NOU 2016: 19

Samhandling for sikkerhet — Beskyttelse av grunnleggende samfunnsfunksjoner i en omskiftelig tid

Til innholdsfortegnelse

Del 2
Bakteppe

3 Forebyggende sikkerhet

3.1 Innledning

For at den videre utredningen skal gi god mening er det viktig å redegjøre for utvalgets forståelse av en del grunnleggende begreper. Dette gjelder fremfor alt forebyggende sikkerhet, men også en del relaterte begreper som beredskap og krisehåndtering. Hva er forskjellen mellom forebyggende sikkerhet og beredskap? Og hva er sammenhengen mellom sikkerhetsarbeidet før, under og etter nasjonale kriser og hendelser? Selv om forebyggende sikkerhet per definisjon alltid foregår i tidsperioden forut for kriser og hendelser må man se helhetlig – også tidsmessig – på hvordan man best beskytter samfunnet mot tilsiktede uønskede hendelser.

Dette kapittelet fokuserer på faktabeskrivelser, men reiser også noen sentrale problemstillinger og utfordringer rundt forebyggende sikkerhet i Norge. Utvalget er i dette kapittelet mer opptatt av å reise problemstillinger enn å fremme forslag til løsninger og konkludere. Mange av problemstillingene utvalget har kommet over i sitt arbeid er det andre som må løse. Dette rokker ikke ved at utvalget kan bidra konstruktivt ved å rette oppmerksomhet mot konkrete forbedringspunkter.

Dette kapittelet vil kort skissere hvordan sentralforvaltningens sikkerhetsarbeid fungerer i dag, og hvordan Norges sikkerhetsapparat er bygget opp. Dette inkluderer en oversikt over hvem som har ansvar for sikkerhet på ulike nivåer i forvaltningen. En sentral problemstilling for sikkerhetsarbeidet ligger i spenningen mellom sektorprinsippet og samvirkeprinsippet. Førstnevnte foreskriver at hver statsråd styrer sin sektor og har konstitusjonelt ansvar og kompetanse innenfor sitt myndighetsområde. Samvirkeprinsippet setter derimot krav til nettopp samvirke på tvers av de tradisjonelle sektorlinjene. Disse to prinsipper er tidvis krevende å ivareta samtidig.

Norge opererer med et totalforsvarskonsept der sivil og militær sektor gjensidig skal kunne understøtte hverandre i fred, krise og krig. Samfunnssikkerheten har blitt viktigere for statens sikkerhetsarbeid. Det har også revitalisert interessen for totalforsvaret fra både den sittende og den forrige regjering. Dette er noe av bakgrunnen for at regjeringen i 2015 reviderte dokumentet Støtte og Samarbeid: en beskrivelse av totalforsvaret i dag.1 Publikasjonen er et oppslagsverk som erstatter og bygger videre på et tilsvarende dokument utgitt i 2007.

Dette kapittelet avsluttes med en kort beskrivelse av Norges EOS-tjenester, samt EOS-utvalget og Direktoratet for samfunnssikkerhet og beredskap (DSB). Disse organisasjonene har nøkkelroller innen forebyggende sikkerhet, og i EOS-utvalgets tilfelle, demokratisk kontroll med de som ivaretar rikets sikkerhet.

3.2 Forholdet mellom forebyggende sikkerhet og beredskap

Sikkerhet er et bredt begrep som beskriver en tilstand, og som favner mange forskjellige prosesser. Store endringsprosesser i det internasjonale samfunn over de senere år, medfører at dagens sikkerhetsbegrep er bredere enn noen gang og omfatter blant annet territoriell, økonomisk, sosial og politisk sikkerhet. Nasjonal sikkerhet skal ivaretas gjennom hele krisespekteret – fra fred via sikkerhetspolitiske kriser til krig/væpnet konflikt. Begrepet nasjonal sikkerhet er nærmere omtalt under kapittel 3.3.

Forebyggende sikkerhet er i rapporten Terrorsikring – en veiledning i sikrings- og beredskapstiltak, utgitt av Politidirektoratet, Politiets sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet i 2015, definert som:

Tiltak som skal hindre eller redusere effekten av den uønskede handlingen. Disse gjennomføres før en uønsket handling finner sted, ideelt for å unngå handlingen i utgangspunktet. Dette er både menneskelige, teknologiske og organisatoriske tiltak.2

I sikkerhetsloven § 3 nr. 1 er forebyggende sikkerhetstjeneste definert som:

Planlegging, tilrettelegging, gjennomføring og kontroll av forebyggende sikkerhetstiltak som søker å fjerne eller redusere risiko som følge av sikkerhetstruende virksomhet (spionasje, sabotasje og terrorhandlinger).3

Forebyggende sikkerhet deles tradisjonelt inn i organisatorisk sikkerhet, informasjonssikkerhet, objektsikkerhet og personellsikkerhet. De tre sistnevnte formene for sikkerhet korresponderer henholdsvis med sikkerhetsgradering av informasjon, fysisk sikring av objekter og sikkerhetsklarering av personell. I tillegg brukes ofte organisatorisk sikkerhet om sikkerhetsstyringen og rutinene internt i en virksomhet. Sikkerhetsloven regulerer alle disse aspektene ved forebyggende sikkerhet.

Enkelte regelverk som regulerer forebyggende sikkerhet er av sektorovergripende karakter. Den viktigste av disse er sikkerhetsloven. Loven gjelder i utgangspunktet for alle forvaltningsorganer, uavhengig av hvilken samfunnssektor de tilhører. Krav til forebyggende sikkerhet er også regulert i særlovgivning. I kraftsektoren er energiloven og beredskapsforskriften eksempler på sektorspesifikke regelverk.

Forebyggende sikkerhet må ses i sammenheng med samfunnets og den enkelte virksomhets beredskap. Beredskap er i Terrorsikring – en veiledning i sikrings- og beredskapstiltak definert som:

Forberedt evne til på kort varsel å kunne øke sikkerhetsnivå, håndtere en uønsket hendelse eller tilstand, eller evne til å gjenopprette tilfredsstillende tilstand etter en uønsket hendelse. Beredskap forebygger ikke at en uønsket hendelse finner sted, men er en forberedelse til krisehåndtering.4

Forebyggende sikkerhet omfatter altså både tiltak som reduserer sannsynligheten for at en uønsket hendelse inntreffer og tiltak som reduserer skadevirkningene ved en slik hendelse. Beredskap omhandler på sin side, både planleggingen i forkant av en hendelse og selve håndteringen når en hendelse inntreffer eller er nært forestående. Beredskap omfatter også håndteringen av det etterfølgende gjenopprettingsarbeidet.

Forebyggende sikkerhet må videre avgrenses mot politiets ansvar for å forebygge kriminalitet og andre krenkelser av den offentlige orden og sikkerhet, jf. politiloven5 § 2 nr. 2 og politiinstruksen6 § 2-2 nr. 1. Denne type hendelser kan være alvorlige, men vil som hovedregel ikke true den nasjonale sikkerheten. Utover de defensive tiltakene er det Politiets sikkerhetstjeneste (PST) som har ansvaret for offensiv forebygging på norsk territorium.

Med offensiv forebygging menes blant annet PSTs særskilte ansvar for å forebygge og etterforske overtredelser av straffeloven kap. 17 om Vern av Norges selvstendighet og andre grunnleggende nasjonale interesser, overtredelser av sikkerhetsloven og ulovlig etterretningsvirksomhet, jf. politiloven § 17 b første ledd nr. 1 og 2. I medhold av politiloven § 17 d kan PST få tillatelse til å benytte nærmere angitte tvangsmidler, eksempelvis hemmelig ransaking og overvåkning, som ledd i sin forebyggende virksomhet.

I en normalsituasjon, altså før en hendelse inntreffer, vil forebyggende sikkerhet og beredskap, i noen grad overlappe hverandre. Eksempelvis vil det å øke sikkerhetsnivået, avhengig av det konkrete trusselnivået, inneha elementer av både forebyggende sikkerhet og beredskap. Et godt beredskapssystem er et viktig forebyggende sikkerhetstiltak. Beslutningen om å etablere et slikt system, eksempelvis gjennom en beredskapsplan, vil falle inn under begrepet forebyggende sikkerhet, mens den konkrete innretningen på systemet vil være en del av beredskapsarbeidet.

Grunnsikringstiltak iverksettes i en normalsituasjon for å oppnå et tilfredsstillende sikkerhetsnivå. De omfatter blant annet en kombinasjon av tiltak for å unngå at uønskede hendelser inntreffer (sannsynlighetsreduserende tiltak) og tiltak for å begrense skadeomfanget dersom hendelsen likevel skulle inntreffe (skadereduserende tiltak). Dette vil typisk være tiltak som er av en slik art at myndighetene ikke kan vente med å iverksette dem til det foreligger mer konkrete opplysninger om at en trussel er overhengende. Andre tiltak kan følge på et senere tidspunkt. Dette kan karakteriseres som påbygningstiltak, som av forskjellige årsaker bør reserveres til taktisk tilpasning som ledd i et beredskapssystem.

Et eksempel på en slik taktisk tilpasning er regjeringens planverk og krisehåndteringsverktøy Nasjonalt beredskapssystem (NBS), som angir konkrete forhåndsplanlagte tiltak og handlemåter som kan iverksettes ved kongelig resolusjon, eller av den ansvarlige statsråd innen det aktuelle området. Formålet er å forebygge eller redusere skadeomfanget ved kriser. NBS ble innført i 2005 og er harmonisert med NATOs Crisis Response System (NCRS). NBS består av Sivilt beredskapssystem (SBS) og Beredskapssystemet for Forsvaret (BFF), som begge er hjemlet i beredskapsloven § 18, jf. § 3. (Se nærmere om beredskapsloven i kapittel 3.2.1). I tillegg kommer Politiets beredskapssystem (PBS), da politiet har en nøkkelrolle i sivil krisehåndtering.

At systemene er bygget opp over samme lest, og harmonisert med NATOs beredskapssystem, sikrer god kommunikasjon mellom sivil og militær side av Norges totalforsvar, og mellom Norge og NATO ved iverksetting av beredskapstiltak.

Noe av det viktigste forebyggende arbeidet staten gjør er å forhindre kriser fra å oppstå, eller begrense omfanget hvis krisen skulle inntreffe. Det forebyggende sikkerhets- og beredskapsarbeidet legger grunnlaget og føringer for Norges praktiske krisehåndtering. Det er helt avgjørende at det er god flyt mellom det som foregår før og etter en uønsket hendelse. Responsen må optimaliseres og læringspunktene fra evalueringen må inkorporeres i system og rutiner for å bedre beredskap og grunnsikring forut for neste hendelse. Figur 3.1 illustrerer noe av denne flyten, samt forholdet mellom forebyggende sikkerhet, krisehåndtering og beredskap.

Figur 3.1 Samfunnssikkerhet og beredskap.

Figur 3.1 Samfunnssikkerhet og beredskap.

Sentrale begreper plassert i tid relativt i forhold til tidspunktet for en uønsket hendelse.

Både forebyggende sikkerhet og beredskap, forutsetter kartlegging av verdier som skal beskyttes, aktuelle sårbarheter og hvilke trusler/uønskede hendelser som kan påvirke disse verdiene i negativ retning. Forut for en konkret hendelse vil det således være stor grad av overlapp mellom disse begrepene. Det må jobbes aktivt langs to spor der risikoen og sannsynligheten for at en uønsket hendelse inntreffer reduseres, samtidig som den beredskapen som søker å redusere konsekvensene i de tilfeller der uønskede hendelser inntreffer optimaliseres. Dette arbeidet styres både av beredskapslovgivning og sikkerhetslovgivning.

3.2.1 Beredskapslovgivningen

Beredskapslovgivning er vedtatt eller forberedt regelverk som grovt sagt trer i kraft dersom en sikkerhetspolitisk krise inntreffer, eller dersom Norge er i krig eller krig truer. Forebyggende sikkerhetstiltak, som beskrives i sikkerhetsloven med forskrifter og i annet relevant sektorovergripende eller sektorspesifikt regelverk, kan betegnes som defensive forebyggende tiltak eller sårbarhetsreduserende tiltak.

De ulike beredskapssystemene (SBS, BFF og PBS) er manualer som fordeler roller, ansvar og oppgaver. Disse systemene er ikke tilgjengelige for offentligheten i detalj, og deler av dem er sikkerhetsgradert. En nærmere omtale av dem her er følgelig verken mulig eller formålstjenlig. Beredskapslovutvalget definerte beredskapslovgivningen som:

Vedtatt eller forberedt regelverk av lovgivningsmessig innhold, hvis iverksettelse er betinget av at riket er i krig, at krig truer riket, at rikets selvstendighet eller sikkerhet er i fare, eller at det foreligger en annen ekstraordinær krisesituasjon av militær art som truer vesentlige norske interesser.7

Definisjonen avgrenser både mot regelverk som gjelder beredskapsplanlegging i fredstid og mot regelverk som regulerer andre typer kriser enn sikkerhetspolitiske kriser. Ut fra ovennevnte definisjon identifiserte beredskapslovutvalget følgende beredskapslover:

  • Drivstoffanleggloven8

  • Beredskapsloven9

  • Rekvisisjonsloven10

  • Skipsrekvisisjonsloven11

  • Forsyningsloven12 (Opphevet)

I rapporten Støtte og samarbeid – en beskrivelse av totalforsvaret i dag13 omtales, i tillegg til de lovene beredskapslovutvalget identifiserte, følgende lover som beredskapslover:

  • Næringsberedskapsloven14

  • Vernepliktsloven15

  • Lov om beredskapslagring av petroleumsprodukt16

  • Helseberedskapsloven17

  • Sivilbeskyttelsesloven18

De sistnevnte lovene omhandler også beredskapsplanlegging i fredstid, og oppfyller således ikke beredskapslovsutvalget av 1995 sin definisjon av beredskapslover. Enkelte av lovene har fullmaktsbestemmelser, som først trer i kraft ved sikkerhetspolitisk krise eller krig. For denne utredningen er delene av lovene som omhandler normalsituasjonen forut for kriser mest relevant. Det er da forebyggende sikkerhetsarbeid nødvendigvis må finne sted.

3.3 Forebyggende nasjonal sikkerhet

Utvalgets mandat er å foreslå et nytt lovgrunnlag for «forebyggende nasjonal sikkerhet». Forebyggende nasjonal sikkerhet er ikke et legaldefinert begrep, og gjenfinnes heller ikke i gjeldende sikkerhetslov. Tradisjonelt har det vært et mer eller mindre skarpt skille mellom begrepene statssikkerhet og samfunnssikkerhet. Med statssikkerhet i snever forstand forstås gjerne ivaretakelse av statens eksistens, suverenitet og territorielle integritet:

Statssikkerheten kan utfordres gjennom væpnet angrep, politisk og militært press mot politiske myndigheter og alvorlige anslag mot norske interesser fra statlige eller ikke-statlige aktører. Trusler mot statssikkerheten kan legitimere innsats av alle militære og andre ressurser. 19

Begrepet samfunnssikkerhet er blant annet definert i Meld. St. 29 (2011–2012) Samfunnssikkerhet som:

vern av samfunnet mot hendelser som truer grunnleggende verdier og funksjoner og setter liv og helse i fare. Slike hendelser kan være utløst av naturen, være et utslag av tekniske eller menneskelige feil eller av bevisste handlinger.20

I NSMs sikkerhetsfaglige råd beskrives samfunnssikkerhet som ivaretakelse av befolkningens liv, helse og trygghet, og sikring av sentrale samfunnsfunksjoner og viktig infrastruktur, og andre samfunnsmessige interesser mot skade.21

Figur 3.2 illustrerer at sikkerhet er viktig på fire ulike nivåer – stats-, samfunns-, virksomhets- og individsikkerhet, med gråsoner og overlappende områder mellom de enkelte kategoriene.

Figur 3.2 Nivåer av sikkerhet.

Figur 3.2 Nivåer av sikkerhet.

Kilde: NSM, Sikkerhetsfaglig råd, 2015.

Utvalget anerkjenner og legger til grunn at begrepet forebyggende nasjonal sikkerhet, og de verdiene som skal beskyttes etter det nye lovgrunnlaget, innbefatter noe mer enn klassisk statssikkerhet. En endring av lovverket må reflektere at samfunnssikkerheten i økende grad er en viktig del av den forebyggende sikkerhet.

3.4 Ansvar, myndighet og krisehåndtering

Norges sikkerhetsorganisering er et resultat av politiske tradisjoner og en lang historisk utvikling. Den inkluderer noen av det norske samfunnets eldste institusjoner slik som fylkesmannsembetene og lensmannsetaten med røtter tilbake til 1100-tallet. Dette innebærer at organisasjonen og måten arbeidet er organisert på ikke alltid er et resultat av politiske valg som er tatt ut fra dagens kontekst. Strukturene og praksis oppstår også underveis, og ikke bare gjennom vedtatte reformer.

Sektorprinsippet er muligens det mest sentrale trekk ved den norske styringsmodellen, også innen sikkerhetsfeltet. Eivind Smith påpeker at sektorprinsippet med sitt ministerstyre ikke er en konstitusjonelt påkrevet styringsform, men snarere en sterk normativ føring for hvordan norske regjeringer velger å fordele kompetanse og arbeidsoppgaver.22 Tydelige ansvarslinjer og tett kontakt til bakkenivået er andre sentrale trekk ved Norges sikkerhetsarkitektur. Dette kan sees som en form for villet desentralisering.

Sektorinndelingen forsterkes av den parlamentariske sedvane der statsråder svarer til Stortinget på vegne av sitt departement. Uttrykket «Stortinget kjenner bare statsråden» målbærer en markant sektorinndelt parlamentarisk praksis. Dette innebærer «at det er den enkelte statsråd alene, ikke regjeringskollegiet, som har ansvaret når noe går galt.»23 Et annet viktig moment i den forbindelse er at Justis- og beredskapsdepartementet innehar en samordnende pådriverrolle for alt sikkerhetsarbeid som utøves i sivil sektor.

Blant fordelene med denne styringsformen er at den etablerer tydelige ansvarslinjer fordi det i de langt fleste saker vil fremkomme enighet om hvem som er den ansvarlige statsråd. Ulempen med systemet er at det hemmer overordnet tverrsektoriell tenkning og samordnende styring. Tidligere offentlige utredninger har ført til tiltak nettopp for å motvirke manglende samordning. I Meld. St. 29 (2011–2012) Samfunnssikkerhet ble samvirke lagt til som det fjerde prinsipp for krisehåndtering. De øvrige tre prinsippene for beredskap og krisehåndtering er som kjent nærhet-, likhet- og ansvarsprinsippet som beskrevet i boks 3.1.

Boks 3.1 Grunnleggende prinsipper for arbeidet med samfunnssikkerhet og beredskap

Beredskapsarbeidet bygger på fire grunnleggende prinsipper:

  • Ansvarsprinsippet som innebærer at den organisasjon som har ansvar for et fagområde i en normalsituasjon, også har ansvaret for nødvendige beredskapsforberedelser og for å håndtere ekstraordinære hendelser på området.

  • Likhetsprinsippet som betyr at den organisasjon man operer med under kriser i utgangspunktet skal være mest mulig lik den organisasjonen man har til daglig.

  • Nærhetsprinsippet som betyr at kriser organisatorisk skal håndteres på lavest mulig nivå.

  • Samvirkeprinsippet som betyr at myndigheter, virksomheter eller etater har et selvstendig ansvar for å sikre et best mulig samvirke med relevante aktører og virksomheter i arbeidet med forebygging, beredskap og krisehåndtering.

Prinsippene for beredskap og krisehåndtering legger føringer for hvordan sikkerhetsarbeidet utføres i Norge både i fred, krise og krig. Spesielt nærhetsprinsippet bidrar til en lav-nivå og desentralisert tilnærming innen norsk beredskap og krisehåndtering. Tankegangen i nærhetsprinsippet forsterkes også i det forebyggende sikkerhetsarbeidet gjennom ansvarsprinsippet og likhetsprinsippet. Det førstnevnte fastslår at den som har ansvaret for et felt i det daglige også har ansvaret når krisen inntreffer. Ansvarsprinsippet innebærer at alle grunnleggende samfunnsfunksjoner skal fortsette å operere som normalt og ha så lik drift og organisasjon som mulig i en krisesituasjon. Det vil imidlertid kunne være en rekke unntak fra disse prinsippene, for eksempel når et politidistrikt setter krisestab. Dette skal alltid være testet ut i øvelser før det settes ut i livet ved reelle hendelser.

Et annet viktig moment er at kriseressurser ikke må være bundet opp i daglig drift. Kriseressurser må nødvendigvis være tilgjengelige og gripbare i en krisesituasjon, uten at dette går på bekostning av andre kritiske samfunnsfunksjoner som er nødvendig for mest effektivt å løse krisen. Sykehusenes strømaggregater er et eksempel på en slik kriseressurs som ikke benyttes daglig, men kan være helt avgjørende for videre drift i en krisesituasjon med strømbrudd. Et illustrerende eksempel på feilbruk av kriseressurser ville være at brannbiler blir forringet som kriseressurs dersom de fjernes fra sentralt plasserte brannstasjoner og benyttes som lift-kapasitet andre steder.

Instruks for departementenes arbeid med samfunnssikkerhet og beredskap, Justis- og beredskapsdepartementets samordningsrolle, tilsynsfunksjon og sentral krisehåndtering (samordningsresolusjonen), gir nærmere regler for departementenes forebyggende sikkerhetsarbeid.24

Instruksen slår fast at det enkelte fagdepartement har ansvar for samfunnssikkerhet og beredskap innenfor egen sektor. Departementene har et ansvar for å samordne samfunnssikkerhets- og beredskapsarbeidet i egen sektor med det arbeidet som gjøres i andre departementer. Arbeidet med samfunnssikkerhet og beredskap skal være målrettet, systematisk og sporbart og være integrert i departementets planverk, styringssystemer og i styringsdialogen med underliggende virksomheter.

Hvert enkelt departement skal blant annet vurdere risiko, sårbarhet og robusthet i kritiske samfunnsfunksjoner i egen sektor som grunnlag for kontinuitets- og beredskapsplanlegging og hensiktsmessige øvelser. Det skal arbeides systematisk for å utvikle og vedlikeholde oversikten. Departementene skal videre vurdere og iverksette forebyggende og beredskapsmessige tiltak, og være forberedt på å håndtere alle typer kriser i egen sektor, samt yte bistand til andre departementer i kriser som involverer flere sektorer. Departementene skal også være forberedt på å kunne være lederdepartement.

For de sivile samfunnssektorene har Justis- og beredskapsdepartementet, i kraft av samordningsresolusjonen, en generell samordningsrolle for samfunnssikkerhet og beredskap. Departementet skal gjennom sin samordningsrolle sikre et koordinert og helhetlig arbeid med samfunnssikkerhet og beredskap på tvers av sektorgrenser.

Ordningen med lederdepartement ved kriser gjenspeiler og er forankret i sektor- og ansvarsprinsippet. Om ikke annet bestemmes er Justis- og beredskapsdepartementet ansvarlig for krisehåndteringen ved alle kriser innenlands i fredstid. Dette er noe av bakgrunnen for at Krisestøtteenheten (KSE) formelt er lagt under Justis- og beredskapsdepartementet, selv om KSE også skal bistå andre departementer når Justis- og beredskapsdepartementet ikke er lederdepartement. Ved sikkerhetspolitiske kriser og væpnede konflikter har Forsvarsdepartementet ansvar for krisehåndteringen. Ved andre kriser enn de sikkerhetspolitiske og krig avgjøres hvem som er lederdepartement vanligvis i Regjeringens kriseråd, eventuelt av Regjeringens Sikkerhetsutvalg (RSU) og statsministeren selv i siste instans. Utenriksdepartementet har ansvar for å håndtere kriser som berører Norge utenlands og diplomatiske kriser mellom Norge og andre land. Den fatale terroraksjonen i In Amenas i 2013 er et eksempel på en krise der Utenriksdepartementet var lederdepartement.

I noen tilfeller vil sektorprinsippet og samvirkeprinsippet fremstå motstridende. Ett eksempel der sektorprinsipp og samvirke aktivt utfordres er ved såkalte hybridscenarier. Slike scenarier vil beskrives nærmere i kapittel 4.3.1 og er per definisjon designet for å vanskeliggjøre responsen, som delvis vil tilligge sivile sektorer og delvis militær sektor. Andre elementer av hybridkrig vil ikke nødvendigvis fordre noen respons, men være ren villeding og provokasjon. Ekspertgruppen for Forsvaret i 2015 konkluderte som følger:

En ubestemmelig krise i gråsonen mellom krig og fred vil stille beslutningssystemet på alvorlige prøver. […] Ekspertgruppen vil fremheve behovet for å styrke samvirket med allierte i krise og krig og sette statsministeren og regjeringen bedre i stand til å lede krisearbeidet gjennom etableringen av en tilpasset enhet ved Statsministeren kontor.25

Statsministerens kontor (SMK) har hatt en tilbaketrukket rolle med tanke på krisehåndtering og sikkerhetsarbeidet sammenlignet med land det er naturlig å sammenligne Norge med, eksempelvis Det hvite hus i USA, det danske Statsministeriet og Storbritannias Cabinet Office. Embetsverket ved SMKs kanskje viktigste funksjon innen krisehåndtering er at regjeringsråden leder Regjeringens kriseråd. Videre huser SMK Regjeringens sikkerhetsutvalgs nyopprettede permanente sekretariat, som i noen grad kan betraktes som et konkret tiltak for å løse det beslutningsproblemet Ekspertgruppen for Forsvaret påpekte.

Uavhengig av hvilke tilpasninger som gjøres ved SMK, vil departementene med sine statsråder inneha et eksplisitt ansvar for det forebyggende sikkerhetsarbeidet innenfor sin sektor. Departementene og statsrådene med alle sine underliggende organer utgjør dermed bærebjelken i den norske sikkerhetsarkitekturen. Departementene har ansvar for å påse at det implementeres adekvate sikkerhetstiltak innenfor hele sin egen forvaltningssektor.

For å forstå det forebyggende sikkerhetsarbeidet i Norge må man derfor først ha innsikt i hvordan departementene styrer sine sektorer i tråd med sektorprinsippet. Skal man forstå samvirkeproblemene Norge opplever i sikkerhetsarbeidet er den sterke sektorstyringen en helt vesentlig faktor. Samtidig må man anerkjenne den tydelige vertikale styringslinjen sektorprinsippet etablerer. Figur 3.3 gir en generisk fremstilling av de vertikale styringslinjer fra storting til regjering og videre ned i det enkelte departement som igjen styrer underliggende direktorater og etater.

Figur 3.3 De vertikale styringslinjer fra storting til regjering, departement og direktorat.

Figur 3.3 De vertikale styringslinjer fra storting til regjering, departement og direktorat.

Stortinget er øverste lovgivende og bevilgende myndighet. De vedtar landets lover og statsbudsjettet. Den utøvende makt (regjeringen) og den dømmende makt (domstolene) må styre og dømme etter disse lovene.

Mye av arbeidet i Stortinget gjøres i komiteene. I komiteene kan partiene inngå forlik og tilkjennegi hvilke forslag og løsninger de ønsker å stemme for og imot. Dersom komitébehandlingen av en sak har vært god og konstruktiv vil ofte plenumsbehandlingen og utfallet av stemmegivningen nærmest være avklart på forhånd. Ett relevant og ferskt eksempel på dette er lovendringen av sikkerhetsloven i juni 2016. Etter forutgående behandling av i Utenriks- og forsvarskomiteen vedtok et enstemmig storting Innstilling 352 L (2015–2016).26 Tilsvarende vil denne lovutredningen trolig etterfølges av et lovforslag som regjeringen ved Forsvarsdepartementet oversender Stortingets utenriks- og forsvarskomite.

Det går et markant skille mellom Stortinget og regjeringen. Regjeringen utgjør toppnivået i den utøvende sentralforvaltningen, og den styrer landet i det daglige. Ved maktskifter etter stortingsvalg ber Kongen statsministerkandidaten fra valgets vinnere om å danne en regjering. I statsråd vedtar regjeringen instrukser, kongelige resolusjoner og forskrifter. Disse er tilpasninger til lovverket vedtatt av Stortinget og styringsverktøy for regjeringen. I tillegg utpekes departementenes politiske ledelse og embetsmenn i statsråd.

SMK er regjeringens sekretariat og organiserer statsråd. De tilrettelegger også for regjeringskonferanser, som er regjeringens øverste interne møter. Det er helt sentralt å få med seg at de konstitusjonelle styringslinjene ikke går via SMK. Det er den enkelte statsråd som har det konstitusjonelle ansvaret for sin sektor, og svarer for dette overfor regjeringskollegiet, statsministeren og ikke minst overfor Stortinget. Eivind Smith påpeker at dette er en valgt arbeidsform, og ikke et konstitusjonelt krav.27

Den enkelte statsråd styrer sitt departement ved hjelp av sin politiske ledelse og embetsverket. Den øverste leder for embetsverket er departementsråden som har det administrative ansvar internt i sitt departement. Under departementsråden finner man ekspedisjonssjefene som leder de ulike avdelingene i departementet med ulike faglige porteføljer. Ekspedisjonssjefene er i mange tilfeller etatsstyrere videre ut i forvaltningen mot underliggende direktorater. For eksempel går styringslinjen til Direktoratet for Samfunnssikkerhet og beredskap (DSB) gjennom samfunnssikkerhetsavdelingen i Justis- og beredskapsdepartementet, og styringen av politietaten går gjennom politiavdelingen. Det bør også nevnes at i vid forstand er hele departementet, fra topp til bunn, å regne som sekretariat for sin statsråd, og dermed en yttergrense for hva som kan benevnes som regjeringsapparatet.

Myndighet til å iverksette sikkerhetstiltak kan delegeres til underliggende etater, men ansvaret for å ivareta sikkerheten i egen sektor kan ikke et departement delegere seg bort ifra. Som eksempel har Justis- og beredskapsdepartementet delegert ansvar for implementering av forebyggende sikkerhet og samordning i sivil sektor til DSB i Tønsberg. Delegeringen fra Justis- og beredskapsdepartementet til DSB innebærer ikke at departementet har mindre ansvar, kun at de bemyndiger DSB til å utføre et sett av departementets plikter i sitt sted, mens de opprettholder styringslinjen både administrativt og operativt gjennom samfunnssikkerhetsavdelingen i departementet. Et direktorat er normalt faglig rådgiver for sitt departement samtidig som det skal ivareta styringen av sitt fagområde på vegne av departementet.

Beveger vi oss fra den generelle styringen av sentralforvaltningen og til hvordan forebyggende sikkerhet faktisk utøves, blir bildet straks mer komplisert. En fullstendig skjematisk fremstilling av styrings- og ansvarslinjene, og de ulike etatene, på sikkerhetsfeltet i Norge er svært krevende å skissere. Figur 3.4 fanger opp mange sentrale aspekter ved styringen og sikkerhetsarbeidet i Norge på ulike nivåer.

Det er viktig å ikke glemme de vertikale styringslinjene gjennom departementene som er beskrevet i figur 3.3. Figur 3.4 er kompleks, men realiteten den beskriver og forenkler er som alltid enda mer kompleks. Det ligger blant annet store underliggende strukturer bak firkantene som symboliserer 11 HV-distrikter, 12 politidistrikter, 11 andre departementer og de 18 fylkesmannsembetene.

Figur 3.4 Norske offentlige sikkerhetsinstitusjoner.

Figur 3.4 Norske offentlige sikkerhetsinstitusjoner.

Illustrasjon: Anders Grønli, spesialrådgiver Norges Bank, 2016.

Figuren illustrerer hvor smalt toppnivået er og hvor bredt departementene favner. Den synliggjør også sektorprinsippet der styringslinjen ut til alle faglige og operative etater i figuren går gjennom departementene. Det er imidlertid ingen tvil om at det er på bakkenivå de fleste kriser håndteres og sikkerhetstiltak implementeres. Kommunene og fylkesmennene har sentrale roller i lokal krisehåndtering og grunnsikring av objekter. I tillegg finner man politidistriktene, sivilforsvarsdistriktene, helseregionene og hovedredningssentralene rundt dette nivået. Disse utgjør nøkkelkapasiteter i norsk beredskap. Det samme gjelder heimevernsdistriktene og Forsvarets operative avdelinger. Alle disse etatene hører hjemme i vertikale sektorer og styres av (minst) et departement.

Fylkesmannen står i den forbindelse i en særstilling, og utgjør et mellomnivå mellom kommune og stat. Embetet er et styringsmessig bindeledd mellom kommunene og sentrale statlige myndigheter, med regionalt ansvar for at den nasjonale politikken gjennomføres. Fylkesmannen hører følgelig ikke hjemme i en enkelt sektor, men har et helhetlig ansvar på tvers av de ulike sektorer.

Fylkesmannsembetenes ansvarsområde på sikkerhets- og beredskapsfeltet, er forankret i Instruks for Fylkesmannens beredskapsarbeid.28 Fylkesmannen skal samordne samfunnssikkerhets- og beredskapsarbeidet i fylket og ivareta en rolle som pådriver og veileder i arbeidet med samfunnssikkerhet og beredskap. I dette ansvaret ligger blant annet en plikt til å ha oversikt over risiko- og sårbarhet i fylket, holde sentrale myndigheter og regionale samarbeidende etater orientert om situasjonen i fylket, samt samordne den fylkesvise planleggingen og kontakten innenfor totalforsvaret. Totalforsvaret er nærmere beskrevet i kapittel 3.5. Videre har fylkesmannen også et samordnende ansvar for regional krisehåndtering. Ansvaret strekker seg helt ned på kommunenivå, ettersom Fylkesmannen skal føre tilsyn med kommunenes beredskapsarbeid, jf. forskrift om kommunal beredskapsplikt § 10.29

Forsvaret styres av forsvarssjefen som har delegert myndighet fra forsvarsministeren. Sivil kontroll med det militære er et nøkkelprinsipp for liberale demokratier, og er en forutsetning for NATO-medlemskap. Forsvarssjefen styrer Forsvaret via forsvarsstaben. Videre har forsvarssjefen en ledergruppe med lederne for 21 driftsenheter. Blant de viktigste og mest relevante for vårt formål, er grensjefene for Luftforsvaret, Sjøforsvaret og Hæren, samt sjefene for Heimevernet, E-tjenesten og Forsvarets spesialstyrker.

Alle militære operasjoner styres av Forsvarets operative hovedkvarter lokalisert på Reitan ved Bodø. I den grad Forsvarsdepartementet skal involveres i avgjørelser om pågående militære operasjoner fasiliteres dette gjennom Forsvarsdepartementets situasjonssenter (SITSEN). Ved situasjoner i hele krisespekteret til sjøs, vil Kystvakten involveres. Fremfor alt er deres rolle i søk og redning en kritisk kapasitet i Norges beredskap.

Der Forsvaret er strengt hierarkisk og sentralisert, er styringen av norsk politi mer desentralisert. Det er liten tvil om at Justis- og beredskapsdepartementet har sektoransvaret og kan instruere hele politi-Norge. Politiavdelingen er deres viktigste instrument for styring av politietaten. Imidlertid har politimestrene i Norge større grad av autonomi enn sjefene i Forsvaret. Der militærmakten alltid må være under streng politisk kontroll, både militært og politisk, står politidistriktene mer fritt til å løse de mange daglige oppdrag som tilkommer dem. Det finnes også en mulighet for at Politidirektoratet (POD) overtar en pågående politioperasjon fra et politidistrikt, men dette er foreløpig nærmest uprøvd terreng i praksis. Imidlertid er POD involvert når man flytter politioppdrag fra ett politidistrikt til et annet.

En utfordring siden opprettelsen i 2001 har vært PODs rolle opp mot Justis- og beredskapsdepartementets politiske departementsstyring og politimestrenes fullmakter til å gjennomføre den daglige tjeneste. POD representerer et samordnende ledd i sentralforvaltningen og dette har tidvis utfordret nærhetsprinsippet ned mot de lokale politidistriktene. POD har utvilsomt en viktig rolle innenfor akutt terrorbekjempelse på nasjonalt nivå, noe som ble tydelig illustrert under det som ofte kalles Operasjon sommer, da etterretningsrapporter i juli 2014 indikerte at ISIL-krigere var på vei til Norge for å gjennomføre et terrorangrep.

POD har også en sentral rolle i de tilfeller politiet fremmer bistandsanmodninger til Forsvaret. Det er etablert en omstendelig beslutningssløyfe der en anmodning til Forsvaret om bistand går fra politimesteren som ber om bistand via POD til Justis- og beredskapsdepartementet, før den går videre til Forsvarsdepartementet og Forsvarets ledelse. Selv om det ble innført nye hurtigprosedyrer med ny bistandsinstruks i 2012 (revidert i 2015), innebærer denne prosedyren fremdeles hele seks til åtte beslutningspunkter. I januar 2016 nedsatte regjeringen en egen arbeidsgruppe for å foreta en full gjennomgang av hele bistandsspørsmålet i lys av det nye lovgrunnlaget for militær bistand i fredstid som ble tatt inn i politiloven § 27 a i 2015. Denne gruppen anbefaler en kraftig forenkling og avbyråkratisering, blant annet gjennom å gi et langt større handlingsrom til de operative delene av politi og forsvar. Som en del av dette er prosedyren for anmodning om bistand anbefalt redusert til kun to beslutningspunkter: den anmodende politimesteren og Forsvarets operative hovedkvarter, men da innenfor rammen av § 27 a ved at politimesteren har en varslingsplikt til høyere myndigheter ved igangsetting av en bistandsoperasjon, slik at høyere myndigheter kan stanse operasjonen hvis de finner grunn til det.30

3.5 Totalforsvaret

Dagens totalforsvar omfatter samfunnets støtte til Forsvaret og Forsvarets støtte til det sivile samfunn. Totalforsvarstanken stammer fra den norske eksilregjeringen i London under andre verdenskrig, med invasjonstrusselen som bakteppe. Forsvarskommisjonen slo i 1949 fast at Forsvaret måtte styrkes ved å stille samfunnets ressurser i fredstid til disposisjon for Forsvarets håndtering av sikkerhetsutfordringer.31 Tanken var at samfunnets samlede ressurser, inkludert private ressurser, skulle kunne settes inn for å støtte forsvaret av Norge.

Totalforsvarskonseptet har siden den tid blitt videreutviklet for å møte nye utfordringer og trusler. En naturlig konsekvens av det moderniserte totalforsvarskonseptet er økt fokus på Forsvarets rolle som bidragsyter til det sivile samfunn i håndtering av samfunnssikkerhetsutfordringer, i tillegg til det siviles forpliktelse til å støtte Forsvaret i krisesituasjoner.32 Dette er avgjørende både for samfunns- og statssikkerheten.

I Langtidsplanen for forsvarsektoren beskrives det moderne totalforsvaret som et konsept med fleksibilitet og som optimaliserer sikkerhets- og beredskapseffekten av samfunnets samlede ressurser.

Totalforsvarskonseptet gir vide rammer for det sivil-militære samarbeidet. Det gir nødvendig fleksibilitet ved at sivile og militære ressurser kan nyttes for å løse utfordringer både mot samfunns- og statssikkerhet.33

Dette skiller seg fra det tradisjonelle totalforsvarskonseptet som var ensidig innrettet mot å kraftsamle samfunnets ressurser for å stå imot en invasjonstrussel.

Figur 3.5 viser at det sivil-militære samarbeidet omfatter mer enn totalforsvarskonseptet. Den viser relasjonen mellom Forsvarets bistand til det sivile samfunn og det sivile samfunns støtte til Forsvaret gjennom hele spekteret, fra fred via sikkerhetspolitisk krise til væpnet konflikt.

Figur 3.5 Sivilt-militært samarbeid og totalforsvaret.

Figur 3.5 Sivilt-militært samarbeid og totalforsvaret.

Kilde: Sjef Forsvarsstaben, generalløytnant Erik Gustavson, presentasjon under Nødnettdagene i Trondheim, «Sivil-militært samarbeid», 19.04.2016, http://www.dinkom.no/PageFiles/14686/02_Erik_Gustavson.pdf

Privatisering og samfunnets raske teknologiske utvikling har ført til at skillelinjene mellom Forsvaret og det sivile samfunn blir stadig mindre, og at den gjensidige avhengigheten øker. Komplekse systemer og eierskapsforhold fører med seg nye sårbarheter, og aktualiserer behovet for samarbeid i totalforsvaret i tiden fremover. Dagens forsvar er avhengig av sivil understøttelse i form av kompetanse, varer, logistikk, tjenester og infrastruktur for å opprettholde forsvarsevne og kunne ta imot alliert støtte. Strømforsyning, elektronisk kommunikasjon og satellittbaserte tjenester er innsatsfaktorer som kan være av kritisk betydning for Forsvarets operative evne.

Et hovedmoment i det moderniserte totalforsvarskonseptet er å sikre best mulig utnyttelse av de begrensede ressurser samfunnet besitter. Den sivile støtte til Forsvaret er blant annet hjemlet i rekvisisjonsloven som slår fast de militære myndigheters mulighet til å «rekvirere alt som er nødvendig for krigsmakten og institusjoner som er knyttet til den», med unntak av eiendomsrett til fast eiendom.34 Loven kan benyttes i krigstid, og i fredstid når krigsmakten bistår i beredskapssituasjoner og når det er nødvendig å iverksette beredskapstiltak (for eksempel under større øvelser).

Som et supplement til rekvisisjonsmuligheten har Forsvaret tegnet en rekke avtaler med direktorater, etater og kommersielle virksomheter. Det ble i 2015 utarbeidet retningslinjer for Forsvarets overtakelse av en rekke sivile tjenester i krise og krig, blant annet redningstjenesten, lostjenester og metrologiske tjenester. Av kommersielle avtaler er særlig avtalen mellom Wilhelmsen-gruppen og Forsvaret fra 2015 viktig. Avtalen forplikter rederiet til transport av materiell og personell i en potensiell krisesituasjon. Også Telenor har en samarbeidsavtale med Cyberforsvaret om utvikling av kompetanse, deling av informasjon om uønskede hendelser og felles trening.

Endringer i trussel- og risikobildet har også bidratt til å endre relasjonen mellom det sivile og det militæret. Terrorhandlingene 22. juli 2011 synliggjorde i all sin grusomhet behovet for å ha et forsvar som er klar til å yte bistand til det sivile på kort varsel. Blant de viktigste forebyggende sikkerhetskapasiteter Forsvaret kan tilby er utplassering av sikringsstyrker, blant annet fra Heimevernet og HMK Garden.35

Innsatsstyrke Derby fra HV-02 besørget vakthold rundt nøkkelobjekter som Stortinget i timene og dagene etter 22. juli. HMK Garden kalte også inn alt av tilgjengelige mannskaper og var blant de tidligst gripbare sikringsstyrkene etter 22. juli-angrepene, samt bidro med forsterket vakthold 23. juli. Garden var i tillegg de første som formelt varslet internt i Forsvaret om at en eksplosjon hadde funnet sted.36

Denne typen militær bistand rokker ikke ved arbeidsdelingen der Forsvarets primæroppgave er å hevde Norges suverenitet, mens de sivile myndigheter ivaretar samfunnssikkerheten. Forsvarets bistand til det sivile samfunn skal være et supplement til den sivile krisehåndteringen, i de situasjoner der det sivile samfunn mangler ressurser som Forsvaret besitter, og i den grad støtte er forenlig med Forsvarets primæroppgaver.37 Forsvarets spesialstyrker bestående av Forsvarets spesialkommando (FSK) på Østlandet og Marinejegerkommandoen (MJK) i Nord-Norge og Bergen er spesielt relevante for bistand i tilfelle terroranslag.

Forsvarets helikoptre på Rygge og Bardufoss er også i konstant beredskap for å kunne bistå politiet. FSK, MJK og Forsvarets helikopter har alle dedikerte beredskapsoppgaver som gjør at organiseringen av disse ressursene delvis er tilpasset politiets behov for bistand.38 Forsvaret kan også bistå politiet i objektsikring. Forsvarets bistand til politiet er hjemlet i Instruks om Forsvarets bistand til politiet (bistandsinstruksen).39 I kjølvannet av 22. juli utga regjeringen en ny bistandsinstruks med raskere prosedyrer, se for øvrig kapittel 3.4.

Bistandsinstruksen fastslår i hvilke situasjoner politiet kan anmode Forsvaret om bistand, og gir retningslinjer for utøvelsen av bistanden. I en situasjon der Forsvaret skal yte bistand til politiet er det politimesteren i det aktuelle politidistriktet som er ansvarlig for ledelsen av operasjonen, og politiets og Forsvarets enheter blandes ikke under operasjonen. Forsvaret kan naturligvis også bistå ved rent sivile nasjonale kriser og katastrofer i fredstid, slik som under storflommen på Østlandet i 1995.

Det finnes to ulike typer bistand; håndhevelsesbistand og alminnelig bistand. Håndhevelsesbistand gjelder bistand knyttet til ettersøking og pågripelse av farlige personer, hvor liv og helse står på spill og i tilfeller der det er fare for omfattende anslag mot sentrale samfunnsinteresser, samt forebyggelse og bekjempelse av slike. Anmodning om håndhevelsesbistand krever politisk klarering. Den aktuelle politimesteren må rette anmodningen om behov for bistand fra Forsvaret via Politidirektoratet til Justis og beredskapsdepartementet, som eventuelt sender anmodning til Forsvarsdepartementet for avklaring.

Alminnelig bistand gjelder bistand i forbindelse med ulykker, naturkatastrofer eller lignende situasjoner. Også bruk av tilgjengelige ressurser som materiell, transport, innkvartering i Forsvarets militærleirer og personell, som ikke direkte involveres i den operative politiaksjonen, regnes som alminnelig bistand. I slike situasjoner henvender vedkommende politimester seg direkte til Forsvarets operative hovedkvarter. I tilfeller der alminnelig bistand er svært omfattende, setter sikkerheten til Forsvarets ansatte i fare, eller fører med seg politiske eller prinsipielle problemstillinger trengs politisk klarering. I disse tilfeller benyttes prosedyren for håndhevelsesbistand. Både sivil og militær side er forpliktet til å opprette kontakt så fort som mulig i situasjoner der det kan bli behov for bistand for å sikre at responstiden blir så kort som mulig.

3.6 EOS-tjenestene, EOS-utvalget og DSB

Etterretnings-, overvåkings- og sikkerhetstjenestene (EOS-tjenestene) består av Etterretningstjenesten (E-tjenesten), Politiets sikkerhetstjeneste (PST), Nasjonal sikkerhetsmyndighet (NSM) og Forsvarets sikkerhetsavdeling (FSA). EOS-tjenestene skal ivareta nasjonale sikkerhetsinteresser, og er underlagt tilsyn av EOS-utvalget som skal påse at borgernes rettigheter ivaretas i disse tjenestenes svært viktige sikkerhetsarbeid. E-tjenesten, PST og NSM omtales som de «hemmelige tjenester» grunnet deres eksklusive myndighet og oppgaver. FSA regnes ikke blant de «hemmelige tjenestene» men benevnes som en EOS-tjeneste underlagt tilsyn fra EOS-utvalget, på lik linje med E-tjenesten, PST og NSM. Direktoratet for samfunnssikkerhet og beredskap (DSB) beskrives også i dette underkapittelet. DSB har en nøkkelrolle innenfor samfunnssikkerhet, spesielt hva angår uønskede hendelser som ikke er intendert, og fremfor alt storulykker.

Mange av de forutgående strukturene for EOS-tjenestene vokste fram etter andre verdenskrig, og rundt opprettelsen av NATO. Norge hadde et økende behov for hemmelighold og utveksling av gradert informasjon internt og med NATO-land i denne perioden. Med utgangspunkt i militær sektor ble systemer for grunnleggende forebyggende sikkerhet, og organisering av arbeidet, utviklet i denne perioden.

Det stigende behovet for hemmelighold og egensikring økte altså i takt med utvidelsene av forsvarssektoren, noe som måtte få organisatoriske følger. Ved alle militære enheter skulle ledelsen i fred som i krig støtte seg på egne sikkerhetsoffiserer for å samordne tiltakene mot spionasje, sabotasje og illojale menige eller befal.40

Blant strukturene som begynte å ta form og finne sin funksjon etter krigen var Politiets overvåkningstjeneste (forløper til PST) og sikkerhetsavdelingen ved Forsvarets Overkommando. Sistnevnte var en forløper til Sikkerhetsstaben (FO/S), som senere ble etterfulgt av FSA og NSM. E-tjenestens forløpere befant seg i FO II, Etterretningskontoret.41

E-tjenesten er i dag Norges militære og sivile utenlands-etterretningstjeneste. E-tjenesten er en del av Forsvaret, underlagt forsvarsjefen, men løser oppgaver for hele myndighetsapparatet. Oppdrag utenfor forsvarssektoren formidles via Forsvarsdepartementet. E-tjenestens arbeidsoppgaver er hjemlet i etterretningstjenesteloven og inkluderer å innhente, bearbeide og analysere informasjon som angår norske interesser, sett i forhold til fremmede stater, organisasjoner eller individer.42 Russland og nordområdene står sentralt i tjenestens arbeid, i tillegg til utviklingen i det internasjonale trusselbildet. Disse temaene vies stor oppmerksomhet også i E-tjenestens årlige åpne trusselvurderinger.

Gjennom innhenting av informasjon og produksjon av trusselanalyser legger E-tjenesten til rette for at myndighetene skal ha et best mulig beslutningsgrunnlag vedrørende utenriks-, sikkerhets- og forsvarspolitiske forhold. E-tjenesten skal også bistå Forsvaret i operasjoner internasjonalt og nasjonalt, og har et koordinerende og rådgivende ansvar for etterretningsvirksomhet i Forsvaret. I tillegg står støtte til bekjempelse av terrorisme og arbeid mot spredning av masseødeleggelsesvåpen sentralt.

E-tjenesten innhenter informasjon fra kilder både ved hjelp av tekniske og menneskebaserte metoder. Tjenesten skal varsle om forhold som kan true Norge og norske interesser. Denne oppgaven blir stadig mer krevende i en tid der et økende antall utfordringer er grenseoverskridende, for eksempel trusler i det i digitale rom og internasjonal terrorisme. Interessebegrepet som legges til grunn er ikke statisk, og Evalueringsutvalget for EOS-utvalget henviser til E-instruksens § 7 og slår fast at «hva som anses som “viktige nasjonale interesser” avhenger av hvilke sikkerhetsutfordringer Norge til enhver tid står overfor».43

PST er den nasjonale sikkerhetstjenesten, organisert som et særskilt organ direkte underlagt Justis- og beredskapsdepartementet. PSTs oppgaver er hjemlet i politiloven.44 Der gis PST et spesifikt ansvar for å beskytte mot de tre overordnede aktivitetene sikkerhetsloven skal motvirke: ulovlig etterretning, sabotasje og politisk motivert vold, slik som terrorisme. PST er organisert med Den sentrale enhet (DSE) lokalisert i Nydalen i Oslo. I tillegg er det mindre desentraliserte enheter ute i politidistriktene, med unntak av Oslo som ivaretas av DSE.45

Kjerneoppgaven til PST er å forebygge og etterforske lovbrudd av relevans for nasjonens sikkerhet og selvstendighet. Herunder ligger ansvar for å innhente informasjon om, forebygge og etterforske terrorhandlinger og annen ekstremisme, ulovlig etterretningsvirksomhet mot Norge og norske interesser, ulovlig teknologioverføring, spredning av masseødeleggelsesvåpen, sabotasje og politisk motivert vold. PST har også ansvar for å forebygge og etterforske trusler mot statsledelsen og andre myndighetspersoner, samt utføre livvakttjeneste. Innsamling av informasjon, om personer og grupper som kan utgjøre en trussel, står sentralt i PSTs arbeid.

PST skal utarbeide periodiske trusselvurderinger, og vil også kunne gi oppdaterte trusselvurderinger rundt skjellsettende enkelthendelser, for eksempel ved raske endringer i trusselbildet. PST har også i spesielle tilfeller anledning til å benytte skjulte tvangsmidler til informasjonsinnhenting. Dette innebærer blant annet ransakinger, avlytting og skjult fjernsynsovervåking.46

Skillet mellom PSTs ansvar for rikets sikkerhet innenfor landets grenser, og Etterretningstjenesten tilsvarende ansvar utenfor Norges grenser er mindre klart i dag hvor trusselbildet i økende grad er grenseoverskridende. En ny samarbeidsinstruks for E-tjenesten og PST ble vedtatt i 2006 med det formål å fremme samarbeidet mellom tjenestene på områder av felles interesse.47

Terrorisme, spredning av masseødeleggelsesvåpen og fremmed etterretningsvirksomhet er områder der det er særlig viktig å samarbeide gjennom informasjonsutveksling og samhandling. Samarbeidet mellom PST og E-tjenesten følger fastlagte rutiner, og er underlagt tilsyn. Blant de viktigste institusjonene og tiltakene for å ivareta et godt mellomtjenstlig samarbeid er Felles kontraterrorsenter (FKTS) lokalisert ved DSE i Nydalen med ansatte fra begge tjenester. Senteret er en videreutvikling av Felles analyseenhet som ble opprettet i 2007, og var et konkret tiltak for å bedre kontraterror og beredskapen etter 22. juli.48

I Kronprinsregent resolusjon av 4. juli 2003 står det at Nasjonal sikkerhetsmyndighet (NSM) skal på Justisministerens og Forsvarsministerens vegne ivareta de utøvende funksjoner for den forebyggende sikkerhetstjeneste.49 Videre er NSM Norges ekspertorgan for informasjons- og objektsikkerhet og fagmiljø for IKT-sikkerhet. NSM er et direktorat med tverrsektorielt mandat, administrativt underlagt Forsvarsdepartementet. Justis- og beredskapsdepartementet har instruksjonsmyndighet overfor NSM i saker innenfor departementets ansvarsområde. NSMs oppgaver og ansvar er også regulert i en egen instruks av 2. desember 2014 fra Forsvarsdepartementet til direktør NSM.50

Rådgiving står sentralt i NSMs rolle som ekspertorgan og koordineringsinstans for sikkerhetstiltak. Samtidig har NSM en tilsynsrolle med ansvar for å kontrollere sikkerhetstilstanden i de virksomheter som omfattes av sikkerhetsloven. NSM har fag- og kontrollansvar for personellsikkerhetstjenesten etter sikkerhetsloven. De skal også kontrollere og veilede kryptosikkerhetstjenesten. Dette innebærer ansvar for forvaltning av både nasjonalt og NATO kryptomateriell. Korrumpering av kryptomateriell kan ha enorme skadevirkninger.

En vesentlig del av NSMs arbeid omhandler sikkerhet i graderte informasjonssystemer. Direktoratet har ansvar for å varsle om og legge til rette for håndtering av alvorlige dataangrep mot Norge. Dette ivaretas hovedsakelig av NorCERT som er en del av NSM og fungerer som nasjonal varslings- og koordineringsinstans for alvorlige dataangrep og andre IKT-sikkerhetshendelser. NorCERT drifter også VDI (varslingssystem for digital infrastruktur). Deltakelse i VDI er en tjeneste utvalgte og utsatte private virksomheter kan få tilbud om å kjøpe, noe de gjør i betydelig grad.

Som et relativt nyopprettet tverrsektorielt direktorat utfordres NSMs rolle og status tidvis av andre aktører på sikkerhetsfeltet. Utpeking av skjermingsverdige objekter har vist seg å bli en krevende prosess for NSM, og tjenesten fremstår ikke tilfreds med resultatene av utpekingen. Slik utpeking styres i dag av det enkelte departement i tråd med sektorprinsippet, selv om NSM er gitt ansvar for å ivareta helheten og holde oversikt over kritiske nøkkelpunkter. Stortinget anerkjenner utfordringene i utpekingsarbeidet og konkluderer at «[i]nnenfor objektsikkerhetsområdet er det også avdekket uenighet mellom ulike sektorer om hva reglene skal ta sikte på å beskytte mot, og på hvilken måte».51 Problemene rundt utpeking av objekter står i kontrast til den suksess NSM har hatt med å utvikle NorCERT og VDI. For en nærmere omtale av NSMs oppgaver vises det til kapittel 7.

Forsvaret har også en dedikert egen enhet som skal ivareta forebyggende sikkerhetstjeneste i Forsvaret. FSA er en del av forsvarsstrukturen og er administrativt direkte underlagt Forsvarsstaben. Avdelingen skal være en sentral stabsfunksjon for forebyggende sikkerhetstjeneste i Forsvaret. I tillegg sikkerhetsklarerer FSA tusenvis i Forsvaret årlig, og er med dette Norges største klareringsorgan i omfang. FSA skal «motvirke sikkerhetstruende virksomhet mot Forsvaret, for eksempel ulovlig etterretning, sabotasje og terrorhandlinger».52

FSA skal kun operere innenfor Forsvaret, men har ansvar for militær kontraetterretning ved og på militært område. I de tilfeller FSA avdekker mistanke om ulovlig etterretningsvirksomhet, sabotasje eller lignende, plikter FSA å informere PST.

FSA representerer forsvarssjefen internasjonalt overfor NATO og samarbeidende sikkerhetstjenester, samt nasjonalt overfor PST og NSM. FSA skal også holde seg orientert om «det sikkerhetsmessige risikobilde som omgir Forsvaret og norsk militær aktivitet både hjemme og ute».53 Blant FSAs viktigste styringsdokumenter er Instruks om sikkerhetstjeneste i Forsvaret av 29. april 2010. Det understrekes i instruksens § 1 at «[i]nstruksen medfører ingen endringer i forholdet mellom NSM og Forsvarets virksomhet innen forebyggende sikkerhetstjeneste.»54

EOS-utvalget er et permanent kontrollutvalg underlagt Stortinget med ansvar for å kontrollere etterretnings-, overvåkings- og sikkerhetstjeneste som har til formål å ivareta nasjonale sikkerhetsinteresser. Tjenestenes andre formål slik som politiets alminnelige kriminalitetsetterretning omfattes ikke av kontrollmandatet. EOS-tjenestene som EOS-utvalget per i dag fører jevnlig kontroll med inkluderer E-tjenesten, PST, NSM og FSA.

EOS-tjenestene skal beskytte borgere og samfunnet fra trusler mot rikets sikkerhet, samtidig som de skal sikre at borgernes personlige rettigheter ivaretas i prosessen. EOS-utvalget er ansvarlig for å kartlegge om og forebygge at det øves urett, at tjenestene ikke benytter mer inngripende midler enn det som er nødvendig etter forholdene, samt å påse at tjenestene respekterer menneskerettighetene.55 EOS-utvalgets mandat omfatter ikke personer som ikke er bosatt i Norge eller organisasjoner som ikke har tilhold i landet. Unntak gjøres også for utenlandske borgere som har opphold knyttet til tjeneste for fremmede stater, slik som diplomatisk personell.

EOS-utvalget består av syv medlemmer med en bredt sammensatt bakgrunn og blir valgt av Stortinget i plenum etter innstilling fra Stortingets presidentskap. Stortingsrepresentanter kan ikke sitte i utvalget samtidig som de sitter på Stortinget. EOS-utvalget har ingen instruksjonsmyndighet ovenfor tjenestene, men rapporterer og gir råd til Stortinget gjennom årsmeldinger. EOS-utvalgets parlamentariske forankring anses som en styrke, og har fått annerkjennelse internasjonalt.

Et evalueringsutvalg ble oppnevnt i mars 2015 for å vurdere hvordan EOS-utvalget har ivaretatt sine oppgaver, og hvordan dette bør gjøres videre. Evalueringsutvalget avla sin rapport 29. februar 2016. Utredningsutvalget har påpekt at EOS-utvalget har gjort en god jobb og har oppfylt intensjonen som lå bak etableringen i 1996.56 Evalueringsutvalget fant også at EOS-utvalget har opparbeidet seg både allmenn respekt og respekt og tillit hos tjenestene. Blant de viktigste forslagene relatert til sikkerhetsloven er at sikkerhetsklareringssaker foreslås tatt ut av EOS-utvalgets kontrollområde, og at Hærens Etterretningsbataljon og Forsvarets spesialstyrker underlegges regelmessig og obligatorisk kontroll av EOS-utvalget.57

Direktoratet for samfunnssikkerhet og beredskap (DSB) understøtter Justis- og beredskapsdepartementets koordinerings- og samordningsrolle innenfor samfunnssikkerhet og beredskap. DSBs koordinerende roller er fastsatt i en egen instruks.58 I henhold til denne instruksen skal DSB blant annet:

  • Ha oversikt over sårbarhets- og beredskapsutviklingen i samfunnet og ta initiativ for å forebygge hendelser med sikte på å hindre tap av liv, helse, miljø, viktige samfunnsfunksjoner og store materielle verdier.

  • Ha et sektorovergripende perspektiv med vekt på store ulykker og ekstraordinære situasjoner.

  • Bistå Justis- og beredskapsdepartementet i dets systemrettede tilsyn med det sivile beredskapsarbeidet i departementene.

DSB driver som navnet tilsier ikke primært med statssikkerhet. DSB har imidlertid en helt sentral plass i den sivile beredskap og anvender i stor grad andre lovhjemler enn sikkerhetsloven, og er den viktigste aktør på safety-feltet som i hovedsak omhandler ikke-intenderte ulykker. Samtidig er DSB opptatt av en helhetlig forebyggende sikkerhetstenkning på tvers av trussel- og risikospekteret. Dette fremheves særlig tydelig gjennom konseptet all hazards-tilnærming, som søker å kombinere safety- og security-aspektene. DSB skal ha et sektorovergripende perspektiv med vekt på store ulykker og ekstraordinære situasjoner, og de opptrer som etatstyrer overfor sivilforsvaret, med sine 18 sivilforsvarsdistrikt. DSB har i tillegg embetsstyringsansvaret for fylkesmannsembetene på samfunnssikkerhet og beredskapsfeltet.59

4 Dagens sikkerhetsutfordringer

Forebyggende sikkerhet er en viktig del av arbeidet med nasjonal sikkerhet. Å oppnå sikkerhet har opptatt stater og nasjoner til alle tider, og definisjonene av sikkerhet er mange og ulike. På et grunnleggende plan kan sikkerhet defineres som «evnen til å unngå skader og tap som følge av uønskede hendelser enten disse er bevisste eller tilfeldige handlinger».60 Risikobegrepet er derfor sentralt i diskusjonene om forebyggende nasjonal sikkerhet. Risiko kan fremstilles som et produkt av sannsynligheten for at en hendelse inntreffer og konsekvensen dersom den inntreffer. Det vil være knyttet usikkerhet til både sannsynligheten og vurderingen av mulig konsekvens.61

I den videre gjennomgangen av dagens sikkerhetsutfordringer er det innledningsvis en omtale av risikostyring i staten som grunnlag for å oppnå nasjonal sikkerhet og en omtale av risikovurderingsmetodikk. Videre beskrives hvilke verdier som må vernes, hvilke trusler som kan ramme verdiene og hvilke sårbarheter i samfunnet som trusselaktører kan utnytte. Dette er forhold som påvirker samfunnets risiko – og altså sikkerhet. Avslutningsvis gjennomgås noen av de virkemidlene staten har til rådighet for å styre samfunnsutviklingen i en ønsket retning, med sikte på å redusere risiko.

4.1 Risikohåndtering og forebyggende nasjonal sikkerhet

4.1.1 Risikostyring

Risikostyring er grunnlaget for systematisk sikkerhetsarbeid. Det innbefatter alle tiltak og aktiviteter som gjøres for å styre risiko.62 Nasjonal sikkerhet påvirkes negativt av ulike typer risiko, og positivt av risikoreduserende tiltak. Den negative påvirkningen på nasjonal sikkerhet knyttes til risiko for et bredt spekter av uønskede hendelser. Uønskede hendelser kan deles inn i tre kategorier a) tilsiktede uønskede hendelser, som spionasje, sabotasje og terrorisme, samt annen kriminalitet, og utilsiktede uønskede hendelser forbundet med b) store menneskeskapte ulykker og c) naturhendelser. Staten, virksomheter og enkeltpersoner foretar valg om hvordan de vil forholde seg til ulike former for risiko. Valgene kan være foretatt bevisst eller ubevisst. Dersom man er kjent med at det knytter seg risiko til et bestemt forhold, kan man velge å forholde seg til høy grad av usikkerhet om hvor høy risikoen er. Dette innebærer at risikonivået er ukjent. Ved å identifisere og vurdere risiko vil man kunne fastsette risikonivået. Dersom risikonivået er kjent vil en kunne velge å foreta risikoreduserende tiltak, eller akseptere risikoen (risikoaksept). Risikoaksept vil være aktuelt dersom risikonivået er tilstrekkelig lavt eller at det fører med seg uforholdsmessig store ulemper (for eksempel kostnader) å gjennomføre risikoreduserende tiltak. Risiko vil også kunne omfatte forhold som ikke er identifisert og som man ikke har kjennskap til at eksisterer.63 I forbindelse med vurdering av risiko vil informasjonstilgang og kunnskapsnivå ha stor innvirkning på usikkerhet i resultatet. Dette og andre forhold som medfører sårbarheter ved risikostyring er nærmere omtalt i kapittel 4.4.4. Risikoaksept og risikoreduksjon på samfunnsnivå er nærmere omtalt i kapittel 4.5.

Risikoreduserende tiltak som rettes inn mot uønskede hendelser vil i mange sammenhenger være effektive uavhengig av om det er risiko for tilsiktede eller utilsiktede hendelser man utsettes for eller ønsker å verne seg mot. I andre sammenhenger er tiltakene rettet mot risiko for en spesifikk hendelse og har ingen generell risikoreduserende effekt. Reduksjon av risiko i samfunnet skjer enten ved å minske sannsynligheten for at hendelser inntreffer eller gjennom å forberede samfunnet på å håndtere de hendelser som inntreffer, eller på annen måte sikre at konsekvensene av hendelser blir så små som mulig.

Risikostyring og risikoreduksjon vil være av egeninteresse for de fleste virksomheter, og det vil derfor være vanlig å ha en eller annen form for systematikk rundt dette. Graden av systematikk og hvilken metodisk tilnærming som benyttes vil imidlertid variere. Hvilken type risiko som er i fokus vil også variere. Staten stiller krav til offentlig virksomhet om at virksomheten skal styres etter visse prinsipper. Dette gjelder også hvordan virksomheter skal forholde seg til risiko. Et sentralt eksempel på dette området er Statens økonomireglement (blant annet § 4 Grunnleggende styringsprinsipper). I noen sammenhenger er det spesifikke krav til metodisk tilnærming til risiko. I e-forvaltningsforskriften § 15 stilles det krav til at alle offentlige virksomheter skal ha internkontroll på informasjonssikkerhetsområdet basert på anerkjente standarder. Et eksempel kan være ISO/IEC 27001 for sikkerhetsstyring. Slike formelle krav til risikostyring kan også finnes i sektorregelverk, og således gjelde selvstendige rettssubjekter, eventuelt i virksomhetenes egne retningslinjer. NS-ISO 31000 er en generell standard for risikostyring, og et eksempel på standard som mange virksomheter benytter.

Figur 4.1 Risikostyring.

Figur 4.1 Risikostyring.

Prinsippet for risikostyring bygger på at det foretas en risikovurdering for en bestemt problemstilling. Med bakgrunn i risikovurderingen vil risikoreduserende tiltak gjennomføres der risikoen oppfattes som uakseptabel.

Kilde: NS-ISO 31000:2009, Risikostyring, prinsipper og retningslinjer, utdrag fra figur 1.1

1 Forholdet mellom prinsippene, rammeverket og prosessen for risikostyring fra NS-ISO 31000:2009 er gjengitt av Forsvarsdepartementet med tillatelse fra Standard Online AS 09/2016. Standard Online er ikke ansvarlig for eventuelle feil i gjengitt materiale. Se www.standard.no.

4.1.2 Tilsiktede hendelser versus utilsiktede hendelser – konsekvenser for sikkerhetsarbeidet

Forebygging av uønskede hendelser har en rekke likheter uavhengig av om det er snakk om tilsiktede eller utilsiktede hendelser. Tilsiktede uønskede hendelser har imidlertid særegenheter som gjør forebygging prinsipielt forskjellig fra forebygging av utilsiktede hendelser. Tilsiktede uønskede hendelser betyr at noen har en intensjon om å påføre en eller annen form for skade. I forbindelse med nasjonal sikkerhet og samfunnssikkerhet innebærer dette at noen har til hensikt å påføre samfunnet betydelig skade. I praksis betyr dette at den eller de som utfører eller planlegger å utføre handlingen vil kunne tilpasse handlingen til de sikkerhets- og beredskapstiltak som de har kjennskap til, eller som de forventer skal finnes. Dette fører til et behov for å ha et bevisst forhold til hvordan informasjon om risikoreduserende tiltak skal distribueres. Behovet for skjerming av slik informasjon er åpenbar. Samtidig er dette et forhold som det spilles aktivt på i sikkerhetssammenheng. Effektiv avskrekking oppnås gjennom den informasjon, forestilling og kunnskap en trusselaktør har om sikringstiltakene, og ikke nødvendigvis av det reelle sikringsnivået. Det er derfor en god strategi å synliggjøre at sikkerheten er god, samtidig som man skjermer informasjon på en måte som gjør det vanskelig å fullt ut forstå og ramme sikkerhets- og beredskapssystemene.

Videre er det en annen form for dynamikk forbundet med tilsiktede hendelser sammenlignet med utilsiktede. Ved tilsiktede hendelser er det en aktør som foretar valg om strategi og taktikk, samt utvelgelse av mål for handlingen(e). Som regel vil trusselaktører ønske å påføre samfunnet en bestemt type skade eller mest mulig skade med så lav operasjonell risiko som mulig. Operasjonell risiko ved væpnede aksjoner/operasjoner inkluderer alle forhold som reduserer sannsynligheten for at operasjonen lykkes. Dette vil ofte inkludere den personlige risikoen for de som deltar. Hensynet til operasjonell risiko kan lede til en form for opportunisme som fører til at dersom det gjennomføres betydelige risikoreduserende tiltak på enkelte områder vil risikoen øke på områder der det ikke er gjennomført risikoreduserende tiltak. Dette kalles ofte «innbruddsalarm-problematikken». Har alle dine naboer installert innbruddsalarm, men ikke du, er ditt hus mer utsatt. Det er derfor av stor betydning med koordinert og samordnet risikohåndtering på tvers av virksomheter og sektorer.

4.1.3 Tilnærminger til risikovurdering

Risikovurderinger er grunnlaget for prioritering av risikoreduserende tiltak i de fleste virksomheter. Det finnes ulike tilnærminger til risikovurderinger. Tradisjonelt har risiko blitt definert som en funksjon av sannsynlighet for og konsekvens av en hendelse, eller et sett med hendelser (figur 4.2). Det er denne tilnærmingen som beskrives i Norsk standard 5814:2008, Krav til risikovurderinger, som er en standard for risikovurderinger for både tilsiktede og utilsiktede uønskede hendelser. Det er flere måter å foreta vurdering av sannsynlighet og konsekvens på. Sannsynlighet kan vurderes ved hjelp av statistiske metoder om relevant statistikk er tilgjengelig, eller som en ikke-statistisk kunnskapsbasert vurdering dersom det ikke finnes egnet statistisk grunnlag. Kombinasjon av statistisk og ikke-statistisk tilnærming kan også benyttes.

Figur 4.2 Risikomatrise.

Figur 4.2 Risikomatrise.

Den vanligste måten å vurdere risiko på er som en funksjon av sannsynlighet og konsekvens for at ulike hendelser inntreffer.

I sikkerhetsmiljøene som arbeider med risikohåndtering av tilsiktede uønskede hendelser, er det vanlig å foreta vurderinger av risiko ut i fra det som omtales som tre-faktormodellen (figur 4.3), og som er innarbeidet i Norsk Standard 5832:2014, Samfunnssikkerhet, Beskyttelse mot tilsiktede uønskede handlinger, Krav til sikringsrisikoanalyse. I denne modellen foretas det en kartlegging av hvilke verdier som skal sikres, hvilke trusler som potensielt kan ramme verdiene, samt hvilke sårbarheter som bidrar til at verdiene kan rammes av de aktuelle truslene.

Figur 4.3 Risiko – trefaktormodellen.

Figur 4.3 Risiko – trefaktormodellen.

Risiko kan betraktes som forholdet mellom verdier (som vi ønsker å verne), trusler som kan ramme disse verdiene og sårbarheten verdiene har i forhold til de aktuelle truslene. Risiko kan redusere gjennom å redusere trusler eller sårbarhet (gitt at verdiene skal vernes).

Kilde: NSM, Sikkerhetsfaglig råd, 2015.

Forsvarets forskningsinstitutt (FFI) har utgitt en rapport der de to standardene for risikovurdering sammenlignes.64 FFI konkluderer i sin rapport med at tilnærmingene har mange likhetstrekk, og at forskjellen hovedsakelig ligger i hvorvidt sannsynlighetsvurderingen er eksplisitt eller implisitt. I rapporten skriver de at begge modellene har svakheter knyttet til hvordan de kommuniserer usikkerheten knyttet til risikoen, og at det verken nasjonalt eller internasjonalt eksisterer en beste fremgangsmåte for å vurdere tilsiktede uønskede hendelser.

4.2 Verdier av betydning for nasjonal sikkerhet

Formålet med forebyggende sikkerhet er å verne verdier. Verdi kan betraktes som kvaliteten ved noe, eller det som er godt ved noe. Verdi sies gjerne å bestemme en tings viktighet med hensyn til hvordan vi bør gjøre våre vurderinger og beslutninger.65 Verdi kan i utgangspunktet tillegges alle ting (personer, objekter, handlinger, tilstander), og en ting blir gjerne sagt å ha en større eller mindre grad av verdi.

Det kan gjøres et skille mellom ulike typer verdi og ulike måter ting kan være verdifulle på. Særlig viktig er skillet mellom egenverdi og instrumentell verdi. Skillet går i korte trekk ut på at det som har egenverdi er verdifullt i kraft av å være det det er, mens det som har instrumentell verdi er verdifullt bare i kraft av å være et middel eller årsak til å realisere noe med egenverdi.

En verdi kan defineres som en «ressurs som hvis den blir utsatt for en uønsket påvirkning vil medføre en negativ konsekvens for den som eier, forvalter eller drar fordel av ressursen».66 Det kan være verdier av materiell og ikke materiell art.

Som utgangspunkt for en gjennomgang av verdier som er av betydning for nasjonal sikkerhet er det sett hen til grunnlovens bestemmelser omkring grunnleggende verdier i vårt demokratiske samfunn; begrepet kritiske samfunnsfunksjoner som danner utgangspunktet for samfunnssikkerhetsarbeidet i staten; begrepene rikets sikkerhet og vitale nasjonale sikkerhetsinteresser slik disse benyttes i dagens sikkerhetslov, samt grunnleggende nasjonale interesser som reguleres i straffeloven og utlendingsloven.

I kapittel 6 fremkommer utvalgets vurderinger av hva som skal reguleres i et nytt lovgrunnlag for forebyggende nasjonal sikkerhet, sett i lys av verdiene og begrepene omtalt i dette kapittelet.

4.2.1 Grunnleggende verdier i vårt demokratiske samfunn

Det følger av utvalgets mandat at det «skal vurdere hva som bør reguleres i lov for å sikre nasjonal sikkerhet. Formålet med nytt lovgrunnlag skal være å beskytte kritisk infrastruktur, kritiske samfunnsfunksjoner og sensitiv informasjon mot tilsiktede, uønskede hendelser».

Det som i henhold til mandatet skal beskyttes er altså nasjonal sikkerhet – som oppnås gjennom å blant annet sikre kritisk infrastruktur, kritiske samfunnsfunksjoner og sensitiv informasjon.

Det er naturlig å se hen til Grunnloven som utgangspunkt for hvilke underliggende verdier som må sikres for å ivareta nasjonal sikkerhet.

Grunntanken fra naturretten om at menneskene er født frie og like og med det samme menneskeverd, ligger til grunn for både Norges grunnlov og Verdenserklæringen om menneskerettigheter fra 1948. Grunnloven danner et felles rettslig og politisk fundament, i tillegg til at den er et samlende symbol for nasjonen.

Det følger av Grunnloven § 1 at «Kongeriket Norge er et fritt, selvstendig, udelelig og uavhendelig rike. Dets regjeringsform er innskrenket og arvelig monarkisk.» Da bestemmelsen ble gitt i 1814, ble den ansett som Norges selvstendighets- og uavhengighetserklæring.67 At Norge er og skal være en suveren stat er dermed en grunnleggende verdi. Et sentralt element i suverenitetsbegrepet er statens selvbestemmelsesrett innenfor et nærmere angitt territorium.

Det følger videre av Grunnloven § 2 at «Verdigrunnlaget forblir vår kristne og humanistiske arv. Denne Grunnlov skal sikre demokratiet, rettsstaten og menneskerettighetene.» Paragrafen uttrykker «sentrale og grunnleggende verdier i samfunnet og for staten, som konstitusjonen bygger på og bidrar til å bevare og fremme.»68 Departementet uttrykte også at «[d]e grunnleggende prinsippene og verdiene vil bli operasjonalisert gjennom andre bestemmelser i Grunnloven som i større utstrekning direkte gir rettigheter og plikter», at bestemmelsen måtte utformes innen rammene av internasjonale forpliktelser, og at utformingen måtte balansere en rekke ulike hensyn, inkludert religionsfrihet.

Om bestemmelsens første punktum uttalte Gjønnes-utvalget69 blant annet at «[g]runnloven er det dokumentet som konstituerer statsdannelsen Norge som et politisk og rettslig fellesskap, men dette bygger igjen på et grunnleggende nasjonalt fellesskap. Dersom man ønsker å fremheve dette nasjonale fellesskapet (etos) er det mest nærliggende med en verdiparagraf som viser til felles historie, kulturtradisjoner og samfunnsverdier.»

De tre grunnverdiene henviser til henholdsvis folkestyret, en uavhengig og upartisk domstol og til menneskerettighetene, jf. Grunnloven § 92. Det følger av sistnevnte en forpliktelse ikke bare overfor befolkningen, men også folkerettslig ved at «Statens myndigheter skal respektere og sikre menneskerettighetene slik de er nedfelt i denne grunnlov og i for Norge bindende traktater om menneskerettigheter».

At menneskerettighetene skal respekteres, innebærer at alle statsmakter må ta dem i betraktning, og følge dem. Avhengig av rettighetenes nærmere innhold og formål, danner de i utgangspunktet konstitusjonelle grenser for det ordinære flertalls politikk, og de skal være en normdannende rettesnor for alle statens myndigheter i deres maktutøvelse.

Det nærmere innholdet i begrepene «respektere» og «sikre» kan beskrives slik:

At menneskerettighetene skal respekteres, innebærer at alle statsmakter må ta dem i betraktning, og følge dem. Avhengig av rettighetenes nærmere innhold og formål, danner de i utgangspunktet konstitusjonelle grenser for de ordinære flertalls politikk, og de skal være en normdannende rettesnor for alle statens myndigheter i deres maktutøvelse.
At rettighetene skal sikres pålegger statsmaktene en aktivitetsplikt for ivaretagelse av rettighetene. For regjeringen og Stortinget ligger det i dette en aktivitetsplikt – de kan ikke unnlate å sikre menneskerettigheter de er klar over blir utfordret under gjeldende reguleringer. For domstolene innebærer sikringsplikten at de må håndheve ikke bare de menneskerettighetene som er nedfelt i Grunnloven, men også de for Norge bindende menneskerettighetsforpliktelser, og sørge for at eventuelle menneskerettighetsbrudd foretatt av andre myndigheter blir reparert, jf. Rt. 2014 s. 1105, Rt. 2014 s. 1292 og Rt. 2015 s. 93. 70

Samlet utrykker Grunnloven §§ 1 og 2 nasjonens viktigste og mest beskyttelsesverdige verdier, statens suverenitet, demokratiet, rettsstaten og menneskerettighetene. Disse verdiene danner etter utvalgets syn et godt utgangspunkt for den videre utarbeidelsen av et nytt lovgrunnlag for nasjonal sikkerhet.

Her oppstår imidlertid et grunnleggende dilemma. Statens selvstendighet, suverenitet og handlefrihet er avgjørende for opprettholdelse av de mest grunnleggende verdiene i rettsstaten og i et demokratisk samfunn. Samtidig kan de sikkerhetstiltak som iverksettes for å forebygge trusler mot nasjonal sikkerhet, sette de grunnleggende samfunnsverdiene under press. Skal staten gjøre inngrep i grunnleggende rettigheter, for eksempel personvern og rettssikkerhet, må det begrunnes som legitimt og forholdsmessig for å beskytte andre grunnleggende rettigheter og hensyn. Slike formål kan være andre menneskerettigheter, men også hensynet til nasjonal sikkerhet, jf. Den europeiske menneskerettighetskonvensjonen art. 8(2). Vernet av den enkeltes personlige integritet og autonomi er i Norge en grunnlovsfestet rettighet, jf. Grunnloven § 102. En balansert avveining mellom nasjonal sikkerhet, menneskerettighetene og andre grunnleggende interesser, står sentralt i utvalgets arbeid.

En målsetting for utvalget vil være å fremme et lovforslag som ikke vesentlig endrer forholdet mellom de overordnede samfunnsmessige verdiene. Forholdet mellom forebyggende sikkerhet og rettssikkerhetsgarantiene utdypes nærmere i kapittel 5.

4.2.2 Samfunnets grunnleggende behov og kritiske samfunnsfunksjoner

En av de viktigste oppgavene for staten er å ivareta nasjonal sikkerhet. Dette omfatter ivaretagelse av nasjonens ytre sikkerhet og samfunnssikkerhet. Verdiene i samfunnet er knyttet til hvilke behov befolkningen har og i hvilken grad manglende oppfyllelse av behov har negative konsekvenser for individet.

Et spørsmål i denne sammenheng er hva som utgjør samfunnets grunnleggende behov. Dette kan også formuleres som et verdispørsmål: Hvilke verdier er det i et samfunnsmessig perspektiv helt grunnleggende å beskytte?

Infrastrukturutvalget la i sin utredning til grunn at en mulig måte å identifisere samfunnets grunnleggende behov på, var å ta utgangspunkt i Maslows behovspyramide. De grunnleggende behovene definisjonen peker på, kan knyttes til de to nederste trinnene i behovspyramiden – fysiologiske behov og trygghetsbehov (som også omfatter orden og stabilitet). Maslows teori var i utgangspunktet knyttet til menneskets psykologiske behov i en selvrealiseringsprosess. Teorien er imidlertid også blitt brukt i organisasjonsteori og samfunnsfag.71

Etter å ha identifisert de grunnleggende behovene/grunnleggende verdiene som må beskyttes, vil det neste steg være å identifisere hvilke samfunnsfunksjoner som er kritiske for å dekke disse behovene. Disse funksjonene vil da utgjøre det som omtales som kritiske samfunnsfunksjoner. Ulike kriterier kan legges til grunn for identifisering av kritiske samfunnsfunksjoner. DSB har i sin rapport Samfunnets kritiske funksjoner (KIKS) avgrenset identifiseringen til de mest tidskritiske funksjonene. Det vil si de som får umiddelbare negative konsekvenser for befolkningen selv ved kortvarig svikt. DSB har lagt til grunn følgende forutsetninger for operasjonaliseringen av begrepet:72

  • Avgrensning i tid: Begrepet kritisk samfunnsfunksjon skal forbeholdes funksjoner som samfunnet ikke kan klare seg uten i syv døgn uten at dette truer grunnleggende behov.

  • Kontekstuelle forutsetninger: Vurderingen av en funksjons kritikalitet baseres på konsekvenser om bortfall skjer på ugunstige tidspunkt, og at det kan være et ugunstig sammenfall av hendelser. Det forutsettes med andre ord at uønskede hendelser inntreffer.

DSB har, basert på disse kriteriene, sortert funksjonene i fire behovskategorier:

  • Nasjonal styringsevne og suverenitet

    • (1) nasjonal styring, (2) forsvar

  • Befolkningens sikkerhet

    • (3) lov og orden, (4) helse og omsorg, (5) redningstjenester, (6) sikkerhet mot eksponering av farlige stoffer, (7) informasjonssikkerhet, (8) overvåkning av naturfarer

  • Befolkningens velferd

    • (9) matforsyning, (10) vann og avløp, (11) sosiale ytelser og tjenester, (12) finansielle tjenester, (13) energiforsyning, (14) elektronisk kommunikasjon, (15) transport, (16) satellittbaserte tjenester

  • Kultur og natur

    • (17) vern av kulturelle verdier, (18) vern mot forurensning

Hvilke samfunnsfunksjoner som vil anses for kritiske, avhenger både av hvilke verdier/behov som legges til grunn for vurderingen og hvilke kriterier som legges til grunn for vurdering av kritikalitet.

I KIKS-rammeverket er den funksjonsevnen de ulike samfunnsfunksjonene må opprettholde beskrevet som kapabiliteter. Kapabilitetene gir uttrykk for hva ansvarlige virksomheter skal være i stand til for at samfunnsfunksjonen skal være ivaretatt. DSB skiller mellom tre ulike kapabiliteter:73

  • Kontinuitetskapabiliteter: Evne til å opprettholde leveranser fra virksomheter med samfunnskritisk betydning uansett hva som måtte inntreffe

  • Sikkerhetskapabiliteter: Evne til å opprettholde akseptabelt sikkerhetsnivå i virksomheter som potensielt kan anrette skade på liv og helse, miljø eller tap av andre samfunnsmessige verdier

  • Beredskapskapabiliteter: Evne til å iverksette forhåndsplanlagte aktiviteter når det oppstår en ekstraordinær situasjon

Figur 4.4 
Kritiske samfunnsfunksjoner.

Figur 4.4 Kritiske samfunnsfunksjoner.

Befolkningens grunnleggende behov er utgangspunktet for å definere kritiske samfunnsfunksjoner, som kan operasjonaliseres i kapabiliteter. Disse er avhengige av infrastrukturer og innsatsfaktorer for å fungere.

Kilde: DSB, Samfunnets kritiske funksjoner – Hvilken funksjonsevne må samfunnet opprettholde til enhver tid? Høringsutgave september 2015.

Befolkningens grunnleggende behov danner utgangspunktet for å definere kritiske samfunnsfunksjoner. Disse funksjonene kan igjen operasjonaliseres i ulike kapabiliteter, henholdsvis kontinuitets-, sikkerhets- eller beredskapskapabiliteter.

En ytterligere operasjonalisering vil i henhold til DSBs rapport være å beskrive nødvendige leveranser eller innsatsfaktorer for at kapabilitetene skal ivaretas. En slik kartlegging av verdikjeden bak hver kapabilitet med vurdering av sårbarhet og avhengigheter, er nødvendig for å ha tilstrekkelig oversikt og kontroll over samfunnsfunksjonene. Infrastruktur kan for eksempel være produksjonsanlegg, transformatorer, kraftnett og lignende som trengs for å understøtte energiforsyning og kjernenett, transportnett og svitsjer for understøttelse av elektronisk kommunikasjon. Innsatsfaktorer kan være personell (arbeidskraft, kompetanse, etc), kapital, naturressurser o.l.

De innsatsfaktorer som en virksomhet med kritisk samfunnsfunksjon er avhengig av for å kunne dekke samfunnets grunnleggende behov, betegnes som kritiske innsatsfaktorer.

På samme måte vil infrastruktur som er nødvendig for understøttelse av kritiske samfunnsfunksjoner betegnes som kritisk infrastruktur. Infrastrukturutvalget definerer kritisk infrastruktur på følgende måte:

Kritisk infrastruktur er de anlegg og systemer som er helt nødvendige for å opprettholde samfunnets kritiske funksjoner som igjen dekker samfunnet grunnleggende behov og befolkningens trygghetsfølelse.74

Systematikk for kartlegging og identifisering av kritisk infrastruktur vil bli redegjort nærmere for i kapittel 7 og 9.

For å sikre ivaretakelse av samfunnets grunnleggende behov og opprettholdelse av kritiske samfunnsfunksjoner, er det nødvendig å iverksette visse sikkerhetstiltak. Dels er det nødvendig å sørge for en tilfredsstillende sikring av den infrastrukturen som er avgjørende for opprettholdelse av funksjonalitet. Dels må informasjon av avgjørende betydning for de samme funksjonene sikres også av hensyn til konfidensialitet, integritet og tilgjengelighet.

4.2.3 Rikets sikkerhet og vitale nasjonale sikkerhetsinteresser

I dagens sikkerhetslov er verdibegrepet først og fremst knyttet til i hvilken grad truslene kan skade rikets sikkerhet. Fokuset i dagens lov er med andre ord hvilke skadefølger kompromittering av skjermingsverdig informasjon vil få for Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser, jf. sikkerhetsloven § 11.

Det samme gjelder for skjermingsverdige objekter, hvor verdien indirekte er beskrevet gjennom de skadefølger redusert funksjonalitet, skadeverk, ødeleggelse eller rettsstridig overtakelse, vil kunne få for rikets selvstendighet og sikkerhet og for andre vitale nasjonale sikkerhetsinteresser, jf. sikkerhetsloven § 17a.

Dagens sikkerhetslov benytter i formålsbestemmelsen begrepsapparatet «rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser», jf. sikkerhetsloven § 1 første ledd bokstav a. Begrepene er ikke nærmere definert i loven. Hva gjelder begrepet «rikets sikkerhet» følger det av lovens forarbeider at:

Med «rikets... sikkerhet» siktes både til rikets indre og ytre sikkerhet. Begrepet er for øvrig en utpreget rettslig standard som kan forandre seg med samfunnsutviklingen. Departementet ser ikke i lovforslaget her grunn til å søke å presisere begrepet utover det som allerede er antatt på bakgrunn av andre rettskilder (juridisk teori, domstolspraksis, forarbeider til andre lover, forvaltningspraksis, mv).75

Forarbeidene beskriver «vitale nasjonale sikkerhetsinteresser» som et samlebegrep som dekker samtlige felter innenfor rikets totale sikkerhetsbehov. Begrepet skal til enhver tid vurderes og defineres av overordnede politiske myndigheter. Terskelen for å anse noe for å true slike interesser i medhold av sikkerhetsloven vil være høy, og det understrekes at begrepet kan endres i pakt med samfunnsutviklingen og de sikkerhetsmessige utfordringer som Norge til enhver tid står overfor.

Infrastrukturutvalget la i sin utredning følgende forståelse av begrepene til grunn:

Det følger av ovennevnte at begrepene «rikets sikkerhet» og «vitale nasjonale interesser» til sammen skal dekke samfunnets totale sikkerhetsinteresser, slik de defineres på bakgrunn av de sikkerhetsutfordringene Norge til enhver tid står overfor. Samtidig er det viktig at terskelen for å anse noe for å true «rikets sikkerhet» og «vitale nasjonale interesser» skal være høy.
[…] I denne utredningen favner begrepene «rikets sikkerhet» og «vitale nasjonale interesser» sikringen av landets kritiske infrastruktur og kritiske samfunnsfunksjoner.76

Til tross for at forarbeidene til sikkerhetsloven klart forutsetter at begrepene rikets sikkerhet og vitale nasjonale sikkerhetsinteresser er rettslige standarder, som vil kunne endres i takt med samfunnsutviklingen, og at senere utredninger har lagt til grunn at begrepene omfatter noe mer enn statssikkerhet i snever forstand, er det i dag forskjellige oppfatninger av det nærmere innholdet i disse begrepene.

4.2.4 Grunnleggende nasjonale interesser

Straffelovens kapittel 17 omhandler vern av Norges selvstendighet og andre grunnleggende nasjonale interesser. I Straffelovkommisjonens delutredning VIII77 foreslo kommisjonen å samle i et nytt kapittel 17 alle straffebestemmelsene om rikets sikkerhet og grunnleggende nasjonale interesser, som tidligere fantes i 8de Kapitel, Forbrydelser mod Statens Selvstændighed og Sikkerhed og 9de Kapitel, Forbrydelser mod Norges Statsforfatning og Statsoverhoved. Det nye kapittel 17 ble foreslått å omfatte ni typer krenkelser:

  1. Krenkelse av Norges selvstendighet og fred

  2. Krenkelse av Norges statsforfatning

  3. Angrep på de høyeste statsorganers virksomhet

  4. Inngrep overfor andre samfunnsinstitusjoner

  5. Landssvik

  6. Ulovlig etterretningsvirksomhet

  7. Avsløring av statshemmelighet

  8. Avtale om krenkelse av Norges selvstendighet og forfatning, freden og andre grunnleggende nasjonale interesser

  9. Privat militær virksomhet

Kommisjonen viste i sin utredning til at straffebudene i 8de og 9de Kapitel relaterte seg til Grunnlovens bestemmelser om statsforfatningen og rikets selvstendighet og udelelighet. Fanebestemmelsene var § 83 som vernet Norges statsrettslige stilling og statsområde, og §§ 98 og 99 som vernet statsforfatningen og de øverste statsmaktene. De øvrige straffebudene i kapitlene kunne i stor utstrekning ses i forlengelsen av disse bestemmelsene, ved at de vernet freden eller mot særlige trusler i krig eller når krig truer, eller mot farer som ellers kunne true rikets indre eller ytre sikkerhet.78

Under drøftelsen av hvilke interesser som burde vernes etter straffebestemmelsene i det nye kapittelet, konkluderte kommisjonen med at det bare er de grunnleggende nasjonale interesser som burde omfattes av straffelovens bestemmelser til vern om rikets sikkerhet i vid forstand:

Under enhver omstendighet finner utvalget at vernet mot innhenting og avsløring av hemmelige opplysninger, ikke bør begrenses til interesser som gjelder rikets sikkerhet i tradisjonell forstand, men at også grunnleggende nasjonale interesser ellers bør omfattes. Ved siden av forholdet til andre stater, herunder forhandlingsposisjoner, er det nærliggende å fremheve de interesser som er knyttet til infrastrukturen, energi-, mat- og vannforsyning, samferdsel og telekommunikasjon, helseberedskap, bank- og pengevesen og andre samfunnsøkonomiske forhold, […]79

I Justis- og beredskapsdepartementets forarbeider til ny straffelov sa departementet seg enig med kommisjonen i at vernet mot ulovlig etterretningsvirksomhet burde utvides fra å gjelde rikets sikkerhet til grunnleggende nasjonale interesser.80

Boks 4.1 Grunnleggende nasjonale interesser

Grunnleggende nasjonale interesser er omtalt i ny straffelov kapittel 17. I lovens § 121 om etterretningsvirksomhet mot statshemmeligheter, er grunnleggende nasjonale interesser nærmere beskrevet i bokstav a-f:

  1. forsvars-, sikkerhets- og beredskapsmessige forhold,

  2. de øverste statsorganenes virksomhet, sikkerhet eller handlefrihet,

  3. forholdet til andre stater,

  4. sikkerhetsopplegg for fremmede staters representasjon og ved større nasjonale og internasjonale arrangementer,

  5. samfunnets infrastruktur, så som mat-, vann- og energiforsyning, samferdsel og telekommunikasjon, helseberedskap eller bank- og pengevesen, eller

  6. norske naturressurser.

Begrepet grunnleggende nasjonale interesser har også erstattet rikets sikkerhet i utlendingsloven.81 I forarbeidene til utlendingsloven har departementet gitt følgende begrunnelse for endringsforslaget:

Begrepet «grunnleggende nasjonale interesser» er et mer dekkende begrep som klarere reflekterer hvilke interesser man ønsker å beskytte. Begrepet «rikets sikkerhet», i alle fall tolket i snever eller tradisjonell forstand, er noe utdatert ut fra den senere tids utvikling, særlig i forhold til terrorvirksomhet, der hensikten ikke alltid er å ramme rikets sikkerhet som sådan, men like mye å skape frykt i sivilbefolkningen, eller å inspirere eller motivere til ekstremistiske handlinger, uten at konkrete handlinger er begått. Begrepet «grunnleggende nasjonale interesser» må tolkes i lys av den generelle samfunnsutviklingen og endringer i det internasjonale trusselbildet, og har en dynamisk karakter.82

Evalueringsutvalget for Stortingets kontrollutvalg for etterretnings-, overvåknings- og sikkerhetstjeneste, som overleverte sin rapport til Stortinget 29. februar 2016, uttalte følgende om begrepet nasjonal sikkerhet:

Rikets eller nasjonens sikkerhet omfatter flere felt. For det første nasjonal suverenitet og herredømme over landets territorium til lands, til sjøs og i luften. Et annet viktig felt er vern av det politiske styresettet, altså Norges demokratiske system og institusjoner. I tillegg kommer beskyttelse av andre viktige fysiske og digitale samfunnsstrukturer. Disse beskyttelsesverdige interessene er blant annet vernet gjennom straffelovens bestemmelser om vern av Norges selvstendighet og andre grunnleggende nasjonale interesser, samt bestemmelsene om straff for terrorhandlinger og terrorrelaterte handlinger. 83

4.3 Trusler mot nasjonal sikkerhet

Nasjonal sikkerhet handler om å verne nasjonens verdier mot trusler. En trussel er en mulig uønsket handling som kan gi en negativ konsekvens for en virksomhets sikkerhet.84 En trussel mot nasjonal sikkerhet vil kunne ha negativ konsekvens for de grunnleggende nasjonale interesser.

Vern mot trusler oppnås gjennom enten direkte eller indirekte påvirkning. Direkte påvirkning av trusselen oppnås ved å håndtere, fjerne eller nøytralisere den. Dette kan gjøres ved bruk av maktmidler, eller ved å påvirke holdninger og strategi gjennom økonomisk påvirkning, kommunikasjon og diplomati, eller en kombinasjon av slike faktorer. Indirekte påvirkning av trusselen kan gjøres ved å endre kost/nytte-vurderingen hos en potensiell trusselaktør. Dette kan innbefatte alle virkemidler som kan bidra til å sannsynliggjøre overfor potensielle trusselaktører at sikringsnivået er høyt nok til å forhindre at uønskede handlinger kan utøves uten uforholdsmessig høy innsats og risiko for å mislykkes.

I en trusselvurdering foretas en vurdering av trusselaktørenes intensjoner og kapasiteter. Det er Etterretningstjenesten og Politiets sikkerhetstjeneste (PST) som har ansvar for å foreta trusselvurderinger for Norge og norske interesser i utlandet. Etterretningstjenesten har ansvar for utenlandsetterretning, mens PST har ansvar for innlandsetterretning. Nasjonal sikkerhetsmyndighet utgir også årlige vurderinger av sikkerhetstilstanden, inkludert rapporter med spesielt fokus på trusler i det digitale domenet. Disse dokumentene utgjør grunnlaget for statens sikkerhetsarbeid, og gjennom de åpne trusselvurderingene vil hele samfunnet kunne nyttiggjøre seg vesentlige deler av denne informasjonen.

En trussel mot nasjonal sikkerhet kan komme i form av for eksempel ulovlig etterretningsvirksomhet, sabotasje, svindel, vold, økonomisk press, politisk press, annet press, menneskehandel, annen kriminalitet, cyberangrep og militære angrep i en eller annen form. Vi lever i et informasjonssamfunn som er i rask utvikling. Det er derfor knyttet spesiell spenning til hvordan trusler i cyberdomenet vil arte seg og utvikles.

I tillegg til trusseltypene som er nevnt ovenfor, kan handlinger som skjer uten intensjon om å forårsake negative konsekvenser for en annen part forårsake betydelig skade i samfunnet og også falle inn under definisjonen av en trussel. Denne typen trusler faller imidlertid utenfor utvalgets mandat som er avgrenset til tilsiktede uønskede handlinger. Denne typen trusler kan imidlertid utnyttes av trusselaktører og blir således en sårbarhet for samfunnet. Dette er omtalt under kapittel 4.4.4.2.

4.3.1 Aktuelle trusler

4.3.1.1 Etterretningsvirksomhet og spionasje

Etterretning er en viktig kapabilitet for militære og politiske formål. På strategisk nivå handler etterretning om å danne beslutningsgrunnlag for landets øverste ledelse. Etterretning omfatter innsamling, sammenstilling, analyse og tolkning av informasjon. Etterretning for militære og sikkerhetspolitiske formål gjennomføres blant annet for å skaffe til veie informasjon om en motstanders strategier og planer, militære kapasiteter, og for å kartlegge sårbarheter som kan utnyttes til egen fordel i en eventuell konflikt. Sårbarhetene kan være av organisatorisk, teknisk eller menneskelig karakter. Dette kan være informasjon om politiske forhold, teknologi og vitenskap, økonomi, industri, kommunikasjon, kraftforsyning, sosiale forhold, enkeltpersoner og annet. Slik kunnskap er avgjørende for hvordan forløpet, og dermed også utfallet, av en konflikt blir. Etterretning fra fremmede stater er i så måte en indirekte trussel mot et lands interesser, ved at innsamlingen danner grunnlaget for en eventuell vellykket gjennomføring av direkte trusler (slik som sabotasje) i en potensiell konfliktsituasjon. I mange sammenhenger kan innsamling av slik informasjon være avgjørende for å unngå at konflikter eskalerer.

Etterretning benyttes også for å få kunnskap og teknologi som kan benyttes for å videreutvikle egne kapabiliteter, enten i form av doktrine eller materiell. Etterretning har både sikkerhetspolitiske og militære anvendelse, men benyttes også for rent sivile formål som kan bidra til økt økonomisk vekst, økt konkuranseevne på internasjonale markeder, eller på andre måter gi velstandsutvikling. Mye etterretning innhentes gjennom åpne kilder eller andre lovlige midler. Informasjon som en part vurderer å være skjermingsverdig vil som regel være underlagt en eller annen form for beskyttelse/skjerming. For å få tak i slik informasjon vil etterretning baseres på fordekte og som regel ulovlige metoder. De fleste land innhenter etterretning utenlands, men bruken av kontroversielle eller ulovlige virkemidler vil variere fra stat til stat. Edvard Snowden vakte stor oppmerksomhet med sine lekkasjer til The Guardian og The Washington Post i juni 2013 om amerikanske NSAs (National Security Agency) innsamling av store mengder data om egne borgere og en rekke andre lands borgere og ledere, herunder allierte.

Avhengig av graden av beskyttelse vil en etterretningsaktør benytte ulike virkemidler for å få tak i informasjonen. Gjennom riktig verdivurdering av informasjon og dertil egnede sikkerhetstiltak, vil det kunne etableres en sammenheng mellom verdien av informasjon og ressursinnsatsen som en etterretningsaktør må benytte for å få tak i informasjonen og risikoen forbundet med innhentingsmetoden. Dette vil påvirke kost-/nyttevurderingen til en etterretningsaktør for å klarlegge om det vil være hensiktsmessig å gjøre forsøk på innhenting eller ikke. Samtidig vil det ved manglende verdivurdering oppstå risiko for at informasjon som er avgjørende for en trusselaktør lett blir tilgjengelig. For at en verdivurdering skal bli riktig, er det nødvendig med forståelse for hvilken verdi ulik informasjon har for ulike trusselaktører.

I Norge, som i alle andre land, er det ulovlig å bedrive etterretning mot statshemmeligheter og mot hemmeligheter som har betydning for våre alliertes sikkerhet. Det er også ulovlig å drive etterretning mot sensitive personopplysninger i henhold til straffeloven.

I dagens sikkerhetslov85 § 3 nr. 3 er ulovlig etterretning omtalt som spionasje, og definert som «innsamling av informasjon ved hjelp av fordekte midler i etterretningsmessig hensikt».

Spionasje faller inn under fellesbetegnelsen «sikkerhetstruende virksomhet» som i dagens sikkerhetslov § 3 nr. 2 er definert som «forberedelse til, forsøk på og gjennomføring av spionasje, sabotasje eller terrorhandlinger, samt medvirkning til slik virksomhet».

Det er også ulovlig å avsløre uautoriserte innsamlede opplysninger (straffeloven86), og det stilles krav til hvordan informasjon skal sikres og forvaltes for å unngå at slik informasjon kommer på avveie (sikkerhetsloven).

Ulovlig etterretningsvirksomhet kan være sikkerhetspolitisk eller økonomisk motivert, og være utført av stater, private aktører eller en kombinasjon av disse. Teknologisk utvikling og økt digitalisering av samfunnet gjør at digital industrispionasje er en økende utfordring. Internasjonal cyberspionasje truer verdiskapingspotensialet og utgjør store økonomiske kostnader årlig. I 2013 ble Telenor utsatt for omfattende og målrettet industrispionasje. Datamaskiner ble tømt for alle data, inkludert e-post, passord og andre typer personlige data. Nettangrepet tok også delvis styring over maskinene via fjernkontroll. Det er usikkert hvem som sto bak, men den avanserte programvaren som ble benyttet tyder på høy kompetanse hos trusselaktøren.87

PSTs vurderinger peker i retning av at utenlandske etterretningstjenester vil fortsette sitt omfattende arbeid i og mot Norge også i tiden fremover. Deres mål er å få tilgang til sensitiv og skjermingsverdig informasjon, påvirke politiske, økonomiske og forvaltningsmessige beslutninger og undersøke muligheter for å kunne sabotere kritisk infrastruktur ved en eventuell fremtidig konfliktsituasjon. PST mener flere staters etterretningstjenester vil fortsette å fokusere på norsk petroleumsvirksomhet, både private virksomheter og offentlige beslutningsinstitusjoner. Etterretningstrusselen mot Norge er særlig høy fra Russland, Kina og Iran som er mer utfyllende beskrevet i kapittel 4.3.3.

Enkelte etterretningstjenester utfører informasjons-, påvirknings-, og propagandaoperasjoner i andre land for å svekke tilliten til myndighetene eller skape motsetninger, særlig i perioder med politiske spenninger. PST påpeker at dette er noe Norge også må være forberedt på.

4.3.1.2 Sabotasje

Sabotasje er et begrep som oppsto i forbindelse med de historiske arbeidskonfliktene i Frankrike. Det brukes om maktmiddel som er ment å sette produksjonsapparat ut av spill eller på annen måte sette ned produksjonstempoet. I militær sammenheng benyttes begrepet om lignende handlinger som motstandsgrupper utfører for å skade en okkupasjonsmakt eller kolonimakt, eller som medløpere og spesielt utsendte sabotører foretar i forbindelse med et angrep mot et land.88

I dagens sikkerhetslov § 3 nr. 4 defineres sabotasje som:

tilsiktet ødeleggelse, lammelse eller driftsstopp av utstyr, materiell, anlegg, eller aktivitet, eller tilsiktet uskadeliggjøring av personer, utført av eller for en fremmed stat, organisasjon eller gruppering

Forståelsen av sabotasje som legges til grunn i denne utredningen skiller seg noe fra definisjonen ovenfor ved å ekskludere uskadeliggjøring av personer i form av drap og henrettelser. Uskadeliggjøring av personell kan være ett virkemiddel for å oppnå ødeleggelse, lammelse eller driftsstopp av utstyr, materiell, anlegg eller aktivitet, men å ramme mennesker er ikke primærhensikten med sabotasje. Her skiller sabotasje seg fra terrorisme og attentater. Utvalget legger derfor til grunn følgende definisjon av sabotasje:

Sabotasje er tilsiktet ødeleggelse, lammelse eller driftsstopp av utstyr, materiell, anlegg, eller funksjon, utført av eller for en fremmed stat, organisasjon, gruppering eller enkeltperson

Lovlig og ulovlig etterretning vil ofte være avgjørende for en vellykket sabotasjeaksjon. Med god etterretning vil det være mulig å planlegge målrettede aksjoner som vil påvirke motstanderen på ønsket måte, uten andre utilsiktede konsekvenser. Muligheten for å gjennomføre en sabotasjeaksjon vil være avhengig av tilgangen til objektet eller relevant infrastruktur. Dette kan være fysisk tilgang eller fjernaksess.

Et nylig eksempel på en sabotasjeaksjon mot kritisk infrastruktur er eksplosjonene mot strømforsyningslinjene til Krimhalvøya. I november 2015 ble strømforsyningene til Krimhalvøya, som i 2014 ble annektert av Russland, brutt som følge av at strømforsyningslinjene fra Ukraina til Krim ble ødelagt av eksplosjoner. Russiske medier hevder at ukrainske patrioter sto bak sabotasjeaksjonen som førte til unntakstilstand og at nærmere to millioner mennesker var uten strøm.89

Sabotasjeaksjoner mot infrastruktur og objekter kan også gjennomføres ved hjelp av digitale virkemidler. Allerede så tidlig som i 1982 ble en russisk gassledning i Sibir sprengt gjennom en digital sabotasjeaksjon. CIA hadde plantet datakoder i teknologiske komponenter i systemet som gjorde det mulig å overbelaste gassledningen til den eksploderte. Sprengningen var en del av en større aksjon gjennomført av CIA og FBI på 1980-tallet hvor formålet var å sabotere software som skulle til Sovjetunionen for å hindre overføringen av teknologi.90 To dager før krigen mellom Russland og Georgia startet i 2008 ble rørledninger som frakter olje fra Det kaspiske hav, gjennom Aserbajdsjan og Georgia til den tyrkiske middelhavskyst, rammet av en eksplosjon. Eksplosjonen fant sted ved Refahiye i det østlige Tyrkia. Den tyrkiske regjering hevdet først at eksplosjonen skyldtes teknisk feil. Kurdistans arbeiderparti – Partîya Karkeren Kurdîstan (PKK) tok også på seg skylden for å stå bak eksplosjonen. Senere etterforskning peker derimot på at eksplosjonen ble utløst av et cyberangrep mot ledningenes kontroll- og sikkerhetssystem. Før eksplosjonen hadde hackere slått av alarmer og kuttet kommunikasjonen. Dette gjorde at ingen detektorer fanget opp at trykket i røret økte kraftig frem til rørledningen eksploderte. 60 timer med overvåkningsvideoer ble også slettet av hackere. Etterforskningen viste at det var overvåkningskameraene selv som var inngangen til systemet som hackerne hadde benyttet. Statoil var med på å bygge rørledningen og har eierandeler i ledningen.91

Den kanskje mest avanserte og ødeleggende cybersabotasjeaksjonen kjent så langt er Stuxnet-viruset som rammet Irans atomprogram i 2010. Viruset angrep det digitale styringssystemet og gjorde at sentrifugene for anrikning av uran spant ut av kontroll og ble ødelagt. Angrepet antas å ha satt Irans atomprogram to år tilbake i tid.92

4.3.1.3 Terrorhandlinger

Begrepet terror er videre og omfatter mer enn terrorisme. Terrorbegrepet har en glidende overgang mot sabotasje som i sin reneste form handler om å angripe installasjoner og objekter, snarere enn å drepe mennesker. Terrorhandlinger defineres i dagens sikkerhetslov som «ulovlig bruk av, eller trussel om bruk av, makt eller vold mot personer og eiendom, i et forsøk på å legge press på landets myndigheter eller befolkning eller samfunnet for øvrig for å oppnå politiske, religiøse eller ideologiske mål.» Denne formuleringen inkluderer både sabotasje brukt i terrorøyemed og terrorisme.

Terrorhandlinger har en politisk dimensjon fordi de er innrettet mot å påvirke styresmaktene og befolkningen gjennom å skape frykt. Ikke-statlige aktører, som terrorgrupper, forholder seg ikke til konvensjoner på samme måte som stater, og deres maktbruk er preget av en høy grad av asymmetri. Dette gjør at terrorhandlinger ofte rettes mot myke mål med lav beskyttelsesgrad, slik som sivilbefolkningen. Potensielle mål kan være kollektivtransport, kultur og idrettsarrangementer og andre store folkeansamlinger, representanter for staten, politi og beredskapspersonell eller infrastruktur med høy symbolverdi. Majoriteten av terrorangrep i 2013–2014 var rettet mot sivile og denne trenden ser ut til å øke. Etter sivile og deres eiendom var de fleste angrep rettet mot militæret, politiet, næringsliv, styresmakter og religiøse mål.93

De terrorhandlinger man har sett i Europa i nyere tid skiller seg fra tidligere bølger av terrorangrep fra grupperinger som IRA, ETA og RAF, som hadde som mål å fremme politiske krav, men samtidig begrense skadeomfanget for å beholde en viss folkelig støtte. Tidligere var normen at terrorgrupper hadde en nasjonal eller regional agenda. Nå er terrorisme oftere internasjonal eller global i sitt utsyn, selv om regional terrorisme vedvarer. Videre var den tradisjonelle terrorismen sjeldnere opptatt av å gjennomføre massedrap på flest mulige sivile. Noe av endringen skyldes den allmenne tilgangen på informasjon om fremstilling av eksplosiver og bomber, kombinert med den økte muligheten internett og sosiale medier gir til kontrollert formidling av bilder, film og annen informasjon fra terrorhandlinger. Dagens terrorister søker oftere større tap av liv, og simultane operasjoner for å gi inntrykk av stor slagkraft.

Samtidig har man de senere år sett flere eksempler på mindre aksjoner eksempelvis angrepene mot synagogen og Krudttønden i København (2015), det jødiske museet i Brussel og i Woolwich i London. I tillegg var 22. juli-angrepene i Norge tidenes mest brutale soloterroraksjon da det skjedde. Sett under ett ble disse gjennomført av små grupper eller enkeltpersoner som er inspirert av ulike ideologiske retninger som høyreekstremisme eller voldelig jihad. Aksjonene ble gjennomført i en tid da flere større terroraksjoner var blitt avverget av sikkerhetsmyndighetene. Det har vært en økt innsats i etterretning og mottiltak mot slike angrep, noe som også sannsynligvis har hatt en viss avskrekkende effekt. Samtidig har det i terrornettverk blitt oppfordret til soloterrorisme for å unngå å bli avslørt av etterretningsmiljøer. Effekten av terrorhandlinger går langt utover tapene av menneskeliv og materielle skader ved at handlingene skaper allmenn frykt i befolkningen og kan gjøre at styresmakter handler annerledes enn de ellers ville ha gjort.

4.3.1.4 Trusler i det digitale rom

Samfunnets økte avhengighet av IKT-baserte informasjonssystemer fører med seg alvorlige sårbarheter mot trusler i det digitale rom. Den økte avhengigheten av internett gjør at nettverksbaserte angrep kan ha omfattende skadevirkninger og har potensiale til å nå hele spekteret av norske interesser. Trusselaktører i det digitale rom inkluderer fremmede stater og ikke-statlige aktører som utfører nettverksbaserte etterretningsoperasjoner, organiserte kriminelle, hacktivister og terrorister. Metodene som benyttes blir stadig mer avanserte og målrettede.94 I NATO benyttes Computer Network Operations (CNO) som en samlebetegnelse for Computer Network Attack (CNA), Computer Network Exploitation (CNE) og Computer Network Defence (CND). I Norge oversettes CNO med datanettverksoperasjoner, eller operasjoner i det digitale rom. Regjeringen avgjør om et cyberangrep mot Norge eller norske interesser skal anses som et væpnet angrep. Slike hendelser skal ifølge Forsvarsdepartementets cyber-retningslinjer håndteres av departementet. Forsvaret kan for øvrig gi bistand til sivile myndigheter etter anmodning i henhold til Instruks for Forsvarets bistand til politiet.

Truslene i det digitale rom handler i stor grad om informasjon: stjele informasjon, endre informasjon eller plante informasjon, eller forhindre overføring av informasjon/kommunikasjon. Truslene kan blant annet ramme store informasjonssystemer som inneholder sensitive opplysninger, kommando og kontrollsystemer for krisehåndtering og beredskap, styrings- kontrollsystemer for samfunnsviktige funksjoner og finansielle systemer. Trusselen er generell og alle digitale systemer er utsatt, men trusselen kan også rettes mot enkeltindivider eller spesifikke funksjoner/objekter.

Nettverksbaserte etterretningsoperasjoner fra fremmede stater mot offentlige myndigheter og virksomheter skjer løpende og representerer en alvorlig trussel mot viktige nasjonale sikkerhetsinteresser. Slike nettbaserte etterretningsoperasjoner kan være et kostnadseffektivt alternativ til tradisjonell spionasje. Særlig Russland og Kina er stater med stor offensiv kapasitet i det digitale domenet. Flere forsøk på nettverksbaserte etterretningsoperasjoner mot Norge og norske interesser har de siste årene blitt avdekket. Sommeren 2014 ble norsk olje- og energisektor utsatt for omfattende spionasjeangrep. Det er også grunn til å tro at angrep foregår uten å bli oppdaget.

Datanettverksoperasjoner er en forholdvis ny kapabilitet som kan anvendes stadig mer målbevisst og effektivt i konflikter, og flere stater har startet programmer for å utvikle slike kapasiteter. Estland opplevde i 2007 det som ofte omtales som den første cyber-krigen. Et massivt cyberangrep mot offisielle nettsider, medier og viktige nettbaserte tjenester som banker pågikk i tre uker. Cyberangrepet og demonstrasjoner i gatene var en protest mot en planlagt flytting av et sovjetisk krigsminnemonument. Virkningen av angrepet var at landets største bank måtte stenge alle nettbanktjenester og at all internasjonal nett-trafikk ble stoppet. Dette førte med seg stor økonomisk skade. Også under krigen i Georgia i 2008 ble offensive cyberkapasiteter brukt, og det har vært en markant økning i cyberangrep i forbindelse med Ukraina-konflikten. I januar 2016 ble datasystemene på Kievs hovedflyplass angrepet og det spekuleres om det var den såkalte BlackEnergy-skadevaren som rammet flere kraftleverandører i Ukraina i desember 2015. Dataangrepet gjorde at 80 000 personer var uten strøm i seks timer, og var i så måte banebrytende. Metoder som benyttes i cyber-angrep er ressurskrevende å utvikle og det er så langt ikke avdekket alvorlige tilfeller av at terrorgrupper bruker slike metoder. Likevel kan man ikke utelukke at cyberterrorisme kan bli en økende trussel i fremtiden, tatt i betraktning terrorgrupperingers økte bruk av internett til for eksempel planlegging av terroraksjoner og propagandaformål.95

4.3.1.5 Hybrid krigføring og taktikker

Kombinasjonen av fordekte forsøk på destabilisering ved bruk av indirekte og ikke-militære verktøy sammen med konvensjonell krigføring, omtales ofte som hybrid krigføring. Slik krigføring vanskeliggjør varsling og forberedelser. Hybrid krigføring kjennetegnes av nøye planlagt og koordinert bruk av et bredt spekter av konvensjonelle og ukonvensjonelle virkemidler. Dette kan inkludere bruk av umerkede regulære styrker, informasjonsoperasjoner, spesialstyrker, cyberangrep, økonomiske virkemidler og agitasjon til masseopptøyer.

Begrepet hybrid krigføring har fått fornyet oppmerksomhet etter Ukraina-krisen. Russland brukte i Ukraina et vidt spekter av metoder til å supplere konvensjonelle militære virkemidler, herunder destabilisering gjennom agenter og propaganda, informasjonskrig, cyberangrep og dramatisk øking av gassprisen. Hybridkriger inneholder en rekke ikke-kinetiske virkemidler, men uten kinetiske komponenter i bunnen vil slike taktikker i streng forstand snarere klassifiseres som destabilisering enn krigføring. Her er det imidlertid viktig å tydeliggjøre at bruk av tradisjonelle militære virkemidler kan være elementer som overhode ikke blir benyttet i de tidlige fasene av en konflikt, og avhengig av hvordan konflikten arter seg, ikke nødvendigvis vil komme til bruk. Figur 4.5 viser et eksempel på hvordan ulike virkemidler kan bli benyttet i ulike faser i opptrappingen av en operasjon for å sikre effektiv måloppnåelse.

Figur 4.5  
Hybridkrig – eksempel på virkemiddelbruk.

Figur 4.5 Hybridkrig – eksempel på virkemiddelbruk.

Ved hybrid krigføring benyttes et bredt spekter av virkemidler for å oppnå en målsetting. Konflikten vil gjennomgå ulike faser der tradisjonelle militære virkemidler typisk kun vil bli benyttet dersom konflikten eskalerer.

Hybride taktikker kjennetegnes ved at det er svært vanskelig å spore og dokumentere hvem som står bak et angrep, for eksempel kan det benyttes proxy-aktører (stedfortredere). I krigshandlinger har proxy-aktører blitt benyttet gjennom å støtte opprørsgrupper, kriminelle eller andre grupper med våpen og ressurser.

Kriminalitet og terrorisme kan inngå i irregulær krigføring for å oppnå strategiske mål. Smuglernettverk brukes også av statlige aktører for å bidra med våpen eller andre ressurser inn i konflikter. Karteller og kriminelle gjenger kan ha en voldskultur og kamperfaring som gjør dem til relevante aktører i hybrid krigføring. Bruk av ukonvensjonelle strategier, metoder, taktikker eller handlemåter gjør det vanskelig å identifisere hvilken stat som står bak.96

Hybride krigføringstaktikker vil kunne inneholde ulike former for fordekte operasjoner, enten hvor operasjonen selv er fordekt, eller operasjoner hvor identiteten til sponsoren bak er fordekt, for eksempel ved bruk av ikke-militært personell.

I tilfelle cyberangrep benyttes ofte front-selskaper for å gjøre det vanskelig å finne den reelle aktøren som står bak. Tyskland ble i 2015 rammet av en rekke dataangrep, blant annet mot parlamentet og telekommunikasjon- og energiselskaper. Hackerangrepene ble regnet som spionasje siden formålet var å skaffe seg informasjon. Det er svært vanskelig å spore hvem som står bak slike angrep. I mai 2016 uttalte den tyske etterretningstjenesten BFV at de hadde bevis for at hackergruppene skal ha hatt tette bånd til den russiske staten. De samme gruppene skal angivelig også ha stått bak angrep mot polske statsansatte i 2014 og den franske TV-kanalen TV5. 97

I de senere år har det særlig vært fokus på aktiv fordekt bruk av mediene som en del av krigføringen eller det sikkerhetspolitiske spillet. Det har vært antydet av Russland benyttet et stort antall personer som en del av sitt strategiske kommunikasjonsapparat under Ukraina-krisen. Russland kombinerte bruk av TV, radio, aviser og sosiale medier. De kombinerte bruk av offisiell informasjon fra statsapparatet, koordinerte informasjonskampanjer fremstilt som journalistikk og aktører som fremsto som en del av opinionen. Det ble benyttet kommunikasjonskanaler internt i Russland, men også i en rekke andre land i Europa og Nord-Amerika.

Storbritannia har gått ut med offisiell informasjon om at de har opprettet en enhet med et betydelig antall personer som skal bedrive strategisk kommunikasjon i forbindelse med meningsdannelse av britisk og andre lands opinion.

Også ikke-statlige voldelige aktører har blitt mer sofistikerte i sin mediebruk. Terrororganisasjonen Al-Qaida har i lengre tid anbefalt sine tilhengere å velge mål og taktikk som gir oppmerksomhet i media. Media, særlig TV, har vært benyttet for å spre budskap som skal skape frykt og medføre politisk press i vestlige land. Terrororganisasjonen ISIL har ytterligere basert seg på strategisk kommunikasjon for å spre sitt budskap, skape frykt, politisk press og rekruttering. Ikke-statlige aktørers bruk av mediene har imidlertid skilt seg fundamentalt fra det man har sett fra Russland ved at det først og fremst har vært tydelig kommunisert hvem som formidler budskapet, mens Russland i betydelig grad har brukt aktører fordekt som for eksempel journalister eller samfunnsengasjerte privatpersoner.

4.3.2 Dagens trusselbilde – trender og utsikter fremover

Nasjonal sikkerhet og det norske trusselbildet må ses i en internasjonal kontekst. Klare globale tendenser og markante enkelthendelser (som 9/11, 22. juli og annekteringen av Krim) har skjerpet bevisstheten om at dagens trusselbilde er et annet enn det var da dagens sikkerhetslov trådte i kraft i 2001. Nasjonale særegenheter og globale trender setter rammene for Norges sikkerhetssituasjon.

4.3.2.1 Globale utviklingstrekk og strategisk stabilitet

Økende internasjonalisering gjør at globale utviklingstrekk har stadig mer å si for det nasjonale trusselbildet. Den internasjonale sikkerhetspolitiske situasjonen har blitt vesentlig endret i løpet av en relativt kort tidsperiode. Etter den kalde krigens slutt sto USA alene igjen som hegemon i en unipolar verdensorden, der fredsprosessen i Midtøsten og konfliktene på Balkan preget internasjonal sikkerhetspolitikk.

USAs internasjonale dominans har siden 90-tallet blitt svekket, samtidig som Asia har fått økt betydning både økonomisk og militært. Det strategiske spenningsnivået er høyt og tiltagende i Asia. Imidlertid inntreffer de viktigste skarpe konfliktene, som rokker global strategisk stabilitet, i randsonen av det europeiske kontinent med krigene i Irak, Libya, Syria og Ukraina som de fremste eksemplene. De siste tiårene har også en rekke svært voldelige konflikter fått eskalere dramatisk på det afrikanske kontinent. I hovedsak har de mange konfliktene i Afrika vært av begrenset betydning for norsk sikkerhet, men den negative utviklingen etter krigen i Libya, samt angrepet i In Amenas, viste at norske interesser kan rammes også i denne delen av verden.

Globalisering og internasjonalisering øker kontakten, sårbarheten og avhengigheten på tvers av landegrenser. Ikke-statlige aktører, som organiserte kriminelle nettverk og terroristgrupper, har alltid hatt en sentral rolle i det internasjonale sikkerhetsbildet. Flere steder foregår det en økende omfordeling av makt til disse aktørene på bekostning av statlige aktører på måter som påvirker den sikkerhetspolitiske situasjonen i Vesten i negativ retning (se kapittel 4.3.4.2). Svake stater, manglende internasjonalt samarbeid for å bekjempe fremveksten av internasjonale trusselnettverk, godt hjulpet at den teknologiske utviklingen som bidrar til å forenkle samhandling over store avstander, er avgjørende faktorer for denne utviklingen. For eksempel i Somalia, Syria og Irak, har ikke-statlige aktører styrket sin maktposisjon slik at myndighetenes suverenitet mer eller mindre har brutt sammen. Denne omfordelingen av makt gjør at ikke-statlige aktører får større spillerom for å utøve ulike former for makt, og i større grad får mulighet til å påvirke den internasjonale dagsorden.

Den globale teknologiutviklingen er et gode som samtidig fører med seg noen alvorlige og grenseoverskridende utfordringer. Trusselaktører i det digitale rom inkluderer fremmede stater og ikke-statlige aktører. Metodene som benyttes blir stadig mer avanserte og målrettede. Den økte avhengigheten på tvers av land og sektorer gjør at nettverksbaserte angrep kan ha omfattende skadevirkninger. Disse utviklingstrekkene har ført til et mer sammensatt og mindre forutsigbart trusselbilde. Denne usikkerheten er trolig et vedvarende trekk.

4.3.2.2 Norges særegenheter

Som en småstat er Norge avhengig av avtaler og samarbeid med andre stater. NATO-medlemskapet spiller en nøkkelrolle i norsk sikkerhetspolitikk. Norge er avhengig av alliert støtte også i fremtiden, men denne støtten kan bli mer usikker ved at det amerikanske lederskapet er svakere enn før. Med manglende bidrag fra europeiske land har man en vedvarende ubalanse i byrdefordelingen internt i NATO. For å opprettholde alliert vilje til å bistå vil Norge også i fremtiden komme til å måtte vise innsatsvilje gjennom internasjonale bidrag.

Det er også en politisk målsetting for Norge å fremme fred og føre en engasjementspolitikk på felter som utvikling, bistand, miljø, multilateralisme og menneskerettigheter.

Norges rike tilgang på naturressurser er et annet kjennetegn som påvirker Norge som internasjonal aktør. Norge er den nest største eksportøren av gass til det europeiske markedet, etter Russland. Norsk eksport av gass dekker rundt 20 % av det europeiske forbruket. Norges rolle som strategisk energileverandør gir mer tyngde internasjonalt samtidig som det gjør landet mer sårbart og eksponert for konflikter i fjerne områder enn tidligere. Trusselen mot norsk energiproduksjon avhenger av den internasjonale situasjonen. Sikkerhetsutfordringene øker i perioder med konflikt i vårt område og i andre områder i verden hvor Norge, NATO eller mottakere av energi fra Norge er involvert. Hensikten bak potensielle angrep kan være å yte press mot Norge eller andre land som er avhengig av energi fra Norge. Å kontrollere tilgangen til energi er et maktpolitisk virkemiddel, slik Russland har illustrert ved flere ganger å skru av gasstilførselen for å øve politisk press. Angrep kan altså komme som et resultat av konflikter der Norge i utgangspunktet ikke er involvert,98 slik vi så i In Amenas-angrepet i 2013 hvor fem Statoil-ansatte mistet livet.

Norge er en kyststat med havområder som er syv ganger større enn landområdet. Norge har en internasjonalt ledende maritim næring med skipsfart og eksport av fisk og petroleum blant våre viktigste inntektskilder. Dette bidrar til å gjøre nordområdene til Norges viktigste strategiske ansvarsområde. En hjørnestein i norsk nordområdepolitikk er å jobbe for at nordområdene forblir en region preget av stabilitet og lav spenning.

Svært viktig i Norges geopolitiske kontekst er nærheten til Russland. Naboskapet til Russland har alltid vært et asymmetrisk forhold. Konseptet bastionforsvaret står sentralt i russisk sikkerhetspolitikk i nordområdene. Dette innebærer at deler av norsk territorium er bak Russlands definerte forsvarslinje. I en periode hvor Russland forsøker å gjenreise seg som stormakt, og øker sitt fokus mot nordområdene, er dette foruroligende for Norge og våre allierte.

Figur 4.6 Russlands bastionforsvar.

Figur 4.6 Russlands bastionforsvar.

Kilde: Ekspertgruppen for forsvaret av Norge, Et felles løft, 2015.

Våre omgivelser er stadig i endring og det er ikke nødvendigvis de hendelser som i dag preger nyhetsbildet og folks bevissthet som vil vise seg å ha størst konsekvenser på lang sikt. Det er derfor viktig å skille mellom dagsaktuelle hendelser og langsiktige trender. Med dette i bakhodet er det likevel viktig å se på generelle utviklingstrekk for å få indikasjoner på hvilke endringer som kan inntreffe, og med hvilken grad av sannsynlighet det vil kunne skje. Dette kan danne utgangspunkt for en vurdering av hvilke trusler fra statlige og ikke-statlige aktører som vil ha betydning for det nasjonale sikkerhetsbildet fremover. De neste kapitlene vil ta for seg hvilke trusler Norge står overfor i dag og i tiden fremover.

4.3.3 Trusler i form av statlige aktører

Etterretningstjenesten og PST er samstemt om at det i dag ikke er noen konkret overhengende trussel om væpnet angrep mot Norge fra statlige aktører. I henhold til Etterretningstjenesten er det stater som i dag har kapasitet til å ramme Norge militært, men det er ikke kjent at noen av de aktuelle statene har en intensjon om å angripe Norge. Globale utviklingstrekk og maktforhold er likevel førende for den nasjonale trusselsituasjonen, og følges derfor tett.

Etterretningsvirksomhet mot Norge og norske interesser skjer imidlertid i stor utstrekning. Dette er rettet mot norske myndigheter og mot private virksomheter. Etterretningsvirksomhet har blant annet til formål å kartlegge sårbarheter i det norske samfunnet, kartlegge militære kapasiteter og andre beredskapsressurser. Kjennskap til statlige militære kapasiteter kan fungere som strategiske virkemidler for å legge press på et annet land, gjennom å lamme viktige funksjoner. Det foregår også utstrakt aktivitet for å tilegne seg kunnskap og teknologi som staten og private aktører besitter. Slik aktivitet kan ha som formål å skaffe informasjon om hvordan viktige funksjoner kan rammes i en potensiell konfliktsituasjon, samt å styrke eget lands næringsutvikling og konkuranseevne. Slik etterretning kan ramme verdiskapingspotensialet.

Av de statlige aktørene som aktivt utfører spionasje mot Norge fremhever E-tjenesten og PST Russland, Kina og Iran i sine åpne trusselvurderinger. Disse landene vil bli diskutert under – både i lys av landenes generelle samfunnsutvikling og i lys av landenes etterretningsvirksomhet.

4.3.3.1 Russland

Daværende sjef for etterretningstjenesten Kjell Grandhagen oppsummerte nylig utviklingen i Russland som følger:

Vi har sett et Russland gjennom det siste året som er villig til å bruke militær makt når de vurderer at vitale interesser står på spill. Vi ser et Russland som utvikler seg mer og mer i en autoritær retning, og tar et sterkere grep om mediene, et sterke grep mot en mulig liberal opposisjon. Vi ser en beslutningskrets rundt presidenten som blir smalere og smalere, og mer og mer preget av mennesker med hans samme bakgrunn. Det er et Russland i økonomisk krise og med langsiktig dårlig økonomiske utsikter. Og samtidig et Russland som til tross for dette velger å bruke mye mer av de ressursene de har på en militær opprustning. I sum er dette et bilde som leder mot større usikkerhet og større uforutsigbarhet i forhold til hva slags Russland Norge må forholde seg til i de kommende tiårene.99

Etter Sovjetunionens fall gikk Russland inn i en reorienterende fase. Det nye Russland måtte finne ut hvordan det skulle forholde seg til omverden. Etter en periode preget av oppmykning overfor Vesten, gikk russisk utenrikspolitikk etter hvert over i en mer konfronterende linje. En stadig mer sammensatt og offensiv russisk utenrikspolitikk under Putin har endret den sikkerhetspolitiske situasjonen i Europa og økt konfliktpotensialet. Særlig tilbakekomsten av mellomstatlig væpnet konflikt i Europa ved Russlands folkerettsstridige annektering av Krim var en oppvekker. Gjennom annekteringen av Krim og støtte til separatister i Øst-Ukraina har Russland demonstrert både evne og vilje til å bruke militær makt for å oppnå sine politiske mål. Russlands utenrikspolitiske linje har både elementer av kontinuitet og endring. Ønsket om innflytelse over tidligere Sovjet-republikker er ikke noe nytt, noe vi så under krigene i Georgia og Tsjetsjenia.

Etter Putins tilbakekomst som president i 2012 har det vært en dreining mot økt patriotisme og konservatisme i russisk politikk.100 Ønsket om å gjenreise Russland som stormakt står sentralt i Putins prosjekt. Den stadig mer autoritære dreiningen har særlig rammet pressen og intern opposisjon hardt. Russland opplever en kraftig økonomisk nedgang. Blant årsakene er strukturelle faktorer som høy korrupsjon, dårlig investeringsklima og høy avhengighet av olje kombinert med vedvarende fall i oljeprisen.

Også de økonomiske sanksjonene i kjølvannet av Ukraina-konflikten har ytterligere forverret den økonomiske situasjonen i Russland. Den nedadgående økonomiske utviklingen nasjonalt sammenfaller med en mer opportunistisk utenrikspolitikk både i nærområdene rundt Kaukasus og i Syria-konflikten. Med opportunistisk menes her at man agerer hurtig, griper de sjanser som byr seg, og er tilpasningsdyktig til hendelsenes forløp og motpartens handlinger. Putins begrensede evne til å bedre den økonomiske nedgangen i Russland gjør at vi kan frykte en fortsatt autoritær tilstramning og en fortsatt opportunistisk utenrikspolitikk fremover. Putins uforutsigbare manøvre er ytterligere urovekkende dersom landet skulle gå inn i en enda dypere økonomisk krise. Den fremtidige økonomiske utviklingen i Russland kan ha stor betydning for den norske og europeiske sikkerhetspolitiske situasjonen.

Russisk militær tilstedeværelse i Midtøsten spiller en viktig rolle i å fremme Russlands stormaktsposisjon internasjonalt og motvirke vestlig innflytelse i internasjonal poltikk. Både annekteringen av Krim og Putins militære støtte til Assad-regimet i kampen mot ISIL har stor støtte i befolkningen og har økt Putins popularitet. Den stadig mer offensive utenrikspolitikken Russland fører blir legitimert på hjemmebane gjennom offisiell russisk retorikk basert på fiendebilder om Vesten som formidler oppfatningen om Russlands offerrolle i møte med ytre fiender. Særlig NATO fremstilles svært negativt i russisk retorikk. Mistillitsforhold mellom Russland og Vesten kan potensielt vare lenge.

Etter krigen i Georgia begynte Russland en omfattende forsvarsreform som inkluderte en markant militær opprustning. Den militære opprustningen har resultert i en mer mobil militær organisasjon med utvidet rekkevidde og en atskillig raskere reaksjonsevne. Det har skjedd en modernisering av viktige våpenplattformer, kommando og kontrollsystemer, effektivisering av logistikksystemene og en styrkeproduksjon som gir Russland en kampkraft på et helt nytt nivå. Gjennom krigshandlinger i Ukraina og militær tilstedeværelse i Syria har Russland demonstrert hvordan deres moderniserte militærmakt er anvendbar til å støtte opp under utenrikspolitiske målsettinger. Særlig under Ukraina-konflikten benyttet Russland et bredt spekter av statlige virkemidler i et omfang og med en koordinering som fremstår som det beste eksempel på hybrid krigføring verden har sett. Dette øker viktigheten av et solid og gjennomtenkt forebyggende sikkerhetsarbeid.

Det russiske militæret øver hyppigere enn tidligere, blant annet i Norden og Østersjøområdet. Flere tilfeller av grensekrenkelse i luftrommet over Sverige, Finland og Baltikum har funnet sted samt utstrakt flyvning over Norskehavet og Nordsjøen nært norsk luftrom. Til tross for en mer offensiv russisk utenrikspolitikk har norske styresmakter gjentatte ganger understreket at de ikke ser på Russland som en direkte militær trussel mot Norge. Uannonsert aktivitet i eller nært andre staters sjø- eller luftrom er likevel foruroligende og øker faren for misforståelser og ulykker.

Nordområdene er en viktig arena for Russland av både økonomiske og strategiske årsaker. I Russlands Arktis-strategi fra 2009 er Arktis definert som landets viktigste fremtidige ressursbase.101 Smeltingen av polisen i Arktis gjør at større områder er tilgjengelig sommerstid for skipsfart, fiske og turisme langs Nordøstpassasjen. Russland har gjennom ulike tiltak markert sin interesse i Arktis, blant annet gjennom etableringen av den arktiske militære kommandoen 1. desember 2014. Russland har også gjenåpnet tidligere baser, samt opprettet nye baser i Arktis.102 Å opprettholde sitt nærvær på Svalbard anses som viktig for Russland, særlig av militærstrategiske årsaker. Det kan ikke utelukkes at Russland i en gitt situasjon vil treffe militære eller andre tiltak for å ivareta russiske interesser på eller rundt Svalbard. Selv om samarbeidet med vår nabo i øst fremdeles anses som godt, har tilliten til Russland blitt påvirket i negativ retning etter blant annet Ukraina-krisen. Norges deltakelse i de internasjonale sanksjonene mot Russland, og Russlands motsvar på sanksjonene bidrar også til et mer sårbart og utfordrende samarbeidsklima.

Den spente relasjonen mellom NATO og Russland for tiden må ses i sammenheng med den stadig økende etterretningstrusselen. Ved siden av tradisjonelt menneskebasert innhenting pågår og en økt bruk av digitale hjelpemidler for å drive innhenting mot sensitive kommunikasjonsplattformer. Digital spionasje gir høyt etterretningsutbytte og utføres i stort omfang mot Norge og norske interesser.

I sin vurdering av etterretningstrusselen mot norske interesser mener PST at Russlands intensjon og kapasitet har størst skadepotensial. Det er flere forhold som gjør Norge til et interessant etterretningsmål. Norge besitter store naturressurser og har en strategisk viktig plassering. Norge representerer NATOs nordlige grense mot Russland og russisk etterretning søker derfor kunnskap om NATOs militære kapasiteter og aktiviteter blant annet fra norske kilder. Beslutninger i Norge og NATO fattet på bakgrunn av Ukraina-konflikten vil fremover være av særlig interesse for Russisk etterretningstjeneste. Slik informasjon kan styrke Russland militært og kan svekke norske og alliertes sikkerhetspolitiske interesser.

PST mener Russlands kontinuerlige kartlegging av norske forsvars-, sikkerhets- og beredskapskapasiteter har som formål å legge til rette for russiske militære disposisjoner i en eventuell endret sikkerhetspolitisk situasjon i fremtiden. Slik virksomhet kan i verste fall kunne true Norges territorielle kontroll og andre nasjonale interesser.

Mange borgere med tilknytning til Russland jobber i dag i sektorer med tilgang til sensitiv og skjermingsverdig informasjon. Disse er særlig utsatt for rekrutteringspress fra hjemlandets etterretningstjenester. Der dette lykkes, har det et stort skadepotensiale.

4.3.3.2 Kina

De siste årene har det vært en dreining i maktbalansen mot Asia. Verdensøkonomiens tyngdepunkt har beveget seg fra Vesten mot Asia. Kina har i dag verdens nest største økonomi, mens Japan er på tredjeplass. Den økonomiske veksten i Asia er som all økonomisk vekst reversibel. Samtidig er det et faktum at veksten har ført til økte forsvarsbudsjetter. I 2013 gikk de samlede forsvarsutgiftene i Asia og Stillehavsområdet forbi Europas.103 Den militære maktbalansen preges og av at seks av verdens ni atomvåpenstater ligger i Asia.

Kinas president Xi Jinpings visjon for Kina er å gjenreise Kina som en mektig nasjon tuftet på sterk økonomi og en sterk militærmakt. Likesom i Russland ser man sterke nasjonalistiske strømminger i Kina og en mer selvhevdende utenrikspolitikk. Xi Jinpings ledelse går i en autoritær retning som slår hardt ned på opposisjon og har ført til innskrenkninger i ytringsfriheten, for eksempel ved økt internettsensur.

Kina og Russland har inngått et strategisk partnerskap i motvekt til Vesten, som blant annet inkluderer tidvis samarbeid i FNs sikkerhetsråd og økt handel. Kina og Russland har også felles militære øvelser som har blitt stadig større. Det er allikevel klare begrensninger for samarbeidet skyldt langvarig historisk mistro.

Kinas forsvarsbudsjett var på 790 milliarder norske kroner i 2014. Med dette har Kina det nest største forsvarsbudsjettet i verden etter USA. Kina investerer stort i digital krigføring.104 Det er særlig i det digitale rom at Kina er av betydning for norsk sikkerhet. Sammen med Russland er Kina en av de statene som er mest aktive bak nettverksbaserte etterretningsoperasjoner rettet mot Norge.105 Kina har god evne og høy vilje til å gjennomføre cyber-operasjoner, og står bak digital spionasje i stort omfang. Landet retter særlig sin virksomhet mot høyteknologiske mål, herunder energi, maritim sektor og rombasert virksomhet. Mer tradisjonell etterretningsvirksomhet mot utenriks- og forsvarsektoren er også utbredt.106

Nettverksbaserte etterretningsoperasjoner er, sammen med terror, den mest alvorlige, akutte trussel mot norske interesser ifølge daværende sjef for Etterretningstjenesten, Kjell Grandhagen. Norske myndigheter og samfunnskritiske virksomheter blir fortløpende utsatt for fremmed etterretning fra Kina og andre.

4.3.3.3 Iran

Frykten knyttet til ambisjonene bak Irans atomprogram har tatt stor plass på den internasjonale dagsorden siden 2003. Flere runder med forhandlinger har funnet sted og resulterte i en atomavtale mellom Iran og P5+1 sommeren 2015. Avtalen går ut på at Iran skal begrense sin bruk av høysensitiv teknologi, ruste ned sin kapasitet til å anrike uran, redusere sitt lager med anriket uran, samt å gi Det internasjonale atomenergibyrået (IAEA) større innsyn i atomprogrammet. I bytte mot dette vil gradvis økonomiske sanksjoner mot Iran oppheves. Avtalen eliminerer ikke trusselen fra Iran, men vil redusere Irans mulighet til å utvikle kjernefysiske våpen og forlenge tiden det eventuelt ville ta.

Atomavtalen har ikke ført til færre skjulte anskaffelsesforsøk mot norske virksomheter.107 Iran er en av hovedaktørene bak ulovlige og fordekte forsøk på anskaffelse av teknologi og kunnskap som kan benyttes til sitt atomprogram fra Norge. Slike ulovlige anskaffelser er en trussel både mot norske og alliertes interesser. Etterspørselen øker særlig etter flerbruksteknologi som ikke er underlagt eksportkontroll, men som i modifisert tilstand kan benyttes til å utvikle masseødeleggelsesvåpen. Dette øker risikoen for at enkeltbedrifter kan bli fristet til å utnytte situasjonen og selge slik teknologi for profitt, eller at bedrifter uten intensjon bidrar til at teknologien havner i feil hender fordi de ikke har et bevisst forhold til flerbrukspotensialet i teknologien de besitter. Anskaffelser knyttet til masseødeleggelsesvåpen går ofte gjennom mange land, slik at det er vanskelig å spore hvor teknologien ender opp, for eksempel gjennom bruk av stråmenn og selskaper som proxy-aktører. Særlig utsatt for anskaffelsesforsøk er forsvarsindustri, bedrifter som selger nisjeteknologi, og høyteknologiske bedrifter i olje- og gassektoren.

Også norske utdanningsinstitusjoner opplever stor pågang fra iranske studenter på utdanningsretninger som kan gi kunnskap som gagner det iranske atomprogrammet. Ved et strengere eksportregime blir det viktigere for Iran å selv produsere egen teknologi, norske utdanningsinstitusjoner kan derfor fremover forvente tiltagende påtrykk.108

4.3.4 Trusler fra ikke-statlige aktører

4.3.4.1 Terrorisme

Forskningen på terrorisme er delt i hvem som kan regnes som de første terrorister. Mange mener Feynianske voldelige dissidenter på 1800-tallet eller Russlands Navrodniker som drepte Tsaren er de tidligste terrorister i tråd med en moderne forståelse av begrepet. Anarkister og IRA tidlig på 1900-tallet trekkes også ofte fram. De lærde strides altså om terrorismens opprinnelse. Det er derimot bred enighet om at terrorisme som fenomen har endret seg fra 70-tallet og fram til i dag. 70-tallet regnes som tiåret da terrorismen for alvor ble internasjonalisert, med angrepet mot israelske utøvere i OL i München i 1972 som et av de tydeligste eksemplene. Tyskland slet også med hjemlige terrorister i Baader-Meinhof gruppen. Resultatet ble at Tysklands moderne anti-terror styrker ble toneangivende gjennom opprettelsen av Grenzschutzgruppe 9 (GSG9).

Utover på 80- og 90-tallet ble terrorismen stadig mer dødelig og operasjonene økte i kompleksitet. Hizbollahs bilbombing av forlegningene til franske fallskjermjegere og US Marines i Beirut i 1983, samt bombingen av Pan Am flight 103 over Lockerbie i 1986, er eksempler på dette med henholdsvis rundt 270 og 305 drepte. Al-Qaidas største terroranslag forut for 9/11-angrepene var mot amerikanske ambassader i Nairobi og Dar-es-Salam med rundt 224 drepte. Disse bombene sammen med angrepet mot USS Cole, i Adens havn i år 2000, utgjør opptakten til 9/11. De ovenfor nevnte angrepene er eksempler på spesielt dødelige angrep i terrorismens historie frem til 9/11-angrepene. Disse drepte opp mot 3000 mennesker og sprengte skalaen fullstendig.

Det samme gjelder den statlige responsen på angrepet som ble voldsom ettersom krigen mot terror inkluderte storstilte bakkekriger både i Afghanistan og Irak. I tiåret etter 9/11-angrepene var USAs krig mot terror det rådende paradigme som la føringer på mye av samhandlingen på den globale storpolitiske arena. Utover i Obamas presidentperiode avtok fokuset på terrorisme noe. Med terrorangrepene i Paris og Brussel i 2015 og 2016, samt ISILs eksport av terrorisme til Europa, synes det avtagende fokus på terrorisme mot Vesten å opphøre.

Å definere terrorisme er krevende fordi begrepet er sterkt politisert samtidig som det er svært negativt ladet. Terrorisme er en praktisk retorisk etikett å feste på sine fiender. En akademisk definisjon av terrorisme må beskrive hvem som utøver terrorisme, hvem som rammes, og hvilken målsetting og effekt terroristene ønsker å oppnå. Legaldefinisjoner oppfyller en annen funksjon da de også må fungere godt som redskaper i rettsforfølgelse etter straffeloven. Fire ord oppsummerer essensen i fenomenet terrorisme: vold, politikk, frykt og strategi. Terrorisme er en fryktspredende, voldelig politisk strategi. Går man mer i dybden kan terrorisme forstås som «en ikke-statlig aktørs strategiske bruk av vold – eller trusler om vold – mot sivile eller ikke-stridende med den hensikt å spre frykt, skaffe oppmerksomhet om en politisk sak og å påvirke også andre enn de direkte ofrene for anslaget.»109

I dette ligger det at stater som angriper sivile ikke defineres som terrorister, men snarere begår krigsforbrytelser, forbrytelser mot menneskeheten, fordekt krigføring eller en form for statsterror. Videre er motivene til terrorister klarlagt som politiske, i tillegg til det å spre frykt og å påvirke både befolkninger og styresmakter.

Terrorisme representerer i de fleste tilfeller en krigserklæring mot samfunnet. Både Osama bin Laden og Anders Behring Breivik har utstedt krigserklæringer mot USA og Norge. Terrorisme forekommer i ulike sjatteringer fra det alvorligste av kriminalitet til lavintensitets asymmetrisk krigføring. Terroristangrep er innrettet mot midlertidig å omdanne det sivile samfunn til en krigssone, og utgjør dermed en av de mest alvorlige trusler mot samfunnssikkerheten.

Terrorismens logikk kombinerer fortid og fremtid for å spre frykt i nuet. Den er forankret i demonstrert evne til å gjennomføre dødelige angrep, kombinert med uttalt vilje til nye anslag i fremtiden. Slik sprer terrorister frykt i samfunnet. Terrorkampanjer må forstås som langt mer enn kalde fakta rundt antallet døde og skadede. Det er verdt å merke at terroristers sjokkerende voldsbruk har stått i mindre kontrast til staters voldsomme maktbruk i tidligere tider. Så sent som i andre verdenskrig var bombing av sivilbefolkning, for å knekke krigsmoralen og kampviljen, i tråd med militær doktrine både på alliert og aksemaktenes side. Etterkrigstiden brakte med seg en reaksjon mot dette gjennom Geneve-konvensjonene og annen internasjonal lovgivning om krigens folkerett.

Ettersom terrorisme inntreffer i grenselandet mellom krig og kriminalitet utgjør fenomenet en alvorlig trussel mot fred og sikkerhet. Antallet drepte i terrorangrep har blitt mer enn femdoblet siden 2000. Terrorangrepet 22. juli viser at Norge ikke er skånet mot terrorisme. Terrortrusselen fra ekstrem islamisme mot Norge og norske interesser anses som skjerpet og økende gjennom 2015. I tillegg kan økt fokus på militant islamisme, kombinert med konflikten og flyktningestrømmen fra Syria potensielt trigge fremmedfiendtlig hatkriminalitet helt opp til skarpe terrorhandlinger. Etterretningstjenesten peker og på militant islamisme som den mest alvorlige terrortrussel mot Norge og norske interesser.110 Denne trusselen er særlig knyttet til hjemvendte fremmedkrigere som har fått kamperfaring fra Syria og Irak.111

I de senere år har det vært eksempler på at grupperinger som oppfattes å være terrororganisasjoner har tatt kontroll over større landområder. Fremveksten og ekspansjonen av Den islamske staten i Irak og Levanten (ISIL) er et særlig foruroligende eksempel. ISIL opererer per i dag som en selvfinansierende pseudo-stat drevet av en geriljagruppe. Gruppen skiller seg også fra andre terrorgrupperinger ved å ha en særlig bred global appell. Spesielt gjennom bruk av sosiale medier har ISIL lykkes i å redefinere internasjonal jihadisme til noe mer «trendy» som når ut til mange unge. Den selverklærte kalifen har også styrket statusen og hatt samlende effekt for sympatisører i ekstreme islamistiske miljøer verden rundt. Grupper fra Algerie, Libya, Egypt, Saudi-Arabia og Jemen har tilsluttet seg ISIL.

Et stort antall fremmedkrigere fra rundt 90 land har dratt til Syria og Irak, inkludert fra Norge. Vi står i dag derfor overfor en trussel som kommer både utenfra, i form av fremmedkrigere som returnerer og innenfra i form av radikaliserte som kan la seg inspirere av ISILs oppfordring til voldelige handlinger. De store områdene styrt av ISIL benyttes til trening og planlegging av angrep mot mål i Europa. Paris-terroren november 2015 er et eksempel på et angrep med klare forgreininger til Syria. Treningen, kamperfaringen og indoktrineringen fremmedkrigere får mens de er i Syria og Nord-Irak utgjør en stor trussel når de vender hjem. Returnerte fremmekrigere vil trolig ha en lavere terskel for voldsbruk i Norge. Det er imidlertid viktig å påpeke at flertallet ikke vil utgjøre noen trussel ved hjemkomst.

Også andre grupperinger, ikke minst Al-Qaida-nettverket, forblir en betydelig terrortrussel mot vesten. Nettverket har intensjon og kapasitet til å gjennomføre terrorangrep i vestlige land.

Stor etterretningsinnsats mot terroraktører har likevel gitt betydelige resultater, og ført til at terrororganisasjoner må opptre med forsiktighet dersom de skal unngå å bli avslørt før de får utrettet sine aksjoner. Dette er en årsak til den endring i taktikk som har vært synlig i Europa i de senere år der soloterrorisme utført med relativt enkle midler har blitt hyppigere. Denne type terrorisme er vanskelig å avdekke og forebygge. Det har også vært en tendens til koordinerte angrep som rammer flere mål samtidig, eller suksessivt. Ekstreme islamister har i løpet av 2015–2016 utført en rekke voldelige angrep i Europa med angrep i Paris, Brussel og Nice som de mest alvorlige.

Boks 4.2 Radikalisering og deradikalisering

Terroristgrupper i Europa rekrutterer blant vanlige mennesker i det sivile samfunn. Når en person beveger seg fra å ha ekstreme meninger til å ville sette vold bak politiske krav og prosjekter, er vedkommende blitt radikalisert. Radikalisering kan defineres som «en prosess, der en person i økende grad aksepterer bruk av vold for å oppnå politiske, religiøse eller ideologiske mål.» (PST 2015). Prosessene som leder til radikalisering er mange og til dels ulike.

Samfunnets forebyggende arbeid mot terrorisme er helt avhengig av innsikt i radikalisering og deradikalisering. Forebyggende arbeid er både vanskelig og tidkrevende. I tillegg er resultatene tilnærmet umulig å anslå og dokumentere. Allikevel er dette noe av det viktigste arbeidet man kan gjøre for å bedre samfunnssikkerheten, og all sikkerhetslovgivning bør derfor ivareta det preventive aspekt. Det er dessverre slik at et konfronterende statsapparat, gjennom tiltak og lovgivning, kan støte ungdom som er i faresonen unna og bekrefte deres forestilling om eksklusjon fra det norske samfunnet.

Petter Nesser (2015) beskriver fire typiske roller som fylles i jihadistiske terrorgrupper i Europa. Disse er entrepenøren, protegen, drifters og misfits. De fleste terrorceller har en leder/entreprenør som knytter cellen opp mot internasjonale terroristnettverk. Under lederen står en protege som er nestkommanderende. Disse to funksjonene innehas oftest av personer med sterk ideologisk overbevisning og de har oftere høyere sosial kapital enn andre gruppemedlemmer, slik som utdanning. På bakkenivået finner vi søkende drifters, som gjerne eksperimenterer med ulike voldelige miljøer/gjenger før de lander mer permanent i en terrorgruppe. I tillegg har man de sosiale utskuddene misfits som tenderer til å ha en kriminell fortid. Disse kan søke til terrorgrupper av mer personlige grunner og har ofte en svakere ideologisk overbevisning. De kan være eventyrere på søken etter sosial tilhørighet. For denne typen terrorister vil voldsforherligelse være en viktigere motivasjonsfaktor enn ideologi, og tidligere erfaring med voldsbruk går igjen som et fellestrekk for mange av de som i dag trekkes inn i terroristgrupper (Crone 2015).

For samfunnssikkerheten er det sentralt å forhindre radikalisering på alle arenaer og fronter der dette er mulig. Noe av det viktigste forebyggende sikkerhetsarbeid som kan gjøres mot terrorisme er anti-radikalisering. Dette oppnås når man på et tidlig stadium klarer å avverge at en utsatt person i det hele tatt tar steget over til politisk vold og terrorisme. I de tilfeller der radikalisering allikevel inntreffer er deradikalisering resepten. Klarer man ikke forhindre at folk blir radikalisert, må man gjøre alt man kan for å få reversert radikaliseringsprosessen. I boken Leaving terrorism behind har Tore Bjørgo og John Horgan (2009) kartlagt under hvilke omstendigheter terrorister hopper av og forlater terroristgrupper. Mentorprogrammer i fengsler er blant metodene som har dokumentert deradikaliserende effekt. Fengsler er en velkjent radikaliseringsarena der hat mot samfunnet kan kanaliseres inn i ny forsterket vilje til voldelige angrep. Det er et fåtall av terrorismedømte som ønsker å delta i slike mentorprogrammer, men for de som deltar er resultatene oppløftende.

Kilde: PST, Trusselvurdering 2015. Petter Nesser, Islamist Terrorism in Europe: A history (London: Hurst, 2015.) Manni Crone, «Radicalization revisited: Violence, politics and the skills of the body», International Affairs, 92:3 2016, 587–604. Tore Bjørgo og John Horgan, Leaving Terrorism Behind: Individual and Collective Disengagement, (London: Routledge, 2009.)

4.3.4.2 Svake stater som arnested for terrorisme

Svake og sårbare stater kjennetegnes ofte av nylig avsluttede eller pågående væpnede konflikter, et svakt statsapparat, manglende respekt for menneskerettigheter, høy korrupsjon og manglende rettshåndhevelse kombinert med fattigdom. Slike stater gir grobunn og stort spillerom for terrornettverk og annen organisert kriminalitet. Et særlig foruroligende eksempel er ISIL, som har lykkes i å skaffe seg kontroll over store landområder i Irak og Syria og opprettet en pseudo-stat. Sommeren 2016 mistet de dog betydelige landområder.

Et annet eksempel er den militante islamittiske gruppen Boko Haram som i august 2015 erklærte dannelsen av et kalifat i Nord-Nigeria. Terroristgruppen har i dag kontroll over et landområde på størrelse med Belgia. Gruppen er blant verdens mest dødelige og har erklært troskap til ISIL.112 Boko Haram har som målsetting å fjerne den nigerianske regjering og innføre Sharia-lovgivning. Angrepene er hovedsakelig rettet mot offisielle institusjoner og personer, politiet og sikkerhetstyrkene.113 Terrorgruppen finansierer i hovedsak sin virksomhet med penger fra bankran, kidnapping og innkreving av skatter i områdene de besitter. Mye tyder også på at penger fra piratangrepene langs Nigerias kyst ender opp hos Boko Haram. Nigeria er preget av et autoritært styre, høy korrupsjon, med høyt konflikt- og voldsnivå mellom etniske og religiøse grupper, og mellom sentralmyndighetene og de 36 delstatsguvernørene. Det svake statsapparatet og manglende rettshåndhevelse har gjort at Boko Haram har fått en sentral maktposisjon i landet.

Også i Afghanistan har ulike opprørsgrupperinger betydelig makt i store områder. Etter avviklingen av ISAF og uttrekningen av koalisjonsstyrkene har utviklingen vært negativ for landet. Taliban har erobret stadig større områder. Al-Qaida har re-etablert treningsleirer og ISIL har fått fotfeste og er i stadig fremgang i flere distrikter. Det er også et stort antall mindre mindre grupperinger som i ulik grad samarbeider. I dag foregår det en viss rivalisering mellom Taliban, ISIL og Al-Qaida i Afghanistan.

I Mali tok The Movement for Oneness and Jihad in West Africa (MOJWA) i 2013 kontroll over nordlige landområder i forsøk på å innføre et strengt islamittisk styre. De fikk raskt kontroll over større områder ved å inngå et samarbeid med den lokale Tuareg-befolkningen som var i opposisjon til myndighetene i Mali. Frankrike deltok militært i en motoffensiv som tok tilbake kontrollen over de fleste islamist-okkuperte områdene.114

Et siste eksempel der en svak stat har ført til store sikkerhetsutfordringer internasjonalt er Somalia. Landet har lenge vært regnet som kroneksempelet på en failed state. Al-shabaab og et stort antall voldelige kriminelle grupperinger med inntekter fra blant annet piratvirksomhet og menneskehandel har utnyttet dette maktvakuumet og spredd død og ustabilitet også utover landets grenser. Terrorangrepet mot Westgate-kjøpesenteret i Nairobi i 2013 er et eksempel på dette. Shipping-næringen har også blitt rammet og i kortere perioder har enkelte rederier valgt å seile rundt hele det afrikanske kontinent, snarere enn å risikere å bli kapret av somaliske pirater.

Vi ser at terrororganisasjoner som får vokse seg store ikke bare er en trussel mot statsstrukturen i landene gruppene springer ut fra, men truer både regional og internasjonal stabilitet. Svikt i nasjonalt styresett regnes blant de faktorer som gir høyest risiko for internasjonal ustabilitet.115 Andre vesentlige faktorer er historikk for mellomstatlig konflikt og tilgang på ressurser. Økt internasjonal ustabilitet påvirker også Norges trusselsituasjon. De siste årenes terrorangrep i Europa vitner om hvordan terrorgruppering med opphav i svake stater kan ha en internasjonal agenda, med ISILs eksport av terrorisme til Europa som det fremste eksempel.

4.3.4.3 Sikkerhetstruende kriminalitet

Internasjonal organisert kriminalitet er ikke en direkte trussel mot norsk sikkerhet. Fenomenet påvirker likevel norsk sikkerhet på en rekke felter. Den negative påvirkningen fra alvorlig internasjonal kriminell virksomhets på internasjonal handel rammer også Norge. Deler av norsk næringsliv blir også berørt direkte, for eksempel rederier som seiler i farvann utsatt for piratvirksomhet. I en tid preget av økte kontaktflater og økt avhengighet på tvers av landegrenser, forplikter Norge å bidra i internasjonalt samarbeid på felter som antikorrupsjonsarbeid og bekjempelse av organisert kriminalitet, som for eksempel militærbidraget til antipiratvirksomhet i Adenbukta. Også migrasjonsstrømmer som resultat av organisert kriminalitet og sammenhengen mellom hvordan organisert kriminalitet gir grobunn for terrorisme er av betydning for norsk sikkerhet.

Internasjonal organisert kriminalitet er en alvorlig global trussel og dreper titusener av mennesker årlig, flere enn det som dør i krig. De største sektorene i internasjonal organisert kriminalitet er våpensalg, narkotikahandel, menneskehandel og IKT-kriminalitet. I følge FNs kontor for narkotika og kriminalitet (UNODC) er kostanden av organisert kriminalitet estimert til mellom 120–300 billioner amerikanske dollar, omkring 10 % av global BNP. Korrupsjon og annen kriminalitet er i fattige land ikke kun en økonomisk utfordring. Korrupsjon og annen alvorlig kriminalitet undergraver også allerede svake statsfunksjoner som igjen truer fred og stabilitet. Korrupsjon øker risikoen for konflikt samtidig som konflikt øker risikoen for korrupsjon. Dette symbiotiske forholdet truer fred og stabilitet i svake stater og gir grobunn for ustabilitet, kriminalitet og terrorisme.116

Alvorlig internasjonal kriminalitet kan forskyve styrkeforholdet mellom styresmakter og kriminelle. I for eksempel Mexico har narkotikakartellene stor makt både i lokalsamfunnet og nasjonalt. Som en respons på myndighetens kamp mot narkotikatrafikken har gruppene begynt å infiltrere politiet, grensevakter og politiske miljøer. Dette har forskjøvet styrkeforholdet mellom myndighetene og kriminelle og gjør at de kriminelle grupper fungerer som en stat i staten.117 Siden daværende president Felipe Calderón bestemte seg for å bekjempe narkokartellene med makt har narkokrigen krevd 164 000 liv mellom 2007 og 2014, ifølge mexicanske styresmakter.118

Globalisering og teknologisk utvikling bidrar til at internasjonal organisert kriminalitet øker i omfang. Utfordringene er vevet sammen og er grenseoverskridende. Cybertrusler, piratvirksomhet, terrorisme og annen organisert kriminalitet er koblet tett sammen.119 Skillelinjene mellom disse gruppene er i økende grad utvisket ved at de deler teknikker, personell, ferdigheter og pengeinntjeningsaktiviteter. For eksempel ISIL finansierer terror gjennom ulovlig salg av olje og kulturskatter, trafficking, kidnapping og cybercrime.120

Sikkerhetstruende organisert kriminalitet er grenseoverskridende. Nasjonalstatens tradisjonelle kontroll på informasjon, militær og økonomi blir i økende grad utfordret av ikke-statlige aktører. Fordelene som globaliseringen fører med seg gjør det også lettere for sikkerhetstruende aktører å rekruttere, trene, finansiere og styre ulovlig aktivitet på tvers av landegrenser og i cyberspace. Særlig internett og sosiale media benyttes hyppig til å nå ut til mange for å rekruttere, dele teknisk kunnskap og å planlegge aksjoner.

Organisert kriminalitet som inntektskilde til terrorisme

For å finansiere sin virksomhet benytter mange terrorgrupperinger illegale strategier, og deler både teknikker og personell med organiserte kriminelle. Terrororganisasjoner har en rekke kostnader knyttet til propaganda og rekruttering av nye medlemmer og tilhengere. Grupperinger som besitter territorielle områder bruker også store ressurser på å sikre egen sikkerhet og territoriell kontroll. Anskaffelser av våpen og andre ressurser brukt til å planlegge og gjennomføre terrorhandlinger kan også være kostbart. Taliban får en tredjedel av sine inntekter fra beskatning av opiumhandelen. Også Boko Haram og al-Shabaab får store inntekter fra beskatning av trekullsmugling. Dette utgjør hovedinntekten til al-Shabaab (ca. 36–56 million USD i året). Nettverk i Libya får store deler av sine inntekter fra menneskesmugling.121 Også ISIL benytter ulike former for kriminalitet til å finansiere sin terrorvirksomhet, herunder ulovlig salg av olje og kulturskatter, trafficking, kidnapping og cyberkriminalitet.122

Analyser av terroristers finansieringsstrategier i Europa viser at terrorceller i dag mottar mindre ekstern finansiell støtte, og i økende grad er selvfinansierende gjennom lovlige midler som et resultat av innstramming av finansielle reguleringer i kjølvannet av 9/11. Finansiering gjennom illegal virksomhet er den nest vanligste metoden for å finansiere terrorhandlinger og ble benyttet av 38 % av vest-europeiske jihadister i perioden 1994 til 2014. Organiserte kriminelle som finansierer terror kan overføre sin profitt via svartebørsmarkeder. Ofte blir og verdifulle gjenstander, narkotika og våpen blir brukt i stedet for kontanter til å oppbevare og overføre ressurser. Gjenstandene kan selges for å generere penger eller bli byttet mot varer terroristene trenger. Et eksempel på terrorhandling finansiert gjennom kriminalitet er de koordinerte bombeeksplosjonene mot pendlertog i Madrid 2004 som tok livet av 191 personer. Angrepet var hovedsakelig finansiert gjennom ulovlig narkotikahandel. Narkotika ble også brukt som betalingsmiddel for anskaffelsen av ulovlige eksplosiver som var stjålet fra en gruve i Spania av en kriminell bande.123

Piratvirksomhet

De vanligste formene for piratvirksomhet inkluderer bording av skip for å stjele kontanter og verdisaker, kapring for å stjele lasten, og bortføring av besetning med påfølgende krav om løsepenger.124 Piratvirksomhet har lange tradisjoner, og har fått fornyet oppmerksomhet de siste tiårene, særlig utenfor Øst-Afrika, Vest-Afrika og i Sørøst-Asia. Piratvirksomheten i Adenbukta og Det indiske hav nådde en topp i 2007. Mellom 2005 og 2010 fant 198 kapringer sted og 4000 sjøfolk ble holdt som gisler. Internasjonal innsats for å bekjempe piratvirksomhet, hvor også Norge har deltatt, har gitt gode resultater i området. Det er likevel kostbart å opprettholde det sjømilitære nærværet i Adenbukta, særlig når sikkerhetsutfordringene øker i Europa. Selv om det somaliske problemet er under kontroll ser piratvirksomheten ut til å øke i Guineabukten og i Sørøst-Asia. Hele 100 angrep fant sted i Guineabukta i 2013. Oljelaster kapres hyppig og varene selges i Nigeria, som er hovedbasen for denne organiserte kriminelle virksomheten. 1000 norskkontrollerte skip seiler i Guineabukta årlig, i tillegg til norske fartøyer i offshorevirksomheten som er viktige leverandører til Ghanas petroleumsindustri.

Piratvirksomhet er et globalt problem og truer både personer og økonomiske verdier. 80 % av verdens handel skjer sjøveien. I følge verdensbanken har somalisk piratvirksomhet kostet USD 18 milliarder årlig i form av tapt internasjonal handel.125 Som verdens sjette største handelsflåte påvirkers Norges økonomi og næringsliv direkte av maritime sikkerhetsutfordringer.126 Aktiviteten går ned som følge av utrygge farvann, rederinæringen må betale høyere forsikring og kostanden knyttet til å seile lange omveier eller iverksette sikkerhetstiltak om bord er høye.

Svake staters manglende rettshåndhevelse og liten kapasitet til å bidra til internasjonalt politisamarbeid gjør dem til egnet tilholdssted for planlegging av piratvirksomhet. I enkelte land har også gruppene bånd til statsmakten. Somalia har nærmest kontinuerlig vært i borgerkrig siden diktatoren Siad Barre ble styrtet i et militærkupp i 1991. Stadig rivalisering mellom ulike klaner er hovedårsaken til de langvarige konfliktene. Somalia har manglet både en fungerende regjering, politistyrke og nasjonalt rettsvesen, noe som har gjort det mulig for både piratvirksomhet og terroristgrupper som Al-Shabaab å operere nærmest uforstyrret. Det er grunn til å frykte at piratvirksomhet kan inngå i samarbeid med terrororganisasjoner. For eksempel ved at de tar seg av terroristene finansielle transaksjoner og terroristene gir våpen. Mye tyder på at penger fra piratvirksomhet i Guineabukta går til Boko Haram.

4.4 Nasjonale sårbarheter

4.4.1 Nye sårbarheter som følge av samfunnsutviklingen

Samfunnsutviklingen medfører betydelige endringer i hvordan samfunnsfunksjoner blir ivaretatt. Globaliseringsprosesser bidrar til å redusere betydningen av avstander og statsgrenser, og har i så måte brakt verden tettere sammen. På de fleste områder er denne generelle samfunnsutviklingen en ønsket utvikling, langt på vei drevet av befolkningen og samfunnets behov. Den teknologiske utviklingen og den strukturelle utviklingen av samfunnet fører til at befolkningen kan benytte stadig flere tjenester. Individet kan i stadig større grad støtte seg på tjenester som forenkler eller beriker hverdagen og livet. Samfunnets strukturer vokser og øker i kompleksitet, og samfunnsfunksjonene vi er avhengige av (verdiene som må sikres) blir stadig flere (verdiene vokser).

Figur 4.7 Risiko og samfunnsutvikling.

Figur 4.7 Risiko og samfunnsutvikling.

Arealet i trekantene illustrerer omfanget av risiko. Globalisering og økende kompleksitet i samfunnet fører til at verdiene som vi må beskytte vokser. Vi må også forholde oss til et større spekter av trusler, og sårbarheten blir større. Dette fører til økt risiko, og økte forventinger og forpliktelser til risikohåndtering i samfunnet.

Ved at individene i samfunnet gjør seg avhengig av flere tjenester, blir også sårbarheten overfor bortfall av tjenester større – både på grunn av den reelle avhengigheten til de ulike tjenestene/funksjonene og på grunn av at når antallet tjenester øker er det større sannsynlighet for at noen blir berørt i en hendelse.

Videre fører samfunnets økende kompleksitet til tilsvarende gjensidige avhengigheter mellom ulike samfunnsfunksjoner. Utviklingen i retning av økende avhengigheter er igjen drevet av effektivisering og gjensidig utnyttelse av strukturer, systemer og tjenester. Dette skaper et effektivt og hensiktsmessig samfunn under normale omstendigheter, og kan bidra til økt robusthet i mange samfunnsfunksjoner. Imidlertid kan effektiv og god ressursutnyttelse gi økt sårbarhet i systemer og funksjoner dersom disse blir utsatt for unormal påvirkning/påkjenning. Med økte avhengigheter vil sårbarheten forplante seg i verdikjedene. Sårbarheter kan være av menneskelig, organisatorisk eller teknisk art.127

Menneskelige sårbarheter kan være menneskers evne til å la seg lure, manglende motivasjon til å følge sikkerhetsbestemmelser som fører til merarbeid/ineffektivitet, eller manglende kunnskap. Menneskers evne til å la seg lure utnyttes aktivt gjennom sosial manipulasjon. Ansatte kan for eksempel lures til å gi fra seg passord, beskrive vedlikeholds- og sikkerhetsrutiner eller benytte minnepinner som er infisert.

Organisatoriske sårbarheter kan knyttes til manglende lederforankring og styring av arbeidet med sikkerhet. Videre kan mangel på hensiktsmessig ansvarsdeling og bevisstgjøring gi økt sårbarhet. Mangel på ressurser og kompetanse i sikkerhetsarbeidet kan være knyttet til manglende ledelsesforankring, og er ifølge NSM også en vesentlig svakhet i virksomheter de fører tilsyn med.128 FFI har gjennomført en studie på oppdrag fra NSM der de har undersøkt årsaken til mangelfull sikkerhetstilstand ved virksomheter NSM fører tilsyn med. FFIs konklusjon er at organisatoriske forhold er den viktigste årsaken.129

På den tekniske siden finnes også en rekke sårbarheter. NSM trekker fram tekniske IKT-sårbarheter i SFR. Dette inkluderer ikke-oppdaterte dataprogrammer, bruk av ikke-sikre komponenter i IKT-systemer, samt implementasjons- og designfeil i IKT-produkter. Mulige sårbarheter kan finnes i maskinvare, operativsystemer og applikasjoner. Videre fremhever NSM at manglende logging av trafikk kan innebære en betydelig sårbarhet, samt mangel på tiltak for å oppdage irregulær bruk og aktivitet.

4.4.1.1 Befolkningsvekst, urbanisering og relaterte sårbarheter

Verdens befolkning nådde 7,3 milliarder i 2015 og er forventet å øke til 9,7 milliarder mennesker i 2050.130 Kraftig befolkningsvekst og økt urbanisering er blant hovedtrekkene ved vår tids samfunnsutvikling. Mer enn halvparten av verdens befolkning bor i dag i byer, og ytterligere 3 milliarder mennesker er forventet å flytte til urbane strøk innen 2030. Antallet såkalte mega-byer, byer med mer enn 10 millioner innbygger, øker også kraftig. Den kraftige urbaniseringen kommer som et resultat av effektiviseringen av primærnæringene og sekundærnæringene som skjedde gjennom den industrielle og den grønne revolusjon. Et relativt lite antall mennesker i disse næringene kan betjene stor vekst i tertiærnæringene. At flere og flere bor i byer skaper innovasjon, økt produktivitet og økonomisk utvikling. Samtidig kan det enorme demografiske presset som følger de betydelige folkeforflytningene også være en kilde til forurensing, fattigdom, kriminalitet og økte helse- og ordensproblemer, spesielt når urbanisering skjer raskt og uten god styring. Den dramatiske økningen av mennesker bosatt i byer påvirker alle aspekter av samfunnet og gir sårbarheter knyttet til ressurstilgang og opprettholdelsen av kritiske samfunnsfunksjoner som følge av høy utnyttelsesgrad av naturresurser og systemer. Det oppstår videre nye utfordringer også i konfliktsituasjoner.

Den kraftige befolkningsveksten gir flere munner å mette, samtidig som andelen dyrket mark blir mindre. Økt urbanisering og nedbygging av jordbruksareal kombinert med klimaendringer gir større ustabilitet i matforsyningene. Også norsk kornproduksjon er i dag betydelig redusert, og stadig mer korn importeres utenfra. På 1980-tallet lå verdens kornlagre på om lag 130 dager. I de siste årene har de i snitt vært på 74 dager. Den økte norske avhengigheten av import og nedgangen i både kornlagre og matjord internasjonalt gir lav matsikkerhet og høy sårbarhet i krisesituasjoner. Norge har ikke lengre beredskapslagre med korn.

Tett befolkede urbane områder er mer krevende å administrere for å sikre befolkingens tilgang til grunnleggende behov som vann, mat og sikkerhet. Det er også krevende å sikre tilgang til velferdsgoder som utdanning, arbeid og helsetjenester i tett befolkede urbane områder, men opprettholdelse av disse er samtidig en forutsetning for å unngå sosial misnøye og uro. Opprettholdelsen av kritiske samfunnsfunksjoner som elektronisk kommunikasjon, kraft, vann og avløp er sårbare, spesielt når krisesituasjoner rammer. Orkanen Sandy som blant annet traff New York og New Jersey høsten 2012 førte til oversvømmelse av T-banesystemet og en rekke sentrale veituneller, oversvømmelse av Wall Street, brannutbrudd i Queens og at store deler av New York og omegn mistet strømmen i flere dager. 53 mennesker i New York mistet livet som følge av stormen.131 Dette er et av mange eksempler på at storbyer kan ha høy sårbarhet og lav resiliens ved ulykkesscenarier.

Humanitære katastrofer og konfliktsituasjoner byr altså på andre utfordringer i urbane strøk enn i rurale områder. Hjelpeorganisasjoner og militæret har mer erfaring med humanitære kriser i rurale strøk. NGO-er har derfor måttet tilpasse seg nye utfordringer når et stort antall flyktninger fra Syria-krigen slo seg ned i urbane og tett befolkede områder i Jordan og Libanon. Faren for opprør, for eksempel rettet mot håpløse sosiale forhold, øker etter hvert som storbyer vokser frem på en ukontrollert måte. Det er svært krevende å løse voldelige konflikter i store byer. Det krever store styrker og medfører høy operasjonell risiko i alle deler av en operasjon. Den kraftige urbaniseringen tilsier at vestlige styrker i fremtiden i økende grad vil bli involvert urbane operasjoner som et ledd i å stabilisere konfliktsituasjoner som er kommet ut av kontroll.

4.4.2 Sårbarheter for samfunnsfunksjoner og infrastruktur

4.4.2.1 Vurdering av sårbarheter og kartlegging av avhengigheter

DSB fikk i oppdrag fra Justis- og beredskapsdepartementet å utvikle en modell som skal være et virkemiddel for myndigheter på sentral, regionalt og lokalt nivå i arbeidet med å identifisere hva som er kritisk infrastruktur og kritiske samfunnsfunksjoner.132 DSBs rapport Samfunnets kritiske funksjoner, har som formål å identifisere kritiske samfunnsfunksjoner og definere hvilken funksjonsevne det er viktig å opprettholde til enhver tid i et samfunnssikkerhetsperspektiv.133 Som omtalt i kapittel 4.2.2 er systematikken i rapporten bygget på Infrastrukturutvalgets utredning og baserer seg på å ivareta kritiske samfunnsfunksjoner gjennom å sikre innsatsfaktorer og infrastruktur.134

Gjennom å kartlegge sårbarhetene til kritisk infrastruktur og innsatsfaktorer kan en altså identifisere sårbarheten til de kritiske samfunnsfunksjonene som disse understøtter. Dette dreier seg om både infrastruktur og innsatsfaktorer som direkte understøtter en samfunnsfunksjon og indirekte ved de avhengigheter som er til andre samfunnsfunksjoner, innsatsfaktorer og infrastruktur lenger ut i verdikjedene.

Kartlegging av avhengigheter mellom samfunnsfunksjoner og hvilke sårbarheter som forplanter seg kan være komplisert. Ofte er det lange komplekse verdikjeder med sterke avhengigheter mellom funksjonene, og det kan være krevende å skaffe seg kunnskap om sårbarheter utover egen virksomhet.

Konsekvensene av helt eller delvis bortfall av en samfunnsfunksjon er avhengig av graden av kritikalitet eller nødvendighet for samfunnet eller befolkningen, graden av resiliens og redundans i systemene som understøtter den aktuelle funksjonen, samt annen beredskap for gjenopprettelse eller skadebegrensning. Her vil også avhengigheter mellom den aktuelle samfunnsfunksjonen og andre samfunnsfunksjoner være avgjørende for hvor omfattende konsekvensene av bortfall vil være. Konsekvensene vil også kunne variere avhengig av klima og andre naturfenomener, samt samfunnsmessige forhold.

De fleste funksjoner i samfunnet er sterkt avhengig av energiforsyning. På grunn av høy leveringsevne, fleksibel avlevert effekt og lav kostnad er elektrisitet distribuert gjennom elektrisitetsnettet den mest utbredte energiforsyningen i Norge (som i de fleste andre land). Forsyningen av elektrisk kraft har vært meget stabil og er tilrettelagt for å være robust mot ulike hendelser, særlig naturhendelser. Bortfall av forsyningen skjer imidlertid jevnlig over kortere perioder i begrensende områder. Det er særlig naturhendelser som sterk vind, skred og flom som er hyppige årsaker til bortfall. Følgelig er samfunnet rimelig robust overfor slike bortfall.

Robustheten er blant annet ivaretatt gjennom at mange virksomheter som er avhengig av kontinuerlig forsyning av elektrisk kraft har etablert generatorer og magasinert elektrisk kraft i batterier som sikrer nødvendig forsyning i en kortere periode med bortfall. Kraftreserver kan da både betraktes som en kritisk innsatsfaktor i seg selv, og som en sårbarhetsreduserende faktor for de funksjoner kraftreservene understøtter.

Videre vil sårbarhet i kraftreserver blant annet være knyttet til levetiden for kraftreserven. Levetiden til kraftreserven vil være basert på forventet behov, som igjen er definert ut fra en forventning til et maksimalt omfang av en hendelse, gjerne bestemt ut fra en risikovurdering. Dersom risikovurderinger er gjennomført vil sårbarheten således være avhengig av hvilke risikoreduserende tiltak som er iverksatt ut fra en vurdering av sannsynlighet og konsekvens for ulike typer hendelser, sett opp mot kostnaden ved å gjennomføre tiltak. Eksempel på risikomatrise der ulike hendelser er presentert sammen er vist i figur 4.8

Figur 4.8 Nasjonalt Risikobilde 2014.

Figur 4.8 Nasjonalt Risikobilde 2014.

I Nasjonalt Risikobilde presenterer DSB ulike scenarier for uønskede hendelser. Konkrete scenarier blir risikovurdert og sammenstilt i en risikomatrise, som denne fra 2014. Når scenariene er konkrete, og ikke generiske, må ikke figuren forstås slik at for eksempel alle jordskjelv i byer (scenario 10) på generell basis vil ha verre konsekvenser enn et hvert terrorangrep i by (scenario 17).

Kilde: DSB, Nasjonalt risikobilde, 2014.

4.4.2.2 Trusselaktørers utnyttelse av sårbarheter

Historisk har sabotasje eller angrep mot kritiske samfunnsfunksjoner vært benyttet som virkemiddel i krise og krig. Bortfall av slike funksjoner rammer store deler av befolkingen og setter beslutningstagere under press. Angrep og sabotasje kan gjøres åpenlyst eller som fordekte operasjoner avhengig av hva som er målet for en trusselaktør. Naturhendelser og andre hendelser kan utnyttes for å øke effekten av tiltakene som blir gjennomført.

Som beskrevet i kapittel 4.4.1 vil en trusselaktør kunne utnytte menneskelige, teknologiske og organisatoriske sårbarheter. En trusselaktør med god innsikt i et lands samfunnsfunksjoner, infrastruktur og innsatsfaktorer vil kunne gjennomføre operasjoner med god kontroll over hvilken effekt operasjonen vil gi. Flere av trusselaktørene som er nevnt under kapittel 4.3 har kunnskap og kapasitet til å ramme kritiske samfunnsfunksjoner på måter som vil få alvorlige konsekvenser for Norge. PST, NSM og E-tjenesten er samstemt i at fremmede stater bedriver innhenting av informasjon om virksomheter og infrastruktur i Norge som øker vår sårbarhet.

Det skjer også innhenting om slike forhold fra ikke-statlige trusselaktører. Disse vil også kunne benytte noen av de samme metodene som statlige aktører for innhenting og for utnyttelse av slik kunnskap for målrettede angrep. Som regel vil imidlertid ikke-statlige aktører ha et kortere tidsperspektiv på innhenting og gjennomføring av et angrep. De vil også ha mindre ressurser og som regel være teknologisk underlegne statlige etterretningsorganisasjoner.

I PSTs Trusselvurdering 2016 fremkommer det at utenlandsk etterretning benytter et bredt spekter av metoder for å innhente kunnskap om norsk infrastruktur, forsvars-, sikkerhets- og beredskapsforhold og andre grunnleggende nasjonale interesser. Russland trekkes frem som en hovedaktør. PST mener virksomheten har som formål å legge til rette for russiske militære disposisjoner i en eventuell endring i den sikkerhetspolitiske situasjonen.

Metodene som benyttes av fremmede staters etterretning spenner i følge PST bredt. Noen av metodene er etablering av personlige og fortrolige kontakter som har tilgang til og formidler fortrolig informasjon, tekniske metoder for å avlytte/avlese sensitiv informasjon i IKT-systemer, utpressing og trusler mot personer av utenlandsk opprinnelse som arbeider i sektorer med tilgang til sensitiv og skjermingsverdig informasjon.

Innsidere vil i tillegg til å lekke sensitiv informasjon også kunne ha en sentral rolle i en eventuell sabotasjehandling, enten den er i form av fysiske tiltak eller digitale angrep.

Digitale nettverksoperasjoner blir også fremhevet som et område der både etterretningsaktivitet, sabotasje og annen sikkerhetstruende virksomhet er gjeldende.

PST understreker at sårbarheten for de ulike metodene er avhengig av i hvilken grad relevante virksomheter har kjennskap til trusselen og skadepotensialet, samt i hvilken grad de tar sikkerheten på alvor. Mangel på kunnskap og god sikkerhetskultur gjør at sårbarheten vedvarer.

PSTs vurdering er at den endrede sikkerhetspolitiske situasjonene i Europa og økt bevissthet hos personer som tradisjonelt har vært etterretningsmål, har ført til redusert mulighet for bruk av tradisjonell menneskelig innhenting av informasjon i forhold til tidligere.

4.4.2.3 Teknologisk utvikling som øker sårbarhetene i samfunnet

Det digitale sårbarhetsutvalget har i sin rapport gjennomgått digitale sårbarheter i samfunnet.135 I deres rapport er det en gjennomgang av kritiske samfunnsfunksjoners digitale sårbarheter. Rapporten fokuserer på samfunnets økte avhengighet av digital teknologi og er et godt grunnlag for videre arbeid med å redusere risikoen som er resultatet av disse avhengighetene.

Den teknologiske utviklingen åpner også nye muligheter for trusselaktører, fordi dette endrer sårbarheten i kritiske samfunnsfunksjoner. Det viktigste eksempelet er økt satsning på digitale nettverksoperasjoner. Dette er grundigere diskutert i kapittel 4.4.3.

Andre eksempler er miniatyriseringen av utstyr for avlytting av tale og akustiske og digitale signaler, samt foto og video og annet utstyr for fordekt innhenting av sensitiv informasjon. Miniatyriseringen bidrar til at utstyret kan skjules på nye steder med lav sannsynlighet for å bli kompromittert. I tillegg har utstyret lengre levetid som følge av bedre batterikapasitet. Kvaliteten på lyd og bilde er også vesentlig bedre enn tidligere.

Utviklingen av drone-teknologi og andre automatiserte og/eller eleverte plattformer for informasjonsinnhenting går fort. Dette gjør det mulig å bedrive innhenting av informasjon langt mer kostnadseffektivt enn tidligere, og med lavere risiko for å bli kompromittert.

Den økte bruken av sosiale medier gjør det lettere å kartlegge vennekretsen og interessene til potensielle etterretningsmål. Utstrakt bruk av mobiltelefoner med kamera gjør at bilder fra ulike lokasjoner er tilgjengelig i et stort omfang, ofte med nøyaktig posisjonering av hvor bildet er tatt og hvilke personer som er tilstede. Ukritisk publisering av bilder og video på sosiale medier kan gi trusselaktører informasjon som de ellers ville måtte benytte store ressurser for å innhente, potensielt med høy risiko.

4.4.3 Digitale sårbarheter

4.4.3.1 Samfunnets avhengighet av digitale systemer og tjenester

Dagens informasjonssamfunn er i sterk vekst og er drevet frem av økt globalisering og rask teknologisk utvikling. Informasjonsteknologiske gjennombrudd har ført til gjennomgripende samfunnsendringer som gir store gevinster i form av innovasjon og produktivitet. Digitaliseringen gjør det billigere å lagre og bearbeide informasjon i et mye større omfang enn tidligere. Dette fører imidlertid også med seg nye sårbarheter. Digitale tjenester og funksjoner kjennetegnes av lange, sammensatte og uoversiktlige verdikjeder. Det er altså komplekse avhengigheter mellom ulike funksjoner. Videre kjennetegnes slike tjenester og funksjoner av at informasjon kan overføres meget raskt mellom de ulike delene av en verdikjede. En feil som oppstår et sted, kan dermed forplante seg gjennom hele verdikjeden i løpet av svært kort tid – i enkelte sammenhenger i løpet av millisekunder. Bildet kompliseres ytterligere av at digital tjenesteutvikling og digitale tjenestetilbud er bransjer preget av høy grad av internasjonalisering. Det medfører at verdikjedene som en funksjon er avhengig av ofte inkluderer tjenester i andre land. For en virksomhet som er avhengig av digitale tjenester er det derfor svært vanskelig å ha tilstrekkelig innsikt i og kontroll over egne sårbarheter – ikke minst fordi en arver sårbarhetene til øvrige ledd i de digitale verdikjedene.

Norge er blant de mest digitaliserte land i verden.136 Dette i kombinasjon med den raske utviklingen på feltet gjør at Norge ikke utelukkende kan basere seg på at andre større og mer ressurssterke nasjoner skal finne løsninger på alle de vesentlige utfordringer og problemer som følger av denne utviklingen. Det digitale sårbarhetsutvalget påpeker i sin rapport at det må forventes at noen problemer vil oppstå i Norge først, og at vi må ta hensyn til dette gjennom ulike risikoreduserende tiltak.137

Elektronisk kommunikasjon (ekom) er en innsatsfaktor i all vare og tjenesteproduksjon og økonomisk virksomhet. Helsevesen, betalingstjenester, stat, kommune og ordensmakt er avhengig av at ekom fungerer. I Norge har telenettet en sentral rolle som bærer av slike tjenester. I det digitale sårbarhetsutvalgets rapport fremheves Telenors kjerneinfrastruktur som spesielt viktig. I rapporten konkluderes det med at dette nettet er utbygd med tanker på robusthet og er operert profesjonelt. Likevel er risikoen forbundet med å ha kun et slikt kjernenett uakseptabelt høy, med tanke på de store verdiene dette nettet er bærer av. 138

En av de gjennomgripende endringene digitalisering har ført med seg er hvordan vi styrer prosesser. Digitale styringssystemer, eksempelvis SCADA-systemer (supervisory control and data acquisition), benyttes til å fjernstyre industriprosesser. Slike systemer har ført til betydelig effektivisering av en rekke prosesser. De første SCADA-systemene som ble etablert var ofte fysisk adskilt fra andre digitale nettverk og systemer. Imidlertid har det vært en utvikling i retning av at det i stadig større grad skjer en integrasjon mellom SCADA-systemer og andre styringssystemer, samt tettere kobling mot internett. Dette gir ytterligere effektiviseringspotensial, men fører også til økt sårbarhet for digital inntrenging i systemene og for at feil forplanter seg mellom systemer. Det er flere eksempler på hvordan SCADA-systemer har blitt utnyttet for å utføre sabotasje.

Ett eksempel på en cybersabotasjeaksjon mot SCADA-system er Stuxnet-viruset, som trolig ble iverksatt av USA og Israel for å ødelegge sentrifuger for anrikning av uran i Irans atomprogram. Angrepet gjorde at sentrifugene for anrikning av uran spant ut av kontroll, noe som antas å ha satt Irans atomprogram to år tilbake i tid. Et annet digitalt angrep som har fått konsekvenser for viktig infrastruktur er cyberangrepet mot kraftsektoren i Ukraina i desember 2015 hvor 80.000 mennesker mistet strømmen. Dette viser hvordan sårbarheten i digitale systemer kan utnyttes for å ramme viktige prosesser. Angrep på styringssystemer kan ha stort skadepotensiale og i mange sammenhenger er konsekvensene vanskelige å forutsi.

Inntrenging og forsøk på inntrenging i IKT-systemer skjer hyppig, med varierende alvorlighetsgrad. Angrep utføres for å kompromittere, stjele, endre eller ødelegge informasjon. Nettverksbaserte etterretningsoperasjoner fra fremmede stater mot offentlige myndigheter og virksomheter skjer løpende og representerer en alvorlig trussel mot viktige nasjonale sikkerhetsinteresser. Slike nettbaserte etterretningsoperasjoner sees som et kostnadseffektivt alternativ til tradisjonell spionasje. Særlig Russland og Kina er stater med stor offensiv kapasitet i det digitale domenet. Også aktivister, terrorister og profittmotiverte kriminelle utgjør en trussel mot norske mål.139

Informasjonssikkerheten i offentlige virksomheter og virksomheter som ivaretar kritiske samfunnsfunksjoner er avhengig av sikkerheten i IKT-systemene. Saksbehandling foregår etter hvert nesten utelukkende på PC eller andre digitale plattformer. Bruk av skytjenester øker i både offentlig og privat sektor så vel som hos privatpersoner. Ca. 30 % av norske næringslivaktører benytter seg av skytjenester.140 At denne informasjonen lagres utenfor virksomhetens lokaler fører til sikkerhetsutfordringer. Også mobilitet og trådløshet øker i omfang, og sikkerheten til nettverkene varierer i høy grad og kan lett avlyttes ved manglende bruk av kryptering.141

Flere forsøk på nettverksbaserte etterretningsoperasjoner og andre digitale angrep mot offentlige og private virksomheter har de siste årene blitt avdekket. Sommeren 2014 ble 50 ulike selskap i norsk olje- og energisektor utsatt for omfattende spionasjeangrep. Dette er det største hackerangrepet mot norske interesser så langt. Forskeren Ruth Skotnes hevder at til tross for flere tilfeller av forsøk på inntrengning i egne driftskontrollsystemer, opplever norske nettselskaper trusselen mot egne systemer som relativt lav. Skotnes påpeker at dette er alvorlig tatt i betraktning at trusselbildet mot norske kraftdistributører er reelt. Sårbarhetene i sektoren øker ved bruk av IKT i distribusjon. Anleggene fjernstyres i dag fra et fåtall av driftssentraler i motsetning til tidligere hvor det var ansatte som overvåket og betjente hvert enkelt kraftforsyningsanlegg. Styringssystemene er i dag koblet til kontorstøtteverktøy og internett, som gjør dem sårbare mot angrep og teknisk svikt. Skotnes mener vi må forvente flere angrep mot driftskontrollsystemer som styrer industrielle prosesser og kritisk infrastruktur i tiden fremover.142

DNB opplevde sommeren 2014 et tjenestenektangrep (Distributed Denial-of-Service (DDoS) attack) som gjorde at det ikke var mulig å logge seg inn i nettbanken. I følge DNB dreide det seg ikke om hacking, men et overlagt sabotasjeangrep i form av at veldig mange påloggingsforsøk på en gang sprengte kapasiteten. Indikasjoner tyder på at angrepet kom fra utlandet. En rekke andre sentrale aktører ble også rammet, herunder Telenor, Norges Bank og Nordea.143 Nedetid i finansielle tjenester som resultat av cyberangrep kan føre til stor økonomisk skade. Ved langvarige bortfall kan konsekvensene av mangel på finansielle tjenester få store ringvirkninger i samfunnet. Det vil kunne redusere norske myndigheters funksjons- og styringsevne, og kunne skape sosial uro i befolkningen.144 Motivet for slike angrep kan være av politisk, personlig eller økonomisk art. Sabotasje og hærverk kan også utføres av aktører uten en klar agenda. Det er vanskelig å fastslå hva som er motivet uten god kunnskap om hvem som står bak. NSM mener det også foregår jevnlige og omfattende angrep mot norske virksomheter som ikke blir oppdaget.

Figur 4.9 Dataangrep og IKT-sikkerhetshendelser.

Figur 4.9 Dataangrep og IKT-sikkerhetshendelser.

Antallet IKT-sikkerhetshendelser og alvorlige dataangrep som NSM håndterer har vært økende i flere år. De fire siste årene har det vært en markant økning. De fleste angrepene har som formål å stjele informasjon fra datasystemene til store eller viktige bedrifter.

Kilde: Nasjonal sikkerhetsmyndighet, Risiko 2015.

Norges forsvar og våre allierte vil måtte forberede seg på å møte irregulær krigføring som hybridkrig og angrep i det digitale rom i tiden fremover. Man må være forberedt på operasjoner som har som mål å påvirke politiske beslutningstakere eller styre det videre konfliktforløpet. I det digitale rom vil slike operasjoner kunne omfatte blant annet sabotasjeaksjoner og nettverksbaserte etterretningsoperasjoner for å skaffe kunnskap om kritisk infrastruktur for å kunne gjennomføre fysiske sabotasjeaksjoner. Kraftforsyning, telekommunikasjon, betalingstjenester, samt politisk og militær ledelse kan alle være sårbare for slike angrep.145 Det digitale rom blir trolig en viktig arena for kriser og konflikter i årene som kommer.

Moderne IKT og nettverksteknologi gir også andre muligheter og utfordringer i militær sammenheng. Teknologiutviklingen gjør at geografisk avstand har mindre betydning – noe som påvirker utviklingen av en rekke virkemidler for bruk i militær sammenheng. Eksempler på teknologi som påvirkes sterkt av IKT-utviklingen er: kommando, kontroll og kommunikasjonssystemer, datasyn (computer vision), ballistiske missiler og kryssermissiler, langtrekkende droner og satellitter.

Bruk av stordata gjør det mulig å analysere store informasjonsmengder som kan bidra til et bredt spekter av prediktive analyser. Slike analyser benyttes til alt fra å predikere folks handlemønster til å forutse store naturhendelser. Stordata kan også brukes til å kartlegge personer, grupper eller hele befolkninger. Når store mengder data analyseres kan enkeltopplysninger som i seg selv ikke er sensitive, sammenstilles til sensitiv informasjon. Ved bruk av enkle verktøy kan store mengder informasjon om vennekrets og interesseområder samles. Stordata setter dermed personvernet under press og gir sårbarheter mot kriminalitet, menneskelig etterretning og spionasjevirksomhet. Denne sårbarheten økes av individets økte bruk av internett til sosiale medier, kommunikasjon, lagring i skyen etc., og det såkalte tingenes internett, som vil si at flere og flere gjenstander kobles til internett, fra kjøleskap til smartklokker. Dette er brukervennlige og praktiske tilskudd til hverdagen, men den teknologiske utviklingen går raskt og fører ofte til at etablerte strukturer og regelverk ikke klarer å henge med.146

4.4.3.2 Sårbarheter i IKT-systemer

Koblingen mellom informasjonssikkerhet og sikkerhet i IKT-systemer er blitt meget tett. IKT-systemer er i dag bærere av de fleste funksjoner i samfunnet, og således er de fleste samfunnsfunksjoner avhengig av sikkerheten i IKT-systemene. Dette betyr at sårbarhetene i IKT-systemene arves av samfunnsfunksjonene som disse understøtter. I likhet med andre områder er sårbarhetene i IKT-systemer av menneskelig, organisatorisk og teknisk art. IKT-systemer er sårbare for både digitale og fysiske angrep. God sikkerhet i IKT-systemer fordrer gode tekniske løsninger, så vel som god fysisk sikkerhet rundt infrastruktur og personellsikkerhet.

Sikkerhet i et IKT-system innebærer at en kan sikre konfidensialitet, integritet og tilgjengelighet av informasjonen som systemet behandler eller lagrer.

For skjermingsverdig og sikkerhetsgradert informasjon benytter Forsvaret og enkelte andre deler av statsforvaltningen sikkerhetsgodkjente IKT-systemer. Godkjente systemer har et tydelig regelverk som skal gi nødvendig sikkerhet. Det er ulike krav avhengig av hvilke graderingsnivåer systemene er sikkerhetsgodkjent for. Det er NSM som godkjenner systemer for sikkerhetsgradert informasjon og fører tilsyn med sikkerheten omkring slike systemer. Sikkerhetsgodkjente IKT-systemer er imidlertid ikke veldig utbredt i andre sektorer enn Forsvaret, noe som gjør sikkerhetsgradert kommunikasjon utfordrende både mellom og innad i sektorer. NSM påpeker i SFR behovet for økt mulighet for høygradert kommunikasjon i staten, og anbefaler at forsvarssektoren skal få tildelt ansvar for å utvikle felles løsninger for all statlig virksomhet.

Både statlig og privat virksomhet håndterer betydelige mengder informasjon som er sensitiv, men ikke sikkerhetsgradert. Hovedmengden av slik informasjon blir håndtert på systemer som ikke er godkjent for sikkerhetsgradert informasjon. Sikkerheten i IKT-systemene som behandler og lagrer sensitiv informasjon er variabel, og ofte dårlig. Mange systemer har betydelige sikkerhetsmessige mangler. EU har utarbeidet Network and Information Security (NIS)-direktivet som skal bidra til bedre cybersikkerhet i offentlig og privat virksomhet. Utgangspunktet for utarbeidelsen av NIS-direktivet er erkjennelsen av at cybersikkerhet er nødvendig for at personer og virksomheter skal kunne ha tillit til IKT-systemene og at dette er avgjørende for verdiskapingen i samfunnet. NIS-direktivet er grundigere omtalt i kapittel 8. Det digitale sårbarhetsutvalget anbefaler at Justis- og beredskapsdepartementet vurderer konsekvensene for Norge og understreker at det må ses i sammenheng med et eventuelt behov for å etablere en nasjonal minstestandard for sikkerhet i kritisk infrastruktur.

Både NSMs SFR og det digitale sårbarhetsutvalget påpeker viktigheten av gode krypteringsløsninger for å forhindre avlytting/avlesing av digital informasjon og kommunikasjon. Dette vil bli et viktig tiltak for å sikre sensitiv informasjon. I flere land diskuteres regulering av kryptering. Enkelte land og myndigheter argumenterer for at bruk av kryptering bør reguleres for å sikre myndighetenes mulighet til å avdekke sikkerhetstruende virksomhet og annen alvorlig kriminalitet. Andre mener at kryptering ikke bør reguleres. I Storbritannia arbeides det med lovforslaget «Investigatory Powers Bill». Her forslås det at leverandører av systemer som baserer seg på kryptert kommunikasjon skal lage løsninger for å kunne avlese informasjonen – å etablere såkalte bakdører. Tilsvarende forordninger blir også foreslått i en rekke andre land. Det vil kun være myndighetene som skal ha mulighet til å benytte seg av slike bakdører. Digitalt sårbarhetsutvalg anbefaler at bruk av kryptering ikke bør reguleres og tar til orde for at Norge aktivt skal arbeide mot slik regulering internasjonalt.

For de fleste IKT-systemer vil det være ønskelig med integrasjon mot flere andre systemer. Dette øker effektiviteten i informasjonsflyten mellom systemene. Dette fører til stadig større grad av koblinger mellom systemer, noe som fører til at sårbarheten for uautorisert tilgang til systemene øker.

4.4.4 Sårbarhet i risikostyring og sikkerhetskultur

4.4.4.1 Virksomheters risikostyring i et samfunnsperspektiv

Vi baserer samfunnets robusthet på forståelsen av hvilke risikofaktorer som kan påvirke oss, og iverksetter deretter relevante risikoreduserende tiltak. Vi foretar valg om hvordan vi vil forholde oss til ulike former for risiko. Dette kan bety at samfunnet a) velger å forholde seg til høy grad at usikkerhet (ukjent risikonivå), b) aksepterer en kjent risiko (risikoaksept), eller c) foretar risikoreduserende tiltak. Risikostyring er nærmere behandlet i kapittel 4.1 og 4.5.2.

Risiko for en gitt hendelse i en konkret virksomhet vil kunne vurderes som lav på grunn av at sannsynligheten for at nettopp denne virksomheten skal bli rammet er lav. Dette til tross for at konsekvensen av en eventuell hendelse vil være alvorlig. I et samfunnsperspektiv må en imidlertid vurdere den akkumulerte sannsynligheten for at en hendelse kan ramme alle tilsvarende virksomheter.

Videre vil en virksomhets egeninteresse først og fremst omfatte vurderinger av konsekvenser av ulike hendelser for egen virksomhet, og ikke nødvendigvis også omfatte konsekvenser for andre virksomheter lenger ut i verdikjeden.

Kvaliteten på risikovurderingene i de enkelte virksomheter er sårbar overfor kompetanse og ressurser for gjennomføring. Ikke minst er det utfordrende å foreta et riktig utvalg av relevante scenarier og hendelser som skal inngå i vurderingene. Det kan være spesielt krevende å fremskaffe tilstrekkelige kvalifiserte vurderinger, samt inneha nødvendig innsikt i trusler, verdier og sårbarheter, samt sannsynlighet og konsekvens forbundet med ulike uønskede hendelser. Det vil også være utfordrende å foreta vurderinger av mulige utviklingsløp for en trusselsituasjon. Det er derfor viktig å kjenne til hvilke usikkerhetsmomenter som inngår i risikovurderingene, og hvordan denne usikkerheten påvirker resultatet.

Figur 4.10 illustrerer ulike utviklingsløp for en situasjon der det skilles mellom det sannsynlige, det tenkelige, det utenkelige (men fortsatt mulige) og det umulige. Dette er en metodikk som lar seg anvende i utvalget av scenarier eller hendelser som skal inngå i en risikovurdering.

Figur 4.10 Utviklingsløp.

Figur 4.10 Utviklingsløp.

Illustrerer ulike utviklingsløp for samfunnet til bruk i strategisk planlegging. Denne metodiske tilnærmingen er også anvendelig for utvelgelse av scenarier eller hendelser som skal inngå i risikovurderinger.

Kilde: Alexander W. Beadle og Sverre Diesen, Globale trender mot 2040 – implikasjoner for Forsvarets rolle og relevans (Kjeller: Forsvarets forskningsinstitutt, 2015).

4.4.4.2 Manglende sikkerhetskultur og hendelige uhell

Truslene diskutert i kapittel 4.3 omhandler sabotasje, terrorhandlinger, hybrid krigføring og andre sikkerhetstruende hendelser. Det er likevel viktig å ikke glemme utilsiktede trusler knyttet til iboende svakheter i sikkerhetsstrukturene. Mangelfull sikkerhetskultur kan føre til hendelige uhell, det vil si at en handling får negative konsekvenser selv om personen som utførte handlingen verken hadde intensjon om å gjøre skade, eller handlet spesielt uforsiktig eller klanderverdig.

Mange virksomheter har et for lavt kunnskapsnivå, manglende opplæring av ansatte og en generelt svak sikkerhetskultur. Ifølge NSMs tilsynsrapporter er de fleste avvik i virksomheter av organisatorisk art, det vil si at avvikene kunne vært avverget dersom de organisatoriske rammene var bedre. Få teknologiske avvik skyldes teknologien alene, men at teknologiske tiltak er avhengig av menneskelige og organisatoriske tiltak. Det gir for eksempel dårlige resultater om man kjøper inn programvareoppdateringer dersom disse ikke blir installert på grunn av organisatorisk svikt.

Dårlig sikkerhetskultur i virksomheter gir utslag på ulike nivåer. Det er virksomhetens leder som er ansvarlig for virksomhetens forebyggende sikkerhet. Manglende sikkerhetskultur på dette nivået inkluderer at lederen ikke avser nok ressurser til sikkerhetsarbeidet og at sikkerhetsorganisasjonen er underdimensjonert i forhold til det reelle sikkerhetsbehovet. Også manglende evaluering av sikkerhetstilstanden og mangelfull gjennomføring av sikkerhetsmessige tiltak truer sikkerhetstilstanden.

Utilfredsstillende sikkerhetsfaglig opplæring av ansatte gjør også virksomheten utsatt for hendelige uhell. Dårlig opplæring kan skyldes at virksomheten selv har lav sikkerhetsfaglig kompetanse og derfor gir utilstrekkelig veiledning av personell som er ansvarlig for autorisasjon. Også dårlige rutiner for å sikre at den sikkerhetsfaglige kompetansen utvikles og vedlikeholdes bidrar til en mangelfull sikkerhetskultur.

En svak sikkerhetskultur kan komme fra manglende dokumentasjon av forebyggende sikkerhetsarbeid, manglende innrapportering av hendelser, mangelfulle øvelser av beredskapsplaner, mangelfull etterlevelse av lover og forskrifter og manglende veiledning og tilsyn.147

4.4.5 Sårbarhet i beredskap og krisehåndtering

I forbindelse med beredskap og krisehåndtering er ledelsessystemene samt kommando og kontroll-systemene avgjørende. Myndighetene er avhengige av effektiv utveksling av informasjon for å sikre et oppdatert situasjonsbilde, og for å kunne utøve effektiv ledelse. Det er derfor viktig at systemfunksjonalitet opprettholdes og at brukerne kan ha tillit til at systemene til enhver tid innehar autentisitet og integritet. Graderte kommunikasjonsplattformer kan lette kriseledelsens arbeid. Samtidig vil mangelfulle kommunikasjonsmuligheter utgjøre en sårbarhet.

Samfunnet er avhengig av IKT i ordinær drift. Behovet for IT-støtteverktøy vil øke i krisesituasjoner når mange geografisk spredte brukere skal samhandle for å håndtere de utfordringene krisene bringer med seg. I slike situasjoner kan imidlertid ikke alle brukere forvente å ha tilgang til elektroniske støttesystemer og kommunikasjonsmidler av kapasitetsgrunner. I tillegg vil kriser kunne medføre at kommunikasjonsnett blir degradert, korrumpert eller svikter helt.148 I en krisesituasjon er det viktig å sikre effektiv krisehåndtering og raskest mulig gjenoppretting av kritiske systemer. Hensynet til liv og helse vil veie tungt.

Sårbarhetene i kommando- og kontrollinformasjonssystemer (KKIS) er direkte knyttet til sårbarhetene i IKT-systemene. Videre vil visse KKIS være avhengige av alminnelige ekomsystemer, og således arve sårbarheter fra disse systemene, som kabelbrudd, strømbrudd eller lignende. Forsvarets KKIS er bygget for å være robuste overfor en teknologisk avansert motstander. Systemene er godt beskyttet mot relevante trusler i militære operasjoner der Forsvaret i stor grad opererer uavhengig av sivile kapasiteter.

Sivile KKIS er imidlertid etablert for å dekke et større spekter av mindre hendelser, og er dimensjonert for å fungere i sitasjoner som er forbundet med naturhendelser, ulykker, eller tilsiktede uønskede hendelser. Sivile beredskapsressurser blir til stadighet anvendt i faktiske hendelser der mange ulike aktører må involveres fortløpende. Under storbrannen i Lærdal januar 2014 ble Telenors lokale infrastruktur totalt utradert. Dette kompliserte kommunikasjonen og krisehåndteringen.

Mobiletelefon har vist seg å være et av de viktigste kommunikasjonsmidlene i krisehåndtering. Også 22. juli 2011 måtte politiet ved flere anledninger lene seg på mobiltelefoni. Dette medfører alvorlige sårbarheter i tilfelle mobilnettet slutter å virke. Særlig Telenors kjerneinfrastruktur inngår som en komponent i svært mange digitale verdikjeder. Feil i Telenors mobilnett vil derfor kunne medføre alvorlige følger i en krisesituasjon. Ferdigstillingen av et nasjonalt Nødnett kan gi betydelig økt robusthet og flere ben å stå på.

Ekspertgruppen for Forsvaret har påpekt at krisehåndteringsstrukturene ikke er tilfredsstillende på øverste strategisk nivå. Dette utgjør en sårbarhet som en motstander som benytter hybride taktikker kan tenkes å utnytte. Beredskapssystemets organisering er beskrevet i kapittel 3. Ordningen med lederdepartement, og en sterk sektortenkning, kan føre til at man taper uvurderlig viktig tid i en nasjonal krise. I tillegg kan regjeringen ved å forhaste seg risikere at feil departement ender opp med eierskap til krisen.

Et eksempel på en situasjon der det måtte handles raskt er statsministerens beslutning 22. juli om at det ikke var en sikkerhetspolitisk krise som ville bety at Forsvarsdepartementet skulle ledet krisehåndteringen istedenfor Justis- og beredskapsdepartementet.149 Dette fremstår som en enormt krevende beslutning å ta når Statsministerens kontor og Justis- og beredskapsdepartementet var utbombet og ingen kunne vite hvem som sto bak. Ekspertgruppen for forsvaret av Norge har påpekt at en mulig måte å redusere denne sårbarheten er ved å etablere et system der et forsterket SMK kan støtte statsministeren og regjeringen i arbeidet med beredskapsplanlegging og krisehåndtering, uten å rokke ved de konstitusjonelle ansvarsforholdene.150

4.4.6 Militære sårbarheter

Militære sårbarheter skiller seg fra sivile sårbarheter på noen vesentlige punkter, men det grunnleggende utgangspunktet er likt. Også for Forsvaret er det sikkerhetstiltak som reduserer sårbarheten og risikoen for uønskede hendelser i møte med trusler. Sårbarhetene er særdeles store i militær sektor, men det er også sikringstiltakene. Følgelig er ikke risikoen Forsvaret lever med for uønskede hendelser særlig større enn for samfunnet utenfor. Det er i sårbarhet og iverksatte sikringstiltak at militær sektor skiller seg fra andre samfunnssektorer. Konsekvensene av et anslag mot landets forsvarsevne er dramatiske og potensielt eksistensielle for Norges overlevelse som stat.

Forsvaret er et ettertraktet mål for sabotasje og spionasje fra fremmede makter. Trusselen fra ulovlig utenlandsk etterretning på norsk jord er tiltagende i henhold til PST. Russland og Kina representerer den største etterretningstrussel mot Norge og norske interesser.151 Overfor utvalget har PST også redegjort for konkrete sabotasjeaksjoner både mot sivile og militære mål som med stor sannsynlighet kan kobles til fremmede lands etterretningsoperasjoner på norsk jord.

Det er på denne bakgrunn at Forsvaret opererer med en annen grunnsikring og egne beredskaps- og sikringssystemer. Forsvaret setter sine egne beredskapsnivåer og har vært på et lavt, men likevel lett forsterket beredskapsnivå «Alfa» siden februar 2013. Tre og et halvt år med Alfa-beredskap utgjør en ny normalsituasjon for Forsvaret. Utviklingen i trusselbildet er at Forsvaret fremstår mer utsatt i fredstid enn det har vært siden den kalde krigens slutt. Nedbygging av kapasiteter og bevilgninger til Forsvaret vil over tid også kunne gjøre Forsvaret mer sårbart og mindre motstandsdyktig mot alle trusler og utfordringer. En trussel mot Forsvaret er også en trussel mot samfunnet som helhet. Med totalforsvaret og sivil understøttelse av militære kapasiteter, er skillet mellom sivile og militære sårbarheter blitt mindre tydelig.

Totalforsvaret, som beskrevet i kapittel 3.5, innebærer sivil støtte til militær sektor og militær støtte til sivil sektor. Dette er nødvendig av hensyn til effektiv utnyttelse av ressurser, men fører med seg sårbarheter for militær sektor ettersom de sivile virksomhetene ofte ikke er innrettet for å motstå alvorlige trusler. Sårbarheten inkluderer Forsvarets avhengighet til kritiske innsatsfaktorer og kritisk infrastruktur i sivil sektor.

Forsvar handler om å kunne stanse ytre trusler med militærmakt i en potensiell konfliktsituasjon. Forsvaret er avhengig av tilstrekkelig operativ evne for å være troverdig og å ha en avskrekkende effekt. Forsvarets operative evne er et produkt av reaksjonsevne, kampkraft og utholdenhet. Dagens militære utfordringer knytter seg blant annet til at det forventes kortere reaksjonstider, samt en rask teknologisk utvikling som fører til mer avanserte våpen med høy effekt, og som det er vanskelig å beskytte seg mot. Eksempler på dette er utviklingen i cyberområdet og langtrekkende presisjonsvåpen. Forsvaret må kontinuerlig moderniseres for å opprettholde forsvarsevnen. Levetiden på mye av Forsvarets materiell må også forventes å være kortere enn tidligere på grunn av den teknologiske utviklingen.

Moderne forsvar er avhengig av avanserte og kostbare våpensystemer. Økt kostnadsnivå og høy effektivitet fører til at antallet enheter som regel er relativt lavt i forhold til tidligere tiders våpensystemer. Få, men avanserte våpenplattformer er effektivt så lenge de kan beskyttes mot en fiende. Dersom beskyttelsen ikke er effektiv vil våpenplattformene raskt bli ødelagt av motstanderen. Informasjon om militære våpensystemer har alltid vært svært følsomt, ettersom det er nøkkelinformasjon som kan avgjøre utfallet av en konflikt dersom den blir kjent for motstanderen.

Samfunnsutviklingen med økt privatisering og internasjonalt samarbeid i forsvarsindustrien fører imidlertid til nye utfordringer. At slik teknologi er tilgjengelig for en rekke andre aktører og stater fører til at det er vanskelig å sikre seg mot at viktig informasjon kommer på avveie. Dette forsterkes ytterligere ved at det sivile samfunn i stadig større omfang bidrar til både nyvinning og produksjon av teknologi som Forsvaret er avhengig av i sitt materiell.

Moderne forsvars avhengighet til avanserte og kostbare våpensystemer har ført til økt internasjonalt samarbeid ved utvikling og innkjøp av militært utstyr. Et eksempel på dette er NATOs Smart Defence, hvor allierte går sammen om å utvikle viktige kapasiteter. I tillegg til NATOs ulike samarbeidsprosjekter finnes det en rekke bilaterale direkte samarbeidsavtaler vedrørende anskaffelser og utvikling av militært utstyr. NATO trenger moderne militære kapasiteter for å sikre sin relevans og troverdighet. Imidlertid har over halvparten av NATOs medlemsland kuttet mer enn 10 % i forsvarsutgiftene etter finanskrisen i 2008. USA dekker om lag 70 % av NATOs utgifter, og har over lang tid utrykt at denne skjeve byrdefordelingen ikke kan fortsette, særlig i lys av at de fleste store truslene er på europeisk side.152

NATO-medlemskapet spiller en nøkkelrolle i norsk sikkerhetspolitikk. Ubalansen i NATOs interne byrdefordeling og potensielt svakere amerikansk lederskap representerer derfor en alvorlig sårbarhet. Dette er eksistensielle temaer for NATO som kan rokke ved hele stabiliteten i Europa og gjøre alle stater mer usikre og sårbare. I sikkerhetspolitikken kan usikkerhet om intensjoner og forpliktelser være like farlig som høyt spenningsnivå i en oversiktlig situasjon.

Forsvaret står overfor trusler fra alle tre hovedformer for uønskede tilsiktede hendelser: terrorisme, sabotasje og etterretning. Det er tale om konkrete trusler som kan ramme Forsvarets kjerneoppgaver og Forsvarets nøkkelpunkter. Selv om utviklingen knyttet til militære sårbarheter må sies å være klart negativ, som en konsekvens av trender i internasjonal terrorisme og forringelse av Vestens forhold til Russland og Kina, så er Forsvaret en aktør som er konstruert nettopp for å møte sikkerhetsutfordringer.

4.4.7 Sårbarheter for demokratiske samfunn

Samfunnets sårbarheter handler om mer enn kritisk infrastruktur og statssikkerhet i militær forstand. Siden 90-tallet har sikkerhetsbegrepet blitt utvidet og har i større grad omfattet det sivile samfunn og det enkelte individs sikkerhet. Borgernes forventninger til i hvilken grad staten skal beskytte dem mot ulike farer er høye og ikke alltid realistiske. Dette tydeliggjøres under kriser, også i utlandet. Tsunami-katastrofen og kritikken av Utenriksdepartementets håndtering av flodbølgekatastrofen er et eksempel.

Blant de mest toneangivende innspill om samfunn og individenes håndtering av risiko er den tyske sosiologens Ulrich Becks akademiske produksjon om risikosamfunnet. En oppdatert gjennomgang av feltet på norsk finnes i boken Perspektiver på samfunnssikkerhet. Beck beskriver «hvordan den samfunnsmessige utviklingen bidrar til å skape nye trusler som krever helt nye måter å tenke på hvis vi skal kunne beskytte oss».153

Beck mener videre at risikoaversjon preger vårt moderne samfunn, med forventninger om at samfunnet i utstrakt grad skal sikre individene mot det brede spekter av trusler. Denne typen tenkning er en vesentlig premissleverandør for begrepet samfunnssikkerhet. Det holder ikke i dag at staten sikrer landets yttergrenser, og at innbyggerne deretter ivaretar sin egen sikkerhet innenfor den etablerte rettsorden. Befolkningen forventer mer.

Vi garderer oss kontinuerlig mot ulike typer risiko i dagliglivet. Sikkerhetstiltakene innbyggerne gjør seg i det daglige liv er i noen grad en refleksjon av samfunnets forebyggende sikkerhetstiltak. Når innbyggerne utviser lite risikoaksept privat vil resultatet kunne bli et samfunn som viker unna risiko. Her finnes en fallgruve der et bevisst og nøkternt forhold til risiko og sikkerhet kan gli over i overdreven frykt for moderate – og i verste fall fiktive eller ufarlige – trusler.

Dette reiser demokratiske problemer. Et av dem handler om risikoaksept og restrisiko rundt terrorangrep. Forestillingen om at myndighetene kan avverge ethvert terrorangrep vil kunne lede til inngripende kontraterror-tiltak som undergraver demokratiske rettigheter til privatliv og ytringsfrihet. I USAs krig mot terror har ThePatriot Act og National Security Agencys utstrakte registrering av kommunikasjon utfordret grensene for hva en demokratisk stat kan foreta seg i den hensikt å beskytte landet mot terrorhandlinger.

Mediene i pluralistiske samfunn vil alltid måtte vurdere om noe(n) har feilet i sikkerhetssektoren de gangene terrorister lykkes med et angrep. Etterspillet etter et terrorangrep kan forlede både mediene selv og befolkningen til å overse restrisikoen som utgjør et ikke-fjernbart handlingsrom for terrorister. Det er lett å si seg enig i at total og fullkommen beskyttelse mot terrorisme hverken er oppnåelig eller ønskelig. Noe helt annet er det å innrømme etter at liv har gått tapt at det dessverre var lite samfunnet kunne gjort annerledes.

Terroristen som gjennomførte 22. juli-angrepene opererte på en måte som gjorde det svært vanskelig å oppdage og avverge angrepet. Hans planlegging av terrorvirksomheten kan illustrere handlingsrommet som finnes i den restrisiko som gjenstår etter myndighetenes implementerte sikkerhetstiltak. Gjørv-kommisjonen konkluderte med at angrepet ikke var umulig å stoppe, men at det heller ikke var grunnlag for å klandre PST for at så ikke skjedde. Kommisjonen var hardere i sin dom rundt svikten i det forebyggende objektsikringsarbeid rundt regjeringskvartalet. Disse punktene sto helt sentralt i Gjørv-kommisjonens konklusjon og utgjorde to av kommisjonens seks hovedkonklusjoner som gjengitt under:

Angrepet på regjeringskvartalet 22/7 kunne ha vært forhindret gjennom effektiv iverksettelse av allerede vedtatte sikringstiltak. […] Med en bedre arbeidsmetodikk og et bredere fokus kunne PST ha kommet på sporet av gjerningsmannen før 22/7. Kommisjonen har likevel ikke grunnlag for å si at PST dermed kunne og burde ha avverget angrepene.154

Misoppfatninger om hva sikkerhetsmyndigheter faktisk kan forventes å avverge, gitt skrankene og føringene for deres arbeid, er en skummel fallgruve. Samfunnet kan ende opp med å stille urimelige krav til beskyttelse overfor aktører som PST og E-tjenesten. Tilliten mellom sikkerhetstjenestene, regjeringen og befolkningen kan undergraves dersom forståelsen av trusselbildet og muligheten til å avverge terror spriker for mye aktørene imellom. En slik tillitssvikt utgjør et demokratisk problem da behovet for beskyttelse mot ytre trusler og vold utgjør en del av samfunnskontrakten i liberale samfunn.

4.4.7.1 Sårbarheter overfor strategisk kommunikasjon og informasjonsoperasjoner

Den frie presses viktige samfunnsoppdrag som nyhetsformidler og kilde til objektiv informasjon har blitt utfordret av økt kommersialisering og fremveksten av sosiale medier. Utviklingen har på mange måter demokratisert mediene ved at mangfoldet av informasjonskanaler har økt og det aldri tidligere har vært lettere å nå ut til omverden med sine synspunkter. Spredningen av informasjon skjer også hurtigere enn før. Flere konflikter i Midtøsten, inkludert Den arabiske våren, har vist hvilken kraft sosiale medier kan ha på politikken i konfliktsituasjoner.

PST fremhever i sin trusselvurdering for 2016 hvordan enkelte etterretningstjenesters bruk av informasjons-, påvirknings- og propagandaoperasjoner i andre land har som målsetting å svekke tilliten til myndighetene eller skape motsetninger. At slike strategier tas i bruk i perioder med høy spenning er noe også Norge må være forberedt på.155 Under en tilspisset sikkerhetspolitisk krise vil en motstander kunne så tvil om blant annet myndighetenes intensjoner om og evne til å beskytte befolkningen mot voldelige anslag fra terrorister eller andre kriminelle.

Det digitale rom og internett spiller en viktig rolle som kamparena i moderne konflikter og kriger.156 Strategisk kommunikasjon, eller stratkom, er en sentral faktor for å vinne i konflikter. Kommunikasjonen av strategiske narrativer kan være avgjørende for utfallet av en konflikt og fører derfor til en kamp mellom stater, organisasjoner, og i økende grad også enkeltindivider, om å definere eller etablere «sannheter» om konflikten. Strategiske narrativer kan spres gjennom sosiale medier, som for eksempel Facebook, Twitter, Instagram, blogger og YouTube. Under krigføringen i Gaza og i Syria ble særlig Facebook og Twitter brukt aktivt av mange parter. Lokalbefolkning og andre vitner bidrar kontinuerlig til rapportering fra slagmarken. På den digitale slagmarken har også andre grupper engasjert seg, eksempelvis nettaktivister og hackergrupper. Anonymous tok for eksempel palestinernes side i den siste Gaza-konflikten, og utførte millioner av angrep mot israelske nettsider.157

Informasjons- og kommunikasjonsinfrastruktur er ofte klare militære mål under væpnet konflikt, med Balkan, Irak, Georgia, Nord-Afrika og Midtøsten som eksempler. På Balkan og i Irak angrep koalisjonsstyrkene både elektrisitetsforsyning og kringkastingsinfrastruktur. De siste årene har vist at internettet i seg selv er blitt et mål – myndighetene i Syria tok ned internettforbindelsen for å hindre at opprørere organiserte seg. Dette understreker behovet for evne til å håndtere bortfall av informasjons- og kommunikasjonsinfrastruktur.158 Angrep på informasjons- og kommunikasjonsinfrastruktur kan gjennomføres i en så tidlig fase av en konflikt at det ennå ikke er definert som en sikkerhetspolitisk krise, og det vil kunne utføres med fordekte midler som også vil gjøre det vanskelig å knytte hendelser til en av partene i konflikten.

Både angrep på informasjons- og kommunikasjonsinfrastruktur og psykologiske operasjoner benyttes som del av hybride krigsstrategier. Målsettingen trenger ikke å være full kontroll på informasjonsflyten, men kan være å sette ut så mange ulike historier at befolkningen forvirres. Vi vurderer den informasjonen vi får basert på hvilken annen informasjon som er tilgjengelig. Når majoriteten av informasjon tilgjengelig er manipulert blir man fanget i et system av falske oppfatninger. Økt bruk av internett og fremveksten av sosiale medier har økt antallet kanaler slik desinformasjon kan spres gjennom. Å villede gjennom desinformasjon, undergraving av sannheten og manipulering av nyheter, kan støtte opp under militære virkemidler. Dette gjøres på nye og mer omfattende måter i dag. Skjønt, allerede for 2500 år siden slo Sun Tzu fast at «all warfare is based on deception».159

Under andre verdenskrig benyttet begge sider strategisk kommunikasjon, herunder propaganda og psykologisk påvirkning i stort monn. Under den kalde krigen var frontene mellom øst og vest stabile og det utspant seg en statisk kamp mellom klassisk sovjet-propaganda og Vestens frihets- og demokratiidealer. Bildet ble langt mer flytende og dynamisk etter murens fall. Under Balkan-krigene på 90-tallet ble manipulering av mediene og villeding av befolkningen brukt aktivt som en del av krigsstrategien. I 1992 trodde 20,5 % av Beograds befolkning at det var serberne som bombarderte Sarajevo, mens 38,4 % trodde det var muslimsk-kroatiske styrker.160

Den første Gulfkrigen er også en stilstudie i manipulasjon av befolkningers persepsjoner om krig. Presisjonsbombing, 100 timers-krigen, samt Iraks informasjonsminister «Komiske Ali» er blant levningene etter denne første krigen som ble mediedekket i sann tid. Nærmere vår tid er krigen mot terrorisme et eksempel på en krig der forestillinger og narrativene om krigen har vært helt avgjørende for krigens utfall. Obama valgte å ikke videreføre konseptet krig mot terror, ikke minst fordi negativt ladede tortur-narrativer var blitt knyttet tett opp mot krigen. Guantanamo, Water-boarding og kidnappinger utgjorde etter hvert uslettelige moralske pletter på krigen mot terrors omdømme, som var lite forenlige med grunnleggende demokratiske verdier. Dette ledet til økt sårbarhet fordi det undergravde legitimiteten til hele krigen mot terror og det utstrakte forebyggende sikkerhetsapparatet krigen brakte med seg.

Under Ukraina-krisen var informasjons- og kommunikasjonsinfrastrukturen både utsatt for angrep som førte til bortfall og psykologiske operasjoner for å påvirke meningsdannelsen. Ukrainske kommunikasjonskanaler ble utsatt for cyberangrep som resulterte i at Krimhalvøya ble avskåret fra omverden. Samtidig foregikk en informasjonskampanje der hovedbudskapet var beskyttelse av russiske minoriteter.161 Undersøkelser viser at antallet som støttet løsrivelse og ønsket å bli en del av Russland økte kraftig som et resultat av ensidige tv-sendinger som fokuserte på hvordan etniske russere på Krim ville bli annenrangs borgere i Ukraina.162 Russlands bruk av propagandaverktøy og psykologiske operasjoner som del av sin informasjonsstrategi støttet den militære anneksjonen av Krim.

Ulike aktørers satsning på strategisk kommunikasjon skaper utfordringer for pluralistiske samfunn der mediene spiller en sentral samfunnsrolle. I tillitbaserte samfunn stilles det store krav til mediene om at de skal informere befolkningen om viktige spørsmål og utviklingen lokalt, regionalt og globalt. 22. juli var en påminner om hvor vanskelig det kan være å verifisere informasjon når krisen treffer. Etablerte systemer og rutiner klarte ikke å håndtere trykket, og det oppsto et vakuum der en flom at vitner og egenobservasjoner fikk spillerom uten den nødvendige kontakten med politiet for å bekrefte eller avkrefte ryktene.163 Mange medier og kommentatorer gikk langt i å feilaktig antyde at islamistiske grupperinger eller Al-Qaida sto bak angrepet.164

Når man ser hvor misvisende deler av mediedekningen rundt 22. juli ble, helt uten noen kapabel villedende motstander, forstår man at rommet for en høykompetent hybrid-motstander til å manipulere norske medier og offentlighet utgjør en betydelig sårbarhet. I en situasjon der ressurssterke aktører utnytter alle informasjonskanaler for å bedrive propaganda og fordekt strategisk kommunikasjon, må mediene være spesielt ryddige med å oppgi kilden til informasjonen de kommuniserer. Dette må gjøres gjennom hele informasjonskjeden, slik at det fremkommer hvem som angivelig er primærkilde.

Hybride strategier er designet nettopp for å være uhåndgripelige og uhåndterlige og sette motparten ut av balanse. Det er vanskelig å iverksette egnede mottiltak mot hybride trusler siden de vanskelig lar seg identifisere, og preges av high deniability. Som et tillitsbasert samfunn, og som en av de mest digitaliserte landene i verden, kan Norge vært utsatt for aktører som ønsker å misbruke strategisk kommunikasjon for å påvirke meningsdannelsen i opinionen, mobilisere en befolkning eller skape motsetninger.165

Det er manglende langsiktig strategisk tenkning på politisk nivå om hvilke effekter informasjons-, påvirknings- og propagandaoperasjoner kan ha, og hvordan den økte bruken av sosiale medier kan misbrukes til å villede og påvirke befolkningen. Verken Forsvaret eller befolkningen forøvrig er særlig godt forberedt til å møte slike trusler. For å redusere sårbarheten er det behov for mottiltak mot slike strategier, og økt bevissthet rundt truslene. For en liten stat vil maktmidlene i en krise oftere være internasjonal rett, diplomati, diskreditering av propaganda snarere enn militærmakt. Strategisk kommunikasjon er derfor en (krise)ressurs for Forsvaret. NATO satser også på strategisk kommunikasjon i sin strategi og alliansens retningslinjer vil også gjelde for Norge. Norge bør være i stand til å bruke slike digitale plattformer på en mer strategisk målrettet måte i framtiden.166

4.4.7.2 Politiske prioriteringer

Liberale demokratiers styrke ligger i at det er befolkningen som gjennom sine valgte representanter bestemmer hvordan ressurser benyttes og skal fordeles. Det er dermed viktig at befolkningen er godt opplyst om hvilke utfordringer som må løses og har god forståelse for det faktiske ressursbehovet. Med stadig internasjonalisering og økende kompleksitet i samfunnet øker befolkningens behov for informasjon. Den teknologiske utviklingen har ført til en enorm effektivisering av informasjonsspredning, og informasjon er tilgjengelig for befolkningen i langt større grad enn tidligere. Dette skaper imidlertid utfordringer for den enkelte i å velge ut relevant informasjon.

Befolkingens kunnskapsnivå og tilgang til informasjon er styrende for hvilke trusler som anses som viktigst å sikre seg mot. Forsvaret gjennomfører innbyggerundersøkelser for å kartlegge hvilke trusler mot nasjonal sikkerhet norske innbyggere er mest bekymret for. Funnene av innbyggerundersøkelsen fra 2015 vises under.

Figur 4.11 Graden av bekymring i befolkningen knyttet til ulike typer trusler.

Figur 4.11 Graden av bekymring i befolkningen knyttet til ulike typer trusler.

Kilde: Forsvarets innbyggerundersøkelse 2015.

Forebyggende sikkerhetsarbeid er kostbart, og ofte brukes penger på tiltak man håper man aldri får bruk for. Det er derfor viktig at informasjon er tilgjengelig for å gi befolkning og politikere et godt grunnlag for å forstå situasjonen og diskutere alternative løsninger og tiltak. Økt åpenhet fra etterretnings- og sikkerhetsmiljøene omkring trussel og sikkerhetssituasjonen har vært en trend i de fleste vestlige demokratier de siste tiårene. E-tjenestens og PSTs åpne trusselvurderinger, samt NSMs årlige vurdering av sikkerhetssituasjonen og DSBs Nasjonalt risikobilde, er alle gode eksempler på dette.

Større endringer i politiske prioriteringer, nasjonalt og internasjonalt, kan medføre endringer i trusselsituasjonen. Dette kan videre bidra til endringer som påvirker hvilket nivå det må være på sikkerheten. Eksempelvis kan informasjon som oppfattes som ikke-skjermingsverdig på et tidspunkt, og som blir skjermingsverdig ved endringer i trusselbildet eller sikkerhetssituasjonen, skape utfordringer. På samme måte kan det føre til at visse typer virksomhet får et større beskyttelsesbehov enn tidligere, noe som krever ressurser for å få iverksatt nødvendige tiltak raskt.

4.5 Virkemidler for å oppnå nasjonal sikkerhet

Kapittel 4.2, 4.3 og 4.4 omtaler henholdsvis verdier, trusler og sårbarheter som sammenstilt gir et bilde av risiko for at tilsiktede uønskede hendelser skal ramme verdiene vi ønsker å beskytte. Regulering av forebyggende sikkerhet har som formål å redusere risiko (eller øke sikkerheten) i samfunnet. Forebyggende sikkerhetstiltak vil hovedsakelig rette seg mot å redusere sårbarhetene i samfunnet. Det er imidlertid en viktig og sterk sammenheng mellom sårbarhetene i samfunnet og hvordan samfunnsutviklingen endrer hvilke verdier som må beskyttes, samt hvordan truslene utvikler seg. Som omtalt i innledningen til kapittel 4.3 om trusler, vil blant annet et høyt sikkerhetsnivå endre kost-/nyttevurderingene hos en potensiell trusselaktør slik at intensjonen om å utføre handlinger som forårsaker skade bortfaller.

Bruk av virkemidler må ses i sammenheng for å sikre god effekt. Effekten av virkemidlene må betraktes ut i fra et samfunnsøkonomisk perspektiv. Dette blir omtalt i første del av kapittelet. Videre i dette kapittelet gjennomgås bruk av ulike virkemidler og hvordan disse kan benyttes ut ifra generelle betraktninger. Utvalgets vurderinger av hvordan den lovmessige reguleringen av forebyggende sikkerhet bør innrettes på ulike tematiske områder fremkommer i del III. Der blir det også redegjort for tilfeller der utvalget mener lovregulering bør suppleres med andre virkemidler.

4.5.1 Samfunnsøkonomisk lønnsomme tiltak

Samfunnets ressurser er knappe og mange formål i samfunnet konkurrerer om de samme ressursene, både i offentlig og privat virksomhet. Samfunnsøkonomiske analyser er et verktøy som brukes i offentlig forvaltning til å identifisere og belyse konsekvensene av tiltak. Før en beslutning skal tas bør vi ha et tydelig bilde av hvilket samfunnsproblem som bør løses og hvilke måter det kan løses på. Ulike tiltak vil ha ulike positive og negative konsekvenser for ulike aktører i det offentlige, i det private næringsliv, for privatpersoner og andre grupperinger.

Det er aktørenes samlede konsekvenser som utgjør den samfunnsøkonomiske lønnsomheten, og som påvirker samfunnets velferd. Aktørene kan være alt fra samfunnet som helhet til ulike grupper i samfunnet i privat eller offentlig sektor. Samfunnsøkonomisk lønnsomhet viser altså hva som er best for Norge som helhet – vurdert ut fra konsekvenser for enkeltgrupper. Gjennom mandatet er utvalget bedt om å ta slike hensyn. I mandatet står det følgende:

Forslaget skal sikre en kostnadseffektiv regulering, som sikrer balanse mellom akseptabel restrisiko, og kostnaden for sikkerhetsnivået. Samfunnsøkonomisk lønnsomhet skal være en grunnleggende forutsetning, dvs. at aktuelle sikringstiltak må ha en samfunnsøkonomisk nytte som samlet overstiger kostnadene.

Der hvor utvalget lander på en løsning hvor sikkerhetstiltakene skal spesifiseres i lov, må det altså gjøres slike vurderinger. Alternativet til å spesifisere krav til sikkerhetstiltak i loven er å spesifisere hvem som har myndighet til å beslutte hvilke tiltak som skal gjennomføres og å stille krav til hvordan prosessen som leder frem til beslutning skal være. I slike tilfeller vil det være nødvendig å fastsette at slike vurderinger skal være en del av beslutningsgrunnlaget.

Det er viktig for utvalget å understreke at det er foretatt vurderinger av konsekvensene av de løsninger som er foreslått. Det er vurdert konsekvenser i vid forstand, der hovedeffektene av de foreslåtte tiltak vil ha sikkerhetsmessige konsekvenser, personvernkonsekvenser og økonomiske konsekvenser. Nytte- og kostnadsvurderinger vil altså innbefatte alle slike typer virkninger.

I utvalgets kontekst skal det vurderes ulike typer sikkerhetstiltak som kan iverksettes. Utvalget vurderer alt fra et utvidet virkeområde for loven, til mer organisatoriske tiltak. Nytten av utvalgets anbefalte tiltak vil tilfalle mange samfunnsaktører. Felles for de fleste gjelder det at de tilfaller samfunnet som helhet – vi får det tryggere. I tillegg vil mange sikkerhetstiltak spesielt tilfalle noen sektorer eller grupper i en sektor. Det enkelte tiltak som iverksettes på virksomhetsnivå vil også ha nytte for enkeltvirksomheter i form av for eksempel sikrere IKT-systemer og bedre sikkerhet mot alvorlig kriminalitet eller robusthet mot uhell eller naturhendelser. Tiltakene gjør både virksomhetens aktivitet og deres brukere og kunder tryggere.

Iverksetting av tiltak vil i de fleste tilfeller også føre med seg ulemper av enten kostnadsmessig art eller andre typer ulemper, som for eksempel inngrep i personvernet. Kostnader ved tiltak vil gjerne i første rekke dukke opp på virksomhetsnivå. Kostnader kan være alt fra direkte investerings- eller driftskostnader, eller andre typer ulempekostnader som blant annet kan følge av forsinkelse av prosesser som følge av omfattende og tidkrevende prosedyrer. Enkeltvirksomheter vil sannsynligvis være opptatt av hva utvalgets forslag vil bety for dem – gjerne i form av kostnader med direkte utslag på bunnlinjen, eller i form av mulige konkurransefordeler eller -ulemper. Slike konsekvenser er inkludert i utvalgets vurderinger av den samfunnsøkonomiske lønnsomheten av tiltakene.

Så langt utvalget er i stand til, gis det en beskrivelse av positive og negative konsekvenser av forslagene. Dette inkluderer å synliggjøre hvilke aktører i samfunnet som drar nytte av tiltakene, og hvem som bærer kostnadene. For noen enkelttiltak som utvalget foreslår, vil det være mulig å gi et mer konkret bilde av hva nytten av tiltaket består i, og hvem som forventes å måtte bære kostnaden, samt hva den består av. Utvalget er imidlertid ikke i stand til å beregne hva nytten og kostnaden samlet sett vil bli for summen av de enkeltaktører som blir påvirket, som utgjør samfunnet i vår vurdering.

En viktig årsak til at de fleste konsekvensvurderingene er begrenset til en overordnet beskrivelse, er at utvalget kun skal utrede lovgrunnlaget, som på mange områder vil være innrettet med overordnede formuleringer. Den detaljerte utformingen og operasjonaliseringen av lovgrunnlaget vil måtte utformes i forskrifter. Dette innebærer at konsekvensene først kan beregnes i den etterfølgende fasen av lovarbeidet. Selv i den etterfølgende fasen vil det sannsynligvis være vanskelig å beregne den samfunnsøkonomiske nettonytten ut fra kjente verdsettingsutfordringer, spesielt på nyttesiden. Et eksempel vil være problemene som oppstår hvis en prøver å gi gode, kvantifiserte anslag på nytten av økt sikkerhet i Norge.

Et annet ytterligere kompliserende poeng i konsekvensvurderingen er at utvalgets forslag utgjør en helhet, og tiltakene og virkningene vil påvirke hverandre. Det er den samlede porteføljen av tiltak utvalget foreslår som vil ha den ønskede effekten på samfunnets sikkerhet.

4.5.2 Risikoreduserende tiltak, restrisiko og risikoaksept

Staten har et bredt spekter av virkemidler som kan benyttes for å sikre at samfunnsutviklingen går i ønsket retning. Myndighetene kan benytte ulike styringsverktøy for å påvirke menneskers og virksomheters handlemåte. Tiltak kan benyttes som en fellesbetegnelse for de handlinger myndighetene ønsker å utløse med sin virkemiddelbruk. Tiltak omfatter både fysiske tiltak (for eksempel installering av rotasjonsporter eller kameraovervåkning) og atferdsendringer (for eksempel større forsiktighet med bruk av skytjenester). Virkemidlene innrettes på ulike måter. Eksempelvis kan de innrettes for å sikre at spesifikke sikkerhetstiltak blir gjennomført, alternativt kan de kan bidra til å styre prosessene og vurderingene som leder frem til valget av hvilke tiltak som blir gjennomført. De viktigste virkemidlene staten benytter er oppsummert i figur 4.12. Utvalgets mandat er å utrede lovregulering av forebyggende nasjonal sikkerhet. Samtidig skal samfunnsøkonomisk lønnsomhet være en forutsetning, slik det er beskrevet ovenfor.

Utvalget legger vekt på at utgangspunktet for oppnevnelsen av utvalget er behov for en lovregulering som tar inn over seg utviklingen i samfunnet. Utvalget har derfor vært opptatt av at utredningen må gjenspeile at lovregulering er ett av virkemidlene som kan benyttes, og at lovregulering må ses i sammenheng med en mer helhetlig strategi for bruk av virkemidler.

Valg av virkemidler for å oppnå god nasjonal sikkerhet kan settes inn i en helhetlig risikostyringskontekst, som omtalt i kapittel 4.1, der man sammenholder ulike typer risiko og risikoreduserende tiltak. Beslutninger om hvilket sikkerhetsnivå man ønsker og dermed hvilke tiltak som kan gjennomføres for å oppnå dette nivået, sett opp mot ulempene tiltakene fører med seg, vil være viktig. Her vil virkemiddelbruk ha stor betydning for både sikkerhetsnivået og ulempene det medfører.

Fastsettelse av sikkerhetsnivå og valg av sikkerhetstiltak er komplisert. Samfunnsøkonomiske analyser kan benyttes som et verktøy for å velge hvilke tiltak som skal gjennomføres. Slike analyser gjøres ved å sammenlikne ulike alternative løsninger og vurdere fordeler og ulemper i de ulike alternativene. Grunntanken bak den samfunnsøkonomiske analysen vil således kunne benyttes for både fastsettelse av hvilket sikkerhetsnivå som er ønskelig, hvilke tiltak som bør iverksettes for å nå sikkerhetsnivået, samt hvilke virkemidler som skal benyttes for å styre iverksettelsen av ulike typer tiltak. Forebyggende nasjonal sikkerhet er som beskrevet i de foregående kapitler avhengig av mange forhold og krever et bredt spekter av tiltak. Det ligger derfor i sakens natur at det vil være behov for en sammensatt virkemiddelpakke. Det ligger også i sakens natur at det å vurdere risiko og iverksette risikoreduserende tiltak vil være en kontinuerlig prosess. Som en del av dette bildet vil det selvfølgelig også være en vurdering av hvilke risikofaktorer det vil være samfunnsøkonomisk lønnsomt å gjøre noe med. I tillegg kommer tilfellene der det ikke finnes tilstrekkelige relevante tiltak og det derfor vil være nødvendig å leve med risikoen. Det kan også være komplisert å forutsi effekten av sikkerhetstiltak. Dette skyldes at det i mange sammenhenger vil være mange prosesser og faktorer som virker inn på hverandre. Dette vil være spesielt relevant i forbindelse med det å forhindre tilsiktede uønskede hendelser fordi tiltakene som iverksettes her vil påvirke trusselaktørenes strategi og taktikk. Et eksempel på dette er hvordan norsk deltagelse i internasjonale operasjoner er innrettet for å redusere fremveksten av internasjonal terrorisme påvirker sikkerhetssituasjonen i Norge. Internasjonal terrorisme oppfattes å utgjøre en av de mest alvorlige truslene mot samfunnet. Bidrag i slike operasjoner er viktig for norsk sikkerhet både på grunn av viktigheten av å vise handlingsvilje overfor allierte, og på grunn av behovet for å stabilisere områder som er i negativ utvikling. Slik deltakelse kan imidlertid føre til at Norge blir et mål for de aktuelle terrorgrupperingene. Videre vil det å iverksette en militær operasjon i et område kunne føre til at flere mobiliseres for deltagelse i kamphandlingene, og dermed kan føre til en eskalering av konfliktnivået.

Et av grunnelementene med samfunnsøkonomiske analyser er å være tydelig på hvilke mål vi ønsker å oppnå med tiltak. Tydelige mål vil være med på å sikre at virkemidler som blir innført for å løse et problem ikke fører til at andre grunnleggende verdier rammes. Et eksempel på slike motstående målsettinger kan være knyttet til det å opprettholde høy sikkerhet og samtidig legge til rette for rask utvikling i cyber-området. Streng regulering og streng kontroll vil legge begrensninger på hvordan tjenester og produkter utvikler seg, men vil gjøre det lettere å sikre viktige systemer og funksjoner mot cyber-angrep.

4.5.3 Statens styring og bruk av virkemidler

Som det fremkommer av figur 4.12 er det to hovedtyper av virkemidler: administrative og økonomiske. Administrative virkemidler er en fellesbetegnelse for andre virkemidler enn de økonomiske. Blant de administrative virkemidlene er det juridiske virkemidler som har størst praktisk betydning. Juridiske virkemidler består som regel av forbud eller påbud i ulike kombinasjoner. En vanlig brukt betegnelse på offentlige forbud og påbud er direkte regulering. Også erstatningsreglene og avtaleinngåelser kan regnes som juridiske virkemidler. Andre kategorier av administrative virkemidler er informasjon og fysiske virkemidler (tilrettelegging av sikkerhetsgodkjente IKT-systemer, fysiske barrierer etc.). Mens direkte reguleringer virker ved å forplikte aktørene til å handle på bestemte måter, virker økonomiske virkemidler gjennom å påvirke aktørenes vurdering av hva det er økonomisk fordelaktig å foreta seg. Økonomiske virkemidler omfatter særlig hovedgruppene avgifter, omsettelige kvoter, pantesystemer og ulike former for tilskudd og subsidier.167

Figur 4.12 Eksempler på ulike virkemidler og styringstiltak som staten kan benytte for å styre samfunnsutviklingen.

Figur 4.12 Eksempler på ulike virkemidler og styringstiltak som staten kan benytte for å styre samfunnsutviklingen.

Kilde: Direktoratet for økonomistyring, veileder i samfunnsøkonomiske analyser, 2014.

Grensen mellom ulike virkemiddelkategorier er ikke skarp. Blant annet vil juridiske virkemidler ofte utgjøre et nødvendig grunnlag for annen virkemiddelbruk. Økonomiske virkemidler må ha et juridisk fundament, for eksempel i form av påbud om å fremskaffe dokumentasjon i tilknytning til avgiftsberegningen, og påbud om å innbetale avgiften. Omvendt vil juridiske virkemidler kunne ha en bestanddel av økonomisk karakter, som bot, inndragning, forurensningsgebyr eller erstatning.168

Organisatoriske virkemidler er viktige i staten. Regjeringen og departementene har en generell myndighet til å instruere alle virksomheter som er organisert innenfor staten (statlige forvaltningsorganer). Dette betegnes som etatsstyring.

Når en virksomhet er organisert som selvstendig rettssubjekt, kan ikke departementene benytte instruksjonsmyndighet, men må i stedet styre gjennom andre virkemidler. Juridiske virkemidler er de viktigste. Men også eierstyring kan være et aktuelt virkemiddel for heleide statlige foretak, med de begrensninger i mulighetene for styring som følger av denne organisasjonsformen.

Informative virkemidler omfatter alt som har å gjøre med informasjon og formidling av kunnskap. Det kan være målrettede informasjonskampanjer, bruk av konferanser og folkemøter, eller det kan være mer løpende informasjonsarbeid. Slike virkemidler har en sentral rolle i sikkerhetsarbeid. Utfordringene ligger både i å innhente ny kunnskap om sikring, sårbarheter og trusler, men også å sikre at den kunnskap som finnes, faktisk blir benyttet. NSM og FFI peker på at manglende sikkerhetskultur er den viktigste årsaken til at sikkerhetsnivået i mange situasjoner er for lavt.

Innretningen av virkemidler må styres av i hvilken grad det er behov for å nå et absoluttnivå for sikkerhet eller om det er behov for å fleksibelt kunne styre adferd i en bestemt retning. Det vil også ha betydning i hvilken grad det er usikkerhet i risikovurderingene (se kapittel 4.4.4) og i forståelsen av sammenhengen mellom virkemidler og påvirkning av adferd.

Videre må det legges vekt på om det er hensiktsmessig å ha betydelig grad av fleksibilitet i virkemidlene for å oppnå et dynamisk sikkerhetsnivå som kan justeres i forhold til endringer i trusselbildet og den generelle samfunnsutviklingen, eller om det er viktig at sikkerhetsnivået ligger fast over tid.

5 Forebyggende sikkerhet og rettssikkerhetsgarantier

5.1 Innledning

Vernet av demokratiet, rettsstaten og menneskerettighetene står sentralt i samfunnskontrakten mellom staten og borgerne. Dette vernet følger direkte av Grunnloven § 2 og er videre konkretisert i kapittel E Menneskerettigheter (§§ 92-113). Herunder skal statens myndigheter respektere og sikre menneskerettighetene slik de kommer til uttrykk i bindende traktater om menneskerettigheter, jf. § 92 og menneskerettsloven § 2, som blant annet viser til Den europeiske menneskerettighetskonvensjonen (EMK) og FNs konvensjon om sivile og politiske rettigheter (SP).

Arbeidet med forebyggende sikkerhet er nettopp motivert ut i fra ønsket om å beskytte et styresett og et samfunn som virkeliggjør bestemmelsene i Grunnloven, ikke minst de som gjelder menneskerettigheter. Menneskerettighetene er imidlertid ikke absolutte størrelser, og hver rettighet kan ikke alltid realiseres i sin ideelle form. For eksempel ville et fullstendig vern av ytringsfriheten gått på bekostning av personvernet, fordi man også måtte tillatt hatefulle og diskriminerende ytringer.

Skal staten gjøre inngrep i grunnleggende rettigheter, som for eksempel personvern og rettssikkerhet, må det begrunnes som legitimt og forholdsmessig for å beskytte andre grunnleggende rettigheter og hensyn. Slike formål kan være andre menneskerettigheter, men også hensynet til nasjonal sikkerhet, jf. EMK art. 8(2). I spenningsfeltet mellom ivaretakelse av nasjonal sikkerhet og personvernet, befinner det seg til dels motstridende interesser og verdier som må veies opp mot hverandre.

Inngripende tiltak overfor borgerne, i form av overvåkning eller andre former for kontroll, kan medføre nedkjølingseffekt i samfunnet. I henhold til stortingsmelding nr. 23 (2013–2014) Datatilsynets og Personvernnemndas årsmeldinger for 2013, oppstår nedkjølingseffekten i situasjoner hvor utøvelse av legitime handlinger innskrenkes eller motvirkes gjennom trusselen om mulige sanksjoner.

En balansert avveining mellom nasjonal sikkerhet, menneskerettighetene og andre grunnleggende interesser har stått sentralt for utvalgets arbeid. Utvalget har hatt som utgangspunkt at en i den grad det er mulig, bør velge tiltak som ikke, eller i minst mulig grad, kommer i konflikt med individuelle rettigheter og friheter. For inngrep som likevel må anses påkrevd av hensynet til nasjonal sikkerhet, har utvalget lagt vekt på at tiltakene skal kunne skaleres slik at disse ikke medfører inngrep i større grad, eller for lengre tid, enn hva som anses nødvendig i det konkrete tilfellet. I tillegg skal det i slike tilfeller etableres tilfredsstillende rettssikkerhets- og personverngarantier for den som blir eksponert for tiltak etter loven. En privat virksomhet, eller andre selvstendige rettssubjekter, som blir pålagt inngripende og kostbare tiltak for å sikre samfunnskritiske funksjoner, skal således ha tilgang til rettssikkerhetsgarantier for å sikre legalitet, kontradiksjon, likebehandling med videre. Tilsvarende bør for eksempel personer som gjennomgår personkontrollundersøkelser i forbindelse med en søknad om sikkerhetsklarering i rimelig grad sikres innsyn i prosessen og selvbestemmelse.

I arbeidet med å balansere hensynet til forebyggende sikkerhet og andre grunnleggende hensyn og rettigheter er rettssikkerhet og personvern sentrale begreper.

I den videre fremstillingen vil det innledningsvis gis en redegjørelse for utvalgets forståelse av begrepene rettssikkerhet og personvern, og forholdet mellom disse. Deretter vil det nærmere innholdet i de to begrepene bli behandlet, før utvalget avslutningsvis trekker opp noen generelle retningslinjer for hvordan avveiningen mellom de ulike hensynene vil bli foretatt i utvalgets videre arbeid.

5.2 Begrepsavklaring

Rettssikkerhet er et flertydig begrep, det brukes på ulike måter og med noe forskjellig vektlegging avhengig av om det for eksempel er strafferett eller forvaltningsrett som er rammen for begrepsforklaringen. Kjernen i rettssikkerhet er kravet om at enkeltindividet skal være beskyttet mot vilkårlige og uforholdsmessige inngrep fra myndighetenes side. Den enkelte skal dessuten ha mulighet til å forutberegne sin rettsstilling og forsvare sine interesser. I tillegg kan hensynet til likhet og rettferdighet inngå i begrepet.169 Rettssikkerhet er grunnleggende knyttet til begrepet rettsstat, og forutsetter at inngripende avgjørelser skal bygge på lovgivning som er kjent, og som blir anvendt på forutberegnelige og rettsriktige måter, det vil si i samsvar med gjeldende rettsregler. Rettssikkerhet forutsetter blant annet uavhengige domstoler, som gjennom sin virksomhet bekrefter og etablerer gjeldende rettsregler, og kontrollerer at inngrep overfor den enkelte skjer i samsvar med loven.

Virkemidlene for å oppnå rettssikkerhetskravene omtales gjerne som rettssikkerhetsgarantier. Rettssikkerhetsgarantiene er enkeltelementer som hver for seg – og samlet – bidrar til å ivareta rettssikkerhetskravene.

Personvern i tradisjonell forstand ble definert av Personvernkommisjonen på følgende måte:

Personvern dreier seg om ivaretakelse av personlig integritet; ivaretakelse av enkeltindividers mulighet for privatliv, selvbestemmelse (autonomi) og selvutfoldelse.170

Alle mennesker har behov for en privat sfære, hvor man kan være i fred fra innblanding fra andre. Personvernet innebærer imidlertid ikke bare en rett til å ha en slik privat sfære, men også retten til å ha kontroll over opplysninger om seg selv. Beskyttelsen av personopplysninger betegnes ofte personopplysningsvern.

Personvernkommisjonen har i sin utredning lagt følgende definisjon av personopplysningsvern til grunn:

Personopplysningsvern dreier seg om regler og standarder for behandling av personopplysninger som har ivaretakelse av personvern som hovedmål. Reglenes formål er å sikre enkeltindivider oversikt og kontroll over behandling av opplysninger om dem selv. Med visse unntak skal enkeltpersoner ha mulighet til å bestemme hva andre skal få vite om hans/hennes personlige forhold.171

Retten til en personlig sfære, uten innblanding eller overvåkning fra myndighetenes side, kan sies å være en av bærebjelkene i et reelt demokrati. Metodekontrollutvalget understreket at «[u]ten et privat rom der individet fritt kan drøfte, utdype og teste sine tanker og oppfatninger, vil det ikke ha grunnlag for å utøve sin rolle som deltaker i de demokratiske prosessene».172

Personvernkommisjonen omtalte personvernets betydning for demokratiet, som beskyttelsen av «rettigheter og friheter som igjen beskytter grunnleggende offentlige friheter, som friheten til å delta i demokratiske prosesser».173 Når det gjelder utøvelse av offentlig myndighet, kan begrepene rettssikkerhet og personvern langt på vei sies å smelte sammen. I Personvernkommisjonens utredning er begrepene omtalt på følgende måte:

Det tradisjonelle personvernet, forstått som respekt for og beskyttelse av integritet og individets ukrenkelighet, vil ofte gå hånd i hånd med kravet til rettssikkerhet. Det motsatte vil imidlertid ofte være tilfellet med personopplysningsvernet. Grunnleggende rettssikkerhetsgarantier som innsynsrett i forvaltningssaker og fri bevisbedømmelse vil ofte innebære behandling og spredning av personlig informasjon som den registrerte ikke kan ha kontroll over. For å sikre borgernes rettssikkerhet vil det derfor ofte være nødvendig å sette personopplysningsvernet helt eller delvis til side.174

Ved offentlig myndighetsutøvelse som innebærer inngrep overfor den enkelte, vil man ut fra rettssikkerhetsbetraktninger blant annet stille krav om at inngrepet er hjemlet i lov, forutsigbart, forholdsmessig og formålsbestemt. Videre stilles det krav til saksbehandlingen, herunder at den enkelte får anledning til kontradiksjon, at de berørte parter har rett til innsyn i saksdokumentene, at de blir underrettet om utfallet av avgjørelsen, og at det gis anledning til å påklage vedtaket.

Ut fra en personvernbetraktning vil en typisk sørge for at det ikke blir behandlet flere opplysninger enn nødvendig ut i fra formålet, at opplysningene som brukes er korrekte og oppdaterte, at de aktuelle personene har kunnskap om behandlingen, innsyn i egne opplysninger med videre.

De enkelte komponentene i henholdsvis rettssikkerhets- og personvernidealene kan beskrives i form av krav og interesser. En sammenstilling av slike beskrivelser anskueliggjør slektskapet mellom de to tilnærmingene, se figur 5.1.

Figur 5.1 Forholdet mellom rettssikkerhet og personvern.

Figur 5.1 Forholdet mellom rettssikkerhet og personvern.

Kilde: Illustrasjon: Dag W. Schartum, professor, Universitet i Oslo, det juridisk fakultet.

Figuren illustrerer at de to idealene grunnleggende sett bør ses som separate, men med overlappende tilnærminger. Samtidig gjelder de likeartede spørsmål. Lik farge på strekene, markerer likeartet innhold. Mens rettssikkerhet primært gjelder myndighetsutøvelse generelt, gjelder personopplysningsvern uavhengig av om det utøves myndighet eller ikke. Det betyr blant annet at personopplysningsvern alltid er relevant når det samles inn opplysninger om enkeltindivider, mens rettssikkerhet primært er relevant når disse opplysningene brukes til å utøve offentlig myndighet.

Både personvern og rettsikkerhet kan ivaretas på systemnivå og på individuelt nivå. For ivaretakelse av personvern er det i lovgivningen særlig lagt vekt på å stille krav til informasjonssystemer som behandler personopplysningene. Således skal den generelle behandlingen av personopplysninger i systemene ha rettslig grunnlag (for eksempel lovhjemmel); skje i henhold til på forhånd fastlagte formål; ikke behandle flere opplysninger enn nødvendig for formålet; og sikre tilstrekkelig opplysningskvalitet og informasjonssikkerhet med videre. På systemnivå ivaretas rettssikkerhet særlig gjennom prosesslovgivning som fastsetter hvordan saker ved domstolene og forvaltningsmyndigheter skal behandles. På individuelt nivå begrunner både rettssikkerhet og personvern individuelle rettigheter, for eksempel retten til innsyn, kontradiksjon, begrunnelse, klage med videre.

5.3 Internasjonale forpliktelser og grunnlovsvern

5.3.1 Personvern og rettssikkerhet

Norge har gjennom flere internasjonale konvensjoner forpliktet seg til å verne om både personvern og rettssikkerhet.

EMK art. 5 om vern mot vilkårlig frihetsberøvelse, art. 6 om retten til rettferdig rettergang og art. 7 om legalitetsprinsippet og forbudet mot tilbakevirkning i strafferetten er grunnleggende bestemmelser i en rettssikkerhetssammenheng. EMK art. 5 og art. 7 har imidlertid primært betydning i en strafferettslig kontekst. I uttrykket rettferdig rettergang, jf. EMK art. 6, ligger flere viktige rettssikkerhetsprinsipper, herunder tilgang til en uavhengig og upartisk domstol, kontradiksjon, likestilling mellom partene, tilstedeværelse og begrunnelse, samt et forbud mot selvinkriminering.

EMK art. 8 og SP art. 17 omhandler statens forpliktelser til å verne den enkeltes krav på respekt for sitt privatliv, familieliv, sitt hjem og sin korrespondanse. Begge bestemmelsene inneholder både rettssikkerhets- og personvernelementer.

EMK art. 8 lyder:

  1. Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.

  2. Det skal ikke skje noe inngrep av offentlig myndighet i utøvelsen av denne rettighet unntatt når dette er i samsvar med loven og er nødvendig i et demokratisk samfunn av hensyn til den nasjonale sikkerhet, offentlige trygghet eller landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter og friheter.

SP. art. 17 lyder:

  1. Ingen må utsettes for vilkårlige eller ulovlige inngrep i privat- eller familieliv, hjem eller korrespondanse, eller ulovlige inngrep på ære eller omdømme.

  2. Enhver har rett til lovens beskyttelse mot slike inngrep eller angrep.

Selv om ordlyden i de to bestemmelsene er ulike, viser praksis fra den Europeiske menneskerettighetsdomstolen (EMD) og FNs menneskerettighetskomite at de nærmere vurderingstemaene etter bestemmelsene er sammenfallende.

Disse bestemmelsene er sentrale for Norges folkerettslige forpliktelser til å ivareta den enkeltes rettssikkerhet og personvern.

Retten til vern om privatliv og korrespondanse etter art. 8 og 17 er ikke absolutt. Inngrep i de beskyttede interessene kan imidlertid kun skje dersom tre kumulative vilkår er oppfylt:

  • Inngrepet må være foreskrevet ved lov (lovskravet)

  • Inngrepet må ivareta beskyttelsesverdige formål

  • Inngrepet må være nødvendig i et demokratisk samfunn (nødvendighetskravet)

Lovskravet innebærer at et inngrep i de beskyttede interessene må ha hjemmel i nasjonal lovgivning. Av rettspraksis fra EMD fremgår det at denne hjemmelen må oppfylle visse kvalitative krav. Loven må være tilgjengelig for de berørte, sikre forutberegnelighet med hensyn til konsekvensene av lovgivningen, samt være i overensstemmelse med rettsstatsprinsippene.175

De beskyttelsesverdige formål som kan begrunne inngrep i den enkeltes privatliv eller korrespondanse, reiser sjelden tvil i EMD-praksis. Dette skyldes i hovedsak at de oppregnede formålene er så bredt formulert at de dekker de fleste tilfeller hvor statene har behov for å foreta inngrep i beskyttede rettigheter.176 Imidlertid er relativt presise formålsangivelser en forutsetning for et reelt vern.

I et nytt lovgrunnlag for forebyggende nasjonal sikkerhet, vil hensynet til den nasjonale sikkerhet være en gjennomgående begrunnelse for de tiltak som foreslås implementert. Dette formålet favner imidlertid så vidt at det, slik utvalget ser det, i flere sammenhenger er nødvendig med nærmere konkretiseringer.

Nødvendighetskravet innebærer både at inngrepet må være forholdsmessig, og at det må være formålsmessig. Med formålsmessig menes i denne sammenheng at de tiltak som tillates, må være egnet til å oppnå det aktuelle formålet.

For at inngrepet skal anses nødvendig i et demokratisk samfunn må det videre være forholdsmessig i forhold til de legitime formål som forfølges. Forholdsmessighetsvurderingen er en konkret skjønnsmessig vurdering hvor en rekke faktorer tas i betraktning. EMD har lagt til grunn at statene har en relativt vid skjønnsmargin i interesseavveiningen mellom retten til vern av privatliv og hensynet til nasjonal sikkerhet.177

Retten har samtidig understreket den iboende risikoen for at inngripende tiltak av hensyn til nasjonal sikkerhet kan undergrave, eller i verste fall ødelegge demokratiet, under et dekke av å skulle beskytte nettopp dette. Det må derfor være etablert adekvate og effektive mekanismer som forhindrer misbruk av slike tiltak. Hvorvidt tiltakene vil være forholdsmessige avhenger av en konkret vurdering av omstendighetene i saken.

Vernet av den enkeltes personlige integritet og autonomi er i Norge en grunnlovsfestet rettighet. Det følger av Grunnloven § 102, som ble endret i 2014, at:

Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller.
Statens myndigheter skal sikre et vern om den personlige integritet.

I motsetning til EMK art. 8 og SP art. 17 åpner ikke ordlyden i Grunnloven § 102 for å gjøre unntak fra dette vernet. Det fremgår imidlertid av forarbeidene at bestemmelsen er en grunnlovfesting av det vern som følger av tidligere Grunnloven § 102, ulovfestet rett, menneskerettsloven og annen ordinær lovgivning.178 Det er også slått fast i rettspraksis at det kan gjøres inngrep i de rettsgoder som bestemmelsen verner:

Til forskjell fra SP artikkel 17 og EMK artikkel 8, inneholder Grunnloven § 102 ingen anvisning på om det overhodet kan gjøres lovlige begrensninger i privat- og familielivet. Men grunnlovsvernet kan ikke være – og er heller ikke – absolutt. I tråd med de folkerettslige bestemmelsene som var mønster for denne delen av § 102, vil det være tillatt å gripe inn i rettighetene etter første ledd første punktum dersom tiltaket har tilstrekkelig hjemmel, forfølger et legitimt formål og er forholdsmessig, jf. Rt-2014-1105 avsnitt 28. Forholdsmessighetsvurderingen må ha for øye balansen mellom de beskyttede individuelle interessene på den ene siden og de legitime samfunnsbehovene som begrunner tiltaket på den andre.179

5.3.2 Personopplysningsvernet

SP art. 17 og EMK art. 8 er som nevnt sentrale bestemmelser for beskyttelsen av rettssikkerhet og personvern. De samme bestemmelsene danner også fundamentet for personopplysningsvernet. FNs menneskerettighetskomité uttalte i 1988 at for å ivareta de forpliktelser SP art. 17 oppstiller må statene blant annet utarbeide regelverk som verner personopplysninger.

Det kommer ikke direkte til uttrykk at personopplysninger er vernet gjennom bestemmelsen i Grunnloven § 102. Ser vi imidlertid på uttalelser fra Stortingets kontroll- og konstitusjonskomité, Høyesterett og EMD er det klart at bestemmelsen også verner personopplysninger ved at systematisk innhenting, oppbevaring, lagring eller bruk av opplysninger om andres personlige forhold bare kan finne sted i henhold til lov, benyttes i henhold til lov eller informert samtykke, at loven må være forholdsmessig og ivareta et legitimt formål og at opplysningene må slettes når formålet ikke lenger er til stede.

Under henvisning til blant annet EMK art. 8 vedtok Europaparlamentet og Rådet 24. oktober 1995 Direktiv om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (Personverndirektivet), som ble førende også for utforming av norsk regelverk. Ved innlemmelsen av Personverndirektivet av 25. juni 1999 i EØS-avtalen, ble reglene også folkerettslig bindende for Norge. Direktivet pålegger medlemsstater innen EU/EØS å vedta lovgivning i samsvar med direktivets regler. Den norske personopplysningsloven søker nettopp å oppfylle dette kravet, se kapittel 5.5.

EU vedtok 27. april 2016 en personvernreform bestående av en forordning om beskyttelse av personopplysninger generelt og et direktiv for myndighetenes behandling av personopplysninger i politi- og straffesektoren. Begge regelverkene skal implementeres i norsk rett. Ikrafttredelse er satt til mai 2018 for EU. Dette vil gjelde også for Norge med mindre noe annet bestemmes ved innlemmelse av forordningen i EØS-avtalen.

I grove trekk videreføres gjeldende rett i personverndirektivet og personopplysningsloven. Vedtakelse av et nytt generelt regelverk i form av en EU-forordning skal føre til en større grad av harmonisering av personvernreglene i EØS-området. Et utvidet samarbeid mellom nasjonale tilsynsmyndigheter skal ytterligere bidra til en lik rettsutvikling.

Blant endringene kan nevnes for det første virkeområdet for regelverket. Fra å gjelde virksomheter som er etablert innenfor EØS-området, skal reglene nå også gjelde alle som behandler EØS-borgeres personopplysninger når behandlingen består i å tilby varer eller tjenester til disse borgerne eller å overvåke deres atferd innenfor EØS-området.

Innen strafferettspleien tar de nye reglene sikte på å bedre beskyttelsen av personopplysningene til både siktede, fornærmede og vitner. Informasjonsutveksling mellom nasjonale myndigheter skal også utvides.

Videre erstattes den nåværende meldeplikten for behandling av personopplysninger med en del andre plikter for den behandlingsansvarlige og databehandlere. Dette gjelder blant annet plikt til å føre dokumentasjon, til å varsle tilsynsmyndigheten og/eller den registrerte ved eventuelle databrudd. Gjennom en risikobasert tilnærming til behandlingen av personopplysninger skal hensiktsmessige tekniske og organisatoriske sikkerhetstiltak iverksettes.

Den registrertes rettigheter til blant annet innsyn, informasjon, sletting og medbestemmelse utvides. Videre innføres regler om dataportabilitet og personprofiler, og en sertifiseringsordning som skal synliggjøre hvilke virksomheter som tar personvern på alvor. Av spesiell interesse er også art. 25 som blant annet stiller krav til innebygget personvern, det vil si til å nedfelle hensynet til personvern i de informasjonssystemer som behandler personopplysninger.

Forordningen viderefører i grove trekk det virkeområdet som gjaldt for direktivet av 1995. Det fremgår av forordningen art. 2 at den ikke får anvendelse på behandling av personopplysninger som utføres i anledning forhold som faller utenfor EU-regelverkets virkeområde, for eksempel nasjonal sikkerhet og forsvar.

For de virksomheter forordningen gjelder for, åpner art. 23 – i likhet med direktivet art. 13 – for unntak fra reglene om den registrertes rettigheter blant annet av hensyn til nasjonal sikkerhet, forsvar og samfunnssikkerhet (public security), dersom unntaket gjøres i lovs form og det er nødvendig og proporsjonalt i et demokratisk samfunn.

Da direktivet gjennom personopplysningsloven ble innlemmet i norsk rett ble det besluttet å gi den norske personopplysningsloven et bredere virkeområde enn det Norge var forpliktet til. Til forskjell fra EU-retten gjelder dermed personopplysningsloven som utgangspunkt også for eksempelvis virksomhet innen nasjonal sikkerhet og forsvar. Så lenge personopplysningsloven gjelder, må eventuelle unntak gjøres ved lov. Det gjenstår å se om denne løsningen blir videreført når den nye forordningen skal innlemmes i norsk rett. Utvalget er imidlertid ikke kjent med at det er planlagt endringer her.

5.4 Rettssikkerhet

I det norske lovverket finnes det en rekke lover og enkeltbestemmelser som har som hovedformål å ivareta rettssikkerheten. Prosesslovgivningen, herunder straffeprosessloven og forvaltningsloven, er sentrale eksempler. Dagens sikkerhetslov, har ivaretakelse av den enkeltes rettssikkerhet som et uttalt formål, se § 1 bokstav b. Av loven § 6 annet ledd fremgår det således at det ved utøvelse av forebyggende sikkerhetstjeneste, skal tas særlig hensyn til den enkeltes rettssikkerhet. Forvaltningsloven180 har en rekke bestemmelser som skal bidra til at forvaltningsorganer behandler saker på en rettssikker måte. For myndighetsutøvelse som berører enkeltpersoner eller selvstendige rettssubjekter, vil forvaltningsloven danne utgangspunkt for myndighetenes saksbehandling med mindre det gjøres eksplisitt unntak fra reglene i loven.

Tradisjonelt deles rettssikkerhetskravene inn i to grupper; materiell rettssikkerhet om overordnede krav til avgjørelsens innhold (kapittel 5.4.1), og prosessuell rettssikkerhet om fremgangsmåten for hvordan slike avgjørelser skal treffes (kapittel 5.4.2).181

5.4.1 Materielle rettssikkerhetsgarantier

Legalitetsprinsippet er et sentralt element i det materielle rettssikkerhetsbegrepet, og gjenspeiler også lovskravet som følger av Norges folkerettslige forpliktelser etter EMK og SP.

Det strafferettslige legalitetskravet følger av Grunnloven § 96. På strafferettens og straffeprosessens område gjelder det et strengt krav til lovhjemlenes klarhet og presisjon. Utenfor strafferettens område var legalitetsprinsippet lenge ansett for å være konstitusjonell sedvanerett, basert på den ulovfestede læren om at inngrep i borgernes rettssfære trenger hjemmel i lov. Ved Grunnlovsendringen i 2014 ble dette prinsippet, utenfor strafferettens område, lovfestet i Grunnloven § 113. Bestemmelsen lyder:

Myndighetenes inngrep overfor den enkelte må ha grunnlag i lov.

Legalitetsprinsippet har en sentral plass i forståelsen av den norske rettsstaten. Myndighetenes inngrep overfor den enkelte skal være basert på en demokratisk prosess og være forankret i folkeflertallets vilje. På mange måter utgjør lovfestingen av det generelle legalitetsprinsippet en garanti for ivaretakelsen av de verdier Grunnloven skal verne om – rettstaten, demokratiet og menneskerettighetene, jf. Grunnloven § 2.

Et sentralt element i legalitetsprinsippet er hensynet til forutberegnelighet. At inngrep i borgernes private rettssfære følger direkte av lovgivningen, gjør at den enkelte settes i stand til å forutberegne sin rettsstilling. En viktig forutsetning for å kunne forutberegne sin rettsstilling er at inngrepshjemlene er tilgjengelige for allmennheten, slik at borgerne har mulighet til å sette seg inn i det aktuelle regelverket. En forutsetning for forutberegnelighet er at inngrepshjemlene er tilstrekkelig presise og at reglene ikke i for stor grad er av skjønnsmessig karakter. I dette ligger en spesifisering av hvilke vilkår som må være oppfylt for at et vedtak skal kunne treffes, og hvilket innhold vedtaket kan eller skal ha. En slik forutberegnelighet vil også skape gode muligheter for overprøving og kontroll av forvaltningen av regelverket.

En annen grunnleggende rettssikkerhetsgaranti er forholdsmessighetsprinsippet. I dette ligger både at det må gjøres en konkret vurdering av hvorvidt det aktuelle tiltaket vil utgjøre et uforholdsmessig inngrep i den enkeltes rettssfære sett opp mot de sikkerhetsmessige gevinstene et slikt tiltak vil antas å få, og en vurdering av hvilken effekt det aktuelle tiltaket antas å få sett opp mot den aktuelle risiko det søker å beskytte mot.

Innen forebyggende sikkerhetstjeneste kommer forholdsmessighetsprinsippet til uttrykk i sikkerhetsloven § 6, hvor det fremgår at det ikke skal nyttes mer inngripende midler og metoder enn det som fremstår som nødvendig i forhold til den aktuelle sikkerhetsrisiko og omstendighetene for øvrig. Dette kan også ses på som et subsidiaritetsprinspipp. Dersom samme effekt kan oppnås ved bruk av at mindre inngripende virkemiddel, skal det minst inngripende virkemidlet benyttes. I forarbeidene til dagens sikkerhetslov fremgår det imidlertid at valg av virkemiddel avhenger av en helhetsvurdering, der også andre forhold enn forholdsmessighetsprinsippet vil spille inn:

Utgangspunktet i den enkelte situasjon vil være valg av det minst inngripende middel, men det vil likevel kunne være behov for å anvende midler som går utover den umiddelbare måloppnåelse dersom sikkerhetsrisikoen er meget alvorlig. Forståelsen av bestemmelsen må derfor bygge på en helhetsvurdering, hvor en også tar hensyn til troverdigheten av norske myndigheters hevdelse av suverenitet og suverene rettigheter og ivaretakelse av rikets sikkerhet eller andre vitale nasjonale sikkerhetsinteresser.182

5.4.2 Prosessuelle rettssikkerhetsgarantier

Med prosessuelle rettsikkerhetsgarantier menes de saksbehandlingsreglene som må følges ved en avgjørelse som medfører inngrep overfor den enkelte. De generelle reglene for forvaltningens saksbehandling følger av forvaltningslovens bestemmelser, jf. kapittel II og III. For vedtak som gjelder rettigheter eller plikter til en eller flere bestemte personer, såkalte enkeltvedtak, er det særlige regler for forvaltningens saksbehandling i forvaltningsloven kapittel IV-VI.

En sentral rettssikkerhetsgaranti er retten til kontradiksjon. Som nevnt over kan retten til kontradiksjon også utledes av EMK art. 6. Gjennom kontradiksjon vil den enkelte, enten det er enkeltpersoner eller private virksomheter, gis muligheten til å forsvare sine interesser ved kunne å fremlegge sitt syn på saken, og ved å kunne korrigere og supplere faktiske forhold som kan være av betydning for den avgjørelse som skal treffes. Kontradiksjon er i mange tilfeller avgjørende for å sikre at myndighetene fatter en materielt sett riktig avgjørelse. Også i forhold til borgernes tillit til myndighetene vil det være av stor betydning at den avgjørelsen retter seg mot opplever å få en rettferdig behandling. Det motsatte vil lett kunne bli tilfelle, dersom man ikke får anledning til å imøtegå det faktiske og rettslige grunnlaget som legges til grunn for avgjørelsen.183

Retten til kontradiksjon ved klareringssaker er i dagens sikkerhetslov søkt ivaretatt ved at sikkerhetssamtale skal gjennomføres der dette ikke anses som åpenbart unødvendig, jf. sikkerhetsloven § 21 tredje ledd. I tillegg vil den enkelte gjennom utfylling av en personopplysningsblankett ha mulighet til å gi all informasjon som den enkelte mener er relevant for saken.

For at den enkelte skal kunne gjøre bruk av sin rett til kontradiksjon, er det imidlertid en forutsetning at vedkommende har kjennskap til at myndighetene har til hensikt å fatte en avgjørelse som vil kunne utgjøre et inngrep overfor vedkommende. Dette stiller krav til åpenhet fra myndighetenes side. I forvaltningsloven ivaretas dette etter bestemmelsene om forhåndsvarsel etter forvaltningsloven § 16 og partsoffentlighet etter § 17 annet og tredje ledd og § 18 flg. Etter dagens sikkerhetslov er det innen personellsikkerhet gjort enkelte unntak fra forvaltningsloven kapittel IV om saksforberedelse ved enkeltvedtak og kapittel V om vedtaket. For å ivareta den enkeltes rettssikkerhet er det i stedet fastsatt egne bestemmelser om blant annet begrunnelse og underretning (§ 25) og innsyn i saksdokumentene (§ 25a).

En annen sentral rettssikkerhetsgaranti etter norsk rett er at forvaltningen som utgangspunkt plikter å gi en samtidig begrunnelse for det vedtak som fattes, se forvaltningsloven § 24 følgende. Plikten til å gi samtidig begrunnelse har nær sammenheng med retten til å klage på myndighetens avgjørelse, jf. forvaltningsloven kapittel VI. Retten til samtidig begrunnelse i sikkerhetsklareringssaker følger av sikkerhetsloven § 25 tredje ledd. Som utgangspunkt skal det også her gis en samtidig begrunnelse. Det er imidlertid gjort unntak fra denne retten i tilfeller der begrunnelse ikke kan gis uten å røpe nærmere angitte opplysninger, herunder opplysninger av betydning for rikets sikkerhet. Forvaltningslovens bestemmelser om klage, gjelder som utgangspunkt også i sikkerhetsklareringssaker, jf. sikkerhetsloven § 25c. Innen objektsikkerhet har selvstendige rettssubjekter klagerett på de vedtak som treffes etter objektsikkerhetsforskriften, jf. § 4-4.

5.5 Personvern

Personvern er et vidt begrep hvis innhold kan beskrives på forskjellige måter avhengig av ståsted og tilnærming. Interesseteorien, personvernprinsippene, integritetsperspektivet, maktperspektivet og beslutningsperspektivet gir med sine ulike tilnærminger på ulikt vis innhold til personvernet. Som det vil fremgå har beskyttelsen av personopplysninger en sentral rolle i personvernet.

Personvernprinsippene springer ut fra et ideal om at alle skal ha bestemmelsesrett over personopplysninger om dem selv. Forebyggende sikkerhetstiltak vil i varierende grad kunne innebære behandling av personopplysninger, for både offentlige og private virksomheter som er underlagt loven. For utvalgets arbeid vil personvernprinsippene derfor stå sentralt.

Personvernprinsippene har sitt utgangspunkt i en europarådskonvensjon, retningslinjer fra OECD og EU sitt personverndirektiv. Disse er allment benyttet og henvist til i norsk personvernlitteratur. Sammen danner prinsippene et fundament for ivaretakelsen av personvernet både i lovgivning og ved utformingen av tiltak som har betydning for personvernet. Det følgende utvalget av prinsipper tar utgangspunkt i EUs Personvernforordning184 art. 5.

Behandlingen av personopplysninger må være rettmessig, rettferdig og åpen. Det må for det første foreligge et behandlingsgrunnlag, enten samtykke, lovhjemmel eller behandlingen må være nødvendig for å ivareta ett av de i loven fastsatte formål. Videre må selve behandlingen være rettferdig og åpen slik at den registrerte får informasjon om formålet med lagringen, prosessen og sine rettigheter. Prinsippet kommer til uttrykk i forordningen art. 5(a) og personopplysningsloven185 § 8. I sikkerhetsklareringssaker vil eksempelvis ikke personkontroll bli igangsatt før vedkommende som er gjenstand for kontrollen har samtykket i dette gjennom å fylle ut, og underskrive en personopplysningsblankett. Det fremgår uttrykkelig av sikkerhetsloven § 20 at personkontroll ikke skal finne sted uten at den som sikkerhetsklareres er gjort oppmerksom på, og har samtykket i at slik kontroll vil bli foretatt.

Prinsippet om formålsbestemthet går ut på at personopplysninger kun skal samles inn for bestemte, legitime formål. Personopplysninger skal kun behandles i samsvar med det formålet de i utgangspunktet ble samlet inn for186. Prinsippet om formålsbestemthet er også sentralt innen sikkerhetsklarering av personell. Det følger av sikkerhetsloven § 20 sjette ledd at opplysninger som er gitt klareringsmyndigheten i forbindelse med personkontroll, ikke skal benyttes til andre formål enn vurdering av sikkerhetsklarering.

Relevans- og minimumsprinsippet handler om at personopplysninger bare skal innhentes, lagres og behandles i den grad det er nødvendig for å oppnå et angitt formål. Det skal ikke registreres flere opplysninger enn strengt nødvendig, slik at overskuddsinformasjon unngås. Innsamlede data som ikke lenger er nødvendige for det angitte formålet må slettes eller anonymiseres. Prinsippet kommer til uttrykk i forordningen art. 5(c) og personopplysningsloven § 28. I personopplysningsforskriften kommer disse prinsippene til uttrykk i kapittel 6, som gir nærmere bestemmelser om blant annet bevaring og kassasjon/sletting av personopplysning som ikke lenger er nødvendig å lagre.

Bruk av personopplysninger til historiske, statistiske eller vitenskapelige formål settes i en særstilling, ved at det gjøres unntak fra minimumsprinsippet og til dels prinsippet om formålsbestemthet. Behovet for utvidet lagring skal imidlertid kontrolleres jevnlig.187

Gjennom fullstendighets- og kvalitetsprinsippet sikres at beslutninger ikke tas på ufullstendig eller feilaktig grunnlag. Personopplysningene må være relevante, oppdaterte, korrekte og fullstendige sett opp mot hva de skal brukes til.188 Klareringsmyndigheten plikter å påse at saken er så godt opplyst som mulig før avgjørelse treffes, jf. sikkerhetsloven § 20 tredje ledd. Dersom det ikke er åpenbart unødvendig, plikter klareringsmyndigheten også å gjennomføre en sikkerhetssamtale med vedkommende som skal klareres. Gjennom en sikkerhetssamtale gis den som skal sikkerhetsklareres mulighet til å korrigere og supplere opplysninger om seg selv, slik at klareringsmyndighetens avgjørelsesgrunnlag er korrekt og fullstendig.

Ansvarlighetsprinsippet retter seg mot den behandlingsansvarlige, som har ansvar for at all behandling av personopplysninger skjer i samsvar med de krav som fremgår av gjeldende rettsregler.189

Beslutningsperspektivet190 er ett av flere perspektiver som beskriver personvernet med en litt annen vinkling en de nevnte prinsippene. Beslutningsperspektivet tar utgangspunkt i at personopplysninger danner grunnlag for myndighetenes beslutning som har betydning for personen. Jo viktigere beslutning det er tale om for den enkelte, jo viktigere er det at beslutningsprosessen er forsvarlig. Det vil følgelig være mange likhetstrekk mellom beslutningsperspektivet og rettssikkerhet. Eksempelvis kan en beslutning om sikkerhetsklarering ha avgjørende betydning for en persons arbeidssituasjon. Følgelig bør det stilles strenge krav til klareringsprosessen. Beslutningsperspektivet bidrar til en passende dimensjonering av beskyttelsen.

5.6 Tilsyns- og kontrollordninger

En sentral mekanisme for ivaretakelse av rettssikkerhet og personvern er å ha effektive kontrollsystemer. Den etterfølgende kontrollen skal fungere skjerpende for de behandlingsansvarlige, tillitvekkende for samfunnet for øvrig, og i mange tilfeller som substitutt for de tiltak som i varierende grad griper inn i rettssikkerheten og personvernet.

I flere saker vedrørende inngrep av hensyn til nasjonal sikkerhet har den europeiske menneskerettighetsdomstolen (EMD) fokusert på at inngrepet skal ha en klar hjemmel i nasjonal lovgivning og hvorvidt det er etablert tilstrekkelige garantier mot misbruk. Etter en gjennomgang av flere saker om overvåkning oppsummerer Møse:

Et helhetsinntrykk er at Domstolen ikke foretar noen streng materiell prøvning av hensynet til rikets sikkerhet, men stiller betydelige krav til den nasjonale hjemmelen og garantier mot misbruk.191

Som en del av nødvendighetsvurderingen, pekte EMD i saken Klass mfl. V. Tyskland (A 28 1978), på noen hovedmomenter om kontrollordningen. Møse skriver:

Relevante momenter er arten, omfanget og varigheten av kontrolltiltakene, grunnlaget for dem, hvilke myndigheter som har kompetanse til å gi tillatelse, utføre og kontrollere slike inngrep, samt hvilke nasjonale prøvningsinstanser som finnes.192

I den konkrete saken uttalte også EMD at judisiell prøvning var å foretrekke, men at også administrativ kontroll kan være tilstrekkelig.

For Norges del har både domstolene, Datatilsynet, Sivilombudsmannen og Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjeneste (EOS-utvalget) viktige roller for å ivareta den enkeltes rettssikkerhet og personvern. Domstolene fører for eksempel kontroll med politiets mest inngripende etterforskningsmetoder, jf. straffeprosessloven § 216 a om kommunikasjonsavlytting. Datatilsynet skal blant annet, i medhold av personopplysningsloven § 42 andre ledd nr. 3, kontrollere at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, og at feil eller mangler blir rettet.

Behandling av personopplysninger som er nødvendig av hensyn til rikets sikkerhet, er i personopplysningsforskriften § 1-2 unntatt fra lovens bestemmelser om tilsynsmyndighetenes tilgang til opplysninger. Dette innebærer i praksis at Datatilsynet ikke har tilsynsmyndighet etter sikkerhetslovens bestemmelser om forebyggende sikkerhetstjeneste generelt, og sikkerhetsklarering av personell spesielt. Av samme grunn er det også gjort unntak fra reglene om melde- og konsesjonsplikt. EUs nye personvernforordning åpner også for å gjøre unntak av slike hensyn, se Personvernforordningen art. 23. I så fall må et kontrollorgan og dets myndighet spesifiseres.

Det fremgår av sikkerhetsloven § 30 at «[f]orebyggende sikkerhetstjeneste i medhold av loven her er underlagt kontroll og tilsyn av Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjeneste», i samsvar med EOS-loven. I praksis innebærer dette at alle forvaltningsorganer, og selvstendige rettssubjekter underlagt loven, i prinsippet er gjenstand for kontroll og tilsyn av EOS-utvalget.

Hovedformålet med EOS-utvalgets kontroll er å ivareta den enkeltes rettssikkerhet193. Mer konkret fremgår det av EOS-loven § 2-1 at formålet er «å klarlegge om og forebygge at det øves urett mot noen, herunder påse at det ikke nyttes mer inngripende midler enn det som er nødvendig etter forholdene, og at tjenestene respekterer menneskerettighetene», jf. EOS-loven § 2 nr. 1).

EOS-utvalget skal føre regelmessig tilsyn med tjenestene, undersøke klager fra enkeltpersoner og organisasjoner og av eget tiltak ta opp forhold som utvalget finner formålstjenlig å undersøke. EOS-utvalget har, i motsetning til personvernmyndighetene, krav på innsyn i alt materiale som har betydning for kontrollene.

I Dok.16 (2015–2016), har Evalueringsutvalget blant annet foreslått at den stortingsoppnevnte kontrollen med EOS-tjenestene bør styrkes.194

EOS-utvalgets forankring i Stortinget er, etter Evalueringsutvalgets oppfatning, en styrke ved dagens kontrollmodell og bør således videreføres.195 Forankringen i Stortinget gir EOS-utvalget den nødvendige uavhengigheten gjennom organisatorisk avstand til den uøvende makt, og bidrar også til at Stortinget gjøres oppmerksom på viktige problemstillinger og saker knyttet til EOS-tjenestenes virksomhet.

Evalueringsutvalget har også foreslått at EOS-utvalget ikke lenger bør føre kontroll med avgjørelser om sikkerhetsklarering.196 EOS-utvalget står overfor store kapasitetsmessige utfordringer, og etter Evalueringsutvalgets syn, bør EOS-utvalget gis anledning til å konsentrere seg om de delene av EOS-tjenestenes virksomhet der kontrollbehovet er størst. Avgjørelser om sikkerhetsklarering skiller seg fra annen virksomhet EOS-tjenestene bedriver, ved at den avgjørelsen om klarering gjelder er kjent med og har godtatt, både at avgjørelse fattes og at personopplysninger innhentes i den forbindelse. I tillegg er det etablerte rettssikkerhetsgarantier for den enkelte, i form av rett til underretning og begrunnelse, samt klagerett på de avgjørelser som fattes. Evalueringsutvalget foreslår derfor at kontrollfunksjonen ivaretas av andre enn EOS-utvalget, for eksempel av Sivilombudsmannen. For en nærmere omtale av EOS-utvalget, vises det til kapittel 3.6.

5.7 Avveiningen mellom nasjonal sikkerhet og rettssikkerhet og personvern

Et komplekst og sammensatt risiko- og trusselbilde, kombinert med en rask teknologisk utvikling, skaper nye sårbarheter og utfordringer for samfunnet som helhet. Hensynet til å ivareta nasjonal sikkerhet nødvendiggjør en robust grunnsikring for våre mest sentrale samfunnsfunksjoner. Den teknologiske utviklingen representerer samtidig nye muligheter for å styrke den forebyggende sikkerheten.

Personvern, rettssikkerhet og nasjonal sikkerhet er grunnleggende verdier i et demokratisk samfunn, hvor ingen av natur er mer tungtveiende enn andre. Ivaretakelse av alle disse verdiene er essensielt for å opprettholde demokratiet og rettsstatsprinsippene.

I tråd med statens forpliktelser etter Grunnloven og EMK må inngripende tiltak ha hjemmel i formell lov. Særlig inngripende tiltak tilsier at en legger et strengt legalitetsprinsipp til grunn, med en så klar og uttømmende regulering som mulig. Slik sikres forutberegnelighet og det skapes grunnlag for effektiv legalitetskontroll og domstolsprøving. Også hensynet til en åpen demokratisk diskurs om de motstående hensynene, tilsier at lovgiver går konkret inn på de mange dilemmaer en her står overfor.

Som et generelt utgangspunkt vil utvalget legge følgende prinsipper og retningslinjer til grunn ved vurderingen av sikkerhetsmessige tiltak som kan få en negativ innvirkning på den enkeltes rettssikkerhet og personvern:

  • Presisjon i formulering av hjemmel for sikkerhetstiltaket (lovskravet)

  • Vurdere hvilken effekt man får ved sikkerhetstiltaket, sett opp mot allerede eksisterende tiltak (formålsmessighet)

  • Vurdere forholdsmessigheten mellom den sikkerhetsmessige effekten og hvor inngripende tiltakene er i forhold til personvern og rettssikkerhet (forholdsmessighet)

  • Vurdere alternative, og mindre inngripende, tilnærminger til å oppnå samme effekt (subsidiaritetsprinsippet)

  • Etablere tilstrekkelige personvern- eller rettssikkerhetsgarantier der det gjøres inngrep i den enkeltes rettssfære (prosessuelle mekanismer)

Denne fremgangsmåten vil slik utvalget ser det også ivareta de krav som stilles for unntak i Personvernforordningen art. 23, se kapittel 5.3.2.

Slik utvalget ser det vil personvernmessige konsekvenser i første rekke gjøre seg gjeldende innenfor regelverket for personellsikkerhet. Innen personellsikkerhet skjer det en utstrakt behandling av personopplysninger, med det siktemål å kontrollere den enkeltes sikkerhetsmessige skikkethet. I tillegg er det enkelte andre områder innen forebyggende sikkerhet, hvor sikkerhetsmessige hensyn gjør det nødvendig å behandle personopplysninger i en viss utstrekning, særlig sikkerhetstiltak innenfor informasjonssystemsikkerhet.

Når det gjelder inngrep overfor selvstendige rettssubjekter, som staten ikke har alminnelig instruksjons- og kontrollmyndighet over, vil det være sentralt at det etableres tilstrekkelige og tilfredsstillende rettssikkerhetsgarantier der det gjøres inngrep overfor slike rettssubjekter.

I den utstrekning utvalget foreslår inngrep i den enkeltes rettssikkerhet, eller foreslår tiltak som har betydning for selvstendige rettssubjekters rettssikkerhet, vil utvalget så godt det lar seg gjøre forsøke å begrunne det sikkerhetsmessige behovet for at slike inngrep gjøres, herunder om alternative og mindre inngripende tilnærminger kan gi tilstrekkelig sikkerhetsmessig effekt. Utvalgets vil videre forsøke å påse at hensynet til formålsmessighet og forholdsmessighet ivaretas ved utforming av regelverket, og at det etableres nødvendige garantier for å sikre at personvern og rettssikkerhet ivaretas på en tilfredsstillende måte.

Fotnoter

1.

Forsvarsdepartementet og Justis- og beredskapsdepartementet, Støtte og Samarbeid: en beskrivelse av totalforsvaret i dag (Oslo: Forsvarsdepartementet, 2015).

2.

Nasjonal sikkerhetsmyndighet, Politidirektoratet og Politiets sikkerhetstjeneste, Terrorsikring – En veiledning i sikrings- og beredskapstiltak mot tilsiktede uønskede handlinger (2015), 9.

3.

Lov 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste (sikkerhetsloven).

4.

NSM, POD og PST, Terrorsikring – En veiledning i sikrings- og beredskapstiltak mot tilsiktede uønskede handlinger (2015), 9.

5.

Lov 4. august 1995 nr. 53 om politiet (politiloven).

6.

Instruks 22. juni 1990 nr. 3963 (politiinstruksen).

7.

NOU 1995: 31, Beredskapslovgivningen i lys av endrede forsvars- og sikkerhetspolitiske rammebetingelser.

8.

Lov 31. mars 1949 nr. 3 om bygging og sikring av drivstoffanlegg.

9.

Lov 15. desember 1950 nr. 7 om særlige rådgjerder under krig, krigsfare og liknende forhold.

10.

Lov 29. juni 1951 nr. 19 om militære rekvisisjoner.

11.

Lov 19. desember 1952 nr. 2 om adgang til rekvisisjon av skip m.v. under krig eller kriseforhold.

12.

Lov 14. desember 1956 nr. 7 om forsynings- og beredskapstiltak.

13.

FD og JD Støtte og samarbeid: en beskrivelse av totalforsvaret i dag, (2015).

14.

Lov 16. desember 2011 nr. 65 om næringsberedskap.

15.

Lov 17. juli 1953 nr. 29 om verneplikt.

16.

Lov 18. august 2006 nr. 61 om beredskapslagring av petroleumsprodukt.

17.

Lov 23. juni 2000 nr. 56 om helsemessig og sosial beredskap.

18.

Lov 25. juni 2010 nr. 45 om kommunal beredskapsplikt, sivile beskyttelsestiltak og Sivilforsvaret (sivilbeskyttelsesloven).

19.

Ekspertgruppen for Forsvaret av Norge, Et felles løft (Oslo: Forsvarsdepartementet, 2015), 7.

20.

Meld. St. 29 (2011–2012), Samfunnssikkerhet, 9.

21.

Nasjonal sikkerhetsmyndighet, Sikkerhetsfaglig råd, 2015.

22.

Eivind Smith, «‘Ministerstyre’ - et hinder for samordning?», Nytt Norsk Tidsskrift 3 (2015).

23.

Ibid., 261.

24.

Instruks 16. juni 2012 nr. 535 om departementenes arbeid med samfunnssikkerhet og beredskap, Justis- og beredskapsdepartementets samordningsrolle, tilsynsfunksjon og sentral krisehåndtering.

25.

Ekspertgruppen for Forsvaret av Norge, Et felles løft, 2015, 75.

26.

Innstilling 352 L (2015–2016), Innstilling fra utenriks- og forsvarskomiteen om Endringer i sikkerhetsloven (reduksjon av antall klareringsmyndigheter mv.)

27.

Eivind Smith, «‘Ministerstyre’ – et hinder for samordning?», 2015.

28.

Instruks 18. april 2008 nr. 388 for samfunnssikkerhets- og beredskapsarbeidet til Fylkesmannen og Sysselmannen på Svalbard.

29.

Forskrift 22. august 2011 nr. 894 om kommunal beredskapsplikt.

30.

Rapport fra arbeidsgruppen for utarbeiding av forslag til ny instruks for Forsvarets bistand til politiet, 2016, 51–53.

31.

Forsvarskommisjonen av 1949, del 1, 64.

32.

FD/JD, Støtte og samarbeid, 2015, 12.

33.

Prop. 151 S (2015–2016), Kampkraft og bærekraft. Langtidsplan for forsvarssektoren, 45.

34.

Lov 29. juni 1951 nr. 19 om militære rekvisisjoner.

35.

FD/JD, Støtte og samarbeid, 2015, 51.

36.

André Berg Thomstad, Arbeidet mellom Forsvaret og politiet lokalt i Oslo er blitt bedre etter terrorangrepet på Oslo 22. juli. Oslo Files on Defence and Security, nr. 1 (Oslo: Institutt for forsvarsstudier, 2016), 19–27.

37.

FD/JD, Støtte og samarbeid 2015, 15.

38.

Ibid., 6, 51.

39.

Instruks 22. juni 2012 om Forsvarets bistand til politiet (bistandsinstruksen).

40.

Synstnes, Hans Morten, Den innerste sirkel: Den militære sikkerhetstjenesten 1945–2002 (Oslo: Universitetet i Oslo, 2015) 69–70.

41.

Ibid.

42.

Lov 20. mars 1998 om Etterretningstjenesten.

43.

Dokument 16, (2015–2016), 67.

44.

Lov 4. august 2005 om politiet (politiloven), § 17 b.

45.

Dokument 16, (2015–2016), 63.

46.

Ibid.

47.

Kgl. res 13. oktober 2006 om samarbeidet mellom Etterretningstjenesten og Politiets sikkerhetstjeneste.

48.

Dokument 16, (2015–2016), 76.

49.

Kronprinsreg.res. 4. juli 2003, Fordeling av ansvar for forebyggende sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet.

50.

Dokument 16, (2015–2016), 72.

51.

Innstilling 352 L (2015–2016).

52.

Dokument 16, (2015–2016), 74.

53.

Ibid.

54.

Instruks 29. april 2010 om sikkerhetstjeneste i Forsvaret.

55.

Lov 3. februar 1995 om kontroll med etterretnings-, overvåkings- og sikkerhetstjeneste (EOS-kontrolloven), § 2.

56.

Dokument 16 (2015–2016).

57.

Ibid., 132–146.

58.

Kgl.res. 24. juni 2005 nr. 688, Instruks for Direktoratet for samfunnssikkerhet og beredskaps koordinerende roller.

59.

FD/JD, Støtte og Samarbeid, 2015, 22.

60.

Terje Aven, Pålitelighets- og risikoanalyse (Oslo: Universitetsforlaget, 1998), 11.

61.

Terje Aven, Willy Røed og Herman S. Wiencke, Risikoanalyse (Oslo: Universitetsforlaget, 2008), 27-32

62.

Terje Aven, «Risiko», Store norske leksikon, https://snl.no/risiko

63.

Terje Aven et. al, Risikoanalyse 2008.

64.

Odd Busmundrud, Maren Maal, Jo H. Kiran og Monica Endregard, «Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger», FFI-rapport 00923 (Kjeller: FFI, 2015).

65.

«Verdi», Store norske leksikon, https://snl.no/verdi.

66.

Norsk Standard 5830:2012, Samfunnssikkerhet: Beskyttelse mot tilsiktede uønskede handlinger, Terminologi.

67.

Arne Fliflet, Rettsdata.no, Grunnloven § 1, note (2), sist hovedrevidert 27.04.2014.

68.

St.meld. nr. 17 (2007–2008) Staten og Den norske kirke, 71.

69.

Ibid.

70.

Anine Kierulf, Rettsdata.no, Grunnloven § 92, note (197A3), sist hovedrevidert 17.06.2015

71.

Abraham Maslow, «A Theory of Human Motivation», Psychological review 50:4 (1943), 370.

72.

Direktoratet for samfunnssikkerhet og beredskap, Samfunnets kritiske funksjoner: Hvilken funksjonsevne må samfunnet opprettholde til enhver tid?, Høringsutgave september 2015, 20.

73.

Ibid., 21.

74.

NOU 2006: 6, Når sikkerheten er viktigst: Beskyttelse av landets kritiske infrastrukturer og kritiske samfunnsfunksjoner.

75.

Ot.prp. nr. 49 (1996–97) Om lov om forebyggende sikkerhetstjeneste (sikkerhetsloven).

76.

NOU 2006: 6.

77.

NOU 2003: 18, Rikets sikkerhet, 71.

78.

Ibid., 72–73.

79.

Ibid.

80.

Ot.prp. nr. 8 (2007–2008), om lov om endringer i straffeloven 20. mai 2005 nr. 28 mv. (skjerpende og formildende omstendigheter, folkemord, rikets selvstendighet, terrorhandlinger, ro, orden og sikkerhet, og offentlig myndighet).

81.

Lov 15. mai 2008 nr. 35 om utlendingers adgang til riket og deres opphold her (utlendingsloven).

82.

Ot.prp. nr. 75 (2006–2007) om lov om utlendingers adgang til riket og deres opphold her (utlendingsloven).

83.

Dok. 16 (2015–2016), 33.

84.

NS 5830:2012, Samfunnssikkerhet: Beskyttelse mot tilsiktene unøskede hendelser, Terminologi.

85.

Lov 20. mars 1998 om forebyggende sikkerhetstjeneste (sikkerhetsloven)

86.

Lov 20. mai 2005 nr. 28 om straff (straffeloven)

87.

Per Anders Johansen, «Spionerte på Telenor-sjefer, tømte all e-post og datafiler», NRK, 17.03.2016.

88.

«Sabotasje», Det store norske leksikon, https://snl.no/sabotasje

89.

Morten Jentoft, «Sprengte strømmaster – to millioner på Krim uten strøm», Urix, 22.11.2015.

90.

Aksjonen ble iverksatt etter at CIA fikk informasjon av en KGB-avhopper om at Sovjetrusserne over tid hadde stjålet vestlig teknologi. Avhopperen ga fra seg en liste over teknologi som var på Sovjets ønskeliste. Teknologi ble solgt til Sovjet med endrede komponenter Aksjonen ble først kjent i 1996 etter deklassifiseringen av de såkalte «Farewell Dossier» dokumentene, som var overlevert av en KGB-avhopper. Kim Zetter, Countdown to zero Day. Stuxnet and the launch of the first digital weapon. (New York: Crown Publishers, 2014).

91.

Jordan Robertson og Michael Riley, Bloomberg Technology, «Mysterious ’08 Turkey Pipeline Blast Opened New Cyberwar», http://www.bloomberg.com/news/articles/2014-12-10/mysterious-08-turkey-pipeline-blast-opened-new-cyberwar (oppsøkt 03.04.2016).

92.

Kim Zetter 2014.

93.

Institute for Economics & Peace, Global terrorism index 2015: Measuring and understanding the impact of terrorism, IEP report 36 (New York: Institute for Economics & Peace, 2015), 35.

94.

Nasjonal sikkerhetsmyndighet, Helhetlig IKT-risikobilde 2015, 28–30.

95.

Nasjonal sikkerhetsmyndighet, Helhetlig IKT-risikobilde 2015, 30.

96.

Meld. St. 37 (2014–2015), Globale sikkerhetsutfordringer i utenrikspolitikken: Terrorisme, organisert kriminalitet, piratvirksomhet og sikkerhetsutfordringer i det digitale rom, 26.

97.

Camilla Wernersen, «Beskylder russere for dataangrep i Tyskland», Urix, 13.05.2016.

98.

NOU 2000: 24 Et sårbart samfunn – Utfordringer for sikkerhets- og beredskapsarbeidet i samfunnet, 73.

99.

Sitat fra Etterretningstjenestens sjef Generalløytnant Kjell Grandhagens under hans tale «Trusler og risiki for Norge i et endret sikkerhetsbilde», NSMs sikkerhetskonferanse 2015, Oslo Kongressenter, 16.03.2015.

100.

Etterretningstjenesten, Fokus 2015: Etterretningstjenestens vurdering, 11.

101.

Ibid.23.

102.

Ibid., 2.

103.

Ibid., 50.

104.

Ibid., 58.

105.

Politiets sikkerhetstjeneste, Trusselvurdering 2015.

106.

Ibid., 84.

107.

PST, Trusselvurdering 2015.

108.

Ibid.

109.

Anders Romarheim, «Hva er terrorisme?», i Anders Ravik Jupskås (red.), Akademiske perspektiver på 22. juli (Oslo: Akademika, 2013), 36.

110.

Etterretningstjenesten, Fokus 2015, 73.

111.

PST, Trusselvurdering 2015.

112.

Institute for Economics & Peace, 2015, 5.

113.

Emilie Oftedal, Boko Haram- an overview, FFI-rapport 01680 (Kjeller: Forsvarets Forskningsinstitutt, 2013).

114.

Angrepet på Statoil-anlegget i In Amenas samme år anses blant annet som en hevnaksjon på den franske intervensjonen.

115.

World Economic Forum, Global risk report, 2015.

116.

Transparency International Deutschland, Corruption as a threat to stability and peace, Policy Paper 2014. https://www.transparency.de/fileadmin/pdfs/Wissen/Publikationen/Study_Corruption_as_a_Threat_to_Stability_and_Peace.pdf

117.

Meld. St. 37 (2014–2015), 21.

118.

Vanda Felbab-Brown, «The Rise of Militias in Mexico. Citizen’s Security or Further Conflict Escalation», Brokings 2015, https://www.brookings.edu/wp-content/uploads/2016/07/Rise-of-Militias-Mexico.pdf

119.

Meld. St. 37 (2014–2015).

120.

Institute for Economics & Peace, 2015.

121.

Meld. St. 37 (2014–2015), 20–21.

122.

Institute for Economics & Peace, 2015.

123.

Emilie Oftedal, The financing of jihadi terrorist cells in Europe, FFI-rapport 02234 (Kjeller: Forsvarets forskningsinstitutt 2014).

124.

Meld. St. 37 (2014–2015), 23.

125.

Ibid., 33.

126.

Ibid., 52.

127.

NSM, Sikkerhetsfaglig råd, 2015.

128.

Ibid.

129.

Ingvill Moe Elgsaas og Hege Schultz Heireng, Norges sikkerhetstilstand – en årsaksanalyse av mangelfull forebyggende sikkerhet, FFI-rapport 00948 (Kjeller: Forsvarets Forskningsinstitutt, 2014).

130.

United Nations, World Population Prospects, 2015 revision (New York: United Nations, 2015).

131.

Center for Disease Control and Prevention, «Deaths Associated with Hurricane Sandy – October–November 2012», http://www.cdc.gov/mmwr/preview/mmwrhtml/mm6220a1.htm

132.

Som en oppfølging av St. meld 22 (2007–2008), Samfunnssikkerhet – Samvirke og samordning.

133.

DSB, Samfunnets kritiske funksjoner – Hvilken funksjonsevne må samfunnet opprettholde til enhver tid, 2015.

134.

NOU 2006: 6.

135.

NOU 2015: 13.

136.

NSM, Helhetlig IKT-risikobilde 2015.

137.

NOU 2015: 13.

138.

Ibid.

139.

Etterretningstjenesten, Fokus 2015.

140.

NSM, Helhetlig IKT-risikobilde 2015, 18.

141.

NSM, Sikkerhetsfaglig råd 2015.

142.

Ruth Ø. Skotnes, «Challenges for safety and security management of network companies due to increased use of ICT in the electric power supply sector», (Doktoravhandling, Universitetet i Stavanger 2015), 5.

143.

Teknisk ukeblad, «DNBs nettsider utsatt for nettangrep igjen», http://www.tu.no/artikler/dnbs-nettsider-utsatt-for-nettangrep-igjen/231295 (oppsøkt 21.04.2016).

144.

DSB, Nasjonalt risikobilde 2014.

145.

Etterretningstjenesten, Fokus2015.

146.

NSM, Helhetlig IKT-risikobilde 2015.

147.

Elgsaas og Schultz Heireng, Norges sikkerhetstilstand – en årsaksanalyse av mangelfull forebyggende sikkerhet, 2014, 42–43.

148.

Håvard Fridheim og Janne Hagen, Beskyttelse av samfunnet 5: Sårbarhet i kritiske IKT-systemer – sluttrapport, FFI-rapport 01204 (Kjeller: Forsvarets Forskningsinstitutt, 2007).

149.

Bjerga, Kjell Inge og Håkenstad, Magnus, «Hvem eier krisen? Politi, Forsvar og 22. juli» i Tormod Heier og Anders Kjølberg (red.), Mellom Fred og Krig: Norsk militær krisehåndtering (Oslo: Universitetsforlaget, 2013).

150.

Ekspertgruppen for forsvaret av Norge, Et felles løft, 2015.

151.

PST, Trusselvurdering 2015.

152.

Prop. 151 S (2015–2016), 31.

153.

Ole Andreas H. Engen et al, Perspektiver på samfunnssikkerhet (Oslo: Cappelen Damm, 2016), 37.

154.

NOU 2012: 14, Rapport fra 22. juli-kommisjonen, 449.

155.

Politiets sikkerhetstjeneste, Trusselvurdering 2016, 8.

156.

Henning André Søgaard og Janne Merete Hagen, Kampen om Sannheten, FFI-Fokus 02 (Kjeller: Forsvarets forskningsinstitutt,2014), 2.

157.

Janne Merete Hagen og Henning André Søgaard, Strategisk kommunikasjon som redskap i Krisehåndtering, FFI-rapport 03101 (Kjeller: Forsvarets Forskningsinstitutt, 2013), 18.

158.

Ibid.

159.

Sun Tzu, The Art of War (Oxford: Oxford University Press, 1963), Chapter 1.

160.

Jonathan Glover, Humanity: A Moral History of the Twentieth Century (London: Pimlico, 2001).

161.

Hagen og Søgaard, 2013.

162.

Kofman, Michael og Matthew Rojansky, «A Closer look at Russia’s ‘Hybrid War’», Kennan Cable 07 (Wilson Center / Kennan Institute, 2015).

163.

Hagen og Søgaard, 2013, 14.

164.

Morgenbladet, «Analyse i kaos», 05. 08. 2011.

165.

Hagen og Søgaard, 2013, 19.

166.

Ibid.

167.

NOU 1995: 4.

168.

Ibid.

169.

Torstein Eckhoff og Eivind Smith, Forvaltningsrett, 10. utgave (Oslo: Universitetsforlaget, 2014), 56–57.

170.

NOU 2009: 1, Individ og integritet – Personvern i det digitale samfunnet, 32.

171.

Ibid.

172.

NOU 2009: 15, Skjult informasjon – åpen kontroll — Metodekontrollutvalgets evaluering av lovgivningen om politiets bruk av skjulte tvangsmidler og behandling av informasjon i straffesaker, 50

173.

NOU 2009: 1, 39.

174.

NOU 2009: 1, 33.

175.

Weber and Saravia vs. Germany (54934/00), avsnitt 84.

176.

NOU 2009: 15, 63.

177.

Blant annet i Weber and Saravia vs. Germany, avsnitt 105.

178.

Dok. Nr. 16 (2011–2012), Rapport fra Menneskerettighetsutvalget om menneskerettighetene i Grunnloven, 178.

179.

RT-2015-93, avsnitt 60.

180.

Lov 10. februar 1967 om behandlingsmåten i forvaltningssaker (forvaltningsloven).

181.

NOU 2009: 15, 60.

182.

Ot.prp. nr. 49 (1996–97), kapittel 11.

183.

Magnus Matningsdal, «Kontradiksjon i sivile saker og straffesaker», Jussens Venner (2013), 1-115.

184.

Europaparlamentets- og rådsforordning (EU) 2016/679 av 27. april 2016 (EUs personvernforordning).

185.

Lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven).

186.

Se Personvernforordningen art. 5(b) og personopplysningsloven § 11.

187.

Se Personvernforordningen art. 5(e) og personopplysningsloven § 9(h).

188.

Se Personvernforordningen art. 5(d) og personopplysningsloven § 11.

189.

Se Personvernforordningen art. 5(f) og personopplysningsloven § 11.

190.

Dag Wiese Schartum og Lee Bygrave, Personvern i informasjonssamfunnet, 2. utgave (Oslo: Fagbokforlaget, 2011), 32.

191.

Erik Møse, Menneskerettigheter, 1. utgave (Oslo: Cappelen Akademisk forlag, 2002), 408.

192.

Ibid.

193.

Ot.prp. nr. 83 (1993–94) Om lov om kontroll med etterretnings-, overvåkings- og sikkerhetstjeneste, 4.

194.

Dok. 16 (2015–2016).

195.

Ibid., 126.

196.

Ibid., 132 flg.

Til forsiden