynsregimene etter annet relevant sektorregelverk. Utvalgets målsetting med reguleringen av ansvars-, myndighets- og tilsynsansvar etter loven er å legge til rette for en god samhandling mellom de sentrale aktørene i forebyggende sikkerhet, på tvers av samfunnssektorene. En slik samhandling er helt avgjørende for at det forebyggende sikkerhetsarbeidet i Norge skal få full effekt, slik utvalget ser det.
[...]
En av de mest sentrale problemstillinger som en regulering skal omfatte, er ansvarsfordelingen mellom ulike aktører. Det er viktig å tydeliggjøre hvilke plikter og rettigheter som følger ulike myndigheter, ulike statlige virksomheter og private aktører. I forbindelse med regulering av forebyggende sikkerhet for grunnleggende nasjonale funksjoner, vil graden av sektorautonomi sett opp mot behovet for en helhetlig nasjonal sikkerhetsstyring stå sentralt.
[...]
En [...] grunnleggende problemstilling er hvordan tilsynsfunksjonen etter loven bør innrettes for å både kunne ivareta den enkelte samfunnssektors særegne behov og samtidig ivareta behovet for en helhetlig og sektorovergripende tilnærming til forebyggende sikkerhet. I relasjon til denne [problemstillingen] er også spørsmål om hvilke myndighetsaktører som bør kunne stille krav til, og komme med pålegg overfor, virksomheter underlagt loven. Skal noen, og i så fall hvem, ha myndighet til å påpeke behov for endringer i sikkerhetsnivå, og hvordan skal tiltak på tvers av samfunnssektorer og virksomheter koordineres slik at tiltak blir iverksatt der det er mest samfunnsøkonomisk lønnsomt.»

Utvalget har vurdert ulike alternativer for hvordan tilsynsfunksjonen etter den nye loven bør innrettes. Ett alternativ er å ha en sentral tilsynsmyndighet, med tilsynsansvar for alle virksomheter som omfattes av loven. En slik tilnærming vil i stor grad kunne legge til rette for en helhetlig tilnærming til forebyggende sikkerhet, og sikre et harmonisert sikkerhetsnivå, på tvers av ulike virksomheter og ulike samfunnssektorer.

På den andre siden vil en sentral tilsynsmyndighet i liten grad ha den bransjespesifikke kunnskapen som er nødvendig for å forstå de ulike samfunnssektorenes særegenheter og behov. En annen ulempe vil være at virksomhetene i de ulike samfunnssektorene vil bli utsatt for dupliserende tilsyn fra tilsynsmyndigheter med like, eller lignende, målgrupper og formål.

Et annet alternativ utvalget har vurdert, er hvorvidt tilsynsfunksjonen etter loven bør legges direkte til de enkelte sektortilsynene, og at sikkerhetsmyndigheten gis en rent koordinerende funksjon opp mot de ulike sektortilsynene. En fordel med et slikt delegert tilsyn er at dette vil være i tråd med nærhetsprinsippet og ansvarsprinsippet.

Det vil også kunne bidra til å legge til rette for at tilsynsobjektene ikke utsettes for dupliserende tilsyn.

En delegert tilsynsmyndighet, i tråd med ansvarsprinsippet, innebærer videre at man vil kunne få et helhetlig eierskap til hele sektorens sikkerhetsarbeid, samlet i ett tilsyn. Andre sikkerhetsfaglige organer vil med en slik løsning i liten grad kunne komme inn fra sidelinjen og diktere sektorenes sikkerhetsarbeid med tilsyn og pålegg. Videre vil delegert tilsynsmyndighet være i tråd med nærhetsprinsippet. De som tar avgjørelsene har dermed trolig bedre kjennskap til virksomhetene enn en sentral sikkerhetsmyndighet.

Ulempen med et slikt rendyrket delegert tilsyn, er at det vil kunne bli en rekke ulike tilnærminger og standarder for tilsyn av sikkerhetsarbeidet rettet mot tilsiktede handlinger i de ulike samfunnssektorene. Det vil også kunne vanskeliggjøre den helhetlige tilnærmingen til forebyggende sikkerhet på tvers av samfunnssektorene, som loven for øvrig legger opp til.

Utvalget har kommet til at det beste vil være å etablere en tilsynsmodell som både ivaretar målet om en helhetlig og tverrsektoriell tilnærming til forebyggende sikkerhet, samtidig som samfunnssektorenes særegenheter og behov ivaretas i tilstrekkelig grad.

I samfunnssektorer der det finnes sektormyndigheter med tilsynsfunksjoner som omfatter beskyttelse av informasjon, objekter eller infrastruktur, bør disse føre tilsyn med virksomheter som omfattes av loven i den aktuelle sektor. Hvorvidt det finnes relevante og tilstrekkelig kompetente sektormyndigheter i den aktuelle sektor, bør etter utvalgets oppfatning avgjøres av det enkelte fagdepartement, i tett samarbeid med sikkerhetsmyndigheten.

I samfunnssektorer der det ikke finnes slike sektormyndigheter, eller de aktuelle sektormyndighetene ikke innehar den kompetansen som er nødvendig for å ivareta tilsynsfunksjonen etter loven, bør tilsynsansvaret legges til sikkerhetsmyndigheten.

For å sikre en helhetlig, samordnet og tverrsektoriell tilnærming til forebyggende sikkerhet foreslår utvalget at sikkerhetsmyndigheten gis myndighet til å føre tilsyn med sektormyndigheter som er tillagt tilsynsansvar etter loven.

For departementsfelleskapet bør sikkerhetsmyndigheten, som i dag, ha ansvaret for å føre tilsyn med departementenes etterlevelse av loven. En slik tilnærming forutsetter et tett og nært samarbeid mellom sikkerhetsmyndigheten og de aktuelle sektormyndighetene. Utvalget foreslår å lovfeste en samhandlingsplikt mellom sikkerhetsmyndigheten og aktuelle sektormyndigheter. Denne samhandlingen foreslås formalisert gjennom en samarbeidsavtale som nærmere fastlegger samhandlingen. Det kan her tenkes løsninger der forholdet mellom sikkerhetsmyndigheten og sektormyndigheten kan variere på ulike fagområder. En slik avtale kan også regulere sektormyndighetenes bruk av kompetanse fra sikkerhetsmyndigheten på enkelte områder, eksempelvis informasjonssikkerhet.

For å ivareta sitt ansvar som sektorovergripende myndighet, bør sikkerhetsmyndigheten gis myndighet til å utarbeide grunnleggende kriterier for hvordan tilsyn etter loven skal innrettes og gjennomføres. Med et delegert tilsynsansvar i enkelte samfunnssektorer vil det være nødvendig med slike grunnleggende kriterier for å sikre en mest mulig enhetlig tilnærming i de ulike sektorene.

Sikkerhetsmyndigheten bør også ha en sentral rolle i opplæringen av tilsynspersonell hos de relevante sektortilsynene, slik at personellet har den nødvendige sikkerhetsfaglige kompetanse for gjennomføring av tilsyn etter loven.

Sikkerhetsmyndighetens ansvar for å ha et sektorovergripende perspektiv, forutsetter tilgang til informasjon om sikkerhetstilstanden i de ulike samfunnssektorene hvor de selv ikke har et direkte tilsynsansvar. Utvalget foreslår derfor en plikt for sektormyndigheter med tilsynsansvar etter loven til å orientere sikkerhetsmyndigheten om hovedfunn fra gjennomførte tilsyn. En slik rapporteringsplikt fra sektormyndighetene til sikkerhetsmyndigheten, vil kunne innebære noe økt ressursbruk. Der det gjøres funn av betydning av sektormyndigheten, vil dette sannsynligvis uansett måtte dokumenteres, og det antas derfor at den økte ressursbruken vil være beskjeden. Dersom virksomhetene ikke oppfyller sine plikter etter loven, bør tilsynsmyndighetene ha adgang til å gi pålegg om gjennomføring av tiltak.

For samfunnssektorer hvor det finnes relevante sektormyndigheter med tilsynsansvar, vil påleggsmyndigheten tilligge den aktuelle sektormyndigheten. Utvalget foreslår også at sikkerhetsmyndigheten gis påleggsmyndighet overfor de sektormyndighetene som har tilsynsansvar etter loven.

Formålet med en slik påleggsmyndighet er å kunne gripe inn overfor en sektormyndighet dersom det skulle vise seg at sikkerhetsnivået i den aktuelle samfunnssektoren utvikler seg på en utilfredsstillende måte.

Slik utvalget ser det, er tilsynsmyndighetens virkemiddelportefølje etter dagens sikkerhetslov ikke tilfredsstillende overfor virksomheter som ikke følger opp kravene etter lov og forskrift. Tilsynsmyndigheten har i medhold av dagens lov § 9 første ledd bokstav c myndighet til å gi pålegg om forbedringer dersom avvik avdekkes. Dersom slike pålegg ikke følges opp av den enkelte virksomhet, er anmeldelse det eneste virkemidlet tilsynsmyndigheten har tilgjengelig. Terskelen for å gå til anmeldelse av en virksomhet vil i de fleste tilfeller være høy. Utvalget mener derfor at tilsynsmyndighetens virkemiddelportefølje bør utvides ved at det gis myndighet til å ilegge tvangsmulkt dersom det avdekkes brudd på regelverket, eller der pålegg ikke følges opp innen en gitt tidsfrist. I nærmere angitte tilfeller, bør tilsynsmyndigheten også kunne ilegge overtredelsesgebyr ved brudd på regelverket. På samme måte som for påleggsmyndigheten, foreslår utvalget at myndigheten til å ilegge tvangsmulkt og overtredelsesgebyr bør legges til den myndigheten som er tildelt tilsynsansvaret. Se nærmere om forslaget til administrative sanksjoner i tillegg til straffebestemmelse i kapittel 15 Kontroll- og tilsynsordninger.

8.3 Høringsinstansenes syn

De fleste høringsinstansene er positive til at lovforslaget legger opp til økt samhandling, bedre arbeidsfordeling, og samordning av tilsyn mellom sikkerhets- og sektormyndigheten.

De fleste er også positive til at det legges opp til økt veiledning og rådgivning fra sikkerhetsmyndigheten, og de ser behovet for og er positive til at sikkerhetsmyndigheten gis et sektorovergipende og koordinerende ansvar.

Enkelte høringsinstanser frykter en dobbeltregulering av sikkerhet i sektorene, og uklarheter knyttet til roller og utøvelse av tilsynsansvaret. Det uttrykkes fra enkelte en skepsis til at sikkerhetsmyndigheten gis kompetanse til å gripe inn i sektormyndighetens ansvar på tilsynsområdet.

Det fremheves at forslaget kan medføre utfordringer knyttet til tilgang på faglig kompetanse, både spesialkompetanse innen sikkerhetsfaget, men også sektorspesifikk kompetanse. Blant annet uttrykker enkelte bekymringer for at man risikerer at det bygges opp dublerende tilsyn og kompetanse, samtidig som det stilles spørsmål ved hvor denne kompetansen skal hentes fra. Enkelte er bekymret for at manglende etterlevelse av lovverket, og ressurs- og kompetanseutfordringer, vil kunne gå ut over oppfølgingen av sikkerhetsarbeidet.

Enkelte høringsinstanser frykter økt byråkratisering og økte administrative kostnader med rapportering fra tilsyn.

8.3.1 Tilsyn med virksomheter

Flere høringsinstanser støtter forslaget om at ansvarlig departement gis myndighet til å bestemme at tilsynsfunksjonen etter loven kan ivaretas av en sektormyndighet med tilsynsfunksjon, som omfatter beskyttelse av informasjon, informasjonssystemer, objekter eller infrastruktur, jf. forslag til § 3-1 andre ledd.

BDO viser til at det er sektormyndighetene som best kjenner egen sektor, samtidig som utvalgets forslag vil gi sikkerhetsmyndigheten bedre mulighet til å fokusere på sine oppgaver som fagmyndighet innen sikkerhet og tverrsektorielle forhold. BDO uttaler også at «[i] tillegg vil en slik fordeling av ansvar og oppgaver i større grad skape eierskap til sikkerhet hos sektormyndigheter som ikke allerede har dette som et ansvar».

Arbeids- og sosialdepartementet er også enige i utvalgets tilnærming, og poengterer i likhet med BDO at tilsynet i sektorene best kan ivaretas av en sektormyndighet med inngående kunnskap om sektoren. Arbeids- og sosialdepartementet uttaler videre at

«[departementet] er enig i utvalgets vurdering av at det er behov for en sterkere sentral koordinering og deling av informasjon og kunnskap om aktuelle trusselbilder og forebygging. Dette vil styrke både sektortilsynene og virksomhetenes forutsetning for å følge opp de plikter som følger av sikkerhetsloven. […]
[…]
Vi er også prinsipielt enig i utvalgets vurdering av at det er viktig at tilsynet med sikkerhetsloven primært bør ivaretas av sektortilsyn med inngående bransjekunnskap der dette eksisterer i dag, og at kravene i sikkerhetsloven fortrinnsvis bør kunne inkorporeres gjennom de styringssystemer virksomhetene allerede har etablert for sin hovedaktivitet.»

Nasjonal kommunikasjonsmyndighet (Nkom),Norges vassdrags- og energidirektorat (NVE), Norsk olje og gass, Olje- og energidepartementet, Finanstilsynet og Telia støtter alle utvalgets vurdering om at sektormyndigheter med tilsynsansvar for forebyggende sikkerhetsarbeid bør kunne gjennomføre tilsyn i egen sektor med virksomheter som omfattes av loven. Finans Norge kommenterer at det for finansnæringen «vil […] være et sterkt ønske om at tilsyn innenfor sikkerhetsområdet integreres i eksisterende tilsynspraksis i regi av bl.a. Finanstilsynet, Norges Bank og Datatilsynet.»

Enkelte høringsinstanser mener at forslaget vil innebære en risiko for at oppfølgingen av sikkerhetstilstanden i sektorene blir svekket ved at det er departementene som bestemmer hvor tilsynskompetansen skal ligge. Det er en bekymring for om departementene innehar tilstrekkelig kompetanse til å vurdere om egen sektormyndighet er kompetent til å gjennomføre tilsyn. Videre framheves det at det ikke vil være hensiktsmessig ressursbruk at sektormyndigheter gis tilsynsmyndighet for hele bredden av fagområder loven er ment å regulere, da dette vil kreve spesialisert kompetanse som det er liten forekomst av i dag.

NSM mener at hensynet til sektorspesifikk kompetanse har blitt tillagt for stor vekt sammenliknet med det sektorovergripende perspektivet. NSM viser til at sektorspesifikk kunnskap må balanseres mot blant annet hensynet til effektiv utnyttelse av tilsynsressursene. NSM mener også at et samlet og robust fagmiljø best kan ivareta behovet for en helhetlig og tverrsektoriell tilnærming.

NSM peker på at det er fagområder, som for eksempel beskyttelse av sikkerhetsgradert informasjon, krypto og personellsikkerhet, der sektorspesifikk kunnskap i mindre grad er relevant. For slike tilfeller bør det vurderes om sikkerhetsmyndigheten gjennom forskrift kan gis enekompetanse til å føre tilsyn.

Samferdselsdepartementet er positive til utvalgets forslag, men ser utfordringer knyttet til vurderingen av kompetansen hos sektormyndighet og sikkerhetsmyndighet. Departementet uttaler blant annet:

«Det kan også knyttes usikkerhet til om Sikkerhetsmyndighetene vil inneha tilstrekkelig sektorkompetanse til å overta sektormyndighetens tilsynsrolle.»

Flere høringsinstanser er kritiske til at sikkerhetsmyndigheten skal føre tilsyn med sektormyndigheter som er tillagt tilsynsansvar etter loven, slik det foreslås i § 3-1 tredje ledd. Enkelte mener dette vil kunne medføre uklare rolle- og ansvarsforhold, og representere en potensiell konflikt mellom sektormyndighet med tilsynsansvar og sikkerhetsmyndigheten.

Energi Norge uttaler:

«En tilnærming slik utvalget foreslår er erfaringsmessig kostnadsdrivende og leder ofte til kompetansestrid mellom de ulike sektormyndighetene (inkl. NSM) om myndighet og kostnadsfordeling. Overlappende kompetanse og ansvarsområder bør derfor i størst mulig grad unngås og ansvaret og ressurser tildeles de som har størst nærhet til og kompetanse om utfordringene (nærhetsprinsippet), uten at dette skal kunne overprøves av etater uten denne nærheten og kompetansen.
Slik lovverket nå er formulert, gis NSM utvidede fullmakter til å gjennomføre kontroller som kan påføre sektoren/selskapene ytterligere tilsyn og kontroll. Energisektoren er i dag gjennomregulert og blir gjennom rapporter og tilsyn kontrollert på et svært detaljert nivå av både NVE og DSB.»

Olje- og energidepartementet uttaler:

«Samtidig kan andre oppgaver være utfordrende, eksempelvis at sikkerhetsmyndigheten skal utarbeide grunnleggende kriterier for tilsyn, ha en sentral rolle i opplæringen av tilsynspersonell, samt føre tilsyn med sektortilsynene.»

NVE er også negative til en slik ordning og viser til at den «vil bryte med ansvarslinjene i forvaltningen hvis sikkerhetsmyndigheten skal føre tilsyn med sektortilsynene.»

Finanstilsynet mener at det vil være både uheldig og uhensiktsmessig at sikkerhetsmyndigheten skal føre tilsyn med sektortilsyn. Fagdepartementene bør alene kunne gi rammer for sektortilsynenes prioriteringer og vurdere om oppgavene som sektortilsynene er tillagt, er utført i tråd med de føringene som er gitt.

Petroleumstilsynet stiller seg også negativt til dette forslaget, og støtter således Finanstilsynets synspunkter. Etter Petroleumstilsynets syn må sikkerhetsmyndighetens rolle begrenses og heller bruke ressurser på samarbeid og faglig bistand til sektormyndighetene. Petroleumstilsynet viser for øvrig også til at ordningen kan medføre potensielle konstitusjonelle konflikter.

NSM deler ikke denne oppfatningen og mener at sikkerhetsmyndighetens mulighet til å vurdere sektortilsynene bør utvides sammenlignet med utvalgets forslag. Som ledd i tilsyn med sektormyndighetenes oppfyllelse av tilsynsrollen i egen sektor må sikkerhetsmyndigheten ha mulighet til å gjennomføre tilsyn med enkeltvirksomheter i sektoren på stikkprøvebasis. Dette må til for å kunne vurdere kvaliteten på sektortilsynenes gjennomføring av tilsyn i egen sektor. NSM mener det bør lovfestes en rett til å føre tilsyn med enkeltvirksomheter.

8.3.2 Sikkerhetsmyndighetens samarbeid med sektormyndigheter

Høringsuttalelsene er gjennomgående positive til at utvalget foreslår å lovfeste en samarbeids- og samordningsplikt, jf. forslagets § 3-2. Videre er høringsinstansene positive til at sikkerhetsmyndigheten skal utarbeide kriterier for tilsyn og forestå opplæring av tilsynspersonell. Enkelte er negative til at sikkerhetsmyndigheten skal kunne medvirke til sektormyndighetenes tilsyn, og mener dette skaper uklart ansvarsforhold. Det er også enkelte kritiske innspill til forslaget til rapportering til sikkerhetsmyndigheten etter gjennomførte tilsyn i sektorene, og at dette fører til uklare ansvarslinjer og økt byråkratisering.

Arbeids- og sosialdepartementet er positive til det samarbeidet lovforslaget legger opp til, og uttaler:

«Som et ledd i å sikre en helhetlig, samordnet og tverrsektoriell tilnærming til forebyggende sikkerhet peker utvalget på at det er viktig at det etableres et gjensidig forpliktende samarbeid mellom sektormyndighetene og sikkerhetsmyndigheten. Vi støtter et slikt utgangspunkt. Vi mener imidlertid at det bør jobbes videre med hvordan det skal sikres at et slikt samarbeid skal kunne fungere og at de ulike myndighetene overholder sine oppgaver. Vi mener at godt samarbeid mellom myndighetene bør tuftes på regler som fremmer samarbeid fremfor et system hvor en myndighet skal kunne kontrollere og gi pålegg til den andre myndigheten. Vi er også opptatt av at myndighetene utad overfor virksomhetene i størst mulig grad fremstår enhetlig og med en stemme, i alle fall når det kommer til virkemiddelbruk.»

NVE uttaler:

«NVE mener det er positivt at sikkerhetsmyndigheten skal utarbeide og vedlikeholde grunnleggende kriterier for tilsyn etter loven med forskrifter og forestå felles opplæring av tilsynspersonell, jf. § 3-2 fjerde ledd.
NVE mener at utvalgets forslag i § 3-2 tredje ledd om at det skal utarbeides en «samarbeidsavtale» mellom myndigheten[e] er unødvendig. Samarbeid mellom sikkerhetsmyndigheten og sektormyndigheten må fungere, og vi ser ikke at en formell avtale mellom myndigheter er et egnet virkemiddel for å få dette til. Sikkerhetsmyndigheten har mange oppgave[r] beskrevet i § 3-2 som bør gi grunnlag for godt samarbeid mellom myndighetene.
NVE forstår § 3-2 femte ledd som en mulighet for sikkerhetsmyndigheten til å få erfaring med hvordan sektormyndighetene utøver sitt tilsyn etter sikkerhetsloven. Vi mener det kan være fornuftig, men forutsetningen må være at sektormyndigheten fortsatt har ansvar for tilsynet.»

NSM uttaler om rapporteringsplikten fra sektormyndighet til sikkerhetsmyndighet:

«Parallell rapportering vil kunne skape uklarheter med hensyn til ansvar og roller, med fare for feil og mangler. En god informasjonsflyt mellom virksomhet, sektormyndighet og sikkerhetsmyndighet som gjenspeiler og forankrer sektormyndighetens ansvar og rolle er derfor viktig. Parallell rapportering bør derfor unngås og rapporteringen i linjen opprettholdes.»

Fylkesmannen i Vestfold uttaler:

«Det fremgår videre at NOU 2016:19 peker på behovet for økte krav til hendelsesrapportering til NSM. Felles situasjonsforståelse er en helt sentral evne for å styrke respons og ledelse, men det er vår erfaring at økte krav til rapportering og situasjonsrapportering like mye medfører en merbelastning for lokale og regionale virksomheter, uten at det påvirker den aktuelle situasjon som er under utvikling. Fylkesmannen i Vestfold mener derfor at det må nøye vurderes behovet for krav til rapportering og at det i slike rapporter utvises en nøkternhet til krav om innhold og hyppighet.»

Luftfartstilsynet er i utgangspunktet positive til at sikkerhetsmyndighetens rolle som koordinerende organ styrkes. Tilsynet peker samtidig på at økt rapportering kan medføre økte administrative konsekvenser uten at sikkerheten bedres.

Nasjonal kommunikasjonsmyndighet (Nkom) uttaler:

«Nkom er generelt positive til at Sikkerhetsmyndigheten, ved utførelse av egen tilsynsaktivitet, har en plikt til å samarbeide aktivt med øvrige relevante tilsynsmyndighetene i den enkelte sektor. Bestemmelsens andre ledd er ment å slå fast et prinsipp om koordinering mellom Sikkerhetsmyndigheten og andre myndigheter som måtte ha parallelle tilsynsaktiviteter innen sikkerhet eller andre områder i den enkelte sektor for å lette den totale belastningen for tilsynsobjektene. Nkom mener ordlyden her er for vagt formulert, og at formålet med å lette den totale belastningen burde nevnes eksplisitt.
Nkom har ingen innsigelser mot at det etableres samarbeidsavtaler mellom Sikkerhetsmyndigheten og sektormyndighetene. I og med at langt flere samfunnsaktører og funksjoner enn i dag vil kunne bli underlagt sikkerhetsloven er Nkom også enig i at også at Sikkerhetsmyndigheten bør ha et overordnet ansvar for å sikre grunnleggende kriterier for tilsyn og opplæring til tilsynspersonell.
I bestemmelsens femte ledd er det foreslått en ordning der Sikkerhetsmyndigheten gis mandat til å være med på forberedelser og faktisk gjennomføring av tilsyn sammen med ansvarlig sektormyndighet. Dette er ment som en «sikkerhetsventil». Lovens øvrige oppbygning er at den utøvende funksjonen som tilsynsmyndighet er lagt til sektorene i tilfellene der det allerede eksisterer kompetent offentlig myndighet. Sikkerhetsmyndigheten skal først og fremst påse at sektormyndighetene følger opp tilsynsansvaret. Nkom mener forslaget med en slik «sikkerhetsventil» er lite formålstjenlig når det gjelder å etablere klare ansvarsforhold og ansvarliggjøring mellom offentlige myndigheter og uheldig i forhold til å fremstå enhetlig utad overfor den enkelte virksomhet. Dersom det er uklarheter eller oppstår uenighet mellom Sikkerhetsmyndigheten og sektormyndighet vedrørende gjennomføring av tilsyn etter loven, mener Nkom dette må søkes rettet innen ordningen med Sikkerhetsmyndighetens tilsyn med departementene eller annen sektormyndighet i henhold til § 3-1.»

NSM er enig i at den totale belastningen for tilsynsobjektene bør begrenses, og støtter derfor forslaget om en generell koordineringsplikt for tilsyn.

Når det gjelder sektortilsynenes rapporteringsplikt til sikkerhetsmyndigheten, mener NSM denne er for snevert utformet. NSM viser til at de vil ha behov for gjenpart av alle tilsynsrapporter for at de skal kunne få et godt nok situasjonsbilde for å ivareta sine plikter etter den nye loven.

Oslo politidistrikt støtter en koordineringsplikt mellom tilsynsorganene, men framhever at hensynet bak koordinering først og fremst må være å sikre at flest mulig virksomheter blir kontrollert og at de samlede ressursene blir best mulig utnyttet, framfor å vektlegge i for stor grad at tilsynet virker forstyrrende på tilsynsobjektene.

Oslo politidistrikt uttaler:

«Erfaringsmessig har belastningen for et tilsynsobjekt med sikkerhetstilstanden i virksomheten å gjøre. Samtidig vil en virksomhet med gode rutiner og effektiv sikkerhetstjeneste ikke oppleve et tilsyn som belastende, men som kompetansehevende og motiverende siden det anerkjenner og bekrefter nedlagt innsats. En virksomhet med dårlige rutiner og ineffektiv sikkerhetstjeneste vil kunne oppleve eller beskrive et tilsyn som «ødeleggende» eller «forstyrrende» for aktiviteten i lang tid fremover. Den reelle årsaken til denne opplevelsen skyldes det merarbeidet som oppstår på bakgrunn av tilsynet. Dette er oppgaver som skulle vært utført tidligere, men som virksomheten ikke har, eller har hatt evne og eller vilje til å utføre. Manglende kontroll, eller lang tid siden sist kontroll fra overordnet virksomhet eller sikkerhetsmyndighet er også ofte en medvirkende årsak til manglende fokus og prioriteringer.»

8.3.3 Generelle prinsipper for tilsyn

Det har i høringen i det vesentlige framkommet positive tilbakemeldinger på å lovfeste generelle prinsipper for tilsyn. Nkom og Næringslivets Hovedorganisasjon (NHO) støtter forslaget til utvalget.

NHO uttaler:

«NHO ser positivt på å lovfeste generelle prinsipper for tilsyn. Næringslivet forventer at alle tilsyn etter loven skal følge hovedprinsippet i § 3-3: Tilsyn etter loven skal planlegges og gjennomføres på en slik måte at tilsynet virker minst mulig forstyrrende på tilsynsobjektenes daglige drift.»

Nkom uttaler:

«Nkom er enig i en overordnet bestemmelse med presisering av de generelle prinsippene for gjennomføring av tilsyn etter loven, herunder også henvisning til forvaltningslovens bestemmelser om taushetsplikt. Dette er viktig for å skape [tillit] i kommunikasjonen mellom den enkelte virksomhet og tilsynsmyndighet.»

NSM støtter i utgangspunktet en tilnærming som tilsier at tilsynet skal planlegges og gjennomføres slik at det i minst mulig grad virker forstyrrende på tilsynsobjektets daglige drift. NSM legger videre til:

«NSM slutter seg til denne tilnærmingen, men legger til grunn at bestemmelsen ikke kan benyttes av en virksomhet for å nekte tilsyn gjennomført eller for langvarig utsettelse.»

BDO og NSM er imidlertid skeptiske til formålsavgrensningen som framgår av bestemmelsens andre ledd.

BDO uttaler:

«Forslaget fastsetter at opplysninger som tilsynsmyndigheten innhenter som ledd i tilsynsvirksomheten bare skal nyttes i direkte forbindelse med tilsyn.
BDO anser en slik formålsavgrensing som for streng. Det er meget viktig at slike opplysninger kan benyttes av tilsynsmyndigheten også til strategiske analyser av aggregerte opplysninger om tilstanden og utfordringer i en sektor som helhet, om et tverrgående sikkerhetsfaglig tema eller summert på nasjonalt nivå.»

NSM uttaler:

«Det foreslås i bestemmelsens andre ledd at «Opplysninger som tilsynsmyndigheten innhenter som ledd i tilsynsvirksomheten skal bare nyttes i direkte forbindelse med tilsynet». Formuleringen er etter NSMs syn for snever. Det må være mulig for tilsynsmyndigheten (sikkerhetsmyndighet eller sektormyndighet) å samle og analysere tilsynserfaringer til bruk i risikovurderinger, for å forbedre sikkerhetstiltak og sikkerhetsarbeid, herunder videreutvikling av tilsynsvirksomheten, revurdering av gitte sikkerhetsmessige godkjenninger av systemer, samt forbedring av rådgivningsarbeidet. Dersom bestemmelsen blir vedtatt med den foreslåtte ordlyden frykter NSM at dette vil svekke både Sikkerhetsmyndighetens mulighet til å ivareta oppgavene i henhold til § 2-2, samt sektormyndighetenes mulighet for å forbedre sikkerheten i egen sektor.

BDO uttaler også:

«I tillegg kan bestemmelsen tolkes til at tilsynsorganet heller ikke kan rapportere selv alvorlige funn videre til ansvarlig departement. Det vises til at avgrensningen i forslaget til § 4-6 tredje ledd om hvilke hendelser tilsynsorganet skal/kanrapportere til ansvarlig departement, i denne sammenheng antas å måtte tolkes antitetisk. BDO anser det som meget viktig at tilsynsorganer kan bruke opplysninger fra enkelttilsyn til å foreta strategiske analyser og varsle ansvarlig departementet for sektoren om alvorlige funn hos tilsynsobjektet.»

8.3.4 Stedlige tilsyn

Det har i høringen ikke framkommet innvendinger mot bestemmelsene i § 3-4 som hjemler tilsynsmyndigheters adgangsrett og varsling om gjennomføring av tilsyn.

NSM mener imidlertid at bestemmelsen også bør gi tilsynsmyndigheten tilgang til relevant personell. NSM uttaler:

«Vi foreslår imidlertid eksplisitt også å tilføye tilgang til å gjennomføre samtaler med virksomhetens personell. Eksempler på slikt personell er ledere, sikkerhetspersonell og øvrig relevante medarbeidere. I enkelte tilfeller har det vært en utfordring å få tilgang til relevant personell, noe som har medført at kvaliteten på den informasjon man har fått tilgang til har blitt redusert, og at utbyttet av tilsynet har blitt mindre enn ønskelig.»

NSM stiller også spørsmål ved hensiktsmessigheten av bestemmelsen i andre ledd, som viser til forvaltningslovens § 15. NSM uttaler:

«Henvisningen til denne bestemmelsen synes lite treffende med tanke på hvordan denne type tilsyn gjennomføres. I anerkjente revisjonsstandarder er det nedfelt en rekke prinsipper for god revisjonsskikk. I tillegg vil alltid prinsippene for god forvaltningsskikk ligge til grunn. Det bør derfor vurderes om henvisningen til forvaltningsloven § 15 er nødvendig.»

Oslo politidistrikt mener at det i forskrift bør framkomme en legitimeringsplikt for tilsynsmyndigheten, og uttaler:

«Som del av forskrift må det gis bestemmelser om hvilke krav som stilles til legitimering av tilsynsmyndighet. Hensikten er å unngå at noen kan skaffe seg adgang til områder eller opplysninger ved å opptre som falsk tilsynsmyndighet. Tiltaket vil også legge forholdene til rette for tillit mellom tilsynsmyndighet og kontrollert virksomhet.»

8.3.5 Tilsynsmyndighetens behandling av personopplysninger

Den foreslåtte bestemmelsen i § 3-5 hjemler behandling av personopplysninger i forbindelse med tilsyn. NSM har uttalt om de utfordringer som følger av bestemmelsens tredje ledd:

«NSM stiller spørsmål ved hensiktsmessigheten av bestemmelsens tredje ledd. En slik bestemmelse vil vesentlig vanskeliggjøre tilsynsvirksomhet. Tilsyn forberedes i dag i NSMs lokaler og som ledd i dette innhentes informasjon fra virksomheten. Tilsyn kan også gjennomføres papirbasert gjennom for eksempel innhenting av en virksomhets saksdokumenter. Innen enkelte fagområder benyttes også virksomhetsovergripende IKT-systemer. Et effektivt tilsyn fordrer at tilsynsmyndigheten kan gå direkte inn og hente informasjon ut fra disse. NSM vil på denne bakgrunn foreslå at tredje ledd strykes.»

8.3.6 Pålegg

Det har kommet flere høringsinnspill til bestemmelsen om pålegg i utvalgets forslag til § 3-6. Innspillene retter seg mot vilkårene for å kunne gi pålegg. Videre stilles det spørsmål ved hva det skal gis pålegg om. Det er dessuten uttrykt motstand fra enkelte til at sikkerhetsmyndigheten skal kunne gi sektormyndighet med tilsynsansvar nødvendige pålegg for å sikre at lovens formål ivaretas.

BDO uttaler om proporsjonalitetsvurderingen:

«Forslaget fastsetter at pålegg etter loven bare kan gis dersom det er utvilsomt (vår utheving) at tiltaket er nødvendig for å ivareta lovens formål og kostnadene som påføres virksomheten står i et rimelig forhold til det som kan oppnås ved tiltaket.
BDO er enig i at det er viktig at pålegg er relevante og proporsjonale, både av samfunnsøkonomiske hensyn, enkeltvirksomheters økonomiske interesser og personverninteresser. Mange av påleggene som typisk er aktuelle å gi, dreier seg imidlertid ikke om konkrete tiltak etter en fri risikovurdering. Ved f. eks. tilsyn er det normalt slik at det gis pålegg om å «lukke avvik», dvs. sørge for at virksomheten kommer i samsvar med lovens krav – hvordan virksomheten velger å gjøre det, er ikke noe tilsynsmyndigheten skal befatte seg med, annet enn å gi veiledning av generell art. Slik bestemmelsen er utformet kan den gi inntrykk av at det ikke kan gis pålegg om å lukke avvik fra kravene, med mindre det er utvilsomt at det er nødvendig og kostnadene er rimelige. I praksis vil mange virksomheter da kunne «risikovurdere seg bort fra» krav i lov og forskrift, fordi det er vanskelig å dokumentere at et nivå utvilsomt er for lavt. Hvis tilsynsmyndigheten på sin sidemå sannsynliggjøre at et pålegg om å lukke et avvik utvilsomt er nødvendig, legges det etter BDOs oppfatning derfor en for stor bevisbyrde på tilsynsorganet. Formuleringen i bestemmelsen bør derfor revurderes.»

NSM uttaler i denne sammenheng at:

«Utvalgets forslag synes å bygge på et premiss om at tilsyn munner ut i pålegg om gjennomføring av konkrete sikkerhetstiltak. NSMs tilsynsmetodikk har imidlertid en annen tilnærming. Dersom det konstateres manglende samsvar med regelverket, gis det avvik fra de aktuelle bestemmelsene og pålegg om å korrigere avvikene, uten at det er konkretisert hvordan avvikene skal korrigeres. Både ut fra en erkjennelse om at det som regel er den enkelte virksomhet som er nærmest til å finne de de beste løsningene for sin virksomhet, og også for å sikre virksomhetens eierskap til løsningen og prosessene med å gjennomføre tiltakene, vil det da være opp til virksomheten å korrigere slik at forholdene bringes i samsvar med kravene. Med denne metodiske tilnærmingen synes kriteriene som stilles i første ledd mindre treffende.
Det vil være rent unntaksvis at det pålegges gjennomført konkrete tiltak. For de tilfeller tilsynsmyndigheten ser behov for å pålegge konkrete tiltak vil kravet om at det er «utvilsomt at tiltaket er nødvendig» være for strengt. Det bør være tilstrekkelig at tiltaket fremstår som «nødvendig» Første ledd bør på denne bakgrunn reformuleres.»

Energi Norge uttaler:

«Det er heller ikke vurdert i hvilken grad NSM har kompetanse til å vurdere samfunnsøkonomisk kost-/nytte av ulike tiltak og pålegg de skal gi i de ulike sektorene og om de har tilstrekkelig teknisk og systemmessig forståelse av virksomhetene i de ulike sektorene til å overprøve sektormyndighetene.»

NVE mener om sikkerhetsmyndighetens påleggskompetanse overfor sektormyndigheter at:

«Videre mener NVE at § 3-6 tredje ledd om at sikkerhetsmyndigheten kan gi sektormyndigheten pålegg for å sikre at lovens formål ivaretas er en uheldig bestemmelse, som ikke er vanlig i forvaltningen. Dersom sektormyndigheten ikke følger opp loven slik sikkerhetsmyndigheten ønsker, må dette løses på andre måter, jf. punkt 3.2 nedenfor. For øvrig er påleggshjemmelen i § 3-6 første ledd unødvendig. Det gjelder et forholdsmessighetsprinsipp i norsk forvaltning og det vil ivareta langt på vei de samme hensynene som første ledd.»

8.4 Departementets vurdering

8.4.1 Generelt

Departementet har merket seg at høringsinstansene er positive til utvalgets forslag om at det etableres en tilsynsmodell som åpner for at departementene kan bestemme at myndigheter med sektoransvar kan føre tilsyn etter loven med virksomheter i egen sektor. Departementet har imidlertid også merket seg at flere høringsinstanser mener at den foreslåtte tilsynsmodellen vil medføre uklarheter knyttet til etterlevelsen av regelverket, ved at sikkerhetsmyndigheten skal inneha myndighet til å kontrollere om departementene og sektormyndighetene følger opp ansvaret de er tillagt etter loven.

De fire grunnleggende prinsippene om ansvar, likhet, nærhet og samvirke er styrende for det forebyggende sikkerhetsarbeidet. Den enkelte statsråd har det konstitusjonelle ansvaret på sitt område, innenfor de lover og bevilgninger Stortinget har gitt. Dette innebærer at den enkelte statsråd beholder sitt konstitusjonelle ansvar også i en krisesituasjon. Ansvar for å forberede og iverksette tiltak som er nødvendige for å forebygge og håndtere akutte situasjoner i de enkelte sektorene, er tillagt departementene og deres respektive underlagte etater. Det øverste ansvaret for nasjonal beredskap og krisehåndtering ligger hos regjeringen, herunder det overordnede politiske ansvaret for både styringen og håndteringen av det forebyggende beredskapsarbeidet og kriser som oppstår.

Det er viktig å understreke at etableringen av en ny modell for gjennomføring av tilsyn etter sikkerhetsloven ikke skal endre disse ansvarsforholdene. Departementene skal fortsatt være ansvarlige for det forebyggende sikkerhetsarbeidet innenfor sine myndighetsområder. Den enkelte fagstatsråden vil fremdeles stå til ansvar for sikkerhetstilstanden i sin sektor, selv om det er Nasjonal sikkerhetsmyndighet som gjennomfører tilsyn etter sikkerhetsloven. I dag mottar departementene gjenpart av tilsynsrapporter fra egen sektor. Dette bidrar til ansvarliggjøring, og gir departementene en mulighet til aktivt å følge opp sikkerheten i egen sektor. Departementet presiserer at denne praksisen vil videreføres med ny lov.

Tilsynsmodellen legger opp til at myndigheter med sektoransvar kan føre tilsyn etter loven i sektoren. Dette innebærer blant annet å ha oversikt over og kontrollere sikkerhetstilstanden i egen sektor, og gi nødvendige pålegg om forbedringer til virksomheter i sektoren. Dette, sammen med en tett samhandling mellom sektormyndighet og sikkerhetsmyndigheten, sikrer at statsråden som konstitusjonelt ansvarlig får kontrollert alle sider ved det forebyggende sikkerhetsarbeidet både etter sikkerhetsloven og sektorregelverk.

Departementet mener likevel at sikkerhetsmyndigheten fremdeles skal ha det sektorovergripende ansvaret for forebyggende sikkerhetsarbeid. Sikkerhetsmyndigheten må derfor ha mulighet til å kunne føre et sektorovergripende tilsyn. Justis- og beredskapsministeren har et overordet ansvar i sivil sektor, mens forsvarsministeren har det overordnede ansvaret i militær sektor, jf. Kronprinsregentens resolusjon av 4. juli 2003. I dag er det Nasjonal sikkerhetsmyndighet som i henhold til denne resolusjonen skal ivareta de utøvende funksjonene på vegne av henholdsvis justis- og beredskapsministeren og forsvarsministeren.

Etter dagens praksis orienterer Nasjonal sikkerhetsmyndighet kun sine overordnede departementer om planlagte tilsyn. I hvilken grad man skal orientere om tilsynsplaner, som vil kunne forenkle den praktiske gjennomføringen og tilretteleggingen av tilsyn, må veies opp mot at hastetiltak kan iverksettes dersom tilsynsplanene blir allment kjent. Departementet mener at forslaget til tilsynsmodell ivaretar en god balanse mellom disse hensynene, og gir et godt utgangspunkt for å kunne ivareta målet om en helhetlig og tverrsektoriell tilnærming til forebyggende sikkerhetsarbeid, samtidig som sektorenes særegenheter ivaretas.

Departementet registrerer at utvalget har lagt stor vekt på de utfordringene som har vært i forbindelse med ivaretakelsen av objektsikkerhetsregimet, og sett hen til disse i regulering av de andre områdene loven gjelder for. Departementet mener forslaget gir sektorene tilstrekkelig rom til å gjøre skjønnsmessige vurderinger knyttet til oppfølging og kontroll med forebyggende sikkerhetsarbeid i egen sektor. Dette medfører, etter departementets syn, at det er meget viktig at en sentral myndighet har mulighet til å skaffe seg en oversikt over det forebyggende sikkerhetsarbeidet i sektorene og på denne måten danne seg et bilde av sikkerhetstilstanden på nasjonalt nivå. Departementet mener videre at sikkerhetsmyndigheten må ha tilstrekkelig mulighet til å føre kontroll med hvordan sektormyndighetene gjennomfører sine tilsyn og dersom det anses som nødvendig, ha mulighet til å korrigere manglende ivaretakelse av tilsynsansvaret. Departementet ser likevel behov for å gjøre enkelte endringer i utvalgets forslag for å enda bedre ivareta lovens formål.

8.4.2 Tilsyn med virksomheter

Utvalgets forslag innebærer at det er sikkerhetsmyndigheten som har det overordnede ansvaret for å påse at det gjennomføres tilsyn med virksomheters etterlevelse av loven, jf. utvalgets forslag til § 2-2 om sikkerhetsmyndighetens oppgaver. Sikkerhetsmyndighetens ansvar endrer ikke på at de enkelte departementene har ansvar for det forebyggende sikkerhetsarbeidet innenfor eget myndighetsområde. Det enkelte departement kan, dersom visse kriterier er oppfylt, bestemme at myndigheter med sektoransvar skal føre tilsyn etter loven. Dette vil sikre at tilsynsmyndigheten har bransjespesifikk kunnskap om samfunnssektorenes særegenheter, som gjør denne bedre i stand til å ivareta sektorens forebyggende sikkerhetsarbeid. Dersom det ikke er bestemt at en myndighet med sektoransvar skal føre tilsyn i en sektor, vil sikkerhetsmyndigheten føre tilsyn etter loven i den aktuelle sektoren.

Forslaget til tilsynsmodell legger opp til at det er sikkerhetsmyndigheten som har hovedansvar for å føre tilsyn med virksomheter som er omfattet av loven. Departementet ser behov for å presisere dette, og mener derfor at det i § 3-1 første ledd bør framgå at sikkerhetsmyndigheten fører tilsyn med virksomheter underlagt loven. Presiseringen av at sikkerhetsmyndigheten fører tilsyn med departementene flyttes til tredje ledd. Presiseringen er videreført fordi det ikke er intensjonen at en myndighet med tilsynsansvar skal føre tilsyn med eget departement.

Departementet mener at utvalgets forslag til fordeling av tilsynsansvar vil lette gjennomføringen av tilsynene innen flere fagområder, og redusere belastningen på tilsynsobjektene. Departementet er imidlertid enig med Samferdselsdepartementet i at det kan være vanskelig alene å vurdere hvorvidt en myndighet med sektoransvar har tilstrekkelig sikkerhetsfaglig kompetanse til å kunne føre tilsyn etter loven. Utvalgets lovforslag oppstiller ingen andre eksplisitte krav enn at en myndighet med sektoransvar må ha tilsynsfunksjoner knyttet til beskyttelse av informasjon, informasjonssystemer, objekter eller infrastruktur . Utvalget legger imidlertid til grunn at det skal gjøres en helhetsvurdering, hvor det blant annet må tas stilling til om den aktuelle sektormyndigheten har den nødvendige sikkerhetsfaglige kompetansen, eller har mulighet til å opparbeide seg kompetanse uten uforholdsmessig høye utgifter, som skal til for å ivareta tilsynsansvaret på en forsvarlig måte. Det har derfor vært en klar forutsetning for utvalget at vurderingen må gjøres i tett samarbeid mellom det enkelte departement og sikkerhetsmyndigheten. Departementet mener at denne forutsetningen bør videreføres i lovforslaget.

Departementet ser derfor behov for at det i forskrift fastsettes ytterligere momenter som skal vurderes før et departement kan bestemme at en myndighet med sektoransvar skal få delegert tilsynsansvaret etter loven. Departementet foreslår at forskriftshjemmelen endres slik at den gir hjemmel for Kongen til å fastsette nærmere kriterier for departementenes tildeling av tilsynsansvar i forskrift. Etter departementets syn vil disse momentene være til stor hjelp når det enkelte departement og sikkerhetsmyndigheten i samarbeid skal vurdere sektormyndighetenes kompetanse på de enkelte fagområdene. Samtidig vil dette bidra til å kartlegge kompetanse og kompetansebehov hos myndigheter med sektoransvar. Departementet mener denne innretningen vil ivareta NSMs innspill om at det er viktig at tilstrekkelig sikkerhetsfaglig kompetanse vektlegges i stor nok grad i vurderingen.

Flere høringsinstanser, særlig andre myndigheter med tilsynsoppgaver som NVE, Finanstilsynet og Petroleumstilsynet, er kritiske til at sikkerhetsmyndigheten skal føre tilsyn med sektormyndigheter med tilsynsansvar. Hovedinnvendingen er at det vil utfordre ansvarsprinsippet som ligger til grunn for departementenes forebyggende sikkerhetsarbeid. Flere påpeker at det tverrsektorielle perspektivet, som det forutsettes at sikkerhetsmyndigheten skal ha, best kan ivaretas gjennom nært samarbeid mellom sikkerhetsmyndighet og sektormyndighet, og at sikkerhetsmyndigheten gis tilstrekkelige kontrollfunksjoner gjennom sine tilsyn med departementene. Departementet er enig i at et godt samarbeid, koordinering, og samhandling mellom tilsynsmyndighetene er avgjørende for et best mulig tilsynsregime.

Imidlertid vil det i de tilfellene hvor tilsynsansvaret delegeres, være en risiko for at det vil oppstå ulik tilnærming og standard for tilsyn etter sikkerhetsloven, selv om det utarbeides overordnede kriterier for tilsyn. En vilkårlig og uensartet oppfølging innenfor enkelte fagområder, og i de forskjellige sektorene, vil svekke den helhetlige tilnærmingen til forebyggende sikkerhet som ligger til grunn for lovforslaget. Videre er tilsyn med sektormyndighetene viktig for at sikkerhetsmyndigheten skal kunne ivareta sine pålagte oppgaver etter loven, herunder utvikle kriterier for tilsyn, utvikle sikkerhetstiltak, forestå opplæring av tilsynspersonell mv. Departementet mener derfor det er helt avgjørende å opprettholde utvalgets forslag om at sikkerhetsmyndigheten skal føre tilsyn med sektormyndigheter med tilsynsansvar.

Departementet foreslår videre at sikkerhetsmyndigheten skal kunne gjennomføre tilsyn med virksomheter i sektorer hvor tilsynsmyndigheten i utgangspunktet er delegert til en sektormyndighet, når det følger av internasjonale forpliktelser eller når det er tvingende nødvendig. Internasjonale forpliktelser kan for eksempel være knyttet til behandling av gradert informasjon gjennom bi- eller multilaterale avtaler med andre stater eller internasjonale organisasjoner, eksempelvis NATO. Tvingende nødvendig forutsetter at det foreligger konkrete sikkerhetsinteresser som tilsier at sikkerhetsmyndigheten skal føre tilsyn. Bestemmelsen er ment som en sikkerhetsventil, som kun skal benyttes i spesielle tilfeller. Dersom sikkerhetsmyndigheten ikke har denne muligheten, vil det i ytterste konsekvens kunne medføre utilsiktede og uheldige konsekvenser, særlig sett i lys av at den foreslåtte tilsynsmodellen i utgangspunktet innsnevrer sikkerhetsmyndighetens tilsynskompetanse sammenliknet med dagens sikkerhetslov.

8.4.3 Sikkerhetsmyndighetens samarbeid med sektormyndigheter

Departementet har merket seg at de fleste høringsinstansene er positive til et samarbeid mellom sikkerhetsmyndigheten og myndighetene med tilsynsansvar, jf. § 3-1 andre ledd. Det er imidlertid uenighet knyttet til hvor inngående samarbeidet skal være. Enkelte mener involveringen av sikkerhetsmyndigheten bør avgrenses til råd og veiledning, utarbeiding av overordnede kriterier og overordnet koordinering av tilsyn.

For at tilsynsmodellen skal fungere etter hensikten, er det viktig at det legges opp til utstrakt samarbeid mellom sikkerhetsmyndigheten og den enkelte sektormyndighet, samt en tett koordinering mellom myndigheter som har tilsynsansvar etter loven. Gjennom inngåelse av en avtale skapes en forventning om og en forpliktelse om samarbeid. Departementet har merket seg at flere høringsinstanser mener de allerede har et godt samarbeid med NSM, at en slik regulering synes unødvendig og at en lovpålagt plikt til inngåelse av samarbeidsavtale vil virke mot sin hensikt. Blant annet mener Arbeids- og sosialdepartementet at samarbeidet bør være tuftet på regler som fremmer samarbeid, framfor plikt til å samarbeide og etablere kontrollordninger.

Etter departementets syn tyder innspillene i høringen på at det eksisterer forskjellige oppfatninger av hvordan tilsyn etter sikkerhetsloven bør gjennomføres, og at det derfor er, og har vært, enkelte utfordringer knyttet til samarbeid under dagens regime. Departementet mener derfor at en lovfesting av samarbeid og inngåelse av samarbeidsavtale kan være et godt virkemiddel for å sikre at tilsyn gjennomføres koordinert, at ansvar for gjennomføring innenfor særskilte fagområder fastsettes tydelig, og at alle aspekter ved tilsyn ivaretas og blir tatt hensyn til i samarbeidsforholdet.

Departementet mener at utvalgets forslag til § 3-2 fjerde ledd, om utarbeidelse av grunnleggende kriterier for tilsyn, er godt begrunnet. Det er hensiktsmessig at sikkerhetsmyndigheten har mulighet til å påvirke hva det skal føres tilsyn med og hvordan dette gjøres, for at sikkerhetsmyndigheten best mulig skal kunne ivareta sitt sektorovergripende ansvar for det forebyggende sikkerhetsarbeidet. Sikkerhetsmyndigheten har videre oversikten over den totale sikkerhetssituasjonen på tvers av sektorene, og er dermed nærmest, og best egnet, til å utarbeide slike kriterier. Med grunnleggende kriterier for tilsyn menes overordnede føringer som sikrer at lovens formål ivaretas på en forsvarlig måte. De overordnede føringene vil også gjelde der hvor tilsynsansvaret er delegert til aktuelle sektormyndigheter. Sektormyndighetene vil samtidig ha adgang til å supplere de overordnede føringene med spesifikke kriterier tilpasset den enkelte samfunnssektor. Tatt i betraktning at utarbeidelse av kriteriene er en grunnleggende oppgave for sikkerhetsmyndigheten, mener departementet at den bør reguleres sammen med sikkerhetsmyndighetens øvrige plikter. Dette innebærer etter departementets syn ingen realitetsendring fra utvalgets forslag.

Etter departementets syn bør sikkerhetsmyndigheten også ha en sentral rolle i opplæringen av tilsynspersonell, for å sikre at personellet har nødvendig sikkerhetsfaglig kompetanse for å kunne gjennomføre tilsyn etter loven. Det forutsettes at sektortilsynene allerede innehar generell tilsynskompetanse etter anerkjente revisjonsstandarder. Sikkerhetsmyndigheten vil imidlertid legge til rette for opplæring av personellet. NSM har i dag et kurssenter som vil kunne benyttes til opplæringsformål. Det vil være naturlig at det etableres egne program for tilsynspersonell.

Departementet bemerker at lovforslaget legger opp til gjensidig kompetanseoverføring mellom sikkerhetsmyndighet og sektormyndigheter. Sikkerhetsmyndigheten skal bidra med utveksling av sikkerhetsfaglige kompetansen, mens sektormyndigheten skal bidra med sektorspesifikk kompetanse. Departementet mener at det samarbeidet som loven legger opp til, vil bidra til kompetanseheving både hos sikkerhetsmyndigheten og sektormyndigheter, som samlet, og særlig på lengre sikt, vil styrke det nasjonale forebyggende sikkerhetsarbeidet.

Når det gjelder utvalgets forslag i § 3-2 femte ledd om at sikkerhetsmyndigheten, dersom det er nødvendig, kan delta på tilsyn som gjennomføres av et sektortilsyn, er departementet enig med utvalget i at sikkerhetsmyndigheten kan ha behov for å delta på tilsyn som gjennomføres i de ulike sektorene. At sikkerhetsmyndigheten skal kunne kreve å få være med, kan oppfattes som unødvendig, gitt bestemmelsene om samarbeid og samhandling mellom sikkerhetsmyndigheten og sektormyndighetene. Dessuten kan det skape usikkerhet om sikkerhetsmyndigheten skal kunne overta tilsynet på et felt der den ikke har kjernekompetanse. Slik departementet ser det, vil det imidlertid i enkelte tilfeller være nødvendig at sikkerhetsmyndigheten deltar på sektormyndighetenes tilsyn. Det vil i slike tilfeller være sektortilsynet som har ansvaret for tilsynet.

Departementet legger til grunn at hjemmelen for å delta på tilsyn skal brukes unntaksvis og som hovedregel etter forutgående dialog, jf. utvalgets forslag til § 3-2. Dette er også i tråd med utvalgets forutsetninger om at slik deltakelse fortrinnsvis nedfelles i samarbeidsavtalen. Departementet mener at sikkerhetsmyndighetens deltakelse på forberedelse og gjennomføring av tilsyn vil være et kompetansehevende tiltak for både sikkerhetsmyndighet og sektormyndighet.

Departementet mener utvalgets forslag til § 3-2 femte ledd om at sektortilsynene kan be sikkerhetsmyndigheten om bistand i forbindelse med tilsyn er godt, og foreslår derfor å videreføre dette i § 3-2 tredje ledd.

Departementet har videre merket seg at enkelte høringsinstanser, blant annet NVE,Luftfartstilsynet og Fylkesmannen i Vestfold er negative til at det pålegges en rapporteringsplikt for sektormyndigheter som gjennomfører tilsyn. Det framheves at dette både er ressurskrevende og en unødvendig byråkratisering. Det vises videre til at gevinsten som eventuelt oppveier for ressursbruken bare vil utligne de negative sidene ved en slik rapportering. NSM på den andre side bemerker at rapporteringsplikten er helt nødvendig for at sikkerhetsmyndigheten skal kunne ha informasjonsgrunnlaget for å utføre de oppgavene den pålegges i loven. Forebyggende sikkerhetsarbeid er en kontinuerlig prosess hvor tilsyn er et av verktøyene for å avdekke behovet for nye sikkerhetstiltak. Det er derfor av avgjørende betydning at den myndigheten som fastsetter sikkerhetskravene og som skal bidra til å utvikle nye tiltak, blir kjent med resultatene fra tilsynene.

Departementet er enig i innspillet til NSM. Departementet mener videre at rapporteringsplikten i all hovedsak ikke vil innebære en omfattende ekstra bruk av ressurser, men ser at de nærmere konsekvensene vil kunne variere noe fra sektor til sektor. Departementet stiller seg imidlertid bak utvalgets og NSM sin vurdering av at de positive effektene for sikkerhetsarbeidet, trolig langt overstiger de eventuelle negative konsekvensene for myndigheter med tilsynsansvar.

Departementet mener imidlertid at rapportering av hovedfunn kan utgjøre et for snevert informasjonsgrunnlag for sikkerhetsmyndigheten til å vurdere sikkerhetstilstanden i en sektor hvor sikkerhetsmyndigheten ikke selv fører tilsyn. For sikkerhetsmyndigheten vil en mer detaljert oversikt ofte være nødvendig for å prioritere sin tilsynsvirksomhet inn mot den enkelte sektormyndighet. Departementet mener derfor det bør stilles krav til en nærmere redegjørelse for gjennomførte tilsyn, og at det oversendes informasjon om eventuelle påviste avvik. Redegjørelsen skal gi sikkerhetsmyndigheten informasjon om hvor og når det er gjennomført tilsyn, og om avvik som er påvist. En slik praksis vil etter departementets syn ikke medføre en større belastning på sektortilsynene enn utvalgets forslag, men vil gi en større sikkerhetsmessig gevinst.

Departementet mener videre at sikkerhetsmyndigheten bør ha en oversikt over planlagte tilsyn, for å kunne planlegge eventuell medvirkning til forberedelse og gjennomføring av tilsyn. Departementet foreslår å ta inn i lovteksten at sektormyndigheten orienterer sikkerhetsmyndigheten om planlagte tilsyn. Dette kan for eksempel gjøres i forbindelse med at sektormyndigheten utarbeider sin årlige tilsynsplan.

Departementet bemerker at rapporteringsplikten må konkretiseres på forskriftsnivå. Det er derfor tatt inn en forskriftshjemmel i lovforslaget § 3-2 siste ledd, om samarbeid og informasjonsutveksling mellom sikkerhetsmyndigheten og myndigheter med tilsynsansvar.

8.4.4 Generelle prinsipper for tilsyn

Departementet foreslår, i tråd med utvalgets forslag, at tilsyn ikke skal forstyrre tilsynsobjektenes daglige drift mer enn nødvendig. Dette er et viktig prinsipp som bør stå i loven. Departementet mener imidlertid at hensynet ikke skal kunne benyttes for å unndra seg tilsyn, og at hensynet til virksomheten alene må kunne vike på bekostning av behovet for å gjennomføre tilsyn. Det vil dessuten være for ressurskrevende for tilsynsmyndigheten til enhver tid å unngå å virke forstyrrende på tilsynsobjektets daglige drift.

Departementet er videre enig med NSM og BDO om at det er en uhensiktsmessig avgrensning, som bryter med dagens praksis, å innføre utvalgets forslag til formålsavgrensning. Departementet mener at tilsynsmyndighetene må kunne benytte opplysningene til å ivareta de krav i loven som stilles til forebyggende sikkerhetsarbeid. Det kan være i forbindelse med vurdering av risiko, utvikling av sikkerhetstiltak eller andre former for analyse. Departementet ser imidlertid at det er gode grunner for å avgrense bruken av opplysningene til det som er nødvendig innenfor lovens formål. Departementet mener også det er hensiktsmessig at der både sikkerhetsmyndighet og sektormyndighet med tilsynsansvar pålegges plikter, omtales disse som tilsynsmyndigheten.

8.4.5 Stedlige tilsyn

Utvalget har foreslått en bestemmelse i § 3-4 som regulerer tilsynsmyndighetens uhindrede adgang til informasjon, informasjonssystemer, objekter og infrastruktur som er nødvendig for å gjennomføre tilsyn. Bestemmelsen er en forutsetning for at tilsyn kan gjennomføres, og er en videreføring av den adgangsretten som følger av gjeldende sikkerhetslov § 10. Videre følger det av utvalgets forslag at det normalt skal sendes skriftlig varsel om tilsyn. Dette innebærer at varsling kan fravikes dersom det ikke er mulig eller ønskelig. Departementet foreslår å videreføre bestemmelsen, med noen språklige endringer.

NSM har spilt inn at adgangsretten også bør omfatte adgang til relevant personell. Departementet anser at tilgangen til rett personell ved tilsyn vil bidra til bedre opplyste tilsyn, og lette gjennomføringen i stor grad, og foreslår derfor at det tas inn i bestemmelsen.

Departementet foreslår videre å endre ordlyden i forslaget til § 3-4 andre ledd til «(...) Tilsyn kan likevel gjennomføres uten varsel dersom sikkerhetshensyn gjør det nødvendig».

8.4.6 Tilsynsmyndighetens behandling av personopplysninger

Departementet er videre enig i utvalgets forslag om en egen bestemmelse om tilsynsmyndighetens behandling av personopplysninger i § 3-5. Departementet foreslår at bestemmelsen videreføres med enkelte språklige endringer.

8.4.7 Pålegg

Departementet har merket seg at flere av høringsinstansene har kommentert utvalgets forslag til regulering av pålegg i § 3-6.

Departementet mener, i likhet med utvalget, at påleggskompetansen bør lovreguleres. Det foreslås at tilsynsmyndigheten både skal kunne gi pålegg om gjennomføring av konkrete tiltak og om å korrigere avvik fra lovens krav på egnet måte. Ved sistnevnte type pålegg gjør virksomheten egne vurderinger av hvilke tiltak som er nødvendige for å lukke avviket. Bestemmelsen må ses i sammenheng med virksomhetenes plikt til å ivareta et forsvarlig sikkerhetsnivå, jf. § 4-3. Departementet viser i denne sammenheng til NSMs høringsuttalelse:

«Dersom det konstateres manglende samsvar med regelverket, gis det avvik fra de aktuelle bestemmelsene og pålegg om å korrigere avvikene, uten at det er konkretisert hvordan avvikene skal korrigeres.»

Departementet mener at det er en grunnleggende forutsetning at det å kunne gi pålegg er nødvendig for å ivareta lovens formål. Departement mener videre at pålegg om gjennomføring av konkrete tiltak bare skal kunne gis dersom kostnadene som påføres virksomheten framstår som rimelige sett i forhold til det som kan oppnås ved tiltaket. Departementet viser til NSMs høringsuttalelse, hvor det påpekes at pålegg om gjennomføring av konkrete tiltak sjelden gis. Departementet forutsetter derfor at i de tilfellene hvor det gis pålegg, om konkrete tiltak, at tiltaket faktisk er nødvendig. I bestemmelsen forutsettes det at det må gjøres en vurdering av tiltakets kostnad, blant annet om andre rimeligere tiltak kan oppnå samme nytte. Der tilsynsmyndigheten gir en virksomhet pålegg om å lukke et avvik, vil det være opptil virksomheten selv med hvilke tiltak avvik korrigeres. Virksomheten må da selv vurdere tiltakenes kost-nytteverdi innenfor de vurderinger som er gjort etter § 4-3 om virksomhetens forsvarlige sikkerhetsnivå.

Departementet har videre merket seg at flere av høringsinstansene, blant annet Energi Norge og NVE, er kritiske til at sikkerhetsmyndigheten skal ha mulighet til å gi pålegg til myndigheter med tilsynsansvar. Departementet mener likevel at sikkerhetsmyndigheten må ha denne sanksjonsmuligheten som virkemiddel, for å sikre at det gjennomføres tilsyn i samsvar med krav fastsatt i eller i medhold av loven i den aktuelle sektoren. Departementet legger til grunn at påleggskompetansen overfor myndigheter med tilsynsansvar bare vil bli benyttet der sektortilsynenes oppfølging av sikkerheten i sektoren er uforsvarlig. Dette kan for eksempel være hvis det ikke gjennomføres tilsyn eller at tilsynene ikke er gjennomført i tråd med de fastsatte kriteriene i eller i medhold av loven.

Til forsiden