Høringssvar fra Ole Kasper Olsen

Foreliggende forslag til forskrifter til ny lov om nasjonal sikkerhet er en enorm omveltning i forhold til gjeldende rett.

Forslaget til forskrifter medfører, antakelig uintenderte, konsekvenser som ikke er utredet hverken for sikkerhetsmessige og sikkerhetspolitiske konsekvenser, eller samfunnsøkonomiske konsekvenser.

• Lov om nasjonal sikkerhet er en rammelov, og lovproposisjonen legger derfor opp til at det følger et utførlig regelverk i forskrift. Forslaget til forskrifter er et sparsomt regelverk. Innen informasjonssikkerhet og informasjonssystemsikkerhet tilfører forskriften få bestemmelser utover lovens bestemmelser.
• Loven legger vekt på at virksomhetene selv skal etablere et forsvarlig sikkerhetsnivå, ut fra en risikovurdering de selv gjør. Dette kan være fornuftig, men to forhold må i så fall ivaretas: a) enhetlige og helhetlige sikkerhetsnivåer for gradert informasjon, og b) bestemmelser i forskrift som hjelper virksomheter med å etablere et forsvarlig sikkerhetsnivå for sin risiko. Virksomhetssikkerhetsforskriften gjør ingen av delene.
• Lovproposisjonen og Traavik-utvalget advarte mot å endre på dagens innretting av graderingsnivåer og hvordan gradert informasjon beskyttes. Høringsnotatet framholder at virksomhetssikkerhetsforskriften viderefører sikkerhetsnivåene fra gjeldende rett for gradert informasjon. Dette er objektivt feil. Virksomhetssikkerhetsforskriften viderefører enkelte bestemmelser fra dagens regelverk om fysisk sikring av informasjon, samtidig som informasjonssystemregelverket svekkes. I sum svekkes beskyttelsesnivået på gradert informasjon som behandles i informasjonssystemer. Dette vil få store, for lovgiver uforutsette, sikkerhetspolitiske og samfunnsøkonomiske konsekvenser.
• Virksomheter i Norge samhandler med hverandre og Norge samhandler med allierte. Ved å sette et lavt nasjonalt beskyttelsesnivå for gradert informasjon, samtidig som enkeltvirksomheter og andre nasjoner og internasjonale organisasjoner som Nato og EU har, eller vil etablere, et strengere regelverk, overfører man de facto kontrollen over sikringstiltak fra norske myndigheter til disse institusjonene. Store virksomheter i Norge med utbredt samhandling med allierte vil være dimensjonerende for de nasjonale sikkerhetsnivåene. Norske myndigheter får redusert selvråderett i møte med alliertes kravsett.
• Mindre virksomheter som skal samhandle med de store må gjennom formelle eller uformelle overenskomster garantere det samme sikkerhetsnivået, slik at de store virksomhetene er sikker på at de mindre evner å ta vare på gradert informasjon med samme grad av sikkerhet. Alternativt vil det vokse fram fragmenterte sikkerhetsnivåer innenfor graderingsnivåene, som er knyttet opp mot den enkelte virksomhets risikovurdering. Nasjonalt samvirke, for eksempel i beredsskapssituasjoner, syntes da vanskelig.
• Informasjon graderes formelt iht. lovens bestemmelser om skadefølger, men er i det daglige antakelig mer basert på en graderingskultur. En slik graderingskultur vil i mange tilfeller også henge sammen med det opplevde sikkerhetsnivået graderingen vil gi informasjonen. Det å senke nivået for forsvarlig sikkerhet til et nivå under det som myndigheter og virksomhetene over tiår har oppfattet som et forsvarlig nivå, vil medføre at man graderer informasjon høyere for å oppnå et sikkerhetsnivå man mener er påkrevd. Dersom mye informasjon graderes høyere, vil dette medføre økt behov for informasjonssystemer godkjent for beskyttelse av høygradert informasjon. Dette vil i så fall ha en stor samfunnsøkonomisk konsekvens.
• § 20 og 32, sett i sammenheng med § 45, setter krav til oppnåelse av forsvarlig sikkerhetsnivå for de forskjellige sikkerhetsgradene. Bestemmelsene bidrar lite til arbeidet en virksomhet må gjøre for å velge ut sikkerhetstiltak som skal etablere det forsvarlige sikkerhetsnivået. Bestemmelsene er såpass lite konkrete at virksomheten, for å kunne etablere de nødvendige sikkerhetsnivåene, må ha god etterretning vedrørende trusselaktørens kapasiteter innen kompromittering av informasjonssystemer. Dette framstår som urealistisk, all den tid trusselaktøren, siden vi her tenker statssikkerhet, presumtivt er store nasjonalstaters etterretningstjenester. Høringsnotatet ser ut til å hevde at § 13, som gjennomgående bruker terminologi fra lovens bestemmelser om objektsikring, også skal få anvendelse for håndtering av informasjon i informasjonssystemer. Dette faller på sin egen urimelighet. Relasjonen mellom fagområdene objektsikring og informasjonssystemsikkerhet er slik at informasjonssystemer har behov for fysisk sikring (objektsikring), men også et behov for «logisk» grunnsikring, jf. §§ 5-1 til 5-9 i dagens forskrift om informasjonssikkerhet, som ikke dekkes ved å ha adgangskontroll til den fysiske infrastrukturen.
• Sikkerhetsmyndigheten kan utdype forskriftenes bestemmelser i veiledninger, men gitt at nivåene for forsvarlig sikkerhet er satt såpass lavt, synes sikkerhetsmyndighetens sanksjonsmuligheter overfor virksomheter som ikke følger veiledningene, å være begrensede.

Til tross for høringsnotatets argumentasjon om at sikkerhetsnivåene beholdes fra gjeldende rett, legger de foreslåtte forskriftene gjennomgående til rette for en mindre sikker håndtering av gradert informasjon i informasjonssystemer enn det som er tilfellet i dag.

Det er ikke forsvarlig å redusere sikkerhetsnivåene uten grundig utredning. Nivåene kan ikke endres uten at dette gir en dominoeffekt med enten forskjellig sikkerhetsnivå fra virksomhet til virksomhet, eller inflasjon i graderingsnivåer med tilhørende økt utbredelse av høygraderte informasjonssystemer. Traavik-utvalget burde fått fullmakter og tid til å gjøre en grundig utredning av dagens graderingsnivåer og tilhørende sikkerhetsnivåer dersom det foreligger et ønske i departementet om å endre dette.

Ole Kasper Olsen
forsker, Oslo