Høringssvar fra Helse Sør-Øst RHF
Forskrifter til ny sikkerhetslov - høringsinnspill fra Helse Sør-Øst RHF
Forskrifter til ny sikkerhetslov – høringsinnspill fra Helse Sør-Øst RHF
Det vises til Forsvarsdepartementets oversendelse av 02.07.2018 der forslag til forskrifter til ny sikkerhetslov sendes på høring.
Høringsdokumentene er distribuert til alle helseforetak i Helse Sør-Øst. Disse står fritt til å uttale seg direkte til ansvarlig departement.
Kopi av dette høringsinnspillet sendes Helse- og omsorgsdepartementet.
Innspillene fra Helse Sør-Øst RHF tar utgangspunkt i høringsnotatets kapitler med fokus på de temaene der det særlig bes om høringsinstansenes synspunkter. Enkelte avsnitt refererer til spørsmålene i høringsdokumentet. Disse avsnittene er satt i kursiv.
Innledning
Høringsdokumentet omtaler en begrenset utvidelse av lovens virkeområde, der begrepet Grunnleggende nasjonale funksjoner innføres og defineres som tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser. Det anføres også at loven skal gjelde for virksomheter som behandler sikkerhetsgradert informasjon eller som råder over informasjon, informasjonssystemer, objekter eller infrastruktur som har avgjørende betydning for «grunnleggende nasjonale funksjoner».
Det er det enkelte departement som skal definere hvilke virksomheter, systemer mv. som omfattes av dette, og det henvises i høringsnotatet til at det pågår et arbeid i departementene for å identifisere disse elementene i den enkelte sektor. Helse- og omsorgsdepartementet har i lengre tid samarbeidet med de regionale helseforetakene og Nasjonal sikkerhetsmyndighet (NSM) for å klarlegge hva som skal defineres som skjermingsverdig informasjon og informasjonssystemer, samt hva som skal defineres som grunnleggende nasjonale funksjoner og objekter. Dette er et vanskelig definisjonsarbeid og målet med arbeidet må være at innslaget av skjermingsverdige elementer snevres inn og at sikkerhetslovens praktiske implikasjoner for regionale helseforetak og underliggende helseforetak ikke blir for omfattende. Dette arbeidet er ikke sluttført og vil ventelig måtte pågå også etter at loven har trådt i kraft.
Det bør legges til grunn at forskriftene skal revideres etter en tids praktisering. Dette gjelder også veiledningsmateriellet som skal utarbeides. Høringsnotatet legger til grunn at NSM og sektormyndighetene med tilsynsansvar skal ha en viktig rolle med å gi råd og veiledning om hvordan bestemmelsene kan etterleves og hvordan tiltakene kan tilpasses en sektors egenart. Helse Sør-Øst RHF vil påpeke at utarbeidelsen av veiledningsmateriell må ta utgangspunkt i ny sikkerhetslov, både rettslig og økonomisk. Det vises til at det understrekes i ny sikkerhetslov § 4-3 andre ledd at kostnadene ved et sikkerhetstiltak skal stå i et rimelig forhold til det som kan oppnås ved tiltaket. Videre at det først og fremst er virksomhetenes egne vurderinger av risiko som skal legges til grunn for de sikkerhetstiltakene som implementeres.
Vedr. pkt. 3.1 Virkeområde
Slik departementet ser det, er det på nåværende tidspunkt ikke nødvendig å forskriftsfeste ytterligere momenter som skal vektlegges i vurderingen av hvilke virksomheter loven skal gjelde for, utover de som allerede fremgår av Prop. 153 L (2016–2017), kapittel 6.4. Departementet ber likevel om høringsinstansenes syn på om det bør fremgå ytterligere momenter i forskriftene, og i så fall hvilke. Departementet ser at en slik momentliste vil kunne bidra til å klargjøre virkeområde til loven, og vil vurdere om det er behov for at det tas inn ytterligere momenter i forskriftene i forbindelse med høringsrunden.
Innspill fra Helse Sør-Øst RHF:
I arbeidet med å kartlegge lovens konsekvens og virkeområde anser departementet at det er stor grad av overlapp mellom de kritiske samfunnsfunksjonene (KIKS) og de grunnleggende nasjonale funksjoner, samt at de grunnleggende nasjonale funksjonene vil være en delmengde av de samfunnskritiske funksjonene. Helse Sør-Øst RHF slutter seg til at arbeidet med KIKS og de grunnleggende nasjonale funksjonene i større grad kan samordnes. Det er viktig at de ansvarlige departementene samarbeider om dette. For spesialisthelsetjenesten oppleves tverrsektorielle funksjoner som energi og telekommunikasjon som særlig kritisk.
Vedr. pkt. 3.2 Inndeling i forskrifter
Det foreslås tre forskrifter til den nye sikkerhetsloven:
- Forskrift om myndighetenes roller og ansvar for nasjonal sikkerhet
- Forskrift om virksomhetens arbeid med forebyggende sikkerhet
- Forskrift om klarering av leverandører og personell
Departementet vurderer hvorvidt bestemmelsene i myndighetsforskriften skal flyttes til en av de to andre forskriftene, eller til en egen instruks for de myndighetsorganene loven gjelder for. Departementet vurderer også om alle bestemmelsene i forskriftene skal samles i én forskrift. Departementet ber om høringsinstansenes innspill på om forslaget til inndelingen i forskrifter er hensiktsmessig, og særlig på om det er mer hensiktsmessig med en eller to forskrifter. Departementet ber også om innspill til offisielle korttitler på forskriftene for å sikre at de er tilstrekkelig entydige.
Innspill fra Helse Sør-Øst RHF:
Forskriftsinndelingen fremstår som naturlige avgrensninger. Det synes også naturlig at myndighetenes roller og ansvar forskriftsfestes. Selv om myndighetsforskriften eventuelt innlemmes i en av de øvrige forskriftene, vil roller og ansvar likevel måtte beskrives særskilt. Forskriftenes korttitler kan eksempelvis være Myndighetsforskriften, Virksomhetsforskriften og Klareringsforskriften.
Vedr. pkt. 4.1 Objekt- og infrastruktursikkerhet
Bestemmelsene om objektsikkerhet er i hovedsak en videreføring av eksisterende regelverk, men med noen endringer av kravene til beskyttelse. Bestemmelsene regulerer, som den nye loven, også infrastruktur, for å tydeliggjøre og ivareta sikkerhet på et område som er av økende betydning for nasjonal sikkerhet. Departementet erkjenner imidlertid at infrastrukturer ofte er svært komplekse, og kjennetegnes av lange og uoversiktlige verdikjeder, som kan gjøre det vanskeligere å sikre en infrastruktur enn et objekt.
Departementet ser derfor at kan være hensiktsmessig å i større grad detaljregulere sikring av infrastruktur. Departementet vil vurdere å gi ytterligere detaljkrav for sikring av infrastruktur når infrastrukturen er utpekt, og regelverket har fått virke over noe tid. Departementet ber høringsinstansenes syn på om det bør gis mer detaljerte krav til sikring av infrastruktur, og i så fall hvilke krav som bør stilles.
Innspill fra Helse Sør-Øst RHF:
Dette berører de mest kompliserte temaene i den nye sikkerhetsloven. Det vises til kommentarene innledningsvis angående arbeidet som nå pågår i regi av Helse- og omsorgsdepartementet for å klarlegge hva som skal defineres som skjermingsverdig informasjon og informasjonssystemer, samt hva som skal defineres som grunnleggende nasjonale funksjoner og objekter. Det er avgjørende at dette arbeidet bidrar til nødvendige og hensiktsmessige avgrensninger hvor det også tas hensyn til avhengigheten av internasjonale IKT-leverandører. Utfallet av arbeidet vil ha betydning for helseforetakenes forpliktelser etter den foreslåtte virksomhetsforskriften. Det er særlig viktig at en i dette arbeidet hensyntar regelverk og krav til sikring av infrastruktur som allerede følger av andre lover og forskrifter.
Helse Sør-Øst RHF støtter vurderingen om at ytterligere detaljregulering når det gjelder sikring av infrastruktur vurderes når evt. skjermingsverdig infrastruktur er utpekt og regelverket har fått virke over tid.
Vedr. pkt. 4.6 Krav til sikkerhet i anskaffelser, pkt. 4.6.4 Varslingsplikt
Departementet har foreløpig ikke funnet det nødvendig med ytterligere forskriftsbestemmelser knyttet til varslingsplikten i loven § 9-4, utover hva et varsel til myndighetene skal inneholde, jf. virksomhetsforskriften § 18. Det er særlig lagt vekt på at det er de enkelte departementene som har ansvaret for det forebyggende sikkerhetsarbeidet i de ulike samfunnssektorene, og det kunne være behov for gjøre avveininger knyttet til risiko som er tilpasset behovene i den enkelte sektor. Departementet antar at det vil være mer hensiktsmessig at myndigheter med sektoransvar lager veiledere med momenter som kan vektlegges i vurderingen. Departementet ber om høringsinstansenes innspill på om det er nødvendig med ytterligere forskriftsbestemmelser knyttet til denne bestemmelsen.
Innspill fra Helse Sør-Øst RHF:
Ytterligere forskriftsbestemmelser kan evt. vurderes når loven har virket over tid. Det gis tilslutning til at det enkelte departement utarbeider veiledere for hvordan varslingsplikten skal følges opp.
Vedr. pkt. 7.1.1 Forsvarlig sikkerhetsnivå
Hva som er forsvarlig vil variere, avhengig av hva slags skjermingsverdige verdier virksomheten har, hvilken sektor og bransje virksomheten tilhører og hva slags type funksjon den enkelte virksomhet har. På enkelte områder er det i forskriften, og til en viss grad direkte i loven, fastsatt krav om tiltak som er forholdsvis konkrete. Det gjelder spesielt ved beskyttelse av sikkerhetsgradert informasjon. På mange andre områder er det imidlertid ikke gitt slike konkrete krav. Det er derfor nødvendig at virksomhetene som råder over de skjermingsverdige verdiene, konkretiserer hva som anses forsvarlig for sine verdier.
Departementet ber særlig om høringsinstansenes innspill på denne innretningen for hvordan en virksomhet kan beskytte sine skjermingsverdige verdier på en slik måte at kravet til forsvarlig sikkerhetsnivå oppnås.
Innspill fra Helse Sør-Øst RHF:
Den foreslåtte innretningen vurderes som hensiktsmessig. Det er viktig at det foretas en sektorvis gjennomgang av hva som vil være grunnleggende nasjonale funksjoner og skjermingsverdige verdier, samt at det utarbeides hensiktsmessig veiledning. Det vises til tidligere kommentarer om dette.
7.3.2 Til § 12 Plikt til å håndtere risiko
Etter gjennomført vurdering av risiko skal det vurderes hvordan risiko skal håndteres. Det er ulike alternativer for risikohåndtering. Risikoen kan håndteres helt eller delvis ved at virksomheten unngår risikoen f.eks. ved å avhende en skjermingsverdig verdi, eller aksepterer den, f.eks. fordi kostnadene ved sikkerhetstiltak ikke står i et rimelig forhold til risikoreduksjonen. En annen måte å håndtere risikoen på er å sørge for at infrastrukturen er tilstrekkelig redundant. Bruk av sikkerhetstiltak vil være den mest vanlige måten å håndtere risiko, og vil nesten i ethvert tilfelle være en forutsetning for å oppnå et forsvarlig sikkerhetsnivå.
Det sentrale er imidlertid ikke på hvilken måte risiko håndteres, men at den håndteres på en slik måte at virksomheten oppnår et forsvarlig sikkerhetsnivå. Bestemmelsen inneholder et generelt krav til at risiko skal håndteres og må leses i sammenheng med kravene som stilles til de konkrete verdiene i §§ 20, 32, 45 og 53. Det vil være den skjermingsverdige verdiens betydning for grunnleggende nasjonale funksjoner (klassifiserings- og graderingsnivået) som vil være dimensjonerende for hva som er et forsvarlig sikkerhetsnivå og derav også hvilke krav som stilles til håndteringen.
Vi ber særlig om høringsinstansenes syn på denne innretningen. Departementet vil vurdere hensiktsmessigheten og utformingen av denne bestemmelsen.
Innspill fra Helse Sør-Øst RHF:
Risiko- og sårbarhetsvurderinger vil også måtte ligge til grunn når en skal vurdere hva som eventuelt skal defineres som grunnleggende nasjonale funksjoner og skjermingsverdige verdier. For spesialisthelsetjenestens virksomhet vil spørsmålet om forventet nivå på tjenesten og redundans (alternative behandlingssteder og muligheten for å opprettholde virksomheten ved bortfall av infrastruktur) være særlig relevant.
For funksjoner og virksomhet som defineres som skjermingsverdig av det enkelte departement vil håndtering av risiko måtte vurderes i et kost-/nytteperspektiv. Spørsmålet om sektorvis veiledning om dette bør vurderes.