Høringssvar fra Norsk olje og gass

Det vises til Forsvarsdepartementets høring av 02.07.2018 med høringsfrist 1. oktober 2018.

1.     Innledning

Norsk olje og gass representerer rettighetshavere, operatørselskaper og leverandører som deltar i petroleumsvirksomheten. Vi vil i dette høringssvaret kommentere enkelte av bestemmelsene i forskriftene og gi noen generelle kommentarer om betydningen av sikkerhetsloven for næringen.

Det er ikke avklart om, eller i hvilket omfang, den nye sikkerhetsloven vil gjelde for anlegg i petroleumsvirksomheten. Norsk olje og gass' kommentarer til enkelte av bestemmelsene i forskriften må ses i lys av dette.

2.     Kommentarer til enkelte av bestemmelsene i forskriftene

Vi kommenterer særskilt der det i høringsnotatet er angitt at departementet særlig ønsker høringsinstansenes innspill.

Høringsnotat side 10: Spørsmål om behov for forskriftsfesting av "momenter" som skal vektlegges ved vurderingen av hvilke virksomheter loven gjelder for?

Norsk olje og gass anser momentene angitt i Prop. 153 L (2016–2017), kapittel 6.4 som tilstrekkelige for å kunne vurdere lovens virkeområde.

Høringsnotat side 11: «Departementet ber om høringsinstansenes innspill på om forslaget til inndelingen i forskrifter er hensiktsmessig, og særlig på om det er mer hensiktsmessig med en eller to forskrifter. Departementet ber også om innspill til offisielle korttitler på forskriftene for å sikre at de er tilstrekkelig entydige.» 

Norsk olje og gass mener Inndeling av bestemmelser i tre forskrifter fremstår pedagogisk riktig. Ingen kommentar til navn på forskrifter.

Høringsnotat side 13: «Departementet vil vurdere å gi ytterligere detaljkrav for sikring av infrastruktur når infrastrukturen er utpekt, og regelverket har fått virke over noe tid. Departementet ber høringsinstansenes syn på om det bør gis mer detaljerte krav til sikring av infrastruktur, og i så fall hvilke krav som bør stilles.»

Norsk olje og gass mener at krav for sikring av infrastruktur må være universelle/grunnleggende. Kravene må ta hensyn til at det er stor variasjon i oppsett og funksjon av infrastruktur, og høy grad av detaljering kan og vil resultere i krav som ikke er hensiktsmessig for alle typer oppsett.

Høringsnotat s 13: «Arbeidet med identifisering, utpeking, klassifisering og sikring. Etter departementets syn vil det være nødvendig at det enkelte departement, i samarbeid med myndighetene i sektoren og de virksomhetene som råder over objektet eller infrastrukturen, bruker scenarier for å vurdere ulike typer konsekvenser av bortfall av funksjonen, og hvilke av disse konsekvensene som vil ha betydning for grunnleggende nasjonale funksjoner. Vurderingen skal basere seg på virksomhetenes vurdering av skadefølger ved bortfall av objektet eller infrastrukturens funksjon"

 Norsk olje og gass understreker viktigheten av god dialog mellom myndigheter og virksomheter i arbeidet med eventuell utvelgelse av objekter/infrastruktur.

Høringsnotat s 20 andre avsnitt (Klarering av utenlandske statsborgere)

Norsk olje og gass viser til at petroleumsvirksomheten er utpreget global og det er viktig med en tilgjengelig klareringsordning for utenlandske borgere. Bruken av eksterne leverandører/kontraktører er omfattende på installasjoner og anlegg, og behovet for klarering vil kunne skape begrensinger og effektivitetstap for leverandørene. Mange leverandører har igjen omfattende bruk av underleverandører. En vesentlig begrensning i bruk av utenlandske statsborgere vil få konsekvenser. Ovenstående gjelder både dersom utvelgelsen gjelder hele eller kun bestemte deler av installasjoner/anlegg, men konsekvensene blir nødvendigvis mer begrenset dersom det avgrenses til deler av installasjoner/anlegg. En oppmykning av praksis for klarering av utenlandske statsborgere støttes.

Høringsnotat s 22, tredje avsnitt, unntak fra krav om sikkerhetsklarering i særskilte tilfeller: «Departementet ser at § 8-7 i utgangspunktet vil dekke behovet for å kunne gi utenlandsk personell tilgang til sikkerhetsgradert informasjon og skjermingsverdige objekter og infrastruktur av hensyn til behovet for kompetanse, uten at dette i for stor grad går på bekostning av behovet for kontroll med personellet av hensyn til nasjonale sikkerhetsinteresser. Departementet ber derfor om høringsinstansenes syn på behovet for og hensiktsmessigheten av den unntaksbestemmelsen som er foreslått i myndighetsforskriften § 11, og vil vurdere bestemmelsen i lys av høringsinnspillene.»

Norsk olje og gass mener at det det er fornuftig med en unntaksbestemmelse fra kravet om sikkerhetsklarering. Det er fornuftig at bruk av hjemmelen legges til NSM for sikkerhetsklarering og til ansvarlig departement ved adgangsklarering.

Høringsnotat s 24 varslingsplikten: «Departementet har foreløpig ikke funnet det nødvendig med ytterligere forskriftsbestemmelser knyttet til varslingsplikten i loven § 9-4, utover hva et varsel til myndighetene skal inneholde, jf. virksomhetsforskriften § 18. Det er særlig lagt vekt på at det er de enkelte departementene som har ansvaret for det forebyggende sikkerhetsarbeidet i de ulike samfunnssektorene, og det kunne være behov for å gjøre avveininger knyttet til risiko som er tilpasset behovene i den enkelte sektor. Departementet antar at det vil være mer hensiktsmessig at myndigheter med sektoransvar lager veiledere med momenter som kan vektlegges i vurderingen. Departementet ber om høringsinstansenes innspill på om det er nødvendig med ytterligere forskriftsbestemmelser knyttet til denne bestemmelsen.» ¨

Norsk olje og gass mener at ytterligere forskriftsbestemmelser ikke er nødvendig.

Høringsnotat s 26, Ikrafttredelse og «Rimelig frist» samt «momenter som skal vurderes».

Norsk olje og gass vil påpeke at det er det enkelte departement som best kjenner respektive sektorer og som er best i stand til å gi føringer her.

Høringsnotat s 28 Besparelser og samfunnsøkonomisk nytte: «Slik departementet ser det, vil et bedre forebyggende sikkerhetsarbeid i virksomhetene kunne spare samfunnet for store uforutsette kostnader.»

Norsk olje og gass vil påpeke at kost/nytte vurderingen ved en innføring av sikkerhetsloven for petroleumsvirksomheten fremstår som umoden og at det ikke er grunnlag for å trekke en konklusjon om samfunnsøkonomisk nytte på nåværende tidspunkt.

Høringsnotat s 36 til § 12 Utøvelse av nasjonal responsfunksjon for alvorlige digitale angrep og nasjonalt varslingssystem for digital infrastruktur: «Ettersom det er et klart behov for bedre VDI dekning for å gi en bedre oversikt over digitale angrep mot sentrale virksomheter, vurderer departementet NSM skal gis mulighet til å pålegge VDI tilknytning for de virksomhetene som blir underlagt loven. Departementet ber om høringsinstansenes syn på en slik påleggskompetanse, og eventuelt hvilke rammer en slik påleggskompetanse bør ha. For mer om VDI se kapittel 7.9.»

Norsk olje og gass er positive til VDI, men pålegg til VDI tilknytning anses ikke som hensiktsmessig eller ønskelig. VDI er en løsning som må utvikles i takt med trusselbildet, til eksempelvis å inkludere sensorer internt i virksomhetens infrastruktur eller på alle deler av virksomhetens eksterne perimeter. Dette kan komme i konflikt med virksomheter som også foregår utenfor Norge, enten gjennom brudd på andre lands lovverk, eller ved å være konkurransevridende da virksomheten blir sett på som en forlengelse av norsk etterretning.

Høringsnotat s 41 og 42. Forsvarlig sikkerhetsnivå: «Departementet ber særlig om høringsinstansenes innspill på denne innretningen for hvordan en virksomhet kan beskytte sine skjermingsverdige verdier på en slik måte at kravet til forsvarlig sikkerhetsnivå oppnås.» (Resultatorientert tilnærming)

Norsk olje og gass vil vise til at industrien baserer sin sikkerhets og sikringsarbeid på en funksjonsbasert tilnærming og mener dette er tilfredsstillende beskrevet. Dette må innebære at kostnadseffektivitet er et element som også inngår i vurderingen. Tilnærmingen der det er funksjonen som skal identifiseres og at klassifiseringen ikke skal omfatte større deler av et objekt enn det som er nødvendig for å sikre funksjonen, er en tilnærming industrien støtter. En risikobasert tilnærming til beskyttelse er å foretrekke, men det anbefales i enkelte tilfeller å kombinere risikobasert tilnærming med et sett grunntiltak. Norsk olje og gass retningslinje 104 – «Anbefalte retningslinjer krav til informasjonssikkerhetsnivå i IKT-baserte prosesskontroll-, sikkerhets- og støttesystemer» er et eksempel på hvordan slike grunntiltak kan formuleres.

Høringsnotat s 47 «§ 12 Plikt til å håndtere risiko», «Bestemmelsen inneholder et generelt krav til at risiko skal håndteres og må leses i sammenheng med kravene som stilles til de konkrete verdiene i §§ 20, 32, 45 og 53. Det vil være den skjermingsverdige verdiens betydning for grunnleggende nasjonale funksjoner (klassifiserings- og graderingsnivået) som vil være dimensjonerende for hva som er et forsvarlig sikkerhetsnivå og derav også hvilke krav som stilles til håndteringen.»

Norsk olje og gass påpeker at en slik innretning omfatter både virksomhetens egne risikovurderinger- se kommentar over om forsvarlig sikkerhetsnivå. Den «skjermingsverdige verdiens betydning....» er et annet moment som virksomheten selv i mindre grad har innflytelse over. Dette åpner opp for mulig interessekonflikt.

Høringsnotat s 93. «§ 14 [tildeling av tilsynsansvar] og §15 avtale om samarbeid mellom Nasjonal sikkerhetsmyndighet og andre myndigheter med tilsynsansvar»

Norsk olje og gass påpeker at sektormyndigheten har best kjennskap til den enkelte næring, og at tilsynsansvar i størst mulig grad bør plasseres i dette utøvende leddet, jf. også det som sies nedenfor om mulig målkonflikt. Vurderingen av om tilsynsmyndighet bør gis til sektortilsyn bør også legge vekt på i hvilken grad sektorkunnskap er nødvendig for å kunne vurdere hensiktsmessigheten av ulike sikringstiltak. Det forventes at den koordinerende rollen som skal konkretiseres i en avtale etter § 15 robustgjør sektormyndigheten til å kunne utføre tilsyn på en helhetlig måte.

Det er ønskelig at ny sikkerhetslov, forskrifter og veiledere oversettes til engelsk så snart som mulig, og innen loven trer i kraft.

3.     Sikkerhetslovens betydning for næringen

Infrastrukturen i petroleumsvirksomheten er spredd over store geografiske områder. På norsk sokkel er det i dag 12 betonginnretninger, 23 flytende- og 59 bunnfaste stålinnretninger. Det er også rundt 400 havbunns­installasjoner. ( Lenke til Norskpetroleum.no)

Det finnes en rekke landanlegg som er tilknyttet felt og rørledninger på norsk sokkel, fra Kårstø i sør til Melkøya i nord. Disse dekker aktuelle behov for transport, lagring og behandling av olje og gass fra tilknyttede felt. I tillegg kommer rørledninger mellom felt og til mottaksanlegg på land i utlandet, herunder terminaler for mottak i UK, Belgia, Frankrike, Tyskland.

For at en privat virksomhet skal omfattes av loven må virksomheten råde over objekt, infrastruktur mv. som har avgjørende betydning for en «grunnleggende nasjonal funksjon», som er definert som tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser.

Norsk olje og gass vil i den sammenheng påpeke at bortfall av en innretning ikke medfører tap av ressursene i undergrunnen. Gitt at det fortsatt er lønnsomt å erstatte innretningen, vil tapet normalt kun føre til utsatt produksjon. Lønnsomhet vil blant annet påvirkes av tilgjengelige forsikringsordninger og gjenværende reserver.

For gassinfrastrukturen gjelder at den er utbygget med stor fleksibilitet og mulighet for alternative transportveier for gass. For vurdering av gassleveranser som energiforsyning, må det også tas hensyn til fleksibilitet i de respektive gassmarkedene nedstrøms det norske systemet.

Vurderingen av om petroleumsvirksomheten har en avgjørende betydning for grunnleggende nasjonale funksjoner jf. sikkerhetslovens § 1-3, er en kompleks og sammensatt vurdering. Næringen vil bistå med å skaffe til veie nødvendig informasjon som må inngå i en slik beslutning og gi nødvendige innspill til vurderingene til vårt sektordepartement.

Petroleumsvirksomheten er underlagt petroleumsloven og beredskap mot bevisste anslag er regulert i petroleumsloven § 9-3 under Petroleumstilsynets tilsyn. I dag håndteres ivaretakelse av sikring og virksomhetsstyring helhetlig for virksomhetenes samlede aktivitet. Norsk olje og gass vil understreke at næringen har en sterk egeninteresse i at sikkerheten ivaretas på alle anlegg og innretninger.

For objekter eller infrastrukturer som eventuelt underlegges sikkerhetsloven er det i Høringsnotatet fremhevet at funksjonelle krav gir virksomhetene stor grad av fleksibilitet med tanke på hvordan virksomheten sikrer informasjon, informasjonssystemene, infrastruktur eller objektene den råder over. Sikkerhetsloven har allikevel på flere områder, og særlig for håndtering av informasjon om hvordan anskaffelser skal sikres, og hvordan autorisasjon skal gjennomføres, mange detaljerte krav.

Etter petroleumsloven vil en innretning også omfatte tegninger, planer og annen informasjon i den grad tegningene, planene og informasjonen for øvrig har en slik tilknytning til f.eks. installasjoner, anlegg etc. at de kan sies å være nødvendige for f.eks. anvendelse av installasjonen eller anlegget. Slik informasjon blir delt med leverandører og skiftende kontraktører. I de nye digitale plattformer er deling av informasjon et viktig virkemiddel for å oppnå kostnadseffektiv og sikker drift.

Sikkerhetsloven har et helt annet utgangspunkt ved at brukere og funksjoner knyttet til skjermingsverdig informasjon bare skal tildeles rettigheter som er strengt nødvendige (Minste privilegium). Informasjon skal graderes BEGRENSET dersom den i noen grad kan få skadefølger om den blir kjent for uvedkommende. Det er understreket i Høringsnotatet s 58 og i forarbeider til loven at det fortsatt gjelder krav til tilgangskontroll og autorisasjon også for informasjon gradert Begrenset.  

Petroleumsvirksomhet innebærer behov for flyt av personell mellom ulike installasjoner og landanlegg, og adgangskontrollregimet vil påvirkes dersom det blir nødvendig med klarering av personell. Bruken av eksterne leverandører/kontraktører er til tider omfattende på installasjoner og anlegg, og behovet for sikkerhetsklarering vil kunne skape begrensinger og store effektivitetstap for næringen. Mange leverandører har også omfattende bruk av underleverandører. Begrensningene i bruk av utenlandske statsborgere vil få konsekvenser for operatører, og spesielt antas det å kunne få konsekvenser for flere leverandører. Det skal understrekes at det er streng personellkontroll for adgang til anlegg på land og offshore.

Et moment for så vidt gjelder anlegg som fysisk behandler/transporterer olje og gass er at det kan tenkes å oppstå en målkonflikt mellom kravene til sikring og prosedyrer og krav utarbeidet med bakgrunn i hensynet til helse, miljø og sikkerhet. Kravene til sikring går i retning av å oppretthold funksjonalitet, mens sikkerhetsfilosofien i næringen går i retning av å avverge fare for liv, helse og miljø, typisk ved å stenge ned.

Mvh

Knut Thorvaldsen

Viseadministrerende direktør

Norsk olje og gass