2 Lovforslagets bakgrunn
2.1 Direktiv 2008/114/EF
På bakgrunn av terrorhendelsene i Madrid i 2004 og London i 2005 igangsatte EU et arbeid for å sikre europeisk kritisk infrastruktur (European Programme for Critical Infrastructure Protection - EPCIP). Et av de viktigste elementene i EPCIP er direktiv 2008/114/EF av 8. desember 2008 om identifisering og utpeking av europeisk kritisk infrastruktur og vurdering av behovet for å beskytte den bedre (EPCIP-direktivet).
Som en naturlig konsekvens av EUs arbeid med å styrke samarbeidet innenfor det indre marked, er Europas kritiske infrastrukturer blitt stadig sterkere knyttet sammen og gjensidig avhengig av hverandre på tvers av sektorer og landegrenser. Det finnes et visst antall kritiske infrastrukturer i Fellesskapet som ved driftsforstyrrelse eller ødeleggelse vil kunne få betydelige følger over landegrensene. Dette kan omfatte følger på tvers av landegrenser og sektorer på grunn av gjensidig avhengighet mellom sammenkoblede infrastrukturer. Brudd i én sektor kan således få betydelige konsekvenser for flere sektorer og EØS-stater. Formålet med EPCIP-direktivet er å etablere en enhetlig prosedyre for identifisering og utpeking av europeisk kritisk infrastruktur (EKI), og en felles tilnærming til behovet for å bedre beskyttelsen av slik infrastruktur, for igjen å bidra til beskyttelse av befolkningen.
EPCIP-rammeverket omfatter beskyttelse mot både tilsiktede og utilsiktede uønskede hendelser (all-hazards approach), men trusselen fra terrorangrep har likevel en uttrykt prioritet.
EPCIP-direktivet omfatter i første omgang transport- og energisektoren, men det legges opp til at direktivets virkeområde vil bli utvidet til også å omfatte informasjons- og kommunikasjonsteknologi (IKT)-sektoren, jf. direktivets artikkel 3 (3). Kommisjonen har antydet ambisjoner om ytterligere utvidelse av direktivet også etter dette.
Det fremgår av direktivet at ettersom de ulike sektorer har særlig erfaring og ekspertise og særlige krav i forbindelse med beskyttelse av kritisk infrastruktur, bør det utarbeides og gjennomføres en fellesskapstilnærming til beskyttelse av kritisk infrastruktur. Tilnærmingen må ta hensyn til sektorenes særtrekk og eksisterende sektorbaserte tiltak, herunder slike som allerede foreligger på fellesskapsplan, på nasjonalt eller regionalt plan og, der det er relevant, allerede inngåtte avtaler mellom eiere/operatører av kritisk infrastruktur om gjensidig bistand på tvers av landegrensene. Ettersom privat sektor spiller en svært viktig rolle i forbindelse med overvåking og håndtering av risiko og planer for fortsettelse av driften og gjenoppretting etter katastrofer, må Fellesskapets strategi oppmuntre til fullt engasjement fra privat sektor.
EPCIP-direktivet harmoniserer regelverk som vil påvirke rammebetingelsene for tilbydere av ulike former for tjenester som i utgangspunktet faller inn under EØS-avtalens saklige virkeområde, jf. EØS-avtalen artikkel 36. Direktivet har vært behandlet i Spesialutvalget for samfunnssikkerhet og Rettsavdelingen i Utenriksdepartementet, som kom frem til at direktivet er EØS-relevant og akseptabelt. Spesialutvalget for samfunnssikkerhet ledes av Justis- og beredskapsdepartementet og skal bidra til samordning mellom departementene i saker innenfor EØS-avtalens virkeområde vedrørende samfunnssikkerhet.
Tiltakene i direktivet retter seg blant annet mot aktiviteter utført av eiere/operatører av relevant europeisk kritisk infrastruktur, som i varierende grad vil kunne være tilbydere av tjenester som på ulik måte involverer bruk av infrastrukturen. Selv om direktivet ikke direkte omhandler tjenesteytelser, kan det klart få betydning for hvordan eiere/operatører av relevant infrastruktur skal håndtere beskyttelsen av infrastrukturen. Definisjonen av ”europeisk kritisk infrastruktur” i direktivet artikkel 2 bokstav a, jf. bokstav b, vil kunne omfatte norske transmisjonsnett for gass og elektrisk kraft, slik at eieren eller operatøren med ansvaret for nettet vil pålegges plikter etter direktivet, for eksempel til myndighetssamarbeid, jf. artikkel 6, eller til å opprette operatørsikkerhetsplaner som man er forpliktet til å følge, jf. artikkel 5. Direktivet vil således pålegge økonomiske aktører plikter som følge av deres virksomhet som tjenestetilbydere. At eier- eller operatørselskapene av energiinfrastruktur i Norge er underlagt statlig eierskap, enten helt, som for eksempel Gassco eller Statnett, eller delvis, som for eksempel Gassled, er uten betydning i denne sammenheng. I forlengelsen av dette finner departementet grunn til å bemerke at direktivet på ingen måte vil innebære en forpliktelse til å privatisere eierskapet til infrastrukturen. Dette følger av EØS-avtalen artikkel 125, som presiserer at avtalen ikke vil berøre avtalepartenes regler om eiendomsrett.
EØS-komiteen fattet den 30. april 2012 beslutning nr. 101/2012 om å innlemme direktiv 2008/114/EF (EPCIP-direktivet) i EØS-avtalen, ved en endring av protokoll 31. Samtidig med denne proposisjonen fremmes det en egen proposisjon om Stortingets samtykke til godkjenning av EØS-komiteens beslutning, Prop. 130 S (2011–2012), Samtykke til godkjenning av EØS-komiteens beslutning nr. 101/2012 om innlemmelse i EØS-avtalen av direktiv 2008/114/EF om identifisering og utpeking av europeisk kritisk infrastruktur og vurdering av behovet for å beskytte den bedre (EPCIP-direktivet).
Det er etter departementets vurdering forholdsvis få bestemmelser i EPCIP-direktivet som nødvendiggjør regulering overfor private rettssubjekter og som Norge dermed plikter å gjennomføre i formelle regler. Regler som krever gjennomføring i lov er enkelte av bestemmelsene i direktivets artikkel 5 om operatørsikkerhetsplaner og artikkel 6 om sikkerhetskontakt. Enkelte av reglene som ikke berører virksomhetene direkte, for eksempel reglene i artikkel 3 og 4 om EØS-statenes identifisering og utpeking av europeisk kritisk infrastruktur, og artikkel 7 om rapportering, kan imidlertid nødvendiggjøre kartlegging og informasjon fra virksomhetenes side. En plikt for virksomhetene til å medvirke til dette, kan bare fastsettes med hjemmel i lov.
2.2 Gjennomføring i lov 25. juni 2010 nr. 45 om kommunal beredskapsplikt, sivile beskyttelsestiltak og Sivilforsvaret (sivilbeskyttelsesloven)
Vi har i dag ingen lover som konkret omfatter beskyttelse av europeisk kritisk infrastruktur. Det finnes imidlertid en del spredte krav i sektorlovgivningen som kan brukes for å beskytte nasjonal kritisk infrastruktur. Disse lovbestemmelsene kan på noen områder oppfylle bestemmelsene i direktivet. Det vises for øvrig til eksempler på relevant sektorregelverk i tilknytning til hvert enkelt kapittel/lovforslag.
Det er det ordinære konstitusjonelle ansvaret som ligger til grunn for samfunnssikkerhetsarbeidet, både når det gjelder forberedelser og håndtering. Dette betyr at det departement som har ansvaret for en sektor til daglig også har ansvaret for beredskapsplanlegging og iverksettelse av beredskapstiltak i egen virksomhet i en krisesituasjon. Utover sitt sektoransvar er Justis- og beredskapsdepartementet tillagt en samordningsrolle for å sikre en helhetlig og koordinert beredskap.
I og med at EPCIP-direktivet retter seg mot sivil virksomhet er ansvaret for EPCIP-direktivet tillagt Justis- og beredskapsdepartementet. Justis- og beredskapsdepartementet er også utpekt som kontaktpunkt for europeisk kritisk infrastruktur i Norge (EPCIP-contact point), og er ansvarlig for å koordinere spørsmål knyttet til europeisk kritisk infrastruktur innen Norge, med medlemslandene og Kommisjonen.
Departementet har funnet det hensiktsmessig å gjennomføre direktivet ved en endring i lov 25. juni nr. 45 om kommunal beredskapsplikt, sivile beskyttelsestiltak og Sivilforsvaret (sivilbeskyttelsesloven), nytt kapittel IV A “Beskyttelse av europeisk kritisk infrastruktur”. Dette vil sikre en helhet i lovgrunnlaget til Justis- og beredskapsdepartementet og Direktoratet for samfunnssikkerhet og beredskap, som vil være ansvarlige for å samordne oppfølgingen av direktivet i Norge. Direktivet har en ”all hazards approach” tilnærming og har som formål å beskytte sivilbefolkningen både mot tilsiktede og utilsiktede hendelser. Sivilbeskyttelseslovens formål er å beskytte liv, helse, miljø og materielle verdier ved bruk av ikke-militær makt. I loven er det gitt bestemmelser om plikter og tiltak fra både virksomheter, kommuner, Sivilforsvaret og enkeltpersoner. Sivilbeskyttelseslovens formål er sammenfallende med direktivets formål om å beskytte sivilbefolkningen, og det anses naturlig å implementere direktivet her.
De tilbakemeldinger som departementet har fått fra sektormyndighetene i anledning implementering av EPCIP-direktivet, har vært klare på at man ønsker en videreføring av ansvars-, nærhets- og likhetsprinsippet samt at det ikke skal gjøres endringer ved allerede etablerte tilsynsordninger. Departementet er enig i dette. Innen flere områder vil eksisterende regelverk og tilsynsordninger allerede tilfredsstille direktivets krav helt eller delvis. Sektordepartementene blir ansvarlige for at EPCIP-direktivets krav blir oppfylt innen deres ansvarsområde, og da særlig identifiserings- og utpekingsprosessen. Tilsynsmyndigheter med særlig ansvar innen bestemte sektorer må føre tilsyn med at direktivets krav til blant annet operatørsikkerhetsplaner og sikkerhetskontakt blir etterfulgt innen egen sektor.
2.3 Fremmed rett
I de andre nordiske landene er direktivet allerede implementert da fristen for EU-medlemsstatene gikk ut 12. januar 2011.
Danmark har implementert direktivet gjennom fire forskrifter i transport og energisektoren. En forskrift dekker de tre områdene elektrisitet, naturgass og olje og tre ulike forskrifter dekker områdene jernbane, havner og veier. Finland og Sverige har ikke sett behov for ny lovgivning på området, og anser allerede eksisterende lovgivning for å være dekkende. Ingen europeisk kritisk infrastruktur (EKI) har blitt identifisert i de nordiske landene.
2.4 Høringsrunden
Justis- og beredskapsdepartementet sendte 8. mars 2011 ut et forslag til endringer i sivilbeskyttelsesloven (gjennomføring av EPCIP-direktivet) på høring.
Høringsnotatet ble sendt til følgende høringsinstanser:
Departementene
Datatilsynet
Direktoratet for arbeidstilsynet
Direktoratet for samfunnssikkerhet og beredskap (DSB)
Fylkesmennene
Jernbaneverket
Kystverket
Luftfartstilsynet
Nasjonal sikkerhetsmyndighet (NSM)
Oljedirektoratet
Petroleumstilsynet (Ptil)
Politidirektoratet
Politiets sikkerhetstjeneste (PST)
Post- og teletilsynet
Regjeringsadvokaten
Riksrevisjonen
Sivilombudsmannen
Sjøfartsdirektoratet
Klima- og forurensningsdirektoratet
Statens jernbanetilsyn
Statens vegvesen
Sysselmannen på Svalbard
Forsvarets Forskningsinstitutt (FFI)
Institutt for Energiteknikk
Norsk Petroleumsinstitutt
Norsk Teknologi
NTNU
Rettspolitisk forening
Universitetet i Stavanger
Akademikerne
Arbeidsgiverforeningen Spekter
Den Norske Advokatforening
Finansnæringens Fellesorganisasjon
Greenpeace Norge
Handels- og servicenæringens hovedorganisasjon
Kommunenes Sentralforbund (KS)
Landsorganisasjonen i Norge (LO)
Logistikk og Transportindustriens Landsforening
Maskin Entreprenørenes Forbund (MEF)
NELFO – Foreningen for El og IT Bedriftene
Norges Ingeniør- og teknologorganisasjon (NITO)
Norges Miljøvernforbund
Norges Naturvernforbund
Norsk Industri
Norsk Kommunalteknisk forening
Norsk Naturgassforening BA
Næringslivets sikkerhetsorganisasjon (NSO)
Næringslivets Hovedorganisasjon (NHO)
Politiets fellesforbund
Rådgivende Ingeniørers Forening
Tekna
Tekniske entreprenørers landsforening
Transportbedriftenes Landsforening
Yrkesorganisasjonenes Sentralforbund
AGA AS
Agder energi nett
AS Norske Shell
Avinor AS
Conoco Phillis Jet AS
Det Norske Veritas
Dyno Nobel AS
Esso Norge AS
Forsvarsbygg
Gasnor AS
Gassnova SF
Gassco AS
Hafslund ASA
Hydro Aluminium AS
Jakhelln Transport & lager
Landteknikk Fabrikk AS
LPG Norge
Lyse Gass AS
Nemco Certification AS
Nor-Cargo AS
Norsk Akkerditering
Norsk Energi
Norsk Gassenter AS
Norsk Hydro ASA
Norsk Romsenter
Progas AS
Rambøll Norge AS
Rema Bensin Norden AS
Renor AS
ROM Eiendom AS
Scandpower AS
Schenker AS
Standard Norge
Statoil ASA
Statoil Norge AS
Teknologisk Institutt Sertifisering AS
Yara Norge AS
Yara Praxair AS
Venstres hovedorganisasjon
Departementet mottok 34 høringsuttalelser, hvorav 9 instanser har hatt merknader/kommentarer til høringsforslaget. Merknadene er i stor grad imøtekommet gjennom mindre endringer i lovtekst, lovforarbeider samt presiseringer i proposisjonens foredrag.