9 Generelle krav til forebyggende sikkerhetsarbeid
9.1 Gjeldende rett
De generelle kravene til forebyggende sikkerhet er i dagens sikkerhetslov uttrykt gjennom fastsettelsen av virksomhetsansvaret i § 5.
Den enkelte virksomhet plikter i henhold til bestemmelsen å utøve forebyggende sikkerhetstjeneste i henhold til bestemmelsene gitt i eller i medhold av sikkerhetsloven. Virksomheten plikter å utarbeide en intern instruks for å ivareta sikkerheten, sørge for at virksomhetens ansatte og engasjerte får tilstrekkelig opplæring i sikkerhetsspørsmål, og regelmessig kontrollere sikkerhetstilstanden i virksomheten, jf. § 5 andre ledd bokstav a til c.
Ansvaret for utøvelse av forebyggende sikkerhetstjeneste påhviler virksomhetens leder, jf. § 5 tredje ledd. Virksomhetens leder kan etter samme bestemmelse delegere utøvende funksjoner internt i virksomheten. Dersom dette gjøres, skal det dokumenteres skriftlig.
Det følger videre av fjerde ledd at det påhviler en plikt for enhver ansatt eller personell som er engasjert, til å ivareta sikkerhetsmessige hensyn og til å bidra til forebyggende sikkerhetstjeneste gjennom sitt arbeid eller oppdrag for virksomheten.
I bestemmelsens femte ledd er fullmakt til å gi nærmere bestemmelser delegert til Nasjonal sikkerhetsmyndighet.
Sikkerhetsadministrasjon for forebyggende sikkerhetstjeneste er også regulert i gjeldende sikkerhetslov § 5 om den enkelte virksomhets plikter. Sikkerhetsadministrasjon er den administrative og organisatoriske styring som ligger til grunn for forebyggende sikkerhetstjeneste.
Sikkerhetsadministrasjon omfatter både sikkerhetsledelse, sikkerhetsorganisering, sikkerhetstiltak og prosedyrer, forholdet til andre virksomheter, sikkerhetsoppfølging, sikkerhetsdokumentasjon og risikohåndtering. Styrende for administrasjon av sikkerhetstjenesten er at den utøves slik at den gir grunnlag for allmenn tillit og slik at den er mulig å kontrollere.
I tillegg er det gitt utfyllende bestemmelser om sikkerhetsadministrasjon i forskrift 29. juni 2001 nr. 723. Forskriften gjelder den enkelte virksomhets sikkerhetsadministrasjon innen og på tvers av fagområdene informasjonssikkerhet, personellsikkerhet og sikkerhetsgraderte anskaffelser. Sikkerhetsadministrasjon innbefatter internkontroll ved gjennomføring av systematiske tiltak for å sikre at virksomhetens aktiviteter planlegges, organiseres, utføres og revideres i samsvar med krav fastsatt i og i medhold av sikkerhetsloven, jf. forskrift om sikkerhetsadministrasjon § 1-2 første ledd nr. 1.
Dagens sikkerhetslov inneholder ingen eksplisitt bestemmelse om internkontroll. Det følger imidlertid implisitt av blant annet dagens § 5 andre ledd bokstav a til c.
9.2 Utvalgets forslag
Utvalgets forslag til ny lov er basert på at det skal stilles funksjonelle krav til virksomhetene som omfattes av loven. Den enkelte virksomhet skal, basert på en vurdering av risiko, iverksette de nødvendige sikkerhetstiltakene. Så lenge tiltakene tilfredsstiller grunnleggende krav til sikkerhetsnivå, er det meningen at virksomheten selv kan velge hvilke sikkerhetstiltak som er nødvendige.
Utvalget skriver i NOU 2016: 19, side 144 om generelle krav:
«Et sentralt forhold i utvalgets arbeid har vært hvilken detaljeringsgrad som er nødvendig for de kravene som oppstilles i loven. På den ene siden tilsier hensynet til den enkelte samfunnssektors særegenheter at kravene bør gjøres relativt overordnede. Et for detaljert sektorovergripende regelverk, vil kunne innebære risiko for at regelverket kommer i konflikt med relevant sektorregelverk på området. Enkelte utvalgsmedlemmer har også uttrykt bekymring for at en for detaljert lov kan skape problemer i form av dobbeltregulering.»
Dette har vært gjenstand for grundig vurdering fra utvalgets side.
Hensynet til virksomhetene, og spesielt de selvstendige rettssubjektenes behov for forutsigbarhet, har vært avgjørende for utvalgets vurderinger og anbefalinger.
En for vag og skjønnsmessig angivelse av hvilke krav som oppstilles etter loven, vil svekke virksomhetens mulighet til å forutberegne sin rettsstilling og til å kunne forstå konsekvensene av de krav som følger av loven. For å ivareta en slik forutberegnelighet er det nødvendig at loven trekker opp de ytre rammene, både for myndighetenes og virksomhetenes skjønnsutøvelse. Utvalget har derfor anbefalt som et generelt og gjennomgående krav at virksomhetene skal iverksette de sikkerhetstiltak som er nødvendige for å oppnå et forsvarlig sikkerhetsnivå. Forholdet til sektorregelverk er nærmere behandlet i NOU 2016: 19 kapittel 7.7.12.
Utvalget beskriver at sikkerhetsnivået skal være forsvarlig. Dette er ment å være en rettslig standard som skal trekke opp de ytre rammene for hvilket handlingsrom virksomhetene har for etablering av sikkerhetstiltak.
Om forsvarlighetsstandarden uttales det i NOU 2016: 19, side 144:
«Hva som vil utgjøre et forsvarlig sikkerhetsnivå for den enkelte virksomhet, og på de enkelte fagfeltene loven dekker, vil måtte vurderes opp mot hva som anses som god faglig praksis på de enkelte fagområdene, herunder informasjons- og informasjonssystemsikkerhet, objekt- og infrastruktursikkerhet og personellsikkerhet. Den nærmere grensedragningen bør, slik utvalget ser det utvikles i samarbeid mellom Sikkerhetsmyndigheten og de aktuelle sektormyndighetene. Dette vil også gi mulighet til å kunne gjøre sektorspesifikke tilpasninger der det er behov.»
Videre vil det være en avgjørende forutsetning for at den enkelte virksomhet skal kunne gjøre en forsvarlig vurdering av risiko, eller risiko- og sårbarhetsanalyse som utvalget legger til grunn, at det gis informasjon slik at virksomhetene forstår det trusselbildet de står overfor. De forslagene utvalget har lagt fram for å gjøre informasjon om trusselbildet og annen sikkerhetsrelevant informasjon tilgjengelig, er et avgjørende virkemiddel for å sette den enkelte virksomhet i stand til å gjøre forsvarlige vurderinger.
Utvalget mener at i vurderingen av hva som utgjør et forsvarlig sikkerhetsnivå, vil sikkerhetsmyndighetens rådgivning være et sentralt bidrag til den enkelte virksomhet, sett hen til den trusselen virksomheten står overfor. En av hovedoppgavene til sikkerhetsmyndigheten, i henhold til utvalgets forslag, vil være å gi informasjon, råd og veiledning til virksomheter underlagt loven. Utvalget skriver om dette i NOU 2016: 19, side 139:
«Konkret rådgivning overfor de enkelte virksomhetene bør være en helt sentral oppgave for Sikkerhetsmyndigheten innenfor alle de fagområder loven spenner over. Storbritannias Centre for the Protection of National Infrastructure (CPNI) sin rolle i det britiske systemet for beskyttelse av kritisk infrastruktur, kan tjene som eksempel på hvordan rådgivningsvirksomheten bør innrettes. CPNI driver utstrakt utadrettet og aktiv rådgivningsvirksomhet mot både offentlige myndigheter og andre virksomheter som råder over kritisk infrastruktur, og har gjennom sin organisatoriske tilknytning og sin fagkompetanse en betydelig tillit og innflytelse overfor de berørte aktørene.»
Et annet element som er framhevet i utvalgets forslag, er at kostnadene ved sikkerhetstiltak etter loven skal stå i et rimelig forhold til det som oppnås ved tiltaket, slik det beskrives i NOU 2016: 19, side 144:
«Rett og plikt til å gjøre vurderinger av samfunnets samlede nytte ved tiltaket, sett opp mot de kostnader sikkerhetstiltaket fører med seg er, slik utvalget ser det, en nødvendig konsekvens av forslaget om å justere lovens virkeområde. Som utvalget har vært inne på i NOU 2016: 19 kapittel 6 vil justeringen av lovens virkeområde sannsynligvis medføre at flere selvstendige rettssubjekter blir omfattet av loven. Økt sikkerhet vil føre til mange konsekvenser for ulike aktører, inkludert økonomiske. Det er en fare for at dersom virksomheten ikke gis anledning til å gjøre kost-/nyttevurderinger i forhold til hvilke sikkerhetstiltak som bør og skal iverksettes, kan dette medføre at kostnadene ved å etablere sikkerhetstiltak blir uforholdsmessig høye. Spesielt for selvstendige rettssubjekter som blir omfattet av loven, vil det i ytterste konsekvens kunne virke konkurransevridende dersom disse blir pålagt å iverksette uforholdsmessig kostbare sikkerhetstiltak.»
Om virksomhetene etablerer tilfredsstillende og forsvarlige sikkerhetstiltak, vil også måtte være gjenstand for tilsynsmyndighetenes kontroll etter loven. Tilsynsmyndighetene er i loven gitt en rekke virkemidler for å kunne påvirke sikkerhetsnivået hos den enkelte virksomhet. Utvalget presiserer viktigheten av at såkalt «myke» virkemidler i form av informasjon om trusselnivå, råd og veiledning bør forsøkes først, før tilsynsmyndigheten eventuelt gir konkrete pålegg om iverksettelse av tiltak for å etterleve lovens krav. Utvalget framhever også at tilsynsmyndighetens pålegg overfor virksomhetene som er omfattet av loven, må være basert på en vurdering av samfunnsøkonomisk lønnsomhet. Det må vurderes hvorvidt tiltakenes samlede nytte for samfunnet overstiger kostnadene de fører med seg.
Utvalget påpeker at det ved utarbeidelse og gjennomføring av sikkerhetstiltak er viktig at det tas hensyn til personvernet. Utvalget har redegjort grundig for personvernhensyn i NOU 2016: 19 kapittel 5. Personopplysningsloven gjelder som utgangspunkt for alle typer virksomheter, herunder virksomheter som omfattes av sikkerhetsloven. Utvalget har foreslått å presisere dette ytterligere, ved å innta en lovhjemmel som viser direkte til Europaparlamentets- og rådsforordning (EU) 2016/679 av 27. april 2016, blant annet til de grunnleggende prinsippene for behandling av personopplysninger slik det framgår av personvernforordningen artikkel 5.
Om avveiningen mellom nasjonal sikkerhet og personvernet skriver utvalget i NOU 2016: 19, side 95:
«Personvern, rettssikkerhet og nasjonal sikkerhet er grunnleggende verdier i et demokratisk samfunn, hvor ingen av natur er mer tungtveiende enn andre. Ivaretakelse av alle disse verdiene er essensielt for å opprettholde demokratiet og rettsstatsprinsippene.»
På bakgrunn av at det ikke utelukkende skal tas personvernhensyn ved utarbeidelse og gjennomføring av sikkerhetstiltak, mener utvalget at loven også skal vise til unntaksbestemmelsen i artikkel 23 i personvernforordningen.
Det vises for øvrig til utvalgets behandling av personvernforordningen i NOU 2016: 19 kapittel 5.3.2, og til avveiningen mellom personvern og nasjonal sikkerhet i NOU 2016: 19 kapittel 5.7.
Utvikling av forsvarlighetsstandarden, kombinert med virksomhetenes og tilsynsmyndighetenes plikt til å gjøre vurderinger av samfunnets nytte sett i forhold til kostnadene, vil også være styrende for graden av risikoaksept etter den nye loven. Utvalget skriver i NOU 2016: 19, side 145:
«Etter utvalgets vurdering er det ikke mulig, ønskelig eller hensiktsmessig å gjennomføre sikkerhetstiltak som vil eliminere risikoen for at tilsiktede uønskede hendelser inntreffer. Ved å etablere forsvarlige og kostnadseffektive sikkerhetstiltak, vil man imidlertid kunne redusere sannsynligheten for, og konsekvensene av, slike hendelser. I siste omgang vil det være opp til regjering og storting å definere hvilken risiko som er akseptabel for våre grunnleggende nasjonale funksjoner. Utvalget mener at forslaget om å etablere tverrsektorielle scenarioer, som grunnlag for virksomhetenes risiko og sårbarhetsanalyser, og for hvilke sikkerhetstiltak som skal iverksettes, vil være et nyttig bidrag for å avgjøre hva som er akseptabel risiko.»
For at myndighetene skal kunne danne seg et helhetlig bilde av sikkerhetsnivået og trusselbildet for de ulike virksomhetene og samfunnssektorene, mener utvalget det er nødvendig å pålegge virksomheter underlagt loven en plikt til å rapportere hendelser. Utvalget skriver om rapportering i NOU 2016: 19, side 145:
«Rapporteringslinjene bør i utgangspunktet følge fordelingen av tilsynsansvaret, slik at den enkelte virksomhet plikter å rapportere til den aktør som er tillagt tilsynsansvar etter loven. For å ivareta det sektorovergripende perspektivet, er det imidlertid også nødvendig at sikkerhetsmyndigheten får tilgang til hendelsesrapportering fra alle samfunnssektorer. Utvalget har vurdert hvorvidt det vil være tilstrekkelig at den enkelte sektormyndighet pålegges å videreformidle slike varsler til sikkerhetsmyndigheten, der dette vurderes som relevant. Dette vil imidlertid kunne medføre at de aktuelle sektormyndighetene blir et forsinkende ledd i rapporteringslinjen. I tillegg kan hendelser som blir vurdert som mindre relevante i en samfunnssektor, kunne være viktig informasjon for å forstå det helhetlige trusselbildet – noe sektormyndighetene ikke nødvendigvis har forutsetninger for [å] vurdere.»
Utvalget anbefaler at sikkerhetsmyndigheten skal varsles parallelt der en sektormyndighet er tillagt tilsynsansvar etter loven. Utvalget mener at en slik form for «dobbeltrapportering» vil kunne medføre noe økt ressursbruk hos sikkerhetsmyndigheten, ved at kapasiteten for å motta og behandle varsler må være tilstrekkelig dimensjonert. På den annen side mener utvalget at den sikkerhetsmessige gevinsten ved at sikkerhetsmyndigheten har et mer fullstendig bilde over hendelser av sikkerhetsmessig betydning, vil overstige de kostnadsmessige ulempene en slik varsling eventuelt medfører.
9.3 Høringsinstansenes syn
I høringen har det framkommet for det meste positive tilbakemeldinger på å lovfeste generelle krav til forebyggende sikkerhet i et eget kapittel. Det framheves som positivt at enkelte overordnede prinsipper lovfestes, og at det legges opp til bruk av funksjonelle krav. Flere påpeker imidlertid at en for utstrakt bruk av funksjonelle krav overlater for mye skjønn til de som skal vurdere hvilke sikkerhetstiltak som er nødvendige, og at dette kan skape usikkerhet i møtet mellom virksomheter og tilsynsmyndigheter.
9.3.1 Plikt til å gjennomføre sikkerhetstiltak
Konsulentselskapet BDO poengterer viktigheten av klare forskrifter tilpasset de enkelte fagområdene for å unngå dobbelt- eller underregulerte områder og uttaler:
«Når det gjelder faren for dobbeltregulering og underregulerte områder, er det viktig at Kongen i sin bruk av hjemmel til å gi forskrifter, skaper klarhet i hvilke myndigheter som skal gi forskrifter om hva.»
Departementenes sikkerhets- og serviceorganisasjon (DSS) har kommentert generelt om strukturen i kapittel 4:
«Det synes som om § 4-1 mer naturlig bør komme etter nåværende § 4-3. Da får man først gitt ansvar, deretter virkemiddel for prioritering, deretter beslutning og gjennomføring, deretter dokumentasjonsplikt.»
Direktoratet for samfunnssikkerhet og beredskap (DSB) bemerker i sin høringsuttalelse at de avveininger som må gjøres knyttet til sikkerhetstiltak har en «all hazards»-tilnærming, til tross for at loven skal være innrettet mot tilsiktede handlinger, og uttaler blant annet:
«Oppsummert kan man si at lovforslaget, til tross for at det bare skal være innrettet mot tilsiktede handlinger, i prinsippet delvis bygger på en «all hazards»-tilnærming. Årsaken til at dette blir annerledes i lovforslaget enn i gjeldende lov, er primært at lovforslaget legger en funksjons- og systembasert tilnærming til grunn, og at det stilles krav om at sikkerhetsarbeidet skal bygge på en helhetlig risiko- og sårbarhetsanalyse, jf. §§ 4-1 og 4-3.»
Nasjonal kommunikasjonsmyndighet (Nkom) bemerker at loven vil stille store krav til tilsynsmyndighetene knyttet til å se sikringstiltakene i sammenheng, og uttaler:
«Pliktene er begrenset til sikkerhetstiltak mot tilsiktede uønskede hendelser. Nkom er enig i denne presiseringen i og med at ny sikkerhetslov ikke er ment å være en allmenn overordnet samfunnssikkerhetslov.
Nkom har i likhet med mange andre tilsynsmyndigheter en «all hazards-tilnærming» i det forebyggende sikkerhetsarbeid i egen sektor og i forhold til eget regelverk. Ny sikkerhetslov kan bli gjort gjeldende for virksomheter/objekter som utgjør en viktig komponent i en verdikjede, men som pr. i dag ikke er underlagt sektorregelverkets egne sikkerhetsbestemmelser. Ny sikkerhetslov vil stille store krav til differensiering og tilpasning for sektormyndigheten når det gjelder tilsynsaktivitet og forebyggende sikkerhetsarbeid for tilsynsobjekter etter både eget regelverk og sikkerhetslovens bestemmelser.»
Nasjonal sikkerhetsmyndighet (NSM) mener loven legger opp til omfattende skjønnsmessige vurderinger av hvilke sikringstiltak som er nødvendig, og poengterer at vurderingene som gjøres må være gjenstand for tilsyn, og at sikkerhetsmyndigheten må kunne definere hva som anses som en forsvarlig minimumsstandard. NSM mener det er et behov for ytterligere presisering av hva sikringstiltakene skal bestå av i loven. Mangel på presisering vil etter NSMs syn kunne medføre en vilkårlig og uensartet praksis mellom virksomheter og sektorer.
Norges vassdrags- og energidirektorat (NVE) støtter at det fastsettes generelle krav, men påpeker at de virksomheter som allerede er underlagt strengere krav, ikke også må oppfylle sikkerhetslovens krav og uttaler blant annet:
«NVE er positiv til de generelle kravene til forebyggende sikkerhet som stilles i kapittel 4. NVE har notert seg at det er foreslått at loven skal ha en struktur med et kapittel med generelle krav til forebyggende sikkerhet. Dette er samme regulering som i beredskapsforskriften kapittel 2. De kravene som er foreslått er i hovedsak innholdsmessig like de som beredskapsforskriften stiller.
For å unngå dobbeltregulering vil NVE foreslå at virksomheter som allerede er underlagt strengere krav i sektorlovgivning, ikke også må oppfylle sikkerhetskrav etter sikkerhetsloven. NVE peker på at bestemmelsen i § 4-1 tredje ledd presiserer at de tiltakene som iverksettes kan ses i sammenheng med behov for tiltak for å håndtere annen type risiko. Etter beredskapsforskriften § 2-4 skal det gjennomføres ROS-analyser knyttet til «ekstraordinære forhold». For de aktører som er underlagt kravene i beredskapsforskriften er det allerede et strengere krav enn forslagets «forsvarlig sikkerhet».»
Norsk olje og gass tar i sin høringsuttalelse til orde for økt bruk av standarder for best mulig tilpasning til forskjellige objekter og infrastruktur. Organisasjonen peker blant annet på at standarden «forsvarlig sikkerhetsnivå» ikke gir en god nok avgrensing av virksomhetenes ansvar:
«Tiltakskrav vil kunne bli utfylt gjennom henvisning til standarder. Norsk olje og gass vil fremheve at utvikling og etterlevelse av gode standarder er en god og etablert arbeidsmetodikk innen petroleumsnæringen.
Norsk olje og gass vil understreke at det gjør seg gjeldene vidt forskjellige trusselbilder rettet mot objekter og infrastruktur og mot informasjonssystemer. Hva gjelder informasjonssystemer er trusselbildet internasjonalt og tiltakene må langt på vei støttes opp av et internasjonalt samarbeid. Norsk olje og gass vil understreke at henvisninger på dette området utelukkende må vise til internasjonale standarder.
[…]
I den utstrekning private aktører skal bidra, må pliktene ha tydelig lovgrunnlag som også må innebære en avklaring mot myndighetenes ansvar. Vi mener også at loven i større grad bør åpne for at de ulike krav til sikkerhetstiltak tilpasses virksomhetenes art, omfang og øvrige omstendigheter.»
Politidirektoratet og Oslo politidistrikt er i sine høringsuttalelser kritiske til en utstrakt funksjonell tilnærming, og mener dette vil skape usikkerhet rundt hva som anses som et tilstrekkelig sikkerhetsnivå, som igjen vil medføre ulik praktisering av regelverket og ulikt sikringsnivå fra virksomhet til virksomhet. De uttaler videre at dette vil gjøre sikkerhetsarbeidet i virksomheten vanskeligere enn det er i dag, da sikkerhetspersonell allerede har utfordringer med å skape forståelse for viktigheten av å gjennomføre sikkerhetstiltak:
Politidirektoratet har uttalt:
«Politidirektoratet oppfatter utredningen slik at det i ny sikkerhetslov er tale om å erstatte eksplisitte, mer detaljerte minimumskrav med mer funksjonelle krav. Politidirektoratet er, i likhet med Oslo politidistrikt, av den oppfatning at en slik overgang vil kunne ha flere uheldige konsekvenser. Oslo politidistrikt fremhever blant annet at varierende risikoforståelse og kunnskap vil medføre at arbeidet knyttet til forebyggende sikkerhet vil vanskeliggjøres uten angivelse av en minimumsstandard i regelverket. Oslo politidistrikt viser videre til arbeidet med etablering av sikkerhetstiltak etter krav i objektsikkerhetsforskriften. Etter deres erfaring har dette arbeidet vist seg å være krevende, nettopp fordi denne forskriften er mindre detaljert. Et mindre detaljert regelverk stiller større krav til kompetanse og erfaring hos sikkerhetspersonellet.»
Politiets sikkerhetstjeneste (PST) er i utgangspunktet positive til en funksjonell tilnærming, men påpeker at det stiller store krav til vurdering hos virksomhetene og oppfølging og veiledning fra tilsynsmyndighetene:
«Forslaget legger opp til at den enkelte virksomhet får et større ansvar for å innføre tilfredsstillende sikring basert på en konkret trusselvurdering. PST støtter en slik risikobasert tilnærming til sikringsspørsmålet. Dette vil imidlertid fordre at den enkelte aktør evner å møte sikkerhetskravene.
Det krever, etter PSTs oppfatning, derfor at forskrifter brukes for å gi virksomhetene retning og rammer for de vurderinger som skal utføres, følgelig må det også utarbeides gode veiledere. Dette er nødvendig for å sikre at virksomhetene innfører relevante og tilstrekkelige sikringstiltak som tar utgangspunkt i informasjonens verdi og det foreliggende trusselbildet. Resultatkrav til sikkerhet vil i den sammenheng være mer hensiktsmessige, og gi et større handlingsrom, fremfor tekniske krav.»
9.3.2 Sikkerhetsstyring
BDO uttaler om begrepsbruk innen sikkerhetsstyring at begrepet «tilstrekkelig opplæring i sikkerhetsspørsmål» ikke er presist nok, og anbefaler at dette endres.
DSS anbefaler at det lovfestes at det skal tas hensyn til standarder, og at ledelsessystem benyttes framfor styringssystem og uttaler:
«Ansvaret for forebyggende sikkerhet etter loven påhviler leder for virksomheten. Forebyggende sikkerhet skal innarbeides som en del av virksomhetens ledelsessystem. Ledelsessystemet skal ta hensyn til relevante krav som gis av standarder for sikkerhetsområdet fra Norsk Standard og International Organization for Standardization (ISO).»
Nkom er positive til at lederansvaret lovfestes og uttaler:
«Nkom er enig i at det er viktig med en konkret bestemmelse om plassering av ansvar i forhold til faktisk gjennomføring av sikkerhetslovens krav i den enkelte virksomhet. Dette er spesielt viktig i forhold til utviklingen i ekombransjen og andre bransjer med økt globalisering/outsourcing og samarbeid på tvers av landegrenser, der det kan oppstå fragmentering og uklarheter når det gjelder hvem som har det overordnede ansvaret for sikkerhet innen en virksomhet.»
NSM er positive til at det gis en bestemmelse om sikkerhetsstyring i loven, og poengterer at sikkerhetsstyring er helt sentralt for det systematiske arbeidet med sikkerhet i virksomhetene.
Oslo politidistrikt etterlyser tydelighet om hva som anses som «tilstrekkelig kompetanse» og etterlyser minimumskrav for å unngå store variasjoner i forståelse og praksis innen sikkerhetsarbeidet. De foreslår at slike minimumskrav gis i en forskrift om sikkerhetsstyring.
9.3.3 Vurdering av risiko
BDO uttaler at den oppfølgingen av virksomhetene i form av råd og veiledning som loven legger opp til, er svært omfattende. BDO mener loven ikke burde pålegge myndighetene den omfattende råd- og veiledningsplikten som er foreslått. BDO uttaler om dette:
«I tillegg mener BDO det er viktig at myndighetsorganer ikke konkurrerer med private leverandører, også på dette området. […] Hvis det ikke er tilstrekkelige oppdrag til at det kan bygges opp gode kompetansemiljøer hos private tjenesteleverandører innen sikkerhet i Norge, som så kan bistå virksomheter som ikke kan få bistand fra offentlige myndigheter, vil det føre til dårligere samfunnssikkerhet. Samme situasjon vil i realiteten oppstå dersom Sikkerhetsmyndigheten, og da uten å måtte forholde seg til oppdraget som en anskaffelse fra kunden, skal gi inngående og konkrete råd til enkeltvirksomheter.
BDO mener ikke med dette at Sikkerhetsmyndighetene ikke skal ha en praktisk tilnærming overfor virksomhetene. Vi mener imidlertid at myndighetene bør fokusere på å oppfylle veiledningsplikten i forvaltningsloven § 11 – dvs. gi veiledning om hvordan regelverket skal forstås og hvilke metoder virksomhetene bør benytte. Sikkerhetsmyndigheten bør derfor i stedet for å gi råd om konkrete tiltak og løsninger til enkeltvirksomheter, heller gi mer konkrete veiledninger, som retter seg til en ubestemt eller stor krets, gjerne i samarbeid med bransjeorganisasjoner.»
NSM mener lovforslaget legger opp til svært utstrakt rådgivningsplikt for sikkerhetsmyndigheten direkte til enkeltvirksomheter, noe som vil fordre en betydelig styrking av sikkerhetsmyndighetens organisasjon sammenliknet med i dag. NSM uttaler:
«NSM mener at en «en-til-mange» tilnærming er mer hensiktsmessig når det gjelder rådgivning, der dette er mulig. I den grad det er ønskelig at NSM skal bedrive rådgivning overfor enkeltvirksomheter må det fremkomme at NSM selv kan prioritere hvem som skal motta slik rådgivning, basert på sin kunnskap om risiko.»
Nkom har uttrykt et behov for at det også gjøres vurderinger av risiko og sårbarhet for hver sektor:
«I bestemmelsens tredje ledd pålegges sektormyndigheten som er gitt tilsynsansvar etter loven en veiledningsplikt overfor virksomheter for gjennomføring av slike ROS-analyser. Nkom mener at bestemmelsen også burde inneholde en plikt for sektormyndighet med tilsynsansvar til å gjennomføre og vedlikeholde egne overordnede ROS-analyser for den aktuelle sektoren.»
DSB og Utenriksdepartementet mener bruken av ROS-analyse gir inntrykk av at loven har et bredere risikoperspektiv enn det loven er ment å dekke.
Utenriksdepartementet har uttalt om ROS-analyse:
«I Utenriksdepartementets sikkerhetsarbeid skiller departementet mellom ROS-analyse og risikovurdering. Mens en ROS-analyse er en kartlegging skal virksomhetens leder i en risikovurdering ta standpunkt til hvorvidt den identifiserte risikoen kan aksepteres og/eller håndteres. Departementet foreslår som følge av dette at man i lovteksten legger til grunn begrepsapparatet som fremkommer i Norsk standard NS-ISO 31000:2009 og benytter begrepet risikovurdering fremfor ROS-analyse i lovteksten.
Departementet ser utvalgets behov for å avgrense mot uønskede, ikke villede handlinger som f. eks naturkatastrofer. For virksomheter med et svært differensiert risikobilde som utenrikstjenesten, er det imidlertid viktig å samlet vurdere alle typer hendelser som kan utfordre tjenestens operative evne og dermed true grunnleggende nasjonale funksjoner.»
NSM mener begrepet risikoanalyse bør benyttes og har uttalt:
«Det er sentralt at virksomhetene har samme metodiske tilnærming til de risikoanalyser som skal gjøres. NSM legger derfor til grunn at man i forskrift vil gi nærmere bestemmelser om hvordan disse analysene skal gjennomføres og hvem som skal etablere det metodiske grunnlaget.»
Oslo politidistrikt har uttalt om skranker knyttet til rådgivningen:
«I kommentarene til denne bestemmelsen vises det til at rådgiving kan bidra til uheldige situasjoner bl.a. i forhold til regelverk og inhabilitet mv, og at sektormyndigheter må vurdere hvor langt man kan gå. Dette bør muligens også gjenspeiles i lovteksten.»
9.3.4 Krav til dokumentasjon og øvelser
NSM støtter kravet og har uttalt:
«Bestemmelsen beskriver krav til dokumentasjon som skal foreligge hos virksomhetene. Det er et viktig krav og det er positivt at dette fremkommer klart.»
Oslo politidistrikt har uttalt om formålet med dokumentasjonskravet:
«Det fremgår at hensikten med bestemmelsen er å legge til rette for tilsyn. Etter vår oppfatning må hensikten med dokumentasjon i en virksomhet må være å skriftliggjøre bestemmelser om organisering, herunder det som er angitt som krav i dagens forskrift om sikkerhetsadministrasjon kapittel 3. Dokumentasjonen brukes for å organisere egen virksomhets sikkerhetsarbeid.»
NSM og Oslo politidistrikt støtter et krav om gjennomføring av øvelser. NSM mener at formålet med øvelsene ikke bare er å gi de ansatte kompetanse og ferdigheter innen håndtering av hendelser, men også å avdekke eventuelle feil og mangler med relevant planverk som virksomheten har utviklet og avdekke mangler ved gjennomførte, eller mangel på gjennomføring av sikkerhetstiltak. Både NSM og Oslo politidistrikt mener det må gis nærmere konkretiseringer i forskrift.
9.3.5 Varsling
BDO mener bestemmelsen om varsling er for omfattende og har uttalt:
«Forslaget til § 4-6 fastsetter i første ledd bokstav d at virksomheten omgående skal varsle brudd på sikkerhetskrav i kap.5, 6 og 7, eller forskrifter, til tilsynsmyndigheten. Bestemmelsen gir ingen vilkår eller unntak i så måte, og må således tolkes som at varslingsplikten gjelder alle sikkerhetsbrudd, uavhengig av alvorlighetsgrad. Kongen er i femte ledd riktignok gitt hjemmel til å gi forskrift om varslingsplikten, men BDO antar hjemmelen – slik den er formulert – ikke åpner for at Kongen kan gjøre unntak fra hvilke brudd som skal rapporteres eller med hvilke tidsintervaller.»
NSM mener bestemmelsen bør tydeliggjøre varslingskanalene og har uttalt:
«Til bestemmelsens tredje ledd bemerkes at det i enkelte tilfeller kan være uklart hvilket departement som er ansvarlig. Dette gjelder for eksempel ved varsler mottatt fra kommunale organer, eller varsler som dreier seg om privat virksomhet uten en klar departementstilknytning, for eksempel datahaller. NSM legger til grunn at varsel i disse tilfellene skal sendes til Justis- og beredskapsdepartementet i kraft av departementets samordningsrolle på sivil side. Det bør imidlertid vurderes om dette skal tydeliggjøres i lovteksten eller eventuelt i forskrift.»
Oslo politidistrikt har uttalt:
«Slik vi ser det, er det muligens bedre pedagogikk å benytte begrepet «rapportering» fremfor «varsling».»
NVE mener kravet om varsling vil medføre dobbeltvarsling for de virksomheter som allerede er underlagt andre krav om varsling om hendelser og har uttalt:
«Forslaget § 4-6 annet ledd oppstiller en plikt til dobbeltvarsling både til tilsynsmyndighet etter sektorlovgivning og til sikkerhetsmyndigheten. Vi mener det er positivt at enkelte type hendelser bør varsles til flere enn tilsynsmyndigheten (f.eks. IKT-angrep). NVE er derimot skeptisk til et generelt krav til dobbeltvarsling. Det må være tilsynsmyndighetens ansvar å videreformidle til andre relevante myndigheter, deriblant sikkerhetsmyndigheten og overordnet departementet. NVE foreslår derfor at annet og tredje ledd i § 4-6 blir slått sammen og omskrevet til nytt § 4-6 annet ledd.»
Statnett mener i likhet med NVE at varslingsbestemmelsen vil medføre unødvendig dobbeltregulering, og at varsling innen energisektoren allerede er tilstrekkelig regulert. Videre stiller Statnett spørsmål ved myndighetenes ansvar for oppfølging av mottatte varsler og mener sektormyndighetene bør kunne ivareta varsling til sikkerhetsmyndigheten, og har i denne sammenhengen uttalt:
«I utvalgets forslag til § 4-6 Varsling, står det blant annet at: «I samfunnssektorer der sektormyndigheter er gitt tilsynsansvar i medhold av § 3-1, skal Sikkerhetsmyndigheten varsles parallelt.» Med bakgrunn i at varsling og dialog under ekstraordinære hendelser allerede er krevende å håndtere, og med bakgrunn i at det allerede er etablerte rutiner for videre varsling ut mot andre sektorer, vurderer Statnett at en utvidet varslingsplikt ikke er hensiktsmessig. Formålet med bestemmelsen (side 260) er å legge til rette for at myndighetene kan ivareta sitt overordnede ansvar. Ved å følge etablerte varslingsrutiner vil formålet med bestemmelsen allerede være ivaretatt. Sikkerhetsmyndigheten vil kunne få en samlet fremstilling for hele sektoren fra NVE, og ikke stykkevis og delt fra den enkelte virksomhet.
Statnett ber derfor om at forslaget om at selskapenes plikt om umiddelbar varsling og rapportering til Sikkerhetsmyndigheten endres til en plikt for sektormyndigheten om å varsle og rapportere. Dette kan gjennomføres uavhengig av om selskaper i energisektoren underlegges sikkerhetsloven eller ikke.»
Finanstilsynet har uttalt at selv om varsling etter sikkerhetsloven for enkelte vil omfatte en dobbeltvarsling, vil dette likevel være formålstjenlig:
«I forslaget til ny sikkerhetslov stilles krav til rapportering av hendelser til Sikkerhetsmyndigheten i tillegg til sektormyndigheten. Selv om det vil innebære en dobbeltrapportering for foretak omfattet av loven, er det Finanstilsynets vurdering at dette kan være en hensiktsmessig innretning. Det vil uansett være sektormyndigheten som har det primære ansvaret for oppfølging av varsler fra virksomheter i egen sektor.»
9.4 Departementets vurdering
Kapittelet om generelle krav til forebyggende sikkerhet er nytt sammenliknet med gjeldende sikkerhetslov. Kapittelet lovfester enkelte grunnleggende krav som i dag følger av sikkerhetslovens forskrifter. Utvalgets forslag legger i stor grad opp til at det skal utarbeides et underliggende forskriftsverk.
De generelle kravene til forebyggende sikkerhetsarbeid skal sette rammene for det forebyggende sikkerhetsarbeidet i virksomhetene. Dette gjøres ved å lovfeste virksomhetsansvaret, den metodiske tilnærmingen og vurderingene som må gjøres som grunnlag for prioriteringer av sikkerhetstiltak og risikoaksept, samt overordnet definere krav til sikkerhetsadministrasjon i virksomhetene. Videre framgår krav til virksomhetens involvering av tilsynsmyndighetene som følge av handlinger mot virksomheten.
De generelle kravene er uttrykk for lovens funksjonelle innretning. Bestemmelsene gir i utgangspunktet virksomhetene frihet til å velge de mest hensiktsmessige løsningene tilpasset virksomhetens øvrige rammer. Bestemmelsene legger videre grunnlaget for mer metodiske, spesifikke og detaljerte løsninger i forskrift.
De generelle kravene i kapittel 4 er omtalt i utvalgets utredning i kapittel 7.7.9 og i de særlige merknadene til de enkelte bestemmelsene. Høringsinnspillene gir i det vesentlige uttrykk for støtte til at loven oppstiller generelle krav til forebyggende sikkerhet slik utvalget har foreslått. Enkelte høringsinstanser, blant annet BDO, Statnett og NVE, har gitt uttrykk for at loven kan medføre en dobbeltregulering av enkelte sektorer. Etter departementets syn vil utformingen av de generelle kravene kunne veie opp for dette, i og med at det langt på vei skal tas hensyn til hvordan tilsvarende krav reguleres i sektorlovgivningen. Andre høringsinstanser gir på den annen side uttrykk for at den manglende detaljeringsgraden gjør det vanskeligere å etterleve lovens krav, da det i for stor grad blir overlatt til virksomhetens skjønn å vurdere hvilke sikkerhetstiltak som er gode nok.
Etter departementets syn oppstiller de funksjonelle kravene en større grad av fleksibilitet, men med en mulighet for tilsynsmyndigheter å påse at virksomhetens vurderinger er gode nok. Tilsynet må også vurdere om valgt løsning «tar hensyn til alle hensyn». Virksomheten får også større behov for faglig informasjon for å finne en løsning som passer i den konkrete situasjonen som vedkommende er i, og tilsynsmyndigheten får en mer veiledende rolle enn detaljkontrollerende. Tilsynsmyndighetens pålegg kan med en slik tilnærming lettere bli gjenstand for diskusjon og faglig tvil.
Departementet har registrert høringsinnspillene fra Oslo politidistrikt og Politidirektoratet knyttet til bruken av funksjonelle krav, men mener det er gode grunner for den funksjonsbaserte tilnærmingen. Regelverket blir tilstrekkelig dynamisk til å følge utviklingen av de beste løsningene. Virksomhetene får handlefrihet og kan utnytte lokal og situasjonsspesifikk kunnskap til å finne egnede løsninger innenfor regelverkets rammer. Funksjonsregelverk ansvarliggjør i større grad virksomhetene for egen drift og de konkrete løsningene de velger. Funksjonsbaserte regler kan også i større grad bidra til at hensikten med reglene oppnås, og at virksomhetene også kan strekke seg lenger enn til fastsatte minimumskrav.
Departementet mener dette er en hensiktsmessig tilnærming på lovs nivå. Utvalget påpeker også at dersom lovens tilnærming er funksjonsbasert, bør også forskriftene så langt som mulig være det. Departementet er enig i dette, og viser til at for eksempel objektsikkerhet er et område hvor kravene bør være funksjonsbaserte. Samtidig ser departementet også at hensynet til forutberegnelighet og en helhetlig tilnærming til det forebyggende sikkerhetsarbeidet på tvers av sektorene oppstiller et behov for at det innen andre fagområder må være en større andel detaljkrav.
Departementet mener innholdet i utvalgets forslag til bestemmelser bør opprettholdes, men foreslår å gjøre noen endringer som departementet mener forenkler enkelte bestemmelser. Departementet foreslår å gjøre om på rekkefølgen av bestemmelsene for å få mer pedagogisk systematikk i kapittelet, slik DSS har påpekt i sin høringsuttalelse. Departementet mener det er mer hensiktsmessig at ansvar fastslås i kapittelets første bestemmelse, slik at utvalgets forslag til § 4-2 kommer først. Deretter følger metode for identifisering av behov og prioriteringer, slik at utvalgets forslag til § 4-3 blir ny § 4-2, og etter dette følger plikten til å iverksette tiltakene, som etter utvalgets forslag stod først i kapittelet.
I departementets forslag til § 4-1 fastslås lederansvaret. Det er virksomhetens leder som formelt bestemmer og fastsetter hvordan sikkerhetsarbeidet skal gjennomføres og organiseres. I hvor stor grad lederen selv er direkte involvert, avhenger av hvordan virksomheten beslutter å organisere sikkerhetsarbeidet. Selv der lederen ikke er direkte involvert i det daglige sikkerhetsarbeidet, er det fremdeles lederen som er ansvarlig. Myndighet og oppgaver kan delegeres, mens ansvaret for forebyggende sikkerhetsarbeid alltid vil tilligge virksomhetens leder.
Ansvaret innebærer å motivere ansatte til å være tilstrekkelig sikkerhetsbevisste i hverdagen, samt legge til rette for kontinuerlig forbedring og læring. Virksomhetens leder skal bidra til å skape et miljø der ansatte har lav terskel for å rapportere om avvik og sikkerhetstruende hendelser.
Virksomhetens leder er også ansvarlig for at sikkerheten i underlagte virksomheter og hos leverandører, kontrolleres. Ansvaret innebærer blant annet å etterspørre informasjon om sikkerhetstilstanden, herunder resultater fra eksterne tilsyn, interne sikkerhetsrevisjoner og leders jevnlige evaluering av sikkerhetstilstanden.
Det følger av utvalgets forslag at forebyggende sikkerhet skal innarbeides som en del av virksomhetens styringssystem, som departementet foreslår som ny § 4-1. Departementet mener dette er et viktig prinsipp som bør lovfestes. Dette er også støttet av flere av høringsinstanser blant andre NSM og Nkom. Sikkerhetsstyring er helt sentralt for det systematiske arbeidet med sikkerhet. Departementet anser det ikke som nødvendig å presisere nærmere i lovtekst hvordan dette skal gjøres, da dette bedre kan beskrives i forskrift.
Videre er det krav til at virksomhetens ansatte, leverandører og oppdragstakere skal ha tilstrekkelig opplæring i sikkerhetsspørsmål. Dette kravet framkommer i dag av forskrift om sikkerhetsadministrasjon § 3-2. Departementet er enig med utvalget i at dette bør lovfestes, men mener i likhet med BDO at begrepet «sikkerhetsspørsmål» er upresist. Departementet foreslår derfor å endre ordlyden til «tilstrekkelig risiko- og sikkerhetsforståelse». Vurderingen er skjønnsmessig, og må ses opp mot nærmere kompetansekrav som kan presiseres i forskrift. Det legges til grunn at virksomheten har et sterkere ansvar for oppfølging av egne ansatte enn de øvrige kategoriene, men virksomheten har også et ansvar for å følge opp at leverandører og oppdragstakere har en tilstrekkelig risiko- og sikkerhetsforståelse.
Utvalget har foreslått en plikt til å gjennomføre risiko- og sårbarhetsanalyse i lovforslaget § 4-3. Etter departementets forslag blir denne bestemmelsen til ny § 4-2.
Bestemmelsen har i høringen vært gjenstand for tilbakemeldinger knyttet til begrepet risiko- og sårbarhetsanalyse (ROS-analyse). Blant andre DSS, Utenriksdepartementet og NSM mener det bør benyttes et annet begrep enn ROS-analyse. DSB påpeker også at begrepet ROS-analyse tilsier at loven har et videre nedslagsfelt enn det som er intensjonen.
Departementet er enig i dette og mener at ROS-analyse er en analyse med et bredere risikoperspektiv enn lovens nedslagsfelt, og således kan framstå misvisende. Det har i høringen framkommet andre forslag til begrep, blant annet risikoanalyse og risikovurdering. Det har også kommet forslag om å angi bruken av en anerkjent standard i loven. For å unngå å knytte vurderingen opp mot et spesifikt begrep, hvor meningsinnholdet kan endres over tid, og for ikke å knytte vurderingen til en spesifikk standard, foreslår departementet kun å fastslå at det skal gjennomføres en «vurdering av risiko». På denne måten kan nærmere bestemmelser om gjennomføring av vurderingen gis i forskrift, og således være noe mer dynamisk og fleksibel.
Videre framkommer det av utvalgets forslag, et krav om at virksomhetene som en del av denne vurderingen må kartlegge hvilke andre virksomheter den er avhengig av for å opprettholde sin funksjonalitet. Begrunnelsen for dette er at vurderingen av risiko ikke må ses isolert i den enkelte virksomhet, men omfatte avhengighetsforholdene til andre virksomheter. Departementet støtter denne tilnærmingen. Departementet viser til at virksomheten likevel har et selvstendig ansvar for å redusere sin egen sårbarhet, for eksempel gjennom tiltak knyttet til egenberedskap for bortfall av strøm.
Et avgjørende moment for å gjøre en tilstrekkelig vurdering av risiko er tilgangen på oppdatert og relevant trussel- og sårbarhetsinformasjon. Denne bestemmelsen må derfor ses opp mot sikkerhetsmyndighetens råd og veiledningsplikt, samt plikt til tilrettelegging av deling av denne typen informasjon etter forslagets § 2-3. Departementet anerkjenner at virksomhetene har et visst råds- og veiledningsbehov knyttet til vurderingen av risiko. Virksomhetene må kunne etterspørre råd og veiledning fra både sikkerhetsmyndighet og sin sektormyndighet med tilsynsansvar. Hvordan ansvaret skal utøves i den enkelte sektor kan være gjenstand for regulering i samarbeidsavtale mellom sikkerhetsmyndigheten og sektormyndighet, der dette anses som nødvendig, eksempelvis der en sektormyndighet som gjennomfører tilsyn som følge av annet regelverk, er avskåret fra å gi konkret rådgivning. Departementet mener dette ikke er nødvendig å reflektere i loven.
Departementet har forståelse for utvalgets forslag om at sikkerhetsmyndigheten bør drive konkret rådgivning overfor de virksomheter som omfattes av loven. Rådgivningen bør i hovedsak omfatte overordnede råd, veiledninger og oppdatert trussel- og sårbarhetsinformasjon. Den foreslåtte mekanismen for deling av sikkerhetsrelevant informasjon vil være et nyttig bidrag i så måte. Departementet er enig med BDO og NSM i at det er viktig å unngå omfattende en-til-en veiledning overfor virksomheter fra myndighetssiden. Dersom virksomheten har behov for inngående støtte til å gjennomføre denne vurderingen for sin virksomhet, utover det som følger av myndighetenes veiledning og nærmere bestemmelser i forskrift, finnes det flere private aktører for dette formålet, slik også BDO har anført.
Utvalgets forslag til en bestemmelse om plikt til å gjennomføre sikkerhetstiltak foreslås plassert som § 4-3, framfor § 4-1, som var utvalgets forslag.
Gjennomføringen av sikkerhetstiltak må skje på bakgrunn av virksomhetens vurdering av risiko. Bestemmelsen angir et visst grad av skjønn for virksomhetene. Tiltakene skal til sammen danne et forsvarlig sikkerhetsnivå, og redusere risikoen for handlinger som kan skade virksomheten, samt redusere skadevirkningene dersom noe inntreffer. Videre skal også kostnadene ved sikkerhetstiltakene stå i rimelig forhold til det som oppnås ved tiltaket. Tiltakene skal ses i sammenheng med andre forebyggende tiltak som virksomheten har iverksatt.
Enkelte høringsinstanser, blant andre NVE, Norsk olje og gass og BDO, har kommentert at det er en fare for at sikkerhetslovens krav kommer i konflikt med sektorregelverk. Departementet mener at den overordnede og funksjonelle innretningen loven har, og samhandlingen mellom myndighetene for øvrig, langt på vei reduserer risikoen for kolliderende kravstilling og oppfølging, jf. også utvalgets omtale av dette i NOU 2016: 19 kapittel 7.7.12. Når det gjelder objektsikkerhet viser departementet til at dagens objektsikkerhetsforskrift har en bestemmelse som innebærer at sektorregelverket går foran forskriftens krav, så framt sektorregelverket har relevante og tilstrekkelige bestemmelser og det er etablert tilsynsorgan. Det er imidlertid ikke til å unngå en viss grad av overlappende regelverk. Dette er ikke noe særegent knyttet til forebyggende sikkerhetsarbeid. Departementet mener sikkerhetsmyndigheten og sektormyndighetene, sammen med virksomhetene, i den videre operasjonaliseringen av kravene, vil måtte ta hensyn til alle regelverk som stiller krav til sikkerhet.
Enkelte høringsinstanser, som Oslo politidistrikt og Norsk olje og gass, påpeker at bestemmelsen er for overordnet og generell, og at kravet om forsvarlig sikkerhetsnivå er for diffust og vanskelig å forholde seg til.
Departementet vil påpeke at forsvarlighetsstandarden er en rettslig standard som kun skal trekke opp de ytre rammene virksomhetene må forholde seg til, og gi virksomhetene mulighet til å se det totale omfanget av sikkerhetstiltak i sammenheng, også tiltak som ikke følger av sikkerhetsloven. Den nærmere grensedragning av hva som anses som forsvarlig, vil måtte utvikles i samarbeid mellom sikkerhetsmyndighet og sektormyndigheter. Videre vil de underliggende forskriftene gi nærmere føringer for hva som kan anses som forsvarlig innen de forskjellige fagområdene. Her kan det tenkes at forskriftene vil variere i detaljgrad, alt ettersom hvilket fagområde det er tale om. Videre vil forsvarlighetsnormen avhenge av hva som er god praksis innen fagområdene og veiledninger og anbefalinger fra sikkerhetsmyndigheten. Departementet forutsetter også, som blant annet NSM har påpekt, at forsvarlighetsvurderingen, og kostnadsvurderingen som skal gjøres, blir gjenstand for ettersyn og vurdering fra tilsynsmyndighetene.
Departementet mener at kravet om å gjennomføre øvelser er et godt sikkerhetstiltak, og viser til utvalgets vurderinger av kravet. Departementet mener imidlertid at formålet med øvelsene er mer enn det utvalget har foreslått og beskrevet i bestemmelsen. Det er vel så viktig å verifisere, eller avdekke, om tiltakene som er iverksatt virker som forutsatt, som å sikre at kompetansen til å forebygge og håndtere hendelser vedlikeholdes og utvikles. Departementet foreslår at kravet framgår av § 4-3 som et nytt tredje ledd og at nærmere bestemmelser om øvelser gis i forskrift med hjemmel i samme bestemmelse.
Utvalgets bestemmelse om krav til dokumentasjon foreslås som ny § 4-4, uten materielle endringer. Departementet vil presisere at nærmere krav til dokumentasjon vil måtte framgå av forskrift.
Utvalgets forslag til bestemmelse om varsling framgår nå av § 4-5 og regulerer virksomhetenes varslingsplikt knyttet til hendelser, eller handlinger, som anses å utgjøre en sikkerhetsrisiko. En varslingsplikt er en forutsetning for at myndighetene skal kunne ivareta sitt overordnede ansvar. Tidlig varsling om en hendelse er avgjørende for rask respons fra sektormyndighet og sikkerhetsmyndighet. At virksomhetene pålegges denne varslingsplikten er hovedsakelig av hensyn til at myndighetene skal kunne se hendelser i sammenheng, både på sektornivå og på nasjonalt nivå. En hendelse som rammer en virksomhet i én sektor, kan også ha rammet en virksomhet i en annen sektor, eller det kan være en fare for at det vil ramme andre virksomheter i andre sektorer. For at sikkerhetsmyndigheten skal kunne ivareta sitt sektorovergripende ansvar, er det ekstra viktig at denne kan motta varsler fra alle sektorer, også de sektorene der sikkerhetsmyndigheten ikke har et tilsynsansvar.
Statnett, BDO, NVE og Finanstilsynet har bemerket at varlingsbestemmelsen er detaljert, og samtidig medfører en parallellvarsling der sektorregelverket også har krav om varsling ved hendelser. Finanstilsynet og NVE bemerker imidlertid at en slik varslingsbestemmelse kan være hensiktsmessig, gitt sikkerhetsmyndighetens tverrsektorielle ansvar, men en forutsetning er at varsel følges opp av sektormyndigheten.
Departementet mener det må foreligge en plikt til varsling for virksomheter som blir utsatt for, eller det er grunn til å mistenke at den blir utsatt for, en handling som har til formål å skade informasjon, informasjonssystemer, infrastruktur eller objekter. Departementet mener denne bestemmelsen er viktig, uavhengig av sektorregelverket. Sikkerhetsloven er sektorovergripende og retter seg mot tilsiktede handlinger som kan skade nasjonale sikkerhetsinteresser. Det er derfor helt sentralt at et varsel kommer fram til den myndigheten som har den totale tverrsektorielle oversikten, slik at varslene kan ses i sammenheng. Videre er det avgjørende for å kunne fatte de nødvendige vedtak for å hindre aktivitet som kan innebære en ikke ubetydelig risiko mot nasjonale sikkerhetsinteresser, at myndighetene mottar varsel om slik aktivitet.
Departementet ser at det kan være vanskelig for en virksomhet å vurdere hvorvidt en hendelse den er utsatt for, skyldes en tilsiktet handling eller ikke. Også derfor er det viktig at det varsles til sikkerhets- og sektormyndighet, slik at hendelsen kan vurderes opp mot andre eventuelle hendelser i sektoren og nasjonalt. Det vil imidlertid være sektormyndighetene med tilsynsansvar etter § 3-1 som har det primære ansvaret for å følge opp de varsler som kommer fra virksomheter i egen sektor.
Bestemmelsene om varsling er til dels en videreføring av gjeldende bestemmelser i dagens sikkerhetslov og forskrift om sikkerhetsadministrasjon. I dagens lov framgår varsling om aktivitet som kan innebære en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført, av sikkerhetsloven § 5 a. Denne bestemmelsen foreslås videreført, hvor varslingsplikten om slik aktivitet fastslås i § 4-5, mens vedtakskompetansen til Kongen i statsråd for å stanse slik aktivitet, skal framgå av § 2-5. For nærmere omtale vises til kapittel 7.
Av forskrift om sikkerhetsadministrasjon kapittel 5 framgår bestemmelser om reaksjon ved sikkerhetstruende hendelser. Blant annet framgår krav om rapportering til Nasjonal sikkerhetsmyndighet for alle virksomheter som blir utsatt for en sikkerhetstruende hendelse, og reaksjoner ved sikkerhetsbrudd.
Bestemmelsen forutsetter at det etableres tydelige varslingsrutiner, og at det etableres tilstrekkelige mekanismer hos sikkerhetsmyndigheten og hos sektormyndigheter til å motta og respondere på varslene. Varslingslinjene bør fastsettes i et nærmere rammeverk for varsling mellom virksomheter og myndighetene.
Departementet er enig med høringsinstansene i at bestemmelsen er for omfattende når det gjelder varsling av ethvert sikkerhetsbrudd. Det anses som unødvendig og krevende å lovfeste at virksomheten omgående skal varsle om alle sikkerhetsbrudd, slik BDO påpeker i sin høringsuttalelse. Departementet foreslår derfor at det kun varsles om alvorlige brudd på sikkerhetskrav som følger av kapitlene 5, 6 og 7, og det forutsettes at nærmere rutiner for varsling fastsettes i forskrift, slik som i dagens regelverk. Departementet foreslår at utvalgets forslag til § 4-7 Behandling av personopplysninger, strykes. Departementet mener det ikke er nødvendig med en slik referanse i loven. Personvernforordningen vil bli implementert i norsk rett og sikkerhetsloven må være i samsvar med forordningen. Virksomheter som er underlagt dagens sikkerhetslov, er også underlagt personopplysningsloven. Departementet mener derfor bestemmelsen kan virke forvirrende. For øvrig er det gitt nærmere bestemmelser om behandling av personopplysninger i de bestemmelsene der dette er særskilt viktig.