7 Sikkerhetsloven
Alle KDs underliggende virksomheter omfattes av sikkerhetsloven. Loven skal bidra til å trygge nasjonale sikkerhetsinteresser ved å forebygge, avdekke og motvirke sikkerhetstruende virksomhet. Den skal også bidra til at sikkerhetstiltak gjennomføres i samsvar med grunnleggende rettsprinsipper og verdier i et demokratisk samfunn.29
Sikkerhetsloven gjelder for statlige, fylkeskommunale og kommunale organer, samt leverandører av varer og tjenester i forbindelse med en sikkerhetsgradert anskaffelse. I tillegg kan departementet innenfor sitt ansvarsområde fatte vedtak om å helt eller delvis underlegge andre virksomheter.
Under følger en oversikt over kravene som stilles i dette kapittelet.
|
|
7.1 Styringssystem for sikkerhet
Alle virksomheter som omfattes av sikkerhetsloven skal ha et dokumentert styringssystem for sikkerhet.31 Kravet gjelder uavhengig av om virksomheten har skjermingsverdige verdier. Styringssystemet skal omfatte alle aktiviteter med betydning for forebyggende sikkerhetsarbeid. Herunder aktiviteter dedikert for sikkerhet og aktiviteter som kan ha betydning for sikkerhet. Styringssystemet skal derfor dekke:
Risikostyring
Sikkerhetsledelse
Sikkerhetsorganisering
Sikkerhetstiltak- og prosedyrer
Forholdet til andre virksomheter
Sikkerhetsoppfølging
Sikkerhetsdokumentasjon
Styringssystemet skal bidra til at virksomheten oppfyller kravene gitt i eller med hjemmel i loven. Utformingen av styringssystemet må tilpasses verdiene som skal beskyttes og måten de beskyttes på. Det må dimensjoneres i forhold til risiko for sikkerhetstruende virksomhet. Hva som er riktig utforming og dimensjonering for å oppnå og opprettholde et forsvarlig sikkerhetsnivå vil variere fra en virksomhet til en annen. Styringssystemet vil derfor være utformet og dimensjonert ulikt i sektorens ulike virksomheter.
Styringssystemet skal være utformet helhetlig og samordnet med ledelsessystem for informasjonssikkerhet og personvern og virksomhetsstyringen for øvrig. Det gir grunnlag for felles tilnærming i håndteringen av risikoene som virksomheten står overfor.
I kapittel 6 stiller KD krav om ledelsessystem for informasjonssikkerhet. Det anbefales at dette utformes etter kjente standarder som ISO/IEC 27001. I standarden ISO 27001:2013 skal også sikkerhetsområder som personellsikkerhet, fysisk sikring, adgangskontroll og tilgangsstyring være dekket med egne rutiner eller retningslinjer. Et allerede etablert ledelsessystem for informasjonssikkerhet og personvern kan være et godt utgangspunkt å utvide og bygge rundt. Eventuelt med overordnede sikkerhetsmål og -strategier, med tilpasning eller tilførsel av nye sikkerhetsroller, og med sammenheng mellom aktuelle retningslinjer og rutiner.
Ved å se sammenhenger mellom ledelsessystemet for informasjonssikkerhet og personvern, styringssystemet for sikkerhet og virksomhetsstyringen for øvrig, kan virksomhetene oppnå en helhetlig tilnærming til sin sikkerhetsstyring og organisere sine ressurser på en hensiktsmessig måte. Viktige roller vil være sikkerhetsleder og eventuelt autorisasjonsansvarlig, se punkt 7.2.
Styringssystemet skal gjennomgås årlig, og revideres ved behov. NSM har utarbeidet en veileder i sikkerhetsstyring som kan benyttes. Digitaliseringsdirektoratets veileder for helhetlig styring og kontroll av informasjonssikkerhet kan benyttes i arbeidet med å utforme et helhetlig styringssystem for sikkerhet.
7.2 Sikkerhetsklarering og autorisasjon
Virksomheter som håndterer informasjon som er sikkerhetsgradert etter sikkerhetsloven må ha ansatte som er sikkerhetsklarert og/eller autorisert for aktuelt nivå i henhold til sikkerhetsloven.
Personer som skal ha tilgang til sikkerhetsgradert informasjon må autoriseres. Personer som skal autoriseres for tilgang til informasjon gradert KONFIDENSIELT eller høyere, må ha gyldig sikkerhetsklarering.32
Det er den enkelte virksomhets ansvar å sørge for at ansatte har tilstrekkelig sikkerhetsklarering og autorisasjon. Følgende rutiner gjelder for sikkerhetsklarering og autorisasjon av ansatte i virksomheter underlagt KD:
Sikkerhetsklarering gjennomføres av Sivil klareringsmyndighet (SKM). Ved behov for sikkerhetsklarering av ansatte skal den enkelte virksomhet fylle ut personopplysningsblankett og oversende denne til SKM via KD.
Autorisasjon gjennomføres i den enkelte virksomhet. En forutsetning for at virksomheten kan autorisere egne ansatte er at styringssystem for sikkerhet er på plass, se punkt 9.1. Det skal gjennomføres en autorisasjonssamtale før det gis autorisasjon. Virksomhetens leder er autorisasjonsansvarlig.33 Ved behov kan autorisasjonsansvaret delegeres, for eksempel til sikkerhetsleder. KD besørger autorisasjon av virksomhetens leder, eller eventuelt sikkerhetsleder/ansvarlig.
Mer informasjon om sikkerhetsklarering og autorisasjon finnes på nsm.no.
7.3 Grunnleggende nasjonale funksjoner
Grunnleggende nasjonale funksjoner (GNF) er tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser.
Departementet skal innenfor sitt ansvarsområde identifisere og holde oversikt over GNF og virksomheter som råder over informasjon, informasjonssystemer, objekter eller infrastruktur som har avgjørende betydning for GNF.
Kunnskapsdepartementets virksomhet, handlingsfrihet og beslutningsdyktighet er definert som en GNF. Det omfatter departementets rolle som faglig sekretariat for politisk ledelse, utøvelse av myndighet og styring og oppfølging av underliggende virksomheter.
Arbeidet med å identifisere GNF i KDs sektor er pågående, og over tid vil hva som er GNF også kunne endres i takt med samfunnsutviklingen.
7.4 Sikkerhetstruende investeringer og oppkjøp
Utenlandske investeringer i, og oppkjøp av, norske virksomheter kan benyttes for å få innsikt i sensitiv informasjon og tilgang til teknologi og ressurser av strategisk betydning.
For KDs underliggende virksomheter, og som omfattes av sikkerhetsloven, kan utfordringer knyttet til sikkerhetstruende investeringer og oppkjøp håndteres gjennom bestemmelsene om eierskapskontroll i sikkerhetsloven kapittel 10.
Sikkerhetsloven § 2-5 kan benyttes overfor alle virksomheter, også de som ikke er underlagt sikkerhetsloven. Bestemmelsene her kan også anvendes ved aktiviteter som enda ikke er satt ut i livet, men som har potensial til å innebære en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet.
Varslings- og meldeplikt
Virksomheter som er underlagt sikkerhetsloven har varslings- og meldeplikt til overordnet myndighet etter følgende bestemmelser:
Sikkerhetslovens § 4-5: Varslingsplikt om sikkerhetstruende hendelser.
Sikkerhetslovens § 9-4: Varslingsplikt om anskaffelser til skjermingsverdig informasjonssystem, objekt eller infrastruktur.
Sikkerhetslovens § 10-1: Meldeplikt om erverv av virksomhet.
For å vurdere om det foreligger en mulig sikkerhetstruende aktivitet, kan følgende spørsmål være til hjelp:
Er investoren kontrollert av en annen stats myndigheter?
Har investoren tilknytning til en stat som er omtalt i E-tjenestens trusselvurdering, PSTs trusselvurdering og/eller NSMs risikovurderinger?
Gjelder saken sensitiv teknologi eller informasjon?
Har saken konsekvenser for kritisk infrastruktur, i tilfeller hvor virksomheten ikke er underlagt sikkerhetsloven?
Vil saken kunne få konsekvenser for sikkerheten i kritiske forsyningskjeder?
Ligger virksomheten på, eller råder den over, strategisk eiendom (eiendom som ligger i nærheten av, eller kan utgjøre en sikkerhetsrisiko for, et skjermingsverdig objekt eller militært område eller tilsvarende) eller ligger nær slik eiendom?
Er det andre forhold i saken som kan karakteriseres som av betydning for nasjonale sikkerhetsinteresser?
Kontaktpunkter
Nasjonal sikkerhetsmyndighet (NSM) er utpekt som nasjonalt kontaktpunkt for meldinger om utenlandske oppkjøp og investeringer som kan ha konsekvenser for nasjonale sikkerhetsinteresser.
Varsling om sikkerhetstruende hendelser, jf. § 4-5, skal normalt gå direkte, og uten unødig opphold, fra virksomheten til NSM. Henvendelser kan sendes til: postmottak@nsm.no
Varsler og meldinger etter de øvrige bestemmelsene, § 9-4 og § 10-1, skal sendes til KD: postmottak@kd.dep.no
Andre typer henvendelser, varsler eller behov for bistand til å vurdere sakens betydning kan sendes til postmottak@kd.dep.no
For mer informasjon om sikkerhetstruende investeringer og oppkjøp, se NSMs veileder i bruk av sikkerhetsloven for å motvirke sikkerhetstruende investeringer og oppkjøp.