Høringssvar fra Direktotatet for samfunnssikkerhet og beredskap
Forslag til forskrifter til ny sikkerhetslov - uttalelse
Vi viser til Forsvarsdepartementets brev av 2. juli d.å., der departementet ber om høringsinnspill på forslaget til forskrifter til ny sikkerhetslov.
Direktoratet for samfunnssikkerhet og beredskap (DSB) har interesser i saken både som pliktsubjekt etter loven og som samordningsmyndighet for samfunnssikkerhet i sivil sektor. I arbeidet med høringsuttalelsen har vi lagt begge disse perspektivene til grunn.
Generelt
DSB var kritisk til Traavik-utvalgets forslag til ny sikkerhetslov (NOU 2016:19 Samhandling for sikkerhet.) Vår hovedinnvending var at lovforslaget var upresist avgrenset, og at det i for stor grad ville medføre overlappende ansvar mellom sektormyndigheter, DSB og sikkerhetsmyndigheten. Loven, slik den nå er vedtatt, er etter vår mening vesentlig tydeligere i sin avgrensing og godt balansert med hensyn til ansvar og myndighet. I hovedsak mener vi også at den tydeligheten og balansen vi finner i lovforslaget er videreført og i noen grad styrket i forslaget til forskrifter. Forsvarsdepartementet (FD) fortjener honnør for arbeidet som er gjort med lovproposisjonen og forslaget til forskrifter, særlig tatt i betraktning de knappe tidsfristene man har måttet forholde seg til.
I høringsuttalelsen har vi valgt å fokusere på de bestemmelsene vi har merknader til samt de spørsmålene departementet eksplisitt har bedt høringsinstansene ta stilling til. Innspillene er dels av lovteknisk art og dels av materiell karakter.
Departementet foreslår tre separate forskrifter. Forskriftene skal regulere henholdsvis myndighetenes ansvar og roller knyttet til forebyggende sikkerhet (myndighetsforskriften), virksomhetens arbeid med forebyggende sikkerhet (virksomhetsforskriften), og klarering av personell og leverandører (klareringsforskriften). Vi synes i utgangspunktet tredelingen er en god tilnærming og lettere å forholde seg til enn dagens tematisk avgrensede forskrifter. Imidlertid savner vi innledende bestemmelser om formål eller virkeområde som tydeliggjør hvilke deler av loven de enkelte forskriftene retter seg mot. Formålsbestemmelser kan også bidra til å presisere sentrale momenter i tolkningen av forskriftene.
Sikkerhetslovens virkeområde
Forskriftsforslaget inneholder ikke noen ytterligere presisering av lovens virkeområde. Det pekes i høringsnotatet på at departementene nå arbeider med å identifisere grunnleggende nasjonale funksjoner (GNFer) innenfor eget sektoransvar og hvilke virksomheter som råder over informasjon, informasjonssystemer, infrastruktur og objekter som er av vesentlig eller avgjørende betydning for disse.
Departementet peker på at det i arbeidet med utpeking av GNFer sees hen til arbeidet som er gjort i forbindelse med DSBs kartlegging av samfunnskritiske funksjoner i forbindelse med arbeidet med dokumentet Samfunnets kritiske funksjoner (2016), ofte omtalt som "KIKS-modellen". I følge høringsnotatet vil de "grunnleggende nasjonale funksjonene være en delmengde av de kritiske samfunnsfunksjonene, men også omfatte funksjoner som ikke er omfattet av disse". De 14 samfunnsfunksjonene er konkretisert i 40 kapabiliteter med tilhørende definert kritisk funksjonsevne. Kapabilitetene angir hva samfunnet må planlegge for å opprettholde nær sagt uansett hva som skjer. En del av KIKS-kapabilitetene faller trolig utenfor rammene av hva som inngår i GNF-begrepet, mens andre i sin helhet faller innenfor. For øvrige kan utpekingen av GNFer etter vår oppfatning best skje ved at man gjør modifiseringer i definisjonene i Samfunnets kritiske funksjoner for å markere at GNFen er en delmengde av en kapabilitet definert der.
Dette kan f.eks. gjøres slik (for noen utvalgte kapabiliteter):
|
Kapabilitet |
Samfunnets kritiske funksjoner |
Grunnleggende nasjonal funksjon |
|
3.2 Kriminalitetsbekjempelse |
Evne til å avdekke, avverge og eventuelt stanse alvorlig kriminell virksomhet, herunder virksomhet som kan true Norges eller andres lands sikkerhet |
Evne til å avdekke, avverge og eventuelt stanse alvorlig kriminell virksomhet som kan true Norges eller andres lands nasjonale sikkerhetsinteresser |
|
4.3 Folkehelsetiltak |
Evne til å verne befolkningens liv og helse ved befolkningsrettede tiltak ved sykdomsutbrudd og andre hendelser
|
Evne til å verne befolkningens liv og helse med befolkningsrettede tiltak ved sykdomsutbrudd og andre hendelser utløst av tilsiktede handlinger |
|
7.2 Meteorologiske tjenester |
Evne til å opprettholde prioriterte meteorologiske tjenester |
Evne til å opprettholde meteorologiske tjenester som er nødvendige for å ivareta Forsvarets behov |
De grunnleggende nasjonale funksjonene må deretter ytterligere operasjonaliseres i sektorene for å gi grunnlag for utpeking av skjermingsverdig informasjon og skjermingsverdige informasjonssystemer, objekter og infrastruktur.
Etter vår oppfatning vil det være en fordel om det etableres en oversikt over GNFer som i rimelig grad er harmonisert med definisjonene av kritiske samfunnsfunksjoner og kapabiliteter. KIKS-modellen ble utviklet i dialog med sektormyndighetene og er godt forankret i departementene, i direktorater, hos fylkesmennene og til dels også i større kommuner. Dersom GNFer defineres med utgangspunkt i KIKS-modellen, vil man etter vår oppfatning kunne dra nytte av den forankringen KIKS-modellen har i departementene og forvaltningen for øvrig. Dette vil også synliggjøre at sikkerhetsarbeid etter sikkerhetsloven er en del av en større helhet, noe som etter vår mening er svært viktig.
Forskrift om myndighetenes roller og ansvar for nasjonal sikkerhet (myndighetsforskriften)
Generelt
Forslaget til forskrift er innledningsvis delt inn i to kapitler om hhv. roller og ansvar for departementenes og Nasjonal sikkerhetsmyndighet (NSM). Det bør vurderes nærmere om denne systematikken er hensiktsmessig. §§ 1 og 2 omhandler både departementene og NSM, mens kapitteloverskriften kun omhandler departementene. § 11 om unntak er plassert i kapittel 2 om NSM, men gjelder også departementene. Kapittel 3 gjelder også oppgaver for NSM, men er skilt ut i et eget kapittel.
Betegnelsene "departementet" og "departementene" (og Forsvarsdepartementet) brukes om hverandre. Dette bør unngås for ikke å skape forvirring. Flere av forslagets bestemmelser bør etter vår oppfatning også skrives om slik at pliktsubjektene løftes frem, og det tydeligere fremgår hva som er oppgaven/plikten, se f.eks. kommentar til §§ 1, 3 og 4. Dette vil også skape en mer helhetlig oppbygging av forskriften.
Til § 1 Klassifisering av skjermingsverdige objekter og infrastruktur
For å tydeligere få frem hva som er oppgaven/plikten, bør bestemmelsen innledes med et nytt første ledd: "Departementene skal klassifisere… ". Nytt annet ledd kan utformes slik: "Departementene skal ved klassifiseringen legge vekt på …"
Etter forslagets første ledd skal det legges vekt på to vilkår ved klassifiseringen. Forholdet mellom disse vilkårene bør tydeliggjøres. Er dette kumulative vilkår? Eller er tanken at det ved vurderingen knyttet til bokstav a også skal ses hen til vilkåret i bokstav b (virksomhetenes skadevurdering)?
Vi vil dessuten peke på at innrapportering av avhengigheter fra egen sektor eller fra andre sektorer gjennom sektoransvarlig departement også kan ha betydning for departementets vurderinger med hensyn til klassifisering av skjermingsverdige objekter og infrastruktur. FD bør vurdere om dette skal tas inn som ny bokstav c i første ledd. Vi viser for øvrig til vår merknad til § 11 i virksomhetsforskriften.
Departementet legger i høringsnotatet opp til at departementene skal ta utgangspunkt i KIKS-modellen (dvs. dokumentet Samfunnets kritiske funksjoner) ved utpeking av objekter og infrastrukturer og særlig vektlegge avhengigheter og grad av redundans. Etter vår oppfatning bør det i merknadene til forskriften også påpekes at Justis- og beredskapsdepartementet i henhold til Instruks for departementenes arbeid med samfunnssikkerhet (samfunnssikkerhetsinstruksen) kap. VI har ansvar for å "utvikle og vedlikeholde oversikt over hvilke funksjoner som i et tverrsektorielt perspektiv er kritiske for samfunnssikkerheten". Slik oversikt er tatt inn i departementets Prop. 1 S. Samfunnets kritiske funksjoner er en veiledende utdyping og konkretisering av denne oversikten.
DSB er enig i FDs tilnærming til fremgangsmåte ved utpeking av GNFer, men vil legge til at det er behov for veiledningsmateriell som kan bidra til at de ulike departementenes vurderinger blir mest mulig konsistent. Over har vi pekt på hvordan GNFer med utgangspunkt i KIKS-modellen kan defineres.
Til § 2 Bruk av adgangsklarering
Vilkårene nevnt i første ledd bør vurderes delt opp for å gjøre det tydeligere hva som skal til for å fatte vedtak. Annet ledd omfatter både adgangsklarering og utvidet adgangsklarering. Her bør det også i forskriftsteksten vurderes å skille tydeligere mellom de to klareringstypene.
Til § 3 Iverksettelse av inntrengingstesting, kommunikasjons- og innholdskontroll og testing av sikkerhetstiltak og § 4 Iverksettelse av tekniske sikkerhetsundersøkelser
Både §§ 3 og 4 første ledd kan skrives om slik at pliktsubjekt løftes frem og plikten/oppgaven blir tydeligere. F.eks. "Nasjonal sikkerhetsmyndighet kan iverksette … når virksomhetens leder ber om det" og "Nasjonal sikkerhetsmyndighet og virksomheten skal inngå avtale .."
Til § 11 Unntak fra krav om sikkerhetsklarering og autorisasjon
Det bør ses på plassering av denne bestemmelsen. Den gjelder både Nasjonal sikkerhetsmyndighet og departementene, men er plassert i kapittel om Nasjonal sikkerhetsmyndighets roller og ansvar.
Til § 14 Tildeling av tilsynsansvar
Dette kapittelet bør etter vår oppfatning innlede med en klar bestemmelse om hvem som er tilsynsmyndigheter (sikkerhetsmyndigheten og myndigheter med tilsynsansvar) etter forskriften, jf. sikkerhetsloven § 3-1 Forslagets § 16 kan tas inn som en del av en slik bestemmelse.
Forslagets § 14 beskriver ellers hvilke vurderinger departementene skal gjøre ved tildeling av tilsynsansvar og bør som nevnt ovenfor etter vår oppfatning vurderes plassert sammen med andre bestemmelser om departementenes oppgaver.
Bestemmelsen legger til grunn at departementet skal vurdere om et tilsynsorgan har tilstrekkelig kompetanse til å føre slike tilsyn, eller om det kan få det "uten uforholdsmessig store utgifter". Det skal innhentes uttalelse fra NSM. Etter vår oppfatning er formuleringen "uforholdsmessig store utgifter" uheldig fordi den kan gi inntrykk av å være en størrelse som kan være gjenstand for diskusjon mellom departementet og NSM. Det må være opp til det enkelte departement å avgjøre om kostnadene knyttet til å oppnå den nødvendige kompetansen for å føre tilsyn etter sikkerhetsloven er akseptable eller ikke. Her kan det være mange hensyn som kan vektlegges, bl.a. hvor viktig det er for departementet at sikkerhetslovens bestemmelser i størst mulig grad sees i sammenheng med sektorlovgivningen.
Uttalelsen fra NSM i forbindelse med den prosessen som beskrives i § 14 må etter vår oppfatning gi et bilde av hvilken kompetanse og hvilken kapasitet det aktuelle sektortilsynet eventuelt må bygge opp for at det etter NSMs oppfatning skal kunne ivareta ansvaret for tilsyn etter sikkerhetsloven.
Til § 15 Avtale om samarbeid mellom Nasjonal sikkerhetsmyndighet og andre myndigheter med tilsynsansvar
Denne bestemmelsen regulerer samarbeidsforholdet mellom NSM og andre myndigheter som skal føre tilsyn etter sikkerhetsloven. Vi mener bestemmelsen også bør omtale hvordan et tilsynsorgan kan settes i stand til å ivareta ansvar etter loven.
Dette medfører at en avtale som beskrevet i § 15 også skal kunne inngås mellom NSM og sektormyndigheter som i første omgang ikke skal føre tilsyn etter sikkerhetsloven, men der det fra departementets side er en uttrykt målsetning at de over tid skal settes i stand til å overta dette ansvaret. NSM bør i slike tilfeller være forpliktet til å gi opplæring og i den grad det er mulig la representanter for det aktuelle sektortilsynet inngå i NSMs tilsynsteam.
Forskrift om virksomhetens arbeid med sikkerhet (virksomhetsforskriften)
Til §1 Definisjoner
Departementet ber om høringsinstansenes syn på om definisjonene i bestemmelsen er nødvendig, og på om det er andre begreper som bør defineres. DSB har ingen merknader til de definisjonene som er gitt i bestemmelsen, men ser behov for at man i tillegg definerer informasjonssystem, infrastruktur, eventuelt også objekt.
Sidestillingen av objekt og infrastruktur i den nye sikkerhetsloven kan oppfattes som en utvidelse av lovens virkeområde. Riktig nok er infrastrukturbegrepet også benyttet i gjeldende lov, og kritisk infrastruktur definert i denne lovens § 3, men uten at det knyttes direkte til objektsikkerhetsbestemmelsene. Hverken den nye loven eller forskriftsforslaget inneholder definisjoner som kan bidra til å skille begrepene objekt og infrastruktur fra hverandre og klargjøre hva en eventuell utvidelse av virkeområdet faktisk består i.
Etter vår oppfatning er infrastruktur å oppfatte som et system av objekter som til sammen leverer en funksjon. Sikring av infrastrukturer vil derfor i realiteten være en sikring av objekter. I vurderingen av skjermingsverdighet for hvert enkelt objekt i infrastrukturen vil objektets betydning for infrastrukturens samlede funksjonsdyktighet være avgjørende. Infrastrukturer kan i større grad enn enkeltobjekter sikres gjennom etablering av redundans. Det er etter vår oppfatning først og fremst dette som gjør det viktig å kunne skille mellom objekt og infrastruktur. Se også vår kommentar til denne forskriftens § 11.
I Prop. 153 L (2016-2017) pekes det på at begrepet informasjonssystem skal forstås vidt. "Begrepet omfatter både manuelle og digitale informasjonssystemer, og favner alt fra saksbehandlingssystemer, kontorstøttesystemer og rene kommunikasjonssystemer til kontroll- og styringssystemer." Etter vår oppfatning kan denne definisjonen med fordel tas inn i virksomhetsforskriften, enten i § 1 Definisjoner eller som innledning til kapittel 6. Hva som skiller et informasjonssystem fra et objekt eller en infrastruktur fremgår imidlertid ikke av loven, forskriftsforslagene eller høringsnotatet.
Det er vanlig å oppfatte informasjonssystemer som bestående av to hovedelementer: maskinvare (hardware) og programvare (software). Vi antar at det primært er programvaredelen bestemmelsene om informasjonssystemsikkerhet i loven og forskriftsforslaget er ment å omfatte, mens maskinvaren skal behandles som objekt eller infrastruktur. Informasjonen systemet inneholder antar vi vil være omfattet av bestemmelsene om informasjonssikkerhet. Vi er klar over at det er vanskelig å trekke et klart skille mellom maskin- og programvare fordi de to elementene ikke kan fungere uavhengig av hverandre. På den annen side krever de også til dels helt ulike sikringstiltak.
Skillet mellom objekter og infrastrukturer på den ene siden og informasjonssystemer på den andre er viktig fordi de to førstnevnte etter loven skal klassifiseres og dermed inngå i den oversikten departementene skal melde inn til NSM. Tilsvarende gjelder ikke for informasjonssystemer, som riktig nok i noen tilfeller skal godkjennes av NSM.
Til § 11 Plikt til å vurdere risiko
Loven fastsetter at Kongen kan gi forskrift om hvordan vurdering av risiko skal gjennomføres (§4-2, femte ledd). Vi registrerer at virksomhetsforskriften ikke inneholder slike krav, og støtter de vurderingene departementet har gjort her. Det har vært betydelig diskusjon i fagmiljøene om metoder for vurdering av risiko knyttet til tilsiktede handlinger de senere årene. Virksomheter som må forholde seg til et bredt spekter av risikoforhold har andre behov enn de som primært innretter sikkerhetsarbeidet mot etterretning, sabotasje og terror. Dersom man etter høringen eller på et senere tidspunkt velger å ta inn metodekrav for vurdering av risiko i forskriften, må disse være generelle og ta hensyn til at de virksomhetene som omfattes av regelverket er svært forskjellige og har ulike behov. DSB regner med å bli involvert dersom det igangsettes arbeid med å fastsette metode for vurdering av risiko.
I fjerde ledd heter det at virksomheten skal sende en oversikt over hvilke virksomheter den er avhengig av for å fungere, til eget departement. Denne bestemmelsen kan med fordel konkretiseres enten i selve forskriftsteksten eller i merknader til denne. Hensikten med slik innrapportering må være at departementet skal få grunnlag til å vurdere om virksomheter innenfor eget eller andre departementers sektoransvar skal underlegges sikkerhetsloven. En presisering i tråd med dette vil kunne gi en mer målrettet innrapportering til departementene.
Til § 12 Plikt til å håndtere risiko
Departementet ber om høringsinstansenes syn på innretningen av § 12. Bestemmelsen pålegger virksomhetene en plikt til å håndtere risiko uten å konkretisere hvordan dette kan gjøres. I høringsnotatet pekes det på at risiko kan håndteres på ulike måter: avhending av skjermingsverdig verdi, akseptering av risiko, etablering av redundans eller etablering av sikringstiltak.
Siden denne delen av forskriften er generell og skal favne så vel informasjonssikkerhet, informasjonssystemsikkerhet som objekt- og infrastruktursikkerhet, skjønner vi at mye kan tale for å gjøre den så overordnet som mulig. Likevel mener vi at det vil være hensiktsmessig å nevne ulike sikringsstrategier i tråd med den oversikten som er tatt inn høringsnotatet. Gjeldende lov og forskrifter har et ensidig fokus på robusthet, og den åpnere tilnærmingen til risikohåndtering som høringsnotatet legger opp til, bør derfor også synliggjøres i forskriftsteksten. I alle fall bør etablering eller styrking av redundans omtales siden dette er et viktig alternativ innenfor objekt- og infrastruktursikkerhetsområdet, til dels også innenfor informasjons- og informasjonsystemsikkerhetsområdet.
Til § 20 Forsvarlig sikkerhetsnivå for skjermingsverdig informasjon
Kapittel 3 Beskyttelse av skjermingsverdig informasjon bør etter vår oppfatning innledes med en bestemmelse om virksomhetenes plikt til å gjøre en vurdering av hvilken skade det kan medføre om den aktuelle informasjonen blir kjent for uautoriserte personer, om informasjonens integritet blir kompromittert eller tilgjengeligheten blir hindret. Vi vil i denne sammenheng peke på at det på objekt- og infrastruktursikkerhetsområdet er formulert et krav om skadevurdering (§ 52), og at dette også er et krav på informasjonssikkerhetsområdet i henhold til gjeldende forskrift (§ 2.1).
Bestemmelsens andre ledd lyder: "Behovet for å beskytte både konfidensialitet, integritet og tilgjengelighet må ses i sammenheng og avveies mot hverandre". I høringsnotatet skriver departementet at dette leddet "er et uttrykk for lovens intensjon om at informasjonens konfidensialitet, integritet og tilgjengelighet må sees i sammenheng og avveies mot hverandre. Sikkerhetsloven sidestiller i større grad enn i dag behovet for å beskytte disse tre egenskapene. Det vil kunne forekomme tilfeller hvor behovet for tilgjengelighet er større enn behovet for konfidensialitet. Virksomheten må foreta en konkret helhetsvurdering av de ulike hensynene og spørre seg hva som totalt sett er viktigst av hensyn til nasjonal sikkerhet."
Vi er litt usikker på hvordan denne merknaden i høringsnotatet skal oppfattes. Begrepet "tilgjengelighet" beskriver etter vår oppfatning en tilstand hvor informasjon kan hentes frem ved behov. Når ordet brukes sammen med konfidensialitet og integritet som her, er tilgjengelighet å oppfatte som et mål for sikringstiltak. Spørsmålet vi stiller oss er om departementet med denne merknaden har ment at informasjon som kan være skjermingsverdig kan gjøres tilgjengelig uten at den nødvendigvis er etterspurt, når dette ut fra en helhetsvurdering er i tråd med nasjonale sikkerhetsinteresser.
Vi vil peke på at informasjon som i utgangspunktet kan være gradert i noen tilfeller likevel bør gjøres kjent for uautoriserte personer, fordi nytten av slik tilgjengeliggjøring er klart større enn den skaden den kan påføre nasjonale sikkerhetsinteresser. Dette gjelder i første rekke ulike trussel- og risikovurderinger som kan bidra til å styrke risikoforståelsen i samfunnet og beredskapen hos aktører som normalt ikke mottar gradert informasjon. Det er vår oppfatning at det er vanlig å gjøre slike avveininger i dag, uten at det finnes en eksplisitt hjemmel for dette i lov og forskrift.
DSB ønsker at forskriften stadfester at det er adgang til å veie nytteverdien av tilgjengeliggjøring opp mot det skadepotensialet slik tilgjengeliggjøring kan ha.
Konkret foreslår vi følgende som nytt første ledd i § 20:
Virksomheten skal vurdere hvilken skade det kan medføre for nasjonale sikkerhetsinteresser dersom informasjon blir kjent for uautoriserte, informasjonens integritet blir kompromittert eller tilgjengeligheten hindret. Informasjon som ellers ville være gradert, kan gjøres tilgjengelig for uautoriserte dersom nytteverdien for nasjonale sikkerhetsinteresser klart overstiger den skaden slik tilgjengeliggjøring kan medføre.
Til § 29 Hvem som kan omgradere
Denne bestemmelsen er en videreføring fra gjeldende forskrift. Bestemmelsen slår fast at bare virksomheten som har utstedt informasjonen, en virksomhet overordnet denne, eller Nasjonal sikkerhetsmyndighet kan omgradere informasjon med norsk sikkerhetsgradering.
Vi antar at bestemmelsen videreføres uforandret fordi den så langt ikke har medført utfordringer. Rent prinsipielt vil vi likevel peke på at det er uheldig at to organer har den samme myndigheten. Det bør i alle fall avklares hvilke av disse organene som har siste ord dersom det skulle oppstå uenighet.
Til § 33 Sending av informasjon gradert KONFIDENSIELT eller høyere
Vi merker oss at departementet foreslår at det ved fysisk forsendelse av informasjon gradert KONFIDENSIELT eller høyere skal brukes kurer. Dagens regelverk tillater som kjent fremføring som registrert postforsendelse. Vi har forståelse for departementets argumentasjon på dette punktet, men vil likevel peke på at mange virksomheter som er eller vil bli underlagt sikkerhetsloven ikke har mulighet for å motta høygradert informasjon elektronisk. Endringen kan derfor medføre utfordringer i en situasjon der en avsender har behov for å nå mange med slik informasjon samtidig. Det vil for eksempel i praksis være nokså krevende for mange fylkesmennene å nå ut til alle kommuner med høygradert informasjon innen rimelig tid når registrert postforsendelse ikke kan benyttes. Selv om et slikt behov oppstår svært sjelden, kan en ikke se bort fra at det kan være tilfellet i en nasjonal krisesituasjon.
Til § 40 Behandling av informasjon gradert KONFIDENSIELT eller høyere
I fjerde ledd heter det at dokumenter eller lagringsmedier kan tas med til visse land "dersom en person tar vare på informasjonen gjennom hele reisen, og dersom det er mulig å deponere informasjonen ved en norsk utenriksstasjon eller et norsk kontrollert område ved ankomst". Bestemmelsen er en videreføring av tilsvarende bestemmelse i gjeldende forskrift om informasjonssikkerhet. Vi har imidlertid registrert noe usikkerhet rundt tolkningen av dagens bestemmelse. Både i gjeldende forskrift og i forslaget til ny forskrift heter det at det skal være mulig å deponere informasjonen ved ankomst, ikke at man faktisk skal foreta en slik deponering. Dersom bestemmelsen likevel skal forstås som et krav om deponering, er det også et spørsmål hvilket tidsrom som omfattes av begrepet reisen. Ved dagsreiser til f.eks. Brüssel vil det normalt ikke være naturlig å deponere dokument eller lagringsmedium hos utenriksstasjon eller lignende. Spørsmålet er hvordan dette forholder seg ved overnatting, konkret om et dokument eller lagringsmedium kan oppbevares på hotellrom så lenge en selv er til stede. Det er ønskelig at departementet ser nærmere på formuleringene i bestemmelsen.
Til § 45 Forsvarlig sikkerhetsnivå for skjermingsverdige informasjonssystemer
Under omtalen av virksomhetsforskriftens § 1 har vi pekt på at det er behov for å definere begrepet informasjonssystemer nærmere.
Vi har under omtalen av § 20 også pekt på at det er et misforhold mellom de ulike delene av forskriften ved at det bare er på objekt- og infrastrukturområdet det eksplisitt stilles krav om skade- eller verdivurdering som utgangspunkt for sikringstiltak. Det er mulig at kravet i § 45s andre ledd skal forstås som en slik verdivurdering, men dette kan i så fall tydeliggjøres og flyttes frem. Verdivurdering er særlig viktig når det kan være ulike årsaker til at et system er skjermingsverdig. Om skjermingsverdigheten skyldes behov for konfidensialitet, integritet og/eller tilgjengelighet kan ha avgjørende betydning for hvordan sikringstiltak skal innrettes.
I tillegg vil vi peke på at § 45 burde inneholde en bestemmelse tilsvarende den som finnes i § 52, tredje ledd, som pålegger virksomheten å varsle andre virksomheter om objekter og infrastrukturer sistnevnte rår over som virksomheten er avhengig av. Vi kan ikke se noen grunn til at dette ikke også skulle gjelde informasjonssystemer.
Når det nye regelverket trer i kraft, må mange virksomheter i tillegg til å vurdere om informasjonssystemene deres er skjermingsverdige fordi de inneholder gradert informasjon, også ta stilling til om de har systemer som av andre grunner er av "avgjørende betydning for grunnleggende nasjonale funksjoner". I henhold til ny sikkerhetslov § 6-1 kan Kongen gi forskrift om identifisering av skjermingsverdige informasjonssystemer. Etter hva vi kan se, er ikke dette fulgt opp i forslaget til forskrifter. Vi synes dette er uheldig.
Vi mener at det er viktig at virksomheter som har en noenlunde likeartet rolle innenfor nasjonal sikkerhet og beredskap, har en mest mulig lik tilnærming til hvilke av deres systemer som er skjermingsverdige. Dette krever at bestemmelsene på dette punktet ikke etterlater for stort tolkningsrom.
DSB fører på vegne av Justis- og beredskapsdepartementet (JD) tilsyn med øvrige departementers samfunnssikkerhetsarbeid (med unntak av FDs). Departementene er også gjenstand for tilsyn fra NSM etter sikkerhetsloven. Det vil være en fordel om grensedragningen mellom hva som omfattes av NSMs tilsyn og hva som omfattes av JD/DSBs tilsyn er mest mulig lik fra departement til departement. Vi antar at lignende forhold kan gjøre seg gjeldende i andre deler av forvaltningen.
Til § 52 Skadevurdering i forbindelse med klassifisering av skjermingsverdige objekter og infrastruktur
Som nevnt i våre merknader til § 1 i myndighetsforskriften og § 1 i virksomhetsforskriften er det uklart hva som skiller de to begrepene objekt og infrastruktur. Vi foreslår at i alle fall infrastruktur defineres innledningsvis i forskriftene. Alternativt kan definisjonen gjøres i § 52.
Tredje ledd i denne bestemmelsen pålegger virksomheten å varsle om egen avhengighet av et objekt eller en infrastruktur som andre har ansvar for. Varslingen skal gå til den som råder over objektet eller infrastrukturen. Under § 45 har vi pekt på at slik varsling også må oppfatte informasjonssystemer. Bestemmelsen om varsling trenger etter vår oppfatning en utdypning. Informasjon om slik avhengighet kan være skjermingsverdig og gradert, og det medfører at et slikt varsel ikke uten videre kan gis til en virksomhet som (ennå) ikke er underlagt sikkerhetsloven. Det er mulig departementet har ment at slike situasjoner skal håndteres i tråd med bestemmelsene i kapittel 10 om sikkerhetsgraderte anskaffelser (sikkerhetsavtale/leverandørklarering), men dette bør i så fall tydeliggjøres. Avhengigheter kan dessuten være av eldre dato og ikke nødvendigvis knyttet til et avtaleforhold. Opplysninger om egne avhengigheter, og dermed sårbarheter, kan for øvrig være mer sensitive enn den informasjonen en ekstern virksomhet trenger for å innfri en avtale om en leveranse.
I slike tilfeller må derfor varslingen gå til eget departement som beskrevet i § 11 som eventuelt må ta initiativ til at virksomheten kommer inn under loven.
Forskrift om klarering av leverandører og personell
Til § 15 Vurderingsgrunnlaget for adgangsklarering
DSB støtter departementets forslag til krav til den som skal gis adgangsklarering.
Til § 29 Klareringsmyndighet for leverandørklarering
Departementet ber om synspunkter på hvilken myndighet som bør ha ansvar for klarering av leverandører i fremtiden. I høringsnotatet argumenterer departementet for at dette ansvaret bør legges til et annet organ enn Nasjonal sikkerhetsmyndighet, og departementet ber om synspunkter på dette. DSB støtter konklusjonen i notatets pkt. 4.6.5 om at Sivil klareringsmyndighet bør ha dette ansvaret.
Med hilsen
for Direktoratet for samfunnssikkerhet og beredskap
|
Per Kr. Brekke |
Harald Rasmussen |
|
Fung. direktør |
Fung. avd.dir. |
Dokumentet er godkjent elektronisk.
|
Kopi til: |
|||
|
Justis- og beredskapsdepartementet |
Postboks 8005 Dep |
0030 |
Oslo |
[1] Eksemplene er hentet fra et materiale som er spilt inn til NSM i forbindelse med deres arbeid med veileder