8 Sikkerhetsmessig overvåking av godkjente informasjonssystemer
8.1 Gjeldende rett
Ondsinnet programvare blir mer avansert, og utgjør i økende grad en trussel også mot de godkjente informasjonssystemene. Godkjente informasjonssystemer er systemer som er godkjent for behandling av sikkerhetsgradert informasjon.
Utviklingen medfører et økende behov for at virksomhetene sikkerhetsmessig overvåker sine godkjente informasjonssystemer. Slik overvåking er et viktig verktøy for å avdekke sikkerhetstruende hendelser mot systemet. Med sikkerhetstruende hendelser menes sikkerhetstruende virksomhet, kompromittering av skjermingsverdig informasjon og grove sikkerhetsbrudd, jf. forskrift om sikkerhetsadministrasjon § 1-2 nr. 2. Sikkerhetsmessig overvåking av godkjente informasjonssystemer innebærer både logging, automatiserte alarmer, så vel som manuell sammenstilling og analyse av data relatert til sikkerhetstruende hendelser.
Reguleringen av sikkerhetsmessig overvåking av godkjente informasjonssystemer framgår ikke direkte av sikkerhetsloven i dag, men følger av informasjonssikkerhetsforskriften § 5-2. Her går det fram at sikker drift og vedlikehold er et av hovedmålene for sikkerheten i godkjente informasjonssystemer. Informasjonssystemet skal da kontinuerlig overvåkes for sikkerhetstruende hendelser, jf. første ledd nr. 2 c i bestemmelsen.
8.2 Utenlandsk rett
I Sverige er det gitt bestemmelser om sikkerhetsmessig overvåking av informasjonssystemer i «Försvarsmaktens föreskrifter om säkerhetsskydd». Etter kapittel 7 § 11 skal systemer som håndterer sikkerhetsgradert informasjon være gjenstand for sikkerhetslogging. Etter § 14 skal det etableres mekanismer som beskytter mot inntrengning i systemet og som muliggjør detektering av dette. I § 15 kreves det etablert sikkerhetsfunksjonalitet som beskytter mot ondsinnet kode. Tilsvarende bestemmelser er gitt i kapittel 4 i «Rikspolisstyrelsens föreskrifter och allmänna råd om säkerhetsskydd».
Det britiske «Security Policy Framework» stiller som et obligatorisk krav at det skal implementeres tekniske kontrollmekanismer i alle informasjonssystemer. Disse skal være proporsjonale med verdien, viktigheten og sensitiviteten av informasjonen som behandles i systemet. Blant de tiltak som skal vurderes implementert, er policy for innholdskontroll og forebyggende systemovervåking. Videre skal det etableres systemer for administrasjon av brukerkontoer for å sikre individuell ansvarlighet for handlinger i systemet. I NATO behandles sikkerhetsmessig overvåking i dokumentet «AC/35-D/2004 Primary Directive on CIS Security». Det stilles krav om at systemeierne skal implementere prosedyrer og systemer som kan detektere og reagere på sikkerhetstruende hendelser i IKT-systemene.
8.3 Høringsforslaget
8.3.1 Innledning
Departementet foreslo i høringsnotatet en ny bestemmelse i sikkerhetsloven om virksomhetens egen adgang til sikkerhetsmessig overvåking av godkjente informasjonssystemer. Siden sikkerhetsmessig overvåking av IKT-systemer har klare grenseflater mot enkeltindividets personvern, mente departementet at det burde ha en klar hjemmel i lov. Hjemmelsgrunnlaget blir med det klarere, og den økte betydningen synliggjøres. Departementet påpekte at forslaget i stor grad er en videreføring av eksisterende regler i forskrift om informasjonssikkerhet og gjeldende praksis for sikkerhetsmessig overvåking av informasjonssystemer. Forslaget innebærer i utgangspunktet ikke noen vesentlig utvidelse av omfanget av tillatt overvåking. Departementet skriver på side 9 i høringsnotatet:
«Sikkerhetsmessig overvåking av godkjente informasjonssystemer gjøres for å ivareta høy grad av sikkerhet i systemene og for å hindre eller begrense omfanget av en kompromittering i systemene. En vesentlig del av forslag til ny § 13 a er derfor ment som en klargjøring og presisering av virksomhetens egen rett og plikt til å utøve kontroll med godkjente informasjonssystemer. Det etableres derfor en klar hjemmel for sikkerhetsmessig overvåking hvor behandling av personopplysninger også kan inngå. Departementet understreker at behandling av personopplysninger som følge av sikkerhetsmessig overvåking av inn- og utgående kommunikasjon, fortsatt vil måtte skje i tråd med grunnleggende prinsipper i arbeidsmiljøloven og personopplysningsloven.»
Systemer som er godkjent i henhold til sikkerhetsloven § 13, behandler informasjon som kan ha skadefølger for rikets sikkerhet eller andre vitale nasjonale sikkerhetsinteresser, dersom den blir kjent for uvedkommende. Slik informasjon må ha en høy grad av beskyttelse. Gitt de potensielt store skadefølgene, la departementet til grunn at den inngripen som sikkerhetsmessig overvåking kan medføre, må anses å ligge innenfor personopplysningslovens ramme.
Forslaget som ble sendt på høring hadde følgende ordlyd:
«§ 13 a Sikkerhetsmessig overvåking av godkjente informasjonssystemer
Den enkelte virksomhet skal kontinuerlig overvåke godkjente informasjonssystem for sikkerhetstruende hendelser, fortrinnsvis ved bruk av automatisert systemovervåking. Sikkerhetsrelevante hendelser skal registreres.
Når informasjon utveksles mellom systemer, på tvers av autorisasjonsskiller, eller til bærbare lagringsmedier, skal informasjonen som utveksles registreres og lagres.
Der flere virksomheter er tilknyttet samme informasjonssystem, kan en virksomhet etter avtale med de andre virksomhetene forestå overvåking og registrering i henhold til første og andre ledd på vegne av den ansvarlige virksomhet.
Med mindre annet er bestemt, skal informasjon registrert etter første ledd lagres i fem år.
Informasjon som nevnt i første og andre ledd skal kun benyttes til formål om å håndtere sikkerhetstruende hendelser.
Den enkelte virksomhet skal påse at autoriserte brukere av informasjonssystemer som overvåkes i henhold til denne bestemmelse får informasjon om formålet med behandlingen, om de tiltak som er iverksatt, om informasjonen vil bli utlevert, og eventuelt hvem som er mottaker.
Kongen kan gi nærmere bestemmelser om sikkerhetsmessig overvåking av informasjonssystemer, herunder om hvilke typer data som kan eller skal registreres og lagres, lagringstid for registrerte data, hvem som skal kunne gis tilgang til de lagrede data og hvordan tilgang skal gis.»
8.3.2 Overvåking
Forslag til første ledd i ny § 13 a er en videreføring av §§ 5-2 c og 5-3 e i forskrift om informasjonssikkerhet. Her oppstilles hovedregelen om at informasjonssystemer som er godkjent i henhold til § 13, kontinuerlig skal overvåkes for sikkerhetstruende hendelser. Departementet presiserte i høringsnotatet at slik overvåking ikke trenger å måtte utføres av personell. Det bør tvert om tilstrebes at overvåkingen skjer ved hjelp av automatiserte prosesser. Sikkerhetsrelevante hendelser skal den virksomhet som behandler skjermingsverdig informasjon registrere og følge opp.
8.3.3 Registrering og lagring
Forslag til andre ledd i ny § 13 a gir hjemmel for å overvåke og registrere utveksling (import og eksport) av data mellom interne systemer, mellom interne og eksterne systemer, på tvers av autorisasjonsskiller, eller til bærbare lagringsmedier. Med autorisasjonsskiller menes her utveksling av informasjon mellom systempartisjoner som behandler ulike autorisasjonsområder, for eksempel HEMMELIG og NATO SECRET, samt ulike graderingsnivåer, for eksempel BEGRENSET og ugradert, jf. forskrift om informasjonssikkerhet § 5-7 første ledd nr. 3 og 4. I høringsnotatet skriver departementet på side 10:
«Registrering og analyse av trafikk- og innholdsdata vil ofte være nødvendig for å oppdage kompromittering av et informasjonssystem. Det er videre trolig eneste mulighet for å kunne fastslå skadeomfang, og å oppdage den eller de ansvarlige med hensyn til slik kompromittering. Et eksempel på viktige trusler som adresseres er såkalt Advanced Persistent Threat (APT), hvor avanserte angripere gjennomfører langvarige angrep. Angriperne stjeler data fra kompromitterte brukerkonti og sender disse dataene i skjul over nettverket til maskiner på utsiden av systemet. Et annet eksempel er at minnepinner eller andre bærbare lagringsmedier misbrukes til å stjele store volum med graderte data, enten som en bevisst handling fra en utro bruker, eller gjennom ondsinnet programvare.
Analyse av utvekslede trafikk- og innholdsdata kan avsløre angriperens kommandoer som sendes inn i nettverket, skjulte datastrømmer som sendes ut av nettverket og uvanlig bruk av minnepinner. Omfanget av loggingen og analysemetoder vil være avhengig av blant annet trusselen mot systemet, det operative miljøet og informasjonens graderingsnivå. Omfanget og analysemetodene vil også kunne forandre seg over tid, avhengig av den tekniske utviklingen og utviklingen med hensyn til trusselbildet og angrepsmetoder. Departementet mener det er viktig at bestemmelsen åpner for slik fleksibilitet, slik at tiltaket ikke raskt blir utdatert og med det mister sin relevans.»
Departementet vurderte særlig personvernhensyn i forbindelse med forslag til nytt andre ledd, og av høringsnotatet framgår det videre:
«For å ivareta personvernhensyn knyttet til registrering, overvåking og analyse av brukerdata må virksomheten, eventuelt systemeier på vegne av virksomheten, implementere forsvarlige rutiner for behandling av opplysningene. Hvilke tiltak som vil være forsvarlige, avhenger av hva slags informasjon som behandles. Et mulig tiltak er overføring av sensitive loggdata til egne lagringsservere som er øremerket for dette formålet. Videre kan det innføres tomannsregel for interaktiv tilgang til slike loggdata, f.eks. ved at personene som utfører virksomhetens kontroll deler en brukerkonto for dette arbeidet og har hver sin del av passordet. Det kan også innføres nærmere angitte forutsetninger for interaktiv tilgang til slike loggdata, f.eks. ved at det skal foreligge en godkjenning fra særskilte personer for hver runde med interaktive søk som igangsettes. Når personvernhensynene vurderes, må det også legges vekt på at brukerne som får tilgang til opplysninger er særlig trente i å håndtere sensitiv informasjon og er godt informert om hvordan sikring av slik informasjon skal skje. Departementet viser også til forholdsmessighetsprinsippet i sikkerhetsloven § 6 første ledd om at det ikke skal brukes mer inngripende midler og metoder enn det som framstår som nødvendig. Behovet for omfanget av registrering og lagring av data kan være mindre på lavgraderte systemer enn på de høyere graderte systemer. Departementet legger til grunn at utfyllende bestemmelser vil bli gitt i forskrift eller veiledning, slik at loggeomfanget her nærmere kan tilpasses de ulike systemers sikkerhetsbehov.»
8.3.4 Overvåking på vegne av andre
Forslag til tredje ledd i ny § 13 a regulerer de tilfeller der flere virksomheter er tilknyttet samme informasjonssystem. I slike tilfeller kan systemeier etter avtale med den enkelte virksomhet forestå overvåking og registrering på vegne av den ansvarlige virksomhet. Systemeier bør alltid påse at den enkelte virksomhet som bruker informasjonssystemet er kjent med kravene til informasjonssystemets sikkerhet, herunder kravene til sikkerhetsovervåking og registrering av sikkerhetsrelevante hendelser, og at relevante tiltak er iverksatt.
8.3.5 Lagringstid og formålet med behandlingen
Forslag til fjerde ledd i ny § 13 a viderefører bestemmelsen i § 5-18 i forskrift om informasjonssikkerhet. Det innebærer at informasjon som er registrert etter første ledd skal lagres i minst fem år.
Forslag til femte ledd angir hvilke formål den registrerte informasjonen kan benyttes til. Informasjonen kan bare benyttes til håndtering av sikkerhetstruende hendelser. For disse formål kan det være behov for å utlevere hele eller deler av informasjonen også til Nasjonal sikkerhetsmyndighet, politiet og andre relevante virksomheter. Nærmere bestemmelser er gitt i forskrift om sikkerhetsadministrasjon.
8.3.6 Informasjon til brukerne
I forslag til sjette ledd i ny § 13 a pålegges virksomheten informasjonsplikt på tilsvarende måte som personopplysningsloven § 19. Etter departementets oppfatning kan det være hensiktsmessig å gi slik informasjon i autorisasjonssamtalen. Autorisasjonssamtale gjennomføres med alle som skal ha tilgang til graderte informasjonssystemer. Det legges til grunn at innsyn i opplysninger registrert i medhold av denne bestemmelsen ikke vil være av en slik art at reglene om innsyn i e-postkasse mv. i personopplysningsforskriften kapittel 9 kommer til anvendelse. I den grad det er behov for å foreta tiltak som følge av aktivitet etter bestemmelsen ved å foreta innsyn i ansattes e-postkasse med videre, skal imidlertid slikt innsyn skje i overensstemmelse med reglene i personopplysningsforskriften kapittel 9. Overvåking av informasjonssystemer er også regulert i personopplysningsforskriften § 9-2 siste ledd. Behandling av personopplysninger i forbindelse med registrering av aktiviteter i informasjonssystemer er regulert i personopplysningsforskriften § 7-11. Behandling av opplysninger registrert i medhold av forslaget til den nye bestemmelsen i sikkerhetsloven, er ikke meldepliktig etter personopplysningsloven § 31 første ledd. Det presiseres videre at personopplysningsforskriftens bestemmelser nevnt foran, ikke kommer til anvendelse på sikkerhetsmessig overvåking som er regulert her.
8.3.7 Forskriftshjemmel
Forslag til sjuende ledd i ny § 13 a gir hjemmel til å gi nærmere bestemmelser i forskrift om sikkerhetsmessig overvåking av informasjonssystemer. Forskriften regulerer hvilke typer data som kan eller skal registreres, lagringstid for registrerte data, hvordan lagring skal skje, hvem som skal kunne gis tilgang til de lagrede data og hvordan tilgang skal gis. Oppregningen av hvilke forhold det kan gis nærmere bestemmelser om, er ikke uttømmende.
8.4 Høringsinstansenes syn
De fleste av høringsinstansene som har uttalt seg om bestemmelsen, støtter forslaget.
Advokatforeningen uttaler at foreningen har forståelse for de foreslåtte endringene i sikkerhetsloven:
«Selv om forslaget innebærer økt omfang av overvåkning i tilknytning til godkjente informasjonssystemer, synes departementet å ha vurdert behovet grundig».
Nasjonal sikkerhetsmyndighet (NSM) uttaler:
«For sikkerhetsgraderte systemer er det riktig å innføre den foreslåtte sikkerhetsovervåkningen. Det er viktig å understreke at godkjente informasjonssystemer behandler informasjon med et høyt beskyttelsesbehov og kun er ment for tjenstlig bruk, og at arbeidsgiver derfor må kunne benytte denne type virkemidler.»
Etter NSMs syn er det imidlertid behov for å tydeliggjøre at den sikkerhetsmessige overvåkningen bestemmelsen hjemler, utelukkende skal ha til formål å overvåke hendelser som kan utgjøre en fare for systemet eller informasjonen i systemet.
Datatilsynet er enig i at det bør etableres en klar hjemmel i lov for sikkerhetsmessig overvåking.
Enkelte høringsinstanser etterlyser imidlertid en grundigere og mer konkret analyse av problemstillingen, herunder en vurdering av tiltakets nødvendighet og proporsjonalitet. I den forbindelse uttaler Datatilsynet:
«Vi tillater oss også å legge til at lovfesting er påkrevet fordi det sikrer legitimitet og forankring i folkestyret, og at vedtak i formell lovs form blir desto viktigere ved innføring av metoder som griper inn i borgernes grunnleggende menneskerettigheter. Slik legitimitet forutsetter en grundig drøfting og avveining av de interessene som står mot hverandre. Blant annet må lovgiver avklare forholdet til Grunnloven og de grunnleggende menneskerettighetene. Vi viser her til at den enkeltes rett til privatliv og kommunikasjon er vernet av Grunnloven § 102, jf. også Den europeiske menneskerettskonvensjonen (EMK) artikkel 8(1), som er inkorporert i norsk rett gjennom lov 21. mai nr. 30 om styrking av menneskerettighetenes stilling i norsk rett (menneskerettsloven).
[...]
Tiltakenes nødvendighet og proporsjonalitet må også vurderes. Ifølge EMK artikkel 8 (2) kan offentlige myndigheter gripe inn i individets rettigheter etter artikkel 8 (1), under forutsetning av at det er ‘nødvendig i et demokratisk samfunn’, av hensyn til nærmere angitte tungtveiende interesser.»
Enkelte høringsinstanser peker videre på et behov for klargjøring av visse sider ved forslaget.
Etterretningstjenesten mener det bør klargjøres om lagringsplikten etter fjerde ledd også gjelder informasjon som utveksles mellom systemer og autorisasjonsskiller etter andre ledd. Behovet for å lovregulere lagringstid for innholdsdata registrert etter andre ledd, påpekes også av Advokatforeningen. Nasjonal kommunikasjonsmyndighet (Nkom) uttaler:
«Hva gjelder annet ledd gir denne en plikt til å registrere og lagre informasjon som utveksles mellom systemer, mellom autorisasjonsskiller eller til bærbare lagringsmedier. Nkom har ikke kommentarer til plikten som sådan, men er usikker på om det her menes at selve informasjonen som utveksles skal lagres.»
Cyberforsvaret og Forsvarets sikkerhetsavdeling (FSA) ser behov for å tydeliggjøre hvilke data begrepet sikkerhetsrelevante hendelser omfatter. De samme instanser påpeker også at registrering og lagring av informasjon som utveksles mellom systemer vil kunne være krevende og kostbart. De anbefaler derfor at denne plikten ikke gjøres absolutt. Politidirektoratet forstår bestemmelsen slik at den avskjærer muligheten til å benytte informasjonen fra overvåkningen av informasjonssystemet til en etterfølgende straffesaksbehandling. Politidirektoratet stiller derfor spørsmål ved at viktig bevismateriale fra overvåkning med sikkerhetsgraderte informasjonssystemer ikke kan benyttes til strafferettslige formål.
Cyberforsvaret stiller også spørsmål til begrensningene av informasjonsdeling, og foreslår at lovteksten utvides slik at det åpnes for deling av informasjon der hensikten er å forebygge sikkerhetstruende hendelser.
Flere av høringsinstansene advarer mot at den sikkerhetsmessige overvåkingen fortrinnsvis skal skje automatisert, og påpeker at automatiserte prosesser alene ikke er godt nok. En helautomatisk prosess kan gi en rekke feilkilder som både kan medføre at hendelser ikke oppdages, eller at det oppstår uberettiget mistanke om en hendelse.
8.5 Departementets vurderinger
For å kunne avdekke og kartlegge omfanget av sikkerhetstruende hendelser på en tilfredsstillende måte, er det blant annet en forutsetning at trafikk- og innholdsdata kan lagres. Lagring av innholdsdata er ikke klart regulert i dag. Departementet foreslår derfor en ny bestemmelse i sikkerhetsloven som klargjør rammene for den sikkerhetsmessige overvåkingen av godkjente informasjonssystemer som virksomhetene selv skal foreta.
Departementet har merket seg at Datatilsynet savner en grundigere og mer konkret analyse av interesseavveiningene, samt de foreslåtte tiltakenes nødvendighet og proporsjonalitet. Departementet vil innledningsvis presisere at forslaget er avgrenset til systemer som er godkjent for behandling av sikkerhetsgradert informasjon. Dette er systemer som er klare etterretningsmål, og som derfor må ha et høyt sikkerhetsnivå. Sikkerhetsmessig overvåking av disse systemene slik at angrep på et tidlig tidspunkt kan oppdages, og omfanget kartlegges, framstår derfor etter departementets vurdering som nødvendig.
De systemer som vil være gjenstand for overvåking etter forslagets § 13 er i mindre grad egnet til, eller beregnet for, kommunikasjon av privat karakter, eller annen type privat bruk. Dette er lukkede systemer uten direkte tilknytning til internett. Omfanget av privat kommunikasjon og privat bruk av disse systemene vil derfor være begrenset. Det vil likevel være slik at kommunikasjon av privat karakter vil kunne forekomme, da primært som e-post eller nettprat med videre, mellom brukerne i det lukkede systemet.
Forslagets grenseflater mot enkeltindividets personvern vil derfor i det alt vesentligste være knyttet til bruk av informasjonen som samles inn ved loggføring av aktivitet i systemene, samt registrering av innhold ved overføring av informasjon mellom ulike graderingsnivåer. Personvern knyttet til bruk av logger vil alltid være en sentral utfordring. Logger vil kunne si noe om hvem som har jobbet med hva, på hvilket tidspunkt. Dette er informasjon som kan ha interesse også i andre sammenhenger. Departementet mener derfor at loggene bare må inneholde informasjon som er strengt nødvendig for formålet, og at bruken av loggene bare skal nyttes til håndtering av sikkerhetstruende hendelser. Nasjonal sikkerhetsmyndighet (NSM) har i sin høringsuttalelse foreslått en presisering i lovteksten for å sikre nettopp den strenge formålsavgrensingen. Departementet støtter denne endringen, slik at bestemmelsens første ledd nå presiserer at man skal «overvåke godkjente informasjonssystemer for sikkerhetstruende hendelser mot informasjonssystemet eller informasjon i systemet». Departementet vil videre presisere at det ligger innenfor formålet at den registrerte informasjonen også kan benyttes i en etterforskningssak knyttet til en sikkerhetstruende hendelse i systemet.
I proporsjonalitetsvurderingen må det tas hensyn til at den informasjonen som behandles i systemet er av stor betydning for nasjonen Norge. Dette er informasjon som, dersom den kommer på avveie, vil kunne ha skadefølger for vår nasjonale sikkerhet.
Omfanget av systemer som blir gjenstand for sikkerhetsmessig overvåking etter § 13 a er også av et begrenset omfang. Det er kun et fåtall systemer i offentlig forvaltning som er godkjent for å behandle sikkerhetsgradert informasjon, og som således vil være underlagt kravene til sikkerhetsmessig overvåking i § 13 a. Sikkerhetsmessig overvåking vil bidra til at sikkerhetstruende hendelser kan identifiseres. Når slike forekommer, skal loggingen gjøre virksomheten i stand til å foreta en vurdering av omfanget og karakteren av skaden som har oppstått, gjenopprette sikker tilstand, samt sikre sporbarhet og ansvarlighet for utførte handlinger i samsvar med kravene i sikkerhetsloven for øvrig. I samsvar med prinsippene i sikkerhetsloven § 6, vil omfanget av loggingen måtte bero på en konkret risikovurdering knyttet til det enkelte system, hvor det ikke benyttes mer inngripende tiltak enn nødvendig. Det vil være naturlig at omfanget av logging er større på høyt graderte systemer enn på de lavgraderte systemene.
Systemer som blir gjenstand for sikkerhetsmessig overvåking etter § 13 a blir videre administrert av sikkerhetsklarert personell som både forstår behovet for og betydningen av sikkerhetstiltak overfor denne type informasjon. Administratorer i disse systemene er også underlagt lovpålagte forpliktelser til å beskytte informasjonen som håndteres. I tillegg følger det av lovforslaget at alle brukere av disse informasjonssystemene skal informeres om den sikkerhetsmessige overvåking systemet er gjenstand for.
Departementet vil gi nærmere forskrifter om rammene for sikkerhetsmessig overvåking, og om tiltak for å sikre en forsvarlig behandling av de personopplysninger som registreres etter § 13 a.
Enkelte høringsinstanser har stilt spørsmål om innholdsdata vil bli lagret etter forslagets andre ledd. Formålet med dette leddet tilsier at også innhold må lagres. Dette er nødvendig for å kunne kartlegge skadeomfang ved en sikkerhetstruende hendelse. Registrering av metadata framstår ikke som tilstrekkelig, da det vil kunne åpne for manipulasjon.
Departementet legger til grunn at en lagringstid på 5 år også er påkrevd for informasjon som registreres etter andre ledd. De samme hensyn som tilsier lagring av loggdata i 5 år gjør seg gjeldende også her. Departementet har klargjørt forslaget til lovtekst på dette punktet. Oppbevaring av loggdata med videre i 5 år representerer ingen endring fra gjeldende rett, men innebærer kun en lovfesting av det som i dag følger av forskrift om informasjonssikkerhet § 5-18.
Loggingsplikten knytter seg til sikkerhetsrelevante hendelser. Som påpekt av blant annet Forsvarets sikkerhetsavdeling, er det ikke gitt noen legaldefinisjon av dette begrepet. Sikkerhetsrelevante hendelser vil omfatte den aktivitet i systemet som vil gjøre det mulig å identifisere en sikkerhetstruende hendelse og kartlegge omstendighetene rundt hendelsen når den inntreffer. Departementet finner det ikke hensiktsmessig å gi noen legaldefinisjon som uttømmende beskriver dette begrepet. For å sikre tilstrekkelig dynamikk i forhold til den teknologiske utviklingen, bør innholdet i dette begrepet nærmere operasjonaliseres i veiledninger fra NSM.
Departementet har vurdert forholdet til Den europeiske menneskerettighetskonvensjon (EMK) artikkel 8. Som redegjort for foran er de systemer som vil være gjenstand for sikkerhetsmessig overvåking etter § 13 a, i liten grad egnet for privat bruk. Den sikkerhetsmessige overvåking som iverksettes har på den andre siden en sterk forankring i nasjonale sikkerhetsbehov. Departementet mener således at tiltaket er forenlig med EMK artikkel 8.
Enkelte høringsinstanser stiller spørsmål ved hensiktsmessigheten av at systemovervåkingen etter lovforslaget primært skal være automatisert. Departementet vil påpeke at det i praksis ikke vil være mulig å gjennomføre sikkerhetsmessig overvåking fullt ut manuelt. Systemovervåking må primært skje ved bruk av automatiserte verktøy konfigurert spesielt for dette formålet. Der hendelser detekteres, vil disse være gjenstand for en manuell analyse. Etter departementets oppfatning bidrar automatiserte prosesser til at personvernulempen reduseres.
På bakgrunn av dette har departementet slått sammen forslagets § 13 a fjerde og femte ledd, samtidig som hjemmelen til å gi forskrift er presisert nærmere i nåværende sjette ledd.