Del 4
Særlige merknader og lovforslag

13 Merknader til de enkelte bestemmelsene

Kapittel 1 – Formål og virkeområde

§ 1-1 Lovens formål

Bestemmelsen angir formålet med loven.

I bestemmelsens første ledd slås det for det første fast at den skal bidra til å trygge «Norges suverenitet, territorielle integritet og demokratiske styreform». Angivelsen av disse sikkerhetspolitiske interessene, er ikke en uttømmende oppregning av de grunnleggende nasjonale interessene loven tar sikte på å trygge, men er en fremheving av de interessene det er avgjørende å ivareta. Suverenitet og territoriell integritet skal per definisjon være uavkortet, med de begrensninger og tilpasninger som følger av Norges folkerettslige forpliktelser, herunder EØS-avtalen. Ingen andre land eller organisasjoner skal kunne frata Norge råderett over egne anliggender. Landets øverste statsorganer må ha handlefrihet og kontroll innen norsk territorium. Videre innebærer suverenitet evne til å hevde nasjonens interesser internasjonalt ved at Norge fører en selvstendig og egendefinert utenrikspolitikk. En forsvarlig beskyttelse vil være avgjørende for å opprettholde rettsstatens og demokratiets grunnleggende verdier.

Begrepet tilsiktede uønskede hendelser er nærmere forklart i kapittel 6.7.4. I likhet med dagens sikkerhetslov tar loven sikte på å beskytte grunnleggende nasjonale funksjoner mot terrorhandlinger, sabotasje og spionasje. Loven er imidlertid ikke avgrenset til å gjelde for bare disse truslene. Det er de tilsiktede uønskede hendelsene som kan utgjøre en trussel mot grunnleggende nasjonale funksjoner, det tas sikte på å beskytte mot. Denne avgrensningen vil i seg selv være styrende for hvilke typer tilsiktede hendelser som vil være aktuelle. Eksempelvis vil annen alvorlig kriminalitet, herunder organisert kriminalitet, også kunne ha store skadefølger for grunnleggende nasjonale funksjoner.

Begrepet grunnleggende nasjonale funksjoner er grundig behandlet i kapittel 6.7.2. Begrepet er ment å være en rettslig standard som vil bli endret i takt med den generelle samfunnsutviklingen, og formes i tråd med den systematikken loven for øvrig legger opp til når det gjelder identifisering av slike funksjoner og deres understøttende elementer.

Virkemidler som er tilgjengelige for å sikre grunnleggende nasjonale funksjoner, kan på samme tid gjøre at de samme interessene og verdiene det tas sikte på å beskytte kommer under press. I bestemmelsens andre ledd er det derfor presisert at sikkerhetstiltak som iverksettes for å ivareta lovens formål, skal gjennomføres på en måte som er «forenlig med grunnleggende rettsprinsipper og verdier i et demokratisk samfunn». Med grunnleggende rettsprinsipper og verdier menes blant annet hensynet til den enkeltes personvern og rettssikkerhet. I dette ligger en presiseringen av at det kun er de sikkerhetsmessige tiltakene som er nødvendige og forholdsmessige, og har en dokumentert effekt, som skal iverksettes. Det ligger også en plikt til å vurdere alternative og mindre inngripende tilnærminger til å oppnå samme effekt.

§ 1-2 Lovens virkeområde

Bestemmelsen angir lovens saklige virkeområde.

Virksomhetsbegrepet i loven, jf. bestemmelsens første ledd, omfatter alle former for virksomhet, uavhengig av eierskap og organisasjonsform, og er således en videreføring av gjeldende sikkerhetslovs virksomhetsbegrep. Ved vurderingen av om en virksomhet omfattes av loven er det uten betydning om det er tale om et privat selskap, foretak, forvaltningsorgan, forvaltningsbedrift, et hel- eller deleid statlig selskap, statsforetak, ideell organisasjon, stiftelse eller annet.

Et vilkår for at virksomheter omfattes av loven er at disse råder over nærmere angitt informasjon, informasjonssystemer objekter eller infrastruktur. Det avgjørende for hvorvidt en virksomhet råder over vil måtte avgjøres konkret i hvert enkelt tilfelle, ut fra en vurdering av om virksomheten har en faktisk og reell innflytelse/påvirkningsmulighet over informasjonen, informasjonssystemet, objektet eller infrastrukturen.

Hva som menes med informasjon er nærmere omtalt i merknaden til § 5-1.

Hva som menes med informasjonssystem er nærmere omtalt i merknaden til § 6-1.

Hva som menes med objekt og infrastruktur er nærmere omtalt i kapittel 9.5.1.

Også virksomheter som driver aktivitet av kritisk betydning for grunnleggende nasjonale funksjoner vil være omfattet av loven. Eksempelvis vil selskaper som har en nøkkelkompetanse som er av betydning for slike kunne tenkes å bli omfattet av loven. Normalt vil virksomheter som driver slik aktivitet, også ha en eller annen form for råderett over informasjon, informasjonssystemer, objekter eller infrastruktur, slik at de uansett vil falle inn under lovens virkeområde.

I begrepet kritisk for grunnleggende nasjonale funksjoner ligger et kvalitetskrav. Det er ikke tilstrekkelig at virksomheter leverer innsatsfaktorer for grunnleggende nasjonale funksjoner, for at de skal falle inn under loven. Det er kun de aktørene som har en så sentral rolle for funksjonene at de må anses som avgjørende for evnen til å opprettholdelse av funksjonsdyktighet, som vil omfattes. Avgjørende for vurderingen er hvilken betydning bortfall eller svekkelse av virksomheten har for den funksjonen som virksomheten understøtter. Den nærmere vurderingen av hvilke virksomheter som konkret vil falle inn under lovens virkeområdet må gjøres konkret, jf. loven § 2-1 om departementenes plikter. Se for øvrig kapittel 6.7.5 og 7.7.1.

For en nærmere omtale av de interessene som er listet opp i første ledd bokstav a til e, vises det til kapittel 6.7.2.

Bokstav a til c er identisk med straffeloven § 121 første ledd bokstav a til c. Praksis knyttet til forståelsen av de ulike forholdene i straffeloven, vil således også være relevante for forståelsen av tilsvarende forholdene i sikkerhetsloven.

Kongen i statsråd er i bestemmelsens andre ledd gitt myndighet til å gi nærmere forskrifter om lovens virkeområde. Myndigheten kan ikke delegeres, jf. den nærmere omtalen av dette i kapittel 7.7.10.

§ 1-3 Særbestemmelser om lovens virkeområde

I motsetning til gjeldende sikkerhetslov § 2 femte ledd, gjøres det ikke direkte unntak for Stortinget og dets organer. Bestemmelsens første ledd slår i stedet fast at loven gjelder for Stortinget og dets organer i den utstrekning Stortinget bestemmer det. Det forutsettes at Stortinget gjør et formelt vedtak om spørsmålet.

Bestemmelsens andre ledd er en videreføring av det vedtatte forslaget i Prop. 97 L (2015–2016) om en lovfesting av en langvarig og fast praksis om at det ikke stilles krav om sikkerhetsklarering og autorisasjon for regjeringens medlemmer og dommere i Høyesterett.

Bestemmelsens tredje ledd er en videreføring av gjeldende lov § 2 fjerde ledd om særregler for sikkerhetsklarering etter domstolloven og straffeprosessloven.

Bestemmelsens fjerde ledd er en videreføring av gjeldende lov § 2 andre ledd om at leverandører til sikkerhetsgraderte anskaffelser automatisk er omfattet av loven.

Bestemmelsens femte ledd er i hovedsak en videreføring av gjeldende lov § 2 sjette ledd, med de tilpasninger som er nødvendige i en modernisert lov. Med bilandene menes Bouvet-øya, Peter I’s øy og Dronning Maud Land, jf. lov 27. februar 1930 nr. 3 § 1.

Kapittel 2 – Myndigheter etter loven

§ 2-1 Departementenes ansvar og myndighet etter loven

Bestemmelsen etablerer lovens systematikk for å identifisere hvilke grunnleggende nasjonale funksjoner som omfattes av loven og en systematikk for å kartlegge virksomheter som har en sentral rolle i understøttelsen av slike funksjoner.

Bestemmelsens første ledd slår fast at hvert enkelt departement er ansvarlig for forebyggende sikkerhet innenfor sitt myndighetsområde. Departementenes myndighetsområde vil følge den til enhver tid sittende regjerings fordeling av ansvar mellom statsrådene og de ulike departementene. Dette innebærer både at de ansvarlige departementene gis myndighet til å fatte vedtak overfor virksomheter i egen sektor, og et særlig ansvar for å følge opp at det skjer et forsvarlig forebyggende sikkerhetsarbeid i sektoren. Ved endring av departementsstrukturen, forutsettes det at regjeringen tar stilling til mulige konsekvenser for fordeling av myndighetsområder etter loven.

Første ledd bokstav a til c slår fast departementenes fremgangsmåte for å identifisere og fatte vedtak overfor de virksomheter som skal omfattes av loven. Det foreslås her en modell som består av tre trinn.

Departementene skal i henhold til bokstav a, først identifisere hvilke grunnleggende nasjonale funksjoner som finnes innenfor eget myndighetsområde. Med holde oversikt over menes at departementenes identifisering skal være en dynamisk prosess som må oppdateres ved behov.

På bakgrunn av departementenes oversikt over grunnleggende nasjonale funksjoner, plikter departementene etter bokstav b, å identifisere og holde oversikt over virksomheter som er av vesentlig betydning for understøttelsen av slike funksjoner.

Det at en virksomhet identifiseres som en virksomhet av vesentlig betydning innebærer ikke at det påhviler virksomheten plikter etter loven. Det er imidlertid viktig at departementene til enhver tid har en oversikt over hvilke innsatsfaktorer grunnleggende nasjonale funksjonene er avhengige av for å kunne opprettholde sin funksjonalitet. Generelle samfunnsmessige endringer, eller endringer i det gjeldende trusselbildet, kan også medføre at virksomheter som tidligere ikke har blitt ansett som kritiske, blir det. Systematikken det legges opp til i bestemmelsen er ment å skulle legge til rette for at slike endringer blir fanget opp.

Ut fra den totale oversikten over grunnleggende nasjonale funksjoner og virksomheter av vesentlig betydning for disse, skal departementet treffe enkeltvedtak overfor de virksomheter som er av kritisk betydning for de aktuelle funksjonene, jf. bestemmelsen første ledd bokstav c. Ved vurderingen av om en virksomhet er av kritisk betydning må det sees hen til virkeområdebestemmelsen i § 1-2, herunder om den aktuelle virksomheten råder over informasjon, informasjonssystemer, objekter eller infrastruktur, eller driver aktivitet, av slik betydning for grunnleggende nasjonale funksjoner.

I bestemmelsens andre ledd første punktum pålegges departementene en varslingsplikt til de virksomheter departementet har til hensikt å treffe vedtak overfor, jf. forvaltningsloven § 16. En slik forutgående varsling vil gi den aktuelle virksomheten mulighet til å kunne fremme sine synspunkter, før vedtak treffes. Bestemmelsens andre ledd andre punktum, slår fast at selvstendige rettssubjekter har rett til å påklage departementets vedtak etter første ledd bokstav c. Med selvstendige rettssubjekter menes enhver virksomhet som et departement ikke innehar alminnelig instruksjons-, organisasjons- og kontrollmyndighet overfor, i praksis alle virksomheter som ikke er en del av staten som rettssubjekt. For selvstendige rettssubjekters klageadgang, gjelder forvaltningslovens kapittel VI.

I bestemmelsens tredje ledd pålegges departementene å holde Sikkerhetsmyndigheten orientert om oversikter og vedtak som fattes etter første ledd bokstav a til c. Formålet med denne bestemmelsen er å legge til rette for at Sikkerhetsmyndigheten skal kunne ivareta sitt ansvar etter § 2-2.

I bestemmelsens fjerde ledd første punktum gis Sikkerhetsmyndigheten en forslagsrett overfor ansvarlig departement. Sikkerhetsmyndigheten har et sektorovergripende ansvar etter § 2-2, og vil kunne se gjensidige avhengigheter på tvers av samfunnssektorene, som det enkelte departement ikke nødvendigvis har forutsetninger for å identifisere. I tillegg vil Sikkerhetsmyndigheten kunne påpeke mangler i departementenes identifisering av, og vedtak overfor, virksomheter.

Dersom det aktuelle departement velger å ikke følge de forslag Sikkerhetsmyndigheten kommer med, gis Sikkerhetsmyndigheten i fjerde ledd andre punktum rett til å bringe saken inn for Tvisteorganet dersom Sikkerhetsmyndigheten vurderer departementets unnlatelse som uforsvarlig. At departementets unnlatelser må være uforsvarlig innebærer at terskelen for hvilke unnlatelser som kan bringes inn for Tvisteorganet, vil være høy. Hva som vil være uforsvarlig i den konkrete sak, må også ses i sammenheng med den rettslige standarden i § 4-1 tredje ledd, se merknad til denne.

I bestemmelsens femte ledd gis Kongen i statsråd myndighet til å fastsette nærmere bestemmelser om departementenes ansvar og myndighet. At myndigheten legges til Kongen i statsråd innebærer at forskriftsmyndigheten etter bestemmelsen, ikke kan delegeres.

§ 2-2 Sikkerhetsmyndigheten

Bestemmelsen angir Sikkerhetsmyndighetens ansvar og myndighet etter loven. I praksis vil funksjonen som sikkerhetsmyndighet ivaretas av den aktøren som får delegert myndigheten fra forvaltningsansvarlig departement.

I bestemmelsens første ledd første punktum slås det fast at Sikkerhetsmyndigheten har det sektorovergripende ansvaret for forebyggende sikkerhetsarbeid i medhold av loven. Sikkerhetsmyndighetens ansvar griper ikke inn i de enkelte departementenes ansvar innen eget myndighetsområde. Med sektorovergripende ansvar menes i første rekke ansvaret for at forebyggende sikkerhetsarbeid etter loven har en helhetlig tilnærming og ansvaret for å koordinere sikkerhetsarbeidet mellom ulike departementer og ulike relevante sektormyndigheter. Sikkerhetsmyndighetens ansvar er nærmere konkretisert i første ledd bokstav a til e.

Etter bokstav a plikter Sikkerhetsmyndigheten å påse at det føres tilsyn med de virksomheter som er underlagt loven. De nærmere reglene om tilsyn følger av loven kapittel 3.

Bokstav b regulerer Sikkerhetsmyndighetens råd- og veiledningsansvar etter loven. Sikkerhetsmyndigheten skal ha en aktiv rolle når det gjelder konkret rådgivning overfor virksomhetene. For en nærmere omtale av råd- og veiledningsplikten vises det til kapittel 7.7.3.

Bokstav c omhandler Sikkerhetsmyndighetens ansvar for å utarbeide generelle veiledninger og rundskriv innen de ulike fagområdene loven omfatter. Plikten til å utarbeide denne type informasjon er en sentral fagmyndighetsoppgave.

I bokstav d pålegges Sikkerhetsmyndigheten å holde en tverrsektoriell og nasjonal oversikt over de funksjoner og virksomheter som er blitt identifisert av departementene etter § 2-1 første ledd bokstav a til c. Plikten til å holde en slik tverrsektoriell oversikt er en sentral del av Sikkerhetsmyndighetens sektorovergripende ansvar, og vil også danne grunnlaget for Sikkerhetsmyndighetens forslagsrett overfor departementene når det gjelder virksomheter som bør underlegges loven.

Den tverrsektorielle oversikten innbefatter også et særskilt ansvar for å identifisere gjensidige avhengigheter på tvers av samfunnssektorer og på tvers av virksomheter, slik at denne type avhengigheter kan synliggjøres overfor de ansvarlige departementene.

I bokstav e er Sikkerhetsmyndigheten gitt myndighet til å kunne treffe enkeltvedtak overfor virksomheter som ikke anses å falle inn under et departements ansvarsområde. Myndigheten korresponderer med departementenes myndighet etter § 1-2 første ledd bokstav c, og skal fange opp de virksomheter som ikke naturlig tilhører en klart definert samfunnssektor. Et eksempel her vil kunne være virksomheter innen satellittbaserte tjenester, hvor det i dag er til dels uoversiktlige ansvarslinjer, se kapittel 7.4.8.

Bestemmelsens andre ledd slår fast at varslingsplikten og klageretten etter § 2-1 andre ledd gjelder tilsvarende for Sikkerhetsmyndighetens vedtak overfor virksomheter.

§ 2-3 Informasjon om trusselvurderinger og risikohåndtering

Bestemmelsen omhandler Sikkerhetsmyndighetens ansvar for å legge til rette for, og koordinere, informasjon om trusselvurderinger. At bestemmelsen er innrettet som en tilretteleggings- og koordineringsplikt, skyldes primært at Sikkerhetsmyndigheten ikke vil ha full råderett over all trussel- og sikkerhetsinformasjon. For informasjon som utarbeides av andre relevante aktører, herunder Politiets sikkerhetstjeneste og Etterretningstjenesten, vil det i siste instans være opp til disse tjenestene hvorvidt de har anledning til å dele denne informasjonen. All informasjonsutveksling etter denne bestemmelsen må skje innenfor rammene av lovbestemt taushetsplikt og innenfor rammene av den enkelte aktørs lovmessige adgang til å dele slik informasjon.

Etter bestemmelsens første ledd plikter Sikkerhetsmyndigheten å legge til rette for at sektormyndigheter og virksomheter som er underlagt loven, får tilgang til informasjon som er nødvendig for å sette disse i stand til å etterleve sine plikter etter loven, eksempelvis virksomhetenes plikt til å gjennomføre risiko- og sårbarhetsanalyse, jf. § 4-3.

Som nevnt ovenfor er det flere aktører som har ansvar for å utarbeide ulike former for trusselvurderinger og annen sikkerhetsrelevant informasjon. Etter bestemmelsens andre ledd pålegges Sikkerhetsmyndigheten å koordinere tilgjengeliggjøring av slik informasjon. I tillegg skal Sikkerhetsmyndigheten påse at det etableres nødvendige arenaer for informasjons- og erfaringsutveksling. Av hensyn til de ulike samfunnssektorenes særegenheter og ulike behov, kan det være hensiktsmessig å ha sektorvise fora for slik erfarings- og informasjonsutveksling.

§ 2-4 Nasjonal responsfunksjon for alvorlige dataangrep

Bestemmelsen er en videreføring av det vedtatte forslaget i Prop. 97 L (2015–2016) til lovfesting av NorCERT og varslingssystemet for digital infrastruktur, jf. lovforslaget § 9 første ledd bokstav e og § 10a.

Bestemmelsen er ikke ment å innebære noen materiell endring fra det opprinnelige lovforslaget, se kapittel 7.3.3 og 7.7.6.

§ 2-5 Vedtaksmyndighet for Kongen i statsråd

Bestemmelsen er i det vesentlige en videreføring av det vedtatte forslaget om vedtaksmyndighet for Kongen i statsråd i Prop. 97 L (2015–2016), jf. lovforslaget § 5a andre ledd. Bestemmelsen gir Kongen i statsråd myndighet til å fatte vedtak om å stanse, begrense eller endre aktiviteter som medfører skadevirkninger på grunnleggende nasjonale funksjoner. Med stor grad av sannsynlighet menes at det må foreligge mer enn alminnelig sannsynlighetsovervekt for at den aktuelle aktiviteten kan medføre slik skade. Hvorvidt sannsynlighetskravet er oppfylt må vurderes konkret.

I bestemmelsens andre ledd slås det fast at vedtak etter bestemmelsen skal være proporsjonalt med den risiko som aktiviteten utgjør.

Dersom saken av hensyn til potensielle skadevirkninger ikke kan utredes tilstrekkelig før vedtak treffes, skal det i medhold av bestemmelsens fjerde ledd gjennomføres en etterfølgende saksbehandling med sikte på å rette slik mangler.

For en nærmere omtale av bestemmelsen, vises det til kapittel 7.7.8.

Bestemmelsen må også sees i sammenheng med virksomhetenes varslingsplikt etter § 4-6 første ledd bokstav c, jf. tredje ledd.

§ 2-6 Klage og tvisteløsning

Bestemmelsen gir nærmere anvisning på hvordan klager og tvister etter loven skal behandles.

I bestemmelsens første ledd første punktum slås det fast at vedtak som fattes med hjemmel i loven som hovedregel kan bringes inn for Tvisteorganet for forebyggende sikkerhet. Tvisteorganet er nærmere omtalt i merknaden til § 2-7. I første ledd andre punktum gjøres det for det første unntak for de vedtak som fattes med hjemmel i §§ 2-5, 9-4 eller 10-1. Felles for de opplistede vedtakshjemlene er at myndighet til å fatte vedtak er lagt til Kongen i statsråd. Disse vedtakene kan ikke påklages, men tvister kan på vanlig måte bringes inn for domstolene for overprøving. I tillegg gjøres det unntak for vedtak som nevnt i andre ledd.

I bestemmelsens andre ledd slås det fast at vedtak fattet i medhold av lovens kapittel 8 om personellsikkerhet, kan påklages til Sikkerhetsmyndigheten, og til departementet der Sikkerhetsmyndigheten er klareringsmyndighet. Dette er en videreføring av gjeldende sikkerhetslovs regulering av klagemuligheten for klareringssaker, se de særlige merknadene til lovens kapittel 8.

I bestemmelsens tredje ledd slås det fast at forvaltningslovens kapittel VI gjelder for selvstendige rettssubjekter klageadgang etter loven. Det følger av bestemmelsens første og andre ledd at klageinstansen er henholdsvis Tvisteorganet og Sikkerhetsmyndigheten. Dette er unntak fra hovedregelen i forvaltningsloven § 28 første ledd. For virksomheter som er underlagt departementenes alminnelige instruksjons- og kontrollmyndighet gjelder ikke klageadgangen.

§ 2-7 Tvisteorgan for forebyggende nasjonal sikkerhet

I bestemmelsen gis det nærmere prosedyreregler for utpeking av Tvisteorganet og for oppnevning av organets medlemmer. Tvisteorganets organisering og myndighet er nærmere omtalt i kapittel 7.7.7.

I bestemmelsens andre ledd slås det fast at det ved oppnevning av medlemmer til tvisteorganet, også skal legges vekt på kompetanse innen personvern og rettssikkerhet. Tvisteorganet er en sentral rettssikkerhetsgaranti for selvstendige rettssubjekter som blir underlagt loven ved enkeltvedtak, og det er derfor viktig at tvisteorganet består av medlemmer som besitter kompetanse som er relevant for selvstendige rettssubjekter, i tillegg til sikkerhetsfaglig kompetanse.

Av bestemmelsens fjerde ledd fremgår det at tvisteorganet skal avgi en årlig rapport. Formålet med slik rapportering er dels å gi allmennheten informasjon om Tvisteorganets virke og dels å gi relevante aktører mer konkret informasjon om praksis av betydning. Rapporteringen bør derfor innrettes slik at i hvert fall deler av innholdet er egnet for offentliggjøring.

Kapittel 3 – Tilsyn etter loven

§ 3-1 Tilsyn med virksomheter

Bestemmelsen regulerer fordeling av tilsynsansvar etter loven.

I bestemmelsens første ledd slås det fast at Sikkerhetsmyndigheten skal føre tilsyn med departementenes gjennomføring av loven.

I bestemmelsens andre ledd gis ansvarlig departement myndighet til å bestemme at tilsynsfunksjonen etter loven kan ivaretas av en sektormyndighet. Med ansvarlig departement menes i denne sammenheng det departement som i medhold av § 2-1 har det overordnede ansvaret for forebyggende sikkerhet i den aktuelle samfunnssektoren. Et vilkår for at departementet kan treffe en slik beslutning er at det finnes en sektormyndighet i den aktuelle samfunnssektoren som har en tilsynsfunksjon «som omfatter beskyttelse av informasjon, informasjonssystemer, objekter eller infrastruktur». At oppregningen er alternativ, innebærer at tilsynsfunksjonen ikke trenger å omfatte alle elementer. Hvorvidt tilsynsmyndigheten skal tillegges en sektormyndighet beror på en helhetsvurdering, hvor det blant annet må tas stilling til om den aktuelle sektormyndigheten har nødvendig sikkerhetsfaglig kompetanse til å ivareta tilsynsansvaret på en forsvarlig måte.

I bestemmelsens tredje ledd slås det fast at Sikkerhetsmyndigheten skal ha tilsynsansvaret i samfunnssektorer der det ikke finnes sektormyndigheter som nevnt i andre ledd. Denne tilsynsfunksjonen er basert på samarbeidsmodellen i § 3-2.

Sikkerhetsmyndigheten skal i henhold til bestemmelsens fjerde ledd føre tilsyn med de sektormyndighetene som er tillagt tilsynsansvar i medhold av andre ledd. Tilsynsansvaret overfor sektormyndighetene må sees i sammenheng med Sikkerhetsmyndighetens sektorovergripende ansvar og ansvaret for å påse at det føres tilsyn med gjennomføringen av lovens bestemmelser, jf. § 2-2 første ledd bokstav a.

§ 3-2 Sikkerhetsmyndighetens samarbeid med sektormyndigheter

Bestemmelsen regulerer samhandlings- og koordineringsplikten mellom Sikkerhetsmyndigheten og relevante sektormyndigheter innen de ulike samfunnssektorene. Bestemmelsen må sees i sammenheng med fordeling av tilsynsansvaret etter § 3-1.

Bestemmelsens første ledd slår fast en samarbeidsplikt mellom Sikkerhetsmyndigheten, sektormyndigheter tillagt tilsynsansvar etter loven og andre relevante myndigheter som har tilsynsfunksjoner etter annet regelverk.

Bestemmelsens andre ledd slår fast et prinsipp om at gjennomføring av tilsyn, så langt det er mulig, skal samordnes og koordineres mellom Sikkerhetsmyndighet og aktuelle tilsynsmyndigheter. Dette gjelder både i forhold til tilsynsmyndigheter med oppgaver som nevnt i § 3-1 andre ledd, og for andre tilsynsmyndigheter som fører tilsyn på andre områder. Formålet med bestemmelsen er å etablere en koordineringsplikt mellom tilsynsorganer, slik at den totale belastningen for tilsynsobjektene ikke blir høyere enn strengt nødvendig. En slik koordinering kan skje på flere måter, enten ved at tilsyn samordnes slik at det gjennomføres felles samtidige tilsyn eller ved at det avtales hvilke tidspunkter tilsyn skal skje på, slik at tilsynsobjektene ikke blir utsatt for to ulike tilsyn over en kort tidsperiode.

Etter bestemmelsens tredje ledd skal samarbeidet mellom Sikkerhetsmyndigheten og sektormyndighet tillagt tilsynsansvar etter § 3-1, formaliseres gjennom en samarbeidsavtale. En slik samarbeidsavtale bør som minimum omhandle ansvarsfordelingen mellom partene og hvordan den konkrete samhandlingen mellom dem skal skje.

I bestemmelsens fjerde ledd gis Sikkerhetsmyndigheten myndighet til å utarbeide og vedlikeholde grunnleggende kriterier for tilsyn etter loven (bokstav a) og forestå opplæring av sektormyndighetenes tilsynspersonell (bokstav b). En forutsetning for at Sikkerhetsmyndigheten skal kunne ivareta sitt sektorovergripende ansvar etter § 2-2, er at myndigheten gis en mulighet til å påvirke hva det skal føres tilsyn med, hvordan dette skal gjøres, samt mulighet til å sikre at tilsynspersonellet har den nødvendige kompetansen. Med «grunnleggende kriterier for tilsyn etter loven» menes overordnede føringer som sikrer at lovens formål ivaretas på en forsvarlig måte, også der tilsynsansvaret er delegert til aktuelle sektormyndigheter. Sektormyndighetene vil samtidig ha adgang til å supplere disse overordnede føringene med spesifikke kriterier som er tilpasset den enkelte samfunnssektor.

Bestemmelsens femte ledd første punktum regulerer Sikkerhetsmyndighetens adgang til å delta i forberedelse og gjennomføring av sektormyndighetenes tilsyn. Sikkerhetsmyndighetens rett til å delta er dels begrunnet i det sektorovergripende ansvaret, og dels Sikkerhetsmyndighetens behov for innsikt i den enkelte samfunnssektor. Gjennom deltakelse på tilsyn vil Sikkerhetsmyndigheten både kunne kvalitetssikre at tilsyn skjer på en sikkerhetsmessig forsvarlig måte og kunne bidra med sin sikkerhetsfaglige kompetanse. Etter femte ledd andre punktum kan sektormyndigheten anmode Sikkerhetsmyndigheten om bistand til forberedelser og/eller gjennomføring av tilsyn. Samhandlingen mellom Sikkerhetsmyndigheten og sektormyndighetene, herunder eventuell deltakelse på tilsyn, bør fortrinnsvis reguleres i samarbeidsavtalen mellom partene, jf. bestemmelsens tredje ledd. Sikkerhetsmyndighetens adgang til å kreve å delta, vil således fungere som en sikkerhetsventil for de tilfeller der det ut fra sikkerhetsfaglige hensyn anses nødvendig.

Bestemmelsen sjette ledd regulerer sektormyndighetenes rapporteringsplikt til Sikkerhetsmyndigheten. Formålet med rapporteringsplikten er å sikre at Sikkerhetsmyndigheten får tilgang til nødvendig informasjon for å kunne ivareta sitt sektorovergripende ansvar. Noen tilsynsaktiviteter vil være løpende, andre periodiske og atter andre hendelsesbaserte. I tillegg vil det kunne være tale om både stedlige tilsyn og dokumentbaserte tilsyn, muligens også maskinelt baserte tilsyn (testing). Det vil ikke foreligge noen rapporteringsplikt i alle slike tilfeller, derav henvisningen til at plikten er begrenset til rapportering av hovedfunn. De nærmere reglene for hvilke typer tilsynsaktiviteter som skal rapporteres bør konkretiseres på forskriftsnivå, jf. bestemmelsens sjuende ledd.

§ 3-3 Generelle prinsipper for tilsyn

Bestemmelsen angir de generelle prinsippene for gjennomføring av tilsyn etter loven. Bestemmelsen gjelder både for Sikkerhetsmyndigheten og for sektormyndigheter tillagt tilsynsansvar etter loven.

I bestemmelsens første ledd slås det fast at tilsyn etter loven skal skje på en slik måte at det virker minst mulig forstyrrende på daglig drift. Tilsyn kan være en belastning for de virksomheter som utsettes for dette, både ved at det er ressurskrevende for tilsynsobjektene å forberede tilsyn og ved at stedlig tilsyn potensielt kan medføre at den daglige drift blir redusert i den tidsperioden tilsynet pågår. En god forutgående dialog, der dette er mulig uten å undergrave formålet med tilsynet, vil i de fleste tilfeller kunne redusere unødvendig merarbeid og potensiell negativ innvirkning på daglig drift.

Bestemmelsens andre ledd angir en formålsavgrensning for bruk av opplysninger som tilsynsmyndigheten innhenter som ledd i tilsynet.

Tredje ledd er en presisering av at forvaltningslovens bestemmelser om taushetsplikt gjelder for tilsynspersonellet. I den utstrekning personellet får informasjon som er sikkerhetsgradert etter sikkerhetsloven, vil personellet også ha taushetsplikt om slik informasjon, jf. § 5-3 andre ledd.

§ 3-4 Stedlig tilsyn

Gjennomføring av stedlige tilsyn forutsetter at tilsynsmyndigheten får tilgang til tilsynsobjektet, enten det er informasjon, objekt eller infrastruktur.

Bestemmelsens første ledd fastslår at tilsynsmyndigheten kan kreve å få tilgang der dette er nødvendig for en forsvarlig gjennomføring av tilsynet.

Bestemmelsens andre ledd slår fast at tilsyn som hovedregel skal varsles skriftlig. Med normalt varsles tas det forbehold om at forutgående varsel i enkelte tilfeller ikke vil være mulig eller ønskelig, da dette vil kunne undergrave formålet med tilsynet.

§ 3-5 Tilsynsmyndighetens behandling av personopplysninger

Bestemmelsen inneholder særlige bestemmelser om tilsynsmyndighetens behandling av personopplysninger. Bestemmelsen i § 4-7 om personopplysningsvern gjelder generelt for all behandling av personopplysninger etter loven.

Som ledd i tilsynsvirksomheten vil tilsynsmyndigheten kunne få tilgang til personopplysninger, enten fordi det er behov for å behandle slike opplysninger eller som overskuddsinformasjon sammen med annen informasjon som er relevant for gjennomføring av tilsyn.

Bestemmelsens første ledd etablerer et generelt hjemmelsgrunnlag for behandling av personopplysninger der dette er nødvendig for å utføre tilsynsoppgavene etter loven.

I bestemmelsens andre ledd slås det fast at tilsynsmyndighetens behandling av personopplysninger kun kan skje der dette etter konkret vurdering fremstår som nødvendig og proporsjonalt i forhold til det inngrepet behandlingen representerer. Bestemmelsen er en lovfesting av nødvendighets- og proporsjonalitetsprinsippet.

I tredje ledd gis det nærmere prosedyreregler for tilsynsmyndighetenes behandling av personopplysninger. Som hovedregel skal personopplysninger kun behandles ved hjelp av virksomhetens egne informasjonssystemer. Tilsynsmyndigheten kan kun kreve kopi av personopplysninger i den utstrekning dette er nødvendig for å påvise eller avkrefte lovbrudd. Dersom det tas slik kopi av personopplysninger plikter tilsynsmyndigheten å varsle virksomheten om at dette er gjort.

§ 3-6 Pålegg

Bestemmelsen regulerer vilkårene for at det skal kunne ilegges pålegg etter loven, samt hvordan påleggsmyndigheten er fordelt.

I bestemmelsens første ledd slås det fast at to vilkår må være oppfylt for at det skal kunne ilegges pålegg etter loven. For det første må det være «utvilsomt at tiltaket er nødvendig» for å ivareta lovens formål. Med dette menes at den sikkerhetsmessige effekten ved pålegg om å iverksette sikkerhetstiltak må kunne dokumenteres med høy grad av sannsynlighet. For det andre må de kostnadene som påføres virksomheten som følge av pålegget «stå i et rimelig forhold til det som kan oppnås». Med dette menes at det må foretas en konkret vurdering av om nytten som kan oppnås for samfunnet, står i et rimelig forhold til de kostnadene pålegget fører med seg. Dette slik at sikkerhetstiltakene som pålegges ikke antas å bli uforholdsmessig kostbare for den enkelte virksomhet. Vilkåret må sees i sammenheng med § 4-1 andre ledd.

Bestemmelsens andre ledd fordeler påleggsmyndigheten mellom Sikkerhetsmyndigheten og relevante sektormyndigheter, hvor påleggsmyndigheten tilligger den aktøren som er tillagt tilsynsansvaret i medhold av § 3-1.

I medhold av bestemmelsen tredje ledd er Sikkerhetsmyndigheten gitt myndighet til å ilegge sektormyndigheter pålegg. Et vilkår for å kunne ilegge slike pålegg er at det vurderes som nødvendige å sikre at lovens formål ivaretas.

I bestemmelsens fjerde ledd første punktum slås det fast at pålegg kan påklages til Tvisteorganet. Dette gjelder også når Sikkerhetsmyndigheten har gitt pålegg til en sektormyndighet. For selvstendige rettssubjekter gjelder forvaltningsloven kapittel VI, jf. fjerde ledd andre punktum.

Kapittel 4 – Generelle krav til forebyggende sikkerhet

§ 4-1 Plikt til å gjennomføre sikkerhetstiltak

Bestemmelsen regulerer de generelle pliktene til å gjennomføre sikkerhetstiltak for virksomheter som er underlagt loven ved enkeltvedtak, jf. §§ 2-1 første ledd bokstav c og 2-2 første ledd bokstav e.

Bestemmelsens første ledd understreker at forebyggende risikoreduserende tiltak mot tilsiktede uønskede hendelser omfatter både tiltak som reduserer sannsynligheten for at hendelsen inntreffer (bokstav a) og tiltak som reduserer konsekvensene av hendelsen ved å redusere skadeomfanget (bokstav b). Nødvendig reduksjon av risiko oppnås ved å vurdere og iverksette enkeltstående tiltak eller kombinasjoner av flere typer tiltak. Kombinasjoner av tiltak vil ofte være aktuelt. Tiltak kan være av en art som direkte reduserer sannsynligheten for at hendelser rammer et spesifikt objekt eller en infrastruktur. Eksempler på dette er ulike former for barrierer, systemer for tidlig deteksjon av uønskede hendelser, verifikasjonssystemer og ulike former for reaksjon for å stoppe eller redusere omfanget av slike hendelser. Reduksjon av risiko kan også bestå av tiltak som reduserer skadevirkningene dersom en hendelse inntreffer. Dette kan enten være tiltak som baseres på økt redundans eller økt resiliens, eller kombinasjon av slike tiltak. Høy redundans innebærer at det er flere enheter eller delsystemer som bidrar til å opprettholde funksjonen. Dersom noen av enhetene eller delsystemene mister sin funksjon vil de øvrige kunne fylle funksjonen til den eller de som er falt ut, og dermed forhindre alvorlige konsekvenser. Høy resiliens betyr at funksjonen har stor evne til å raskt gjenopprette normaltilstand dersom hele eller deler av funksjonen blir påvirket av en hendelse. Summen av tiltak som forhindrer at hendelser inntreffer, gir redundans og resiliens, er det som gjør et system robust.

Som grunnlag for virksomhetens sikkerhetstiltak skal virksomheten gjøre en risiko- og sårbarhetsanalyse, jf. bestemmelsen første ledd første punktum og § 4-3.

Begrepet forsvarlig sikkerhetsnivå er en rettslig standard som trekker opp de ytre rammene for hvilket handlingsrom virksomheten har når det gjelder etablering av sikkerhetstiltak. Innholdet i den rettslige standarden er nærmere omtalt i kapittel 7.7.9.

Sikkerhetstiltakene for å oppnå et forsvarlig sikkerhetsnivå skal inkludere alle tiltak for å ivareta lovens formål, herunder informasjonssikkerhet, fysisk sikkerhet og personellsikkerhet, samt andre relevante sikkerhetstiltak. Det er kombinasjonen av relevante tiltak som er avgjørende for om virksomheten kan sies å ha et forsvarlig sikkerhetsnivå, ikke de ulike tiltakene vurdert hver for seg. For enkelte virksomheter vil det være umulig, eller uforholdsmessig kostbart, å etablere sikkerhetstiltak som gjør at tilsiktede uønskede hendelser blir forhindret. Redundante systemer vil imidlertid kunne redusere risikoen for at slike hendelser får kritiske konsekvenser, slik at kravet til forsvarlig sikkerhetsnivå er oppfylt.

I bestemmelsens andre ledd slås det fast at virksomheten, ved vurderingen av hvilke sikkerhetstiltak som skal gjennomføres, skal foreta en forholdsmessighetsvurdering mellom kostnadene ved tiltakene og den sikkerhetsmessige effekten som oppnås. Slike vurderinger må imidlertid gjøres innenfor rammen av det som skal til for å oppnå et forsvarlig sikkerhetsnivå etter første ledd.

Bestemmelsens tredje ledd presiserer at de risiko- og konsekvensreduserende tiltakene som iverksettes for å motvirke tilsiktede uønskede hendelser, kan sees i sammenheng med behov for tiltak for å håndtere annen type risiko. Med dette menes i første rekke at virksomheten bør ha en helhetlig tilnærming til forebyggende sikkerhet ved operasjonaliseringen av krav som følger av sikkerhetsloven og annet regelverk som stiller krav til sikkerhet generelt eller innen en sektor. Tiltak for å forebygge tilsiktede uønskede hendelser (security) og tiltak for å forebygge mot uhell og skadelige naturhendelser (safety), bør med andre ord så langt som mulig sees i sammenheng med hverandre. Et vilkår for at slik planlegging og gjennomføring kan sees i sammenheng, er at kravene etter sikkerhetsloven oppfylles.

§ 4-2 Sikkerhetsstyring

Bestemmelsens første ledd første punktum slår fast at forebyggende sikkerhet er et ledelsesansvar. Myndigheten til å følge opp det forebyggende sikkerhetsarbeidet bør kunne delegeres, men en god forankring hos ledelsen er avgjørende for et godt og tilstrekkelig prioritert sikkerhetsarbeid.

Bestemmelsens andre ledd presiserer at virksomheten har et ansvar for opplæring av eget personell, og en påseplikt overfor underleverandører og andre oppdragstakere. Formålet med bestemmelsen er å uttrykkelig slå fast at en virksomhet ikke kan utkontraktere ansvaret for det forebyggende sikkerhetsarbeidet. Leverandører til sikkerhetsgraderte anskaffelser vil ha en selvstendig plikt til å iverksette forebyggende sikkerhetstiltak, jf. § 1-3 fjerde ledd og loven kapittel 9.

§ 4-3 Risiko- og sårbarhetsanalyse

Bestemmelsens første ledd regulerer virksomhetens plikt til å gjennomføre en risiko- og sårbarhetsanalyse (ROS-analyse) som grunnlag for virksomhetens forebyggende sikkerhetstiltak etter loven. ROS-analysen er et godt verktøy for en systematisk kartlegging av en virksomhets risiko og sårbarhet. ROS-analysen skaper bevissthet og kunnskap om risiko- og sårbarhetsnivået og danner grunnlaget for målrettet å kunne unngå/redusere risiko og sårbarhet mot tilsiktede uønskede hendelser. Analysen gir også grunnlag for prioriteringer og en vurdering av hvilke tiltak som bør iverksettes.

ROS-analysen danner med andre ord fundamentet for virksomhetens gjennomføring av sikkerhetstiltak og sikkerhetsstyring for øvrig. En forutsetning for å kunne gjøre en tilfredsstillende ROS-analyse er at de ulike virksomhetene blir satt i stand til å forstå hvilket trusselbilde som til enhver tid er gjeldende. Bestemmelsen må således sees i sammenheng med Sikkerhetsmyndighetens plikt til aktiv rådgivning og veiledning, jf. § 2-2 første ledd bokstav b og Sikkerhetsmyndighetens plikt til å tilrettelegge og koordinere tilgjengeliggjøring av trusselinformasjon og annen sikkerhetsrelevant informasjon, jf. § 2-3.

I bestemmelsens andre ledd pålegges virksomheten å gjennomgå, og om nødvendig revidere, ROS-analysen på jevnlig basis. Arbeidet med ROS-analysen skal være en dynamisk prosess, som skal ta høyde for endringer i gjeldende trusselsituasjon, virksomhetens sårbarheter eller andre sikkerhetsrelevante endringer. Når, og hvor ofte, en virksomhet må gjennomgå ROS-analysen vil i stor grad være situasjonsbetinget.

Sikkerhetsmyndigheten, eller den sektormyndighet som er gitt tilsynsansvar etter loven, plikter etter bestemmelsens tredje ledd, å bistå virksomheten med råd og veiledning dersom det anmodes om dette, jf. også § 2-2 første ledd bokstav b. Som hovedregel vil plikten til å gi råd og veiledning etter bestemmelsen følge fordelingen av tilsynsansvaret etter § 3-1. Det vil imidlertid kunne være forhold som gjør at ansvarsfordeling bør eller må være annerledes. For enkelte sektormyndigheter vil eksempelvis EØS-rettslige forpliktelser sette begrensninger for hvor langt sektormyndigheten kan gå i forhold til konkret rådgivning overfor virksomheter i egen sektor. Hvorvidt det er Sikkerhetsmyndigheten eller aktuelle sektormyndigheter som skal bistå virksomheten i slike situasjoner, bør fastlegges i samarbeidsavtalen mellom dem, jf. § 3-2 tredje ledd.

§ 4-4 Krav til dokumentasjon

Bestemmelsen regulerer virksomhetens plikt til å dokumentere det forebyggende sikkerhetsarbeidet. Formålet med bestemmelsen er å legge til rette for at tilsyn med virksomhetene etter loven kapittel 3 kan gjennomføres på en effektiv og hensiktsmessig måte.

I bestemmelsens første ledd bokstav a pålegges virksomheten å dokumentere at risiko- og sårbarhetsanalyse, jf. § 4-3, er gjennomført. I henhold til bestemmelsens første ledd bokstav b skal virksomheten også dokumentere at nødvendige tiltak er iverksatt med sikte på å redusere sannsynligheten for, og konsekvensene av, tilsiktede uønskede hendelser. Omfanget av dokumentasjon som er nødvendig for å ivareta formålet med bestemmelsen, bør fastsettes i forskrift, jf. bestemmelsens andre ledd.

Virksomhetens dokumentasjon etter bokstav a og b, vil være sensitiv og sannsynligvis sikkerhetsgradert informasjon, og må behandles deretter både av virksomheten selv og av tilsynsmyndighetene, jf. loven kapittel 5.

§ 4-5 Øvelser

Bestemmelsen regulere virksomhetenes plikt til å gjennomføre øvelser etter loven.

I første ledd slås det fast at slike øvelser skal gjennomføres regelmessig. Med regelmessig menes at øvelser skal gjennomføres med en slik frekvens at formålet med bestemmelsen ivaretas. Formålet med å gjennomføre øvelser er dels å teste om etablerte sikkerhetstiltak fungerer etter hensikten. Dels er formålet å vedlikeholde og videreutvikle kompetansen til virksomhetens personell i håndteringen av tilsiktede uønskede hendelser mot virksomheten. Evaluering etter gjennomført øvelse skal gi et grunnlag for å vurdere behovet for å gjøre nødvendige endringer i virksomhetenes sikkerhetstiltak, og for å vurdere behovet for å styrke personellets kompetanse.

§ 4-6 Varsling

Bestemmelsen regulerer virksomhetenes varslingsplikt til tilsynsmyndighetene. En forutsetning for at myndighetene skal kunne ha oversikt over sikkerhetstilstanden i de ulike samfunnssektorene, og om nødvendig iverksette tiltak for å redusere risikoen, er at myndighetene får rettidig og tilstrekkelig informasjon om hendelser av betydning. Formålet med bestemmelsen er å legge til rette for at myndighetene kan ivareta sitt overordnede ansvar.

I bestemmelsens første ledd slås det fast at virksomhetene plikter å varsle tilsynsmyndighetene omgående i fire tilfeller. Med omgående menes i denne sammenheng at virksomhetene skal sende varsel så raskt det lar seg gjøre.

Første ledd bokstav a regulerer de tilfeller der det er klarlagt at en tilsiktet uønsket hendelse faktisk er gjennomført. Et første vilkår for at varslingsplikten skal inntre er at den aktuelle hendelsen er rettet mot den aktuelle virksomheten. I tillegg er det et vilkår at hendelsen kan ha betydning for virksomhetens «evne til å ivareta sine oppgaver knyttet til grunnleggende nasjonale funksjoner». Det vil således kun være de hendelsene som kan få negativ innvirkning på virksomhetens evne til å understøtte de aktuelle funksjonene, som det skal varsles om.

Etter første ledd bokstav b inntrer varslingsplikten også der det er en begrunnet mistanke om at hendelser som nevnt i bokstav a, er gjennomført eller planlagt. I begrepet begrunnet mistanke ligger et krav om at det må være en viss grad av sannsynlighet før varslingsplikten inntrer. Der det foreligger en mistanke om at en slik hendelse er planlagt, vil virksomheten uansett ha en egeninteresse i å varsle myndighetene slik at nødvendige tiltak for å avverge hendelsen kan iverksettes.

Første ledd bokstav c regulerer varslingsplikten for de situasjonene som kan utløse Kongen i statsråds vedtaksmyndighet etter § 2-5. For en nærmere omtale av hvilke situasjoner bestemmelsen tar sikte på å regulere vises det til merknaden til § 2-5, samt den nærmere omtalen i kapittel 7.2.3 og 7.7.8.

I første ledd bokstav d pålegges virksomhetene en varslingsplikt der det har skjedd brudd på krav til sikkerhet i loven kapittel 5, 6 eller 7, med tilhørende forskrifter. Varslingsplikten inntrer uavhengig av årsaken til at sikkerhetsbruddet har skjedd.

I bestemmelsens andre ledd slås det fast at virksomhetens varsel etter første ledd skal sendes både til sektormyndigheter som er tillagt tilsynsansvar, jf. § 3-1, og til Sikkerhetsmyndigheten. For at Sikkerhetsmyndigheten skal kunne ivareta sitt sektorovergripende ansvar, er det nødvendig at denne har en tilstrekkelig informasjonstilgang om relevante hendelser også i samfunnssektorer der den ikke har et direkte tilsynsansvar. Ved at Sikkerhetsmyndigheten får tilgang til varsel fra alle samfunnssektorer, vil denne også ha muligheten til å kartlegge og holde oversikt over trusler som rammer flere samfunnssektorer parallelt, samt gi nødvendig råd, veiledning og tidlig varsling til samfunnssektorer som enda ikke er berørt av de aktuelle truslene. Det vil imidlertid være sektormyndighetene med tilsynsansvar etter § 3-1 som har det primære ansvaret for å følge opp de varsler som kommer fra virksomheter i egen sektor.

Etter bestemmelsens tredje ledd skal tilsynsmyndighetene som mottar varsel etter første ledd bokstav c, uten ugrunnet opphold videresende slike varsel til ansvarlig departement for vurdering av enkeltvedtak etter § 2-5. Hva som ligger i uten ugrunnet opphold må avgjøres konkret. Et varsel etter første ledd bokstav c, skal videresendes så snart som mulig etter at tilsynsmyndigheten har tilstrekkelig informasjon om saken. Det kan tenkes situasjoner der tilsynsmyndigheten har behov for ytterligere informasjon fra virksomheten, før de har et tilstrekkelig informasjonsgrunnlag til å formidle videre.

I bestemmelsens fjerde ledd slås det fast at varslingsplikten skal etterleves, selv om dette innebærer videreformidling av opplysninger som i utgangspunktet er omfattet av lovbestemt taushetsplikt. Sett hen til de funksjoner og interesser loven tar sikte på å beskytte, er det avgjørende at taushetsplikt etter annet regelverk ikke er til hinder for varsling om slike tilsiktede uønskede hendelser.

§ 4-7 Behandling av personopplysninger

Bestemmelsen slår fast at behandling av personopplysninger som ledd i forebyggende sikkerhetsarbeid, skal skje i samsvar med prinsippene i personvernforordningen art. 5, med de unntak som følger av forordningen art. 23. Bestemmelsen gjelder for all behandling av personopplysninger, slik dette er definert i art. 4 (1) og (2) i nevnte forordning. Bestemmelsen forutsetter at de som er ansvarlige for behandling av personopplysninger (behandlingsansvarlig), jf. art. 4 (7), som ledd i etterlevelse av loven setter seg inn i og bruker nevnte bestemmelser aktivt.

For en nærmere omtale av personvernforordningen vises det til kapittel 5.3.2.

Kapittel 5 – Informasjonssikkerhet

§ 5-1 Sikkerhetsgradert informasjon

Bestemmelsen er i stor grad en videreføring av tidligere lov § 11. Den grunnleggende systematikken med skadevurdering, sikkerhetsgradering og merking er den samme.

Første ledd fastslår hvem som har plikt til å foreta skadevurdering, sikkerhetsgradering og merking av informasjon.

Skadevurderingen, som angis i bestemmelsen bokstav a til d, er bestemmende for hvilken informasjon som skal sikkerhetsgraderes og dermed beskyttes etter loven.

Innholdet i begrepet informasjon videreføres, slik dette er definert i dagens sikkerhets lov § 3 første ledd nr. 3, og nærmere forklart i forarbeidene.1

Begrepet informasjon skal forstås vidt. Måten informasjonen er tilvirket på og hvilken form informasjonen har er ikke relevante momenter i vurderingen av om noe er informasjon. Begrepet omfatter for eksempel informasjon i form av fysiske dokumenter, digitale og maskinlesbare signaler, film, lydopptak og muntlige opplysninger. I vurderingen av om noe skal anses som informasjon skal det legges vekt på om det er egnet til å tilføre en trusselaktør kunnskap som denne direkte eller indirekte kan benytte til å skade grunnleggende nasjonale funksjoner.

Plikten til å merke sikkerhetsgradert informasjon gjelder ikke der merking i praksis er umulig. Det gjelder for eksempel for informasjon som ikke har en fysisk tilstand, slik som muntlige opplysninger. Merkingsplikt inntrer imidlertid for den som bringer informasjonen over i et format der merking er mulig.

Ordlyden i bestemmelsen skiller seg noe fra tidligere lov. Endringen innebærer at man ved skadevurderingen må ta hensyn til skadepotensialet for hele lovens virkeområde, se nærmere i merknad til § 1-2. Tidligere lov nevnte eksplisitt hensynene til vitale sikkerhetsinteresser og alliertes sikkerhet. Slike hensyn er fortsatt relevante, jf. § 1-2.

Tema for skadevurderingen og dermed om informasjonen skal sikkerhetsgraderes, er i hvilken grad en trusselaktør, dersom denne blir kjent med informasjonen, kan påføre grunnleggende nasjonale funksjoner skade. Vurderingen vil være bestemmende for i hvilken grad informasjonens konfidensialitet må beskyttes. Er konklusjonen at konfidensialitetsbrudd ikke i noen grad kan få skadefølger, jf. bokstav d, for grunnleggende nasjonale funksjoner, skal informasjonen ikke sikkerhetsgraderes. Informasjonen skal dermed heller ikke beskyttes etter bestemmelsene i sikkerhetsloven kapittel 5. Dette utelukker ikke at informasjonen ikke skal beskyttes etter andre regler, for eksempel personopplysningsloven eller beredskapsforskriften.

Innholdet i og forholdet mellom de ulike sikkerhetsgradene for øvrig videreføres, herunder tilknytningen til NATO-systemet. Forarbeidene til tidligere lov er fortsatt relevante. Endringen fra skade i tidligere lov bokstav b og c til skadefølge i ny lov, er kun en språklig justering som ikke innebærer realitetsendring. Det samme gjelder endringen i bokstav d) fra medføre i tidligere lov til få i ny lov. Se også kapittel 8.2.1 som beskriver nærmere området for BEGRENSET.

Sondringen mellom skjermingsverdig og sikkerhetsgradert informasjon videreføres ikke.

Sikkerhetshensyn skal være styrende for nødvendighetsvurderingen etter andre ledd første punktum. Bestemmelsen skal sikre at det faktisk foretas en grundig vurdering av beskyttelsesbehovet og at andre relevante hensyn, slik som offentlighetsprinsippet, tas i betraktning.

Fjerde ledd er en videreføring av gjeldende rett.

Se for øvrig kapittel 8.5.1, 8.6.1 og 8.6.2.

§ 5-2 Beskyttelse av sikkerhetsgradert informasjon

Bestemmelsen fastsetter en beskyttelsesplikt for den virksomhet som rår over informasjonen. Denne plikten er noe annet og mer enn det som følger av § 5-4 om taushetsplikt, som retter seg mot enkeltpersoner med tilgang til informasjonen.

Bestemmelsen gjelder kun for sikkerhetsgradert informasjon, jf. § 5-1. Sikkerhetstiltakene skal ivareta både konfidensialiteten (bokstav a), integriteten (bokstav b) og tilgjengeligheten (bokstav c) til informasjonen. En konkret helhetsvurdering av behovet for beskyttelse av det enkelte element, må ligge til grunn for å kunne iverksette passende sikkerhetstiltak.

Nødvendighetsvurderingen vil i stor grad avhenge av de nærmere bestemmelser om beskyttelse som blir fastsatt i forskrift. NATO-reglene setter minstekrav for beskyttelse av informasjon innen de enkelte sikkerhetsgradene, som vil måtte være felles for alle som behandler sikkerhetsgradert informasjon. Utover dette er det opp til Kongen å avgjøre om og eventuelt i hvilken utstrekning sikkerhetskravene skal gjelde nasjonalt og tverrsektorielt. Se nærmere om dette i kapittel 7.7.10.

Ivaretakelse av tilgjengelighet skal i første rekke vurderes opp mot virksomhetens eget behov. Bestemmelsen må imidlertid ses i sammenheng med lovens system for øvrig og samfunnssikkerhetsprinsippet om samvirke. Det følger av dette en plikt til å vurdere om andre virksomheter har behov for den informasjonen som virksomheten besitter – også kalt responsibility to share.

§ 5-3 Tilgang til og taushetsplikt for sikkerhetsgradert informasjon

Første ledd fastsetter uttømmende og absolutte vilkår for å kunne overlate sikkerhetsgradert informasjon til en annen. Nærmere om autorisasjon følger av § 8-1.

Etter andre ledd plikter man å opprettholde taushet når det gjelder sikkerhetsgradert informasjon i alle andre tilfeller enn det som følger av første ledd. Den som skal overlate sikkerhetsgraderte informasjon til en annen må forvisse seg om at vilkårene er oppfylt.

«Enhver som får tilgang til» i andre ledd omfatter også den som har utstedt eller på annen måte tilvirket informasjonen. Oppregningen «arbeid, oppdrag, verv eller aktivitet» skal omfatte alle relasjoner til virksomheten som i noen grad er formalisert, der noen gjør noe på vegne av virksomheten.

Bestemmelsen er en videreføring av gjeldende rett og forarbeidene til tidligere lov er relevante. Endringene innebærer ikke realitetsforskjell fra tidligere sikkerhetslov.

§ 5-4 Tekniske sikkerhetsundersøkelser

Bestemmelsen er en videreføring av gjeldende rett. Begrepet avtitting er erstattet med innsyn, uten at det er ment å utgjøre en realitetsforskjell.

Kapittel 6 – Informasjonssystemsikkerhet

Kapittel 6 inneholder regler om hvilke informasjonssystemer som skal beskyttes etter loven, hvem som har ansvar for beskyttelsen og hvilke sikkerhetstiltak som kan og hvilke som skal iverksettes. Det legges også enkelte føringer for gjennomføringen av sikkerhetstiltakene. Loven regulerer kun forhold som er felles for alle skjermingsverdige informasjonssystemer. Forskriftshjemlene åpner for at Kongen kan gi både sektor- og systemtilpassede bestemmelser.

Mens informasjonssikkerhet handler om å beskytte den verdien som informasjonen representerer, handler informasjonssystemsikkerhet om å beskytte den funksjonen eller oppgaven som systemet skal ivareta. For å oppnå et forsvarlig nivå for informasjonssystemsikkerheten må også verdien av informasjonen som behandles i systemet vurderes.

§ 6-1 Skjermingsverdige informasjonssystemer

Bestemmelsen innfører begrepet skjermingsverdige informasjonssystemer som en samlebetegnelse for alle informasjonssystemer som omfattes av og skal beskyttes etter sikkerhetsloven.

Med begrepet informasjonssystem menes systemer som anvendes for å løse en oppgave eller utføre en funksjon i en organisasjon. Det omfatter menneskelige, organisatoriske og tekniske ressurser, metoder og teknikker.2

Informasjonssystem skal i sikkerhetsloven forstand forstås vidt. Begrepet omfatter både manuelle og digitale informasjonssystemer, og favner alt fra saksbehandlingssystemer, kontorstøttesystemer og rene kommunikasjonssystemer til kontroll- og styringssystemer.3

Bokstav a gjelder alle informasjonssystemer som, hvis de slutter å fungere eller får redusert funksjonalitet, har en negativ innvirkning på virksomhetens evne til å levere sine kritiske tjenester eller funksjoner. Avgjørende for om et system skal beskyttes etter loven er hvilken rolle systemet har ved virksomhetens produksjon av tjenester som er av kritisk betydning for grunnleggende nasjonale funksjoner. Hvilke typer oppgaver systemet utfører er også relevant, men ikke avgjørende.

Bokstav b omfatter informasjonssystemer som behandler sikkerhetsgradert informasjon. Dermed videreføres beskyttelsen av de systemer som per i dag kalles godkjente informasjonssystemer. Selve begrepet videreføres ikke.

Med begrepet behandler menes alle former for behandling av informasjon i et informasjonssystem, herunder transport, lagring og prosessering.

Ett system kan falle inn under både bokstav a og b. Se kapittel 8.5.2, 8.6.1 og 8.6.2 for nærmere omtale av skjermingsverdige informasjonssystemer.

§ 6-2 Beskyttelse av skjermingsverdige informasjonssystemer

Bestemmelsen fastsetter en plikt for virksomheten til å beskytte virksomhetens skjermingsverdige informasjonssystemer. Virksomhetens ROS-analyse, jf. § 4-3, vil danne grunnlaget for å angi hvilke informasjonssystemer som skal beskyttes etter sikkerhetsloven.

Virksomheten plikter å oppnå et forsvarlig sikkerhetsnivå for informasjonssystemene. Bokstav a og b konkretiserer hva som ligger i begrepet ved å angi hovedmålene for sikkerhetstiltakene. Ivaretakelse av a og b må ses i sammenheng. Eksempelvis er det ikke tilstrekkelig å bare se på graderingsnivået for et sikkerhetsgradert informasjonssystem, se kapittel 8.6.2. ROS-analysen vil danne grunnlaget for iverksettelse av de sikkerhetstiltak som er mest hensiktsmessige for det enkelte system. Det vil kunne variere fra system til system hva som skal til for å oppnå et forsvarlig sikkerhetsnivå.

§ 6-3 Godkjenning av skjermingsverdige informasjonssystemer

Bestemmelsen fastsetter at alle skjermingsverdige informasjonssystemer, jf. § 6-1, må sikkerhetsgodkjennes. For informasjonssystemer, jf. § 6-1 bokstav a setter loven ikke krav om forhåndsgodkjenning.

For informasjonssystemer som skal behandle sikkerhetsgradert informasjon, jf. § 6-1 b, videreføres gjeldende rett. Slike systemer må godkjennes før de kan behandle sikkerhetsgradert informasjon.

Forskriftshjemmelen i tredje ledd åpner for å etablere flere ulike godkjenningsprosesser og godkjenningsmyndigheter.

§ 6-4 Overvåking av skjermingsverdige informasjonssystemer

Sikkerhetsmessig overvåkning kan innebære mange former for sikkerhetstiltak. Særlig aktuelle tiltak er logging av aktivitet i systemet, automatiserte alarmer og manuell sammenstilling og analyse av innhentet data.

Som redegjort for i kapittel 8.6.4 er bestemmelsen i hovedsak en videreføring av gjeldende sikkerhetslov § 13a.

Første ledd oppstiller en plikt for virksomheten til å foreta sikkerhetsmessig overvåkning av virksomhetens skjermingsverdige informasjonssystemer, jf. § 6-1. Første ledd fastsetter dessuten formålet med overvåkningen. Med begrepene forebygge og håndtere menes sikkerhetstiltak som omfatter hele livssyklusen til en tilsiktet uønsket hendelse, herunder evne til å oppdage (detektere) og gjenopprette sikker tilstand etter hendelsen. Med tilsiktet uønsket hendelse menes forsøk på eller faktisk kompromittering av systemet. Bestemmelsens siste punktum erstatter gjeldende lov § 13a sikkerhetsrelevante hendelser uten at det innebærer en realitetsendring.

Andre ledd gir dels en hjemmel og dels en plikt til lagring, registrering og analyse av ulike former for utveksling av informasjon.

For at ikke tiltaket skal bli uforholdsmessig byrdefullt må omfanget av overvåkningen, herunder lagring og registrering, forankres i en nærmere vurdering av det enkelte systems særegenheter. Etter at behovet er kartlagt, trer plikten inn til å overvåke systemet i det omfang det er nødvendig for å oppnå formålet med tiltaket. For nærmere omtale av andre ledd, se kapittel 8.6.4.

Ved overvåkning av systemer som behandler personopplysninger må andre og tredje ledd ses i sammenheng. Tredje ledd stiller ytterligere krav til at virksomheten foretar grundige vurderinger før tiltaket iverksettes.

For det første stilles det strengere krav til vurderingen av formålsmessighet enn det som følger av andre ledd. Videre må virksomheten i hvert enkelt tilfelle foreta en forholdsmessighetsvurdering der behovet for overvåkning ses i sammenheng med eventuelle personvernulemper av behovet for overvåkning. Omfanget av overvåkningen må være begrunnet og nødvendig. Virksomheten må dessuten – der det er valgmuligheter – velge den metoden som er minst inngripende for personvernet til brukerne av systemet. I noen tilfeller kan for eksempel automatisert overvåkning med et innhold som er utilgjengelig for mennesker være mindre inngripende enn manuell overvåkning.

Etter fjerde ledd gis det hjemmel for å lagre informasjon som er resultat av overvåkningen i inntil 5 år. Loven setter ikke begrensninger for bruken av informasjon som ikke er personopplysninger.

Femte ledd er med ett unntak en videreføring av gjeldende sikkerhetslov § 13a tredje ledd. § 6-4 femte ledd inneholder også et andre punktum, der det ilegges en plikt for den som overvåker til å beskytte den informasjonen som blir kjent gjennom overvåkningsavtalen.

Sjette ledd er en videreføring av gjeldende sikkerhetslov § 13a femte ledd. Her pålegges virksomheten en informasjonsplikt i samsvar med personopplysningsloven § 19.

Sjuende ledd er en videreføring av gjeldende sikkerhetslov § 13a sjette ledd, men med noen presiseringer.

§ 6-5 Kommunikasjons- og innholdskontroll av informasjonssystemer

Bestemmelsen er i all hovedsak en videreføring av gjeldende sikkerhetslov § 15 om monitoring.

Bestemmelsen pålegger ingen plikt for virksomheten til å få gjennomført denne type kontroll. Ordningen skal kun være et supplement til øvrige relevante sikkerhetstiltak, og et tilbud til de virksomheter som ser behov for slik kontroll av sine informasjonssystemer, jf. første ledd.

Andre ledd setter rammene for hvilke metoder som kan inngå i kontrollen. Både avlytting og avlesing av informasjon tillates.

Bestemmelsen viderefører forbudet mot å kontrollere privat kommunikasjon og kommunikasjon med virksomheter som ikke omfattes av sikkerhetsloven, jf. fjerde ledd. Kontroll av kommunikasjon mellom skjermingsverdige informasjonssystemer i ulike virksomheter som er omfattet av sikkerhetsloven er tillatt.

Tredje ledd skal sikre at virksomhetens ledelse kan foreta en grundig vurdering av behovet for kontrollen. I vurderingen må det tas hensyn både til sikkerhet og personvern.

Sjette ledd begrenser Sikkerhetsmyndighetens behandling av informasjon som den blir kjent med gjennom kontrollen.

Se for øvrig kapittel 8.6.4

§ 6-6 Inntrengningstesting av skjermingsverdige informasjonssystemer

Bestemmelsen er i all hovedsak en videreføring av gjeldende sikkerhetslov § 15 om inntrengningstesting.

Virksomheten plikter ikke å få gjennomført inntrengningstesting. Ordningen skal være et tilbud til virksomheter som er omfattet av sikkerhetsloven. Det er opp til den enkelte virksomhet å vurdere behovet for tiltaket.

Virksomhetens orienteringsplikt etter første ledd andre punktum er generelt utformet og innebærer at det er tilstrekkelig at de ansatte er klar over at slike kontroller tidvis kan forekomme.

Det følger av andre ledd en plikt til både å gjennomføre en vurdering av formålsmessigheten og av forholdsmessigheten av sikkerhetstiltaket i de tilfeller testingen gjelder informasjonssystemer som behandler personopplysninger.

Tredje ledd er en videreføring av gjeldende § 15 tredje ledd, men inneholder også en presisering av hva informasjonen som kontrollinstansen blir kjent med, kan brukes til.

Bestemmelsens fjerde ledd skal sikre at de erfaringer Sikkerhetsmyndigheten gjør seg gjennom kontrollen blir dokumentert og videreført.

Femte ledd tilsvarer deler av dagens § 11-8 i informasjonssikkerhetsforskriften. Rapporteringen må ses i sammenheng med Sikkerhetsmyndighetens plikter, jf. § 2-2. Hovedformålet er å forbedre virksomhetens sikkerhet.

Forskriftsmyndigheten i sjette ledd fastslår at andre enn Sikkerhetsmyndigheten kan gjennomføre inntrengningstesting.

Se for øvrig kapittel 8.6.4

Kapittel 7 – Objekt- og infrastruktursikkerhet

§ 7-1 Skjermingsverdige objekter og infrastruktur

Bestemmelsen regulerer departementenes, og Sikkerhetsmyndighetens, ansvar og myndighet til å utpeke, klassifisere og holde oversikt over skjermingsverdige objekter og infrastruktur. Begrepene skjermingsverdig objekt og skjermingsverdig infrastruktur er nærmere omtalt i kapittel 9.5.1.

Bestemmelsen må sees i forlengelsen av departementenes, og Sikkerhetsmyndighetens, myndighet til å treffe enkeltvedtak etter § 2-1 første ledd bokstav c og § 2-2 første ledd bokstav e.

Etter bestemmelsens første ledd gis departementene myndighet til å utpeke og klassifisere skjermingsverdige objekter og infrastruktur innen eget myndighetsområde. Hva gjelder skjermingsverdige objekter, er dette en videreføring av departementenes myndighet etter gjeldende sikkerhetslov kapittel 5. Departementene pålegges også en plikt til å holde oversikt over slike objekter og slik infrastruktur. Plikten må sees i sammenheng med departementenes overordnede ansvar for forebyggende sikkerhet i egen sektor, jf. § 2-1 første ledd.

I bestemmelsens andre ledd gis Sikkerhetsmyndigheten tilsvarende myndighet og plikt overfor objekter og infrastruktur som ikke ligger innenfor et departements myndighetsområde, se også merknad til § 2-2 første ledd bokstav e.

Etter tredje ledd har virksomheter som råder over objekter eller infrastruktur som blir utpekt og klassifisert, de samme rettigheter til forutgående varsling og klage, som for enkeltvedtak etter §§ 2-1 og 2-2, se merknad til disse bestemmelsene.

Fjerde ledd korresponderer med Sikkerhetsmyndighetens forslags- og klagerett etter § 2-1 fjerde ledd, se merknad til denne bestemmelsen.

§ 7-2 Klassifisering

Bestemmelsen regulerer hvordan skjermingsverdige objekter og infrastruktur skal klassifiseres. Myndighet til å klassifisere objekter og infrastruktur tilligger ansvarlig departement eller Sikkerhetsmyndighet, jf. § 7-1 første og andre ledd. Formålet med klassifisering av objekter og infrastruktur er dels at det er styrende for hvilke sikkerhetstiltak som skal iverksettes, jf. § 7-3, og dels at det gir myndighetene anledning til å kunne prioritere mellom ulike objekt eller infrastruktur avhengig av graden av kritikalitet ved redusert funksjonalitet.

Første ledd fastslår at klassifisering skal skje på bakgrunn av en skadevurdering der skadefølgene som følge av redusert funksjonalitet skal være styrende for hvilket klassifiseringsnivå objektet eller infrastrukturen skal ha. Systematikken for klassifisering etter første ledd bokstav a til c bygger i stor utstrekning på systematikken i gjeldende sikkerhetslov § 17a, med de tilpasninger som er nødvendige av hensyn til lovforslaget for øvrig.

Etter første ledd bokstav a skal MEGET KRITISK benyttes dersom redusert funksjonalitet kan få helt avgjørende skadefølger for grunnleggende nasjonale funksjoner. Med redusert funksjonalitet menes objektet eller infrastrukturens evne til å understøtte den aktuelle funksjonen. Begrepet helt avgjørende skadefølger skal forstås på samme måte som i § 5-1 første ledd bokstav a.

Etter første ledd bokstav b skal KRITISK benyttes dersom redusert funksjonalitet alvorlig kan skade grunnleggende nasjonale funksjoner. Begrepet alvorlig kan skade skal forstås på samme måte som i § 5-1 første ledd bokstav b.

Etter første ledd bokstav c skal VIKTIG benyttes dersom redusert funksjonalitet kan skade grunnleggende nasjonale funksjoner. Begrepet kan skade skal forstås på samme måte som i § 5-1 første ledd bokstav c.

Bestemmelsens andre ledd første punktum slår fast at klassifiseringen skal skje på bakgrunn av virksomhetens ROS-analyse, jf. §4-3. Som en konsekvens av dette er det nødvendig at ansvarlig departement eller Sikkerhetsmyndigheten får tilgang til virksomhetens ROS-analyse i klassifiseringsarbeidet. Departementene og Sikkerhetsmyndigheten plikter videre å begrunne klassifisering ut fra hvilke funksjoner som understøttes og konsekvensene for disse funksjonene dersom det aktuelle objektet eller infrastrukturen får redusert funksjonalitet.

I andre ledd andre punktum slås det fast at begrunnelsen etter første punktum skal inngå i departementenes og Sikkerhetsmyndighetens totale oversikt over objekter og infrastruktur. Disse begrunnelsene vil være av sentral betydning for Sikkerhetsmyndighetens mulighet til å kunne kvalitetssikre departementenes klassifisering av objekter og infrastruktur i medhold av bestemmelsen. Selve begrunnelsen vil i seg selv være meget sensitiv informasjon, og vil måtte behandles deretter, jf. informasjonssikkerhetsbestemmelsene i loven kapittel 5.

I bestemmelsens tredje ledd presiseres det at klassifiseringsnivået kan være forskjellig for ulike deler av et objekt eller en infrastruktur. I den utstrekning dette er tilfelle skal slike deler defineres som selvstendige objekter eller infrastruktur. Det er altså mulig å definere «objekt i objekt», «infrastruktur i infrastruktur», «infrastruktur i objekt» og «objekt i infrastruktur». Dette innebærer at det kan være ulike klassifiseringsnivåer for ulike deler innad i samme objekt eller infrastruktur, med ulike beskyttelsesbehov. Sikkerhetstiltakene, jf. § 7-3, vil da også kunne differensieres avhengig av de ulike delenes klassifisering.

§ 7-3 Beskyttelse av objekter og infrastruktur

Bestemmelsen regulerer virksomhetenes plikt til å iverksette sikkerhetstiltak for utpekt og klassifisert objekt eller infrastruktur. Bestemmelsen må sees i sammenheng med de generelle kravene til forebyggende sikkerhet etter § 4-1.

I henhold til bestemmelsens første ledd plikter virksomheten å iverksette de sikkerhetstiltak som er nødvendige for å opprettholde et forsvarlig sikkerhetsnivå. Begrepet forsvarlig sikkerhetsnivå viser tilbake på den rettslige standarden i § 4-1 første ledd, og skal forstås på samme måte.

I bestemmelsens andre ledd første punktum presiseres at det skal ses hen til det aktuelle klassifiseringsnivået og konsekvensene ved bortfall eller reduksjon av funksjonalitet. Andre ledd andre punktum fastslår at sikkerhetstiltakene skal sees i sammenheng og tilpasses det konkrete beskyttelsesbehovet.

I bestemmelsens tredje ledd gis departementene og Sikkerhetsmyndigheten myndighet til å treffe vedtak om krav til adgangsklarering for tilgang til hele eller deler av objekt eller infrastruktur som er utpekt og klassifisert etter §§ 7-1 og 7-2. Hva som menes med adgangsklarering er nærmere omtalt i merknaden til § 8-1 første ledd andre punktum. Med tilgang menes i denne sammenheng både fysisk og logisk tilgang til objekt eller infrastruktur. For enkelte typer objekt eller infrastruktur vil det ikke være nødvendig med fysisk tilgang for å kunne gjøre skade, en logisk (digital) tilgang kan i noen tilfeller gi like gode muligheter til å gjøre skade av betydning for objektets eller infrastrukturens funksjonalitet.

Hvorvidt det skal fastsettes krav om adgangsklarering for tilgang, må vurderes konkret for det enkelte objekt eller infrastruktur. I den konkrete vurderingen må det særlig tas hensyn til den sikkerhetsmessige effekten som oppnås, sett opp mot hvor inngripende tiltaket vil være overfor den aktuelle virksomheten og dens ansatte. Vedtak som nevnt i tredje ledd, som berører selvstendige rettssubjekter, kan i medhold av fjerde ledd påklages til Tvisteorganet.

§ 7-4 Testing av sikkerhetssystemer

Bestemmelsen regulerer virksomhetens adgang til å anmode Sikkerhetsmyndigheten om å gjøre forsøk på å forsere virksomhetens etablerte sikkerhetstiltak for tilgang til skjermingsverdig objekt eller infrastruktur. Bestemmelsen korresponderer med hjemmelen for inntregningstesting av informasjonssystemer, jf. § 6-6.

Slik testing er et frivillig tilbud til den enkelte virksomhet, og kan kun gjøres på anmodning fra ledelsen i den aktuelle virksomheten. Formålet med denne type testing er å forsøke å avdekke svakheter ved de tiltak en virksomhet har iverksatt for å forhindre uvedkommendes tilgang til objektet eller infrastrukturen. Virksomhetens orienteringsplikt etter første ledd tredje punktum er generelt utformet og innebærer at det er tilstrekkelig at de ansatte er klar over at slike kontroller tidvis kan forekomme.

Med tilgang menes i denne sammenheng både fysisk og logisk (digital) tilgang til objektet eller infrastrukturen, jf. også merknaden til § 7-3 tredje ledd.

Bestemmelsens andre ledd hjemler behandling av personopplysninger ved testing, men fastslår samtidig at det skal gjøres en nødvendighets- og forholdsmessighetsvurdering av behovet for slik behandling.

Bestemmelsens tredje ledd angir en formålsavgrensing for bruk av informasjon som testingen gir tilgang til. Med informasjon menes i denne sammenheng både personopplysninger og opplysninger om virksomheten. Bestemmelsens formål – å forbedre virksomhetens sikkerhetsnivå – vil være styrende for hva informasjonen kan benyttes til.

Etter bestemmelsens fjerde ledd plikter Sikkerhetsmyndigheten å avslutte operasjonen, dersom den lykkes i å forsere etablerte sikkerhetstiltak.

§ 7-5 Adgang til steder og områder

Bestemmelsen viderefører gjeldende sikkerhetslov § 18a første ledd bokstav b og c, men i en modernisert språkdrakt – og tilpasset den øvrige innretning på lovforslaget.

Gjeldende sikkerhetslov § 18a første ledd bokstav a om forbud mot adgang til «forsvarsbygg og -anlegg hvor gjenstander av interesse for rikets forsvar fremstilles, istandsettes eller oppbevares» foreslås ikke videreført, da adgangen til å fastsette slike forbud ivaretas av de øvrige delene av lovforslaget.

Endringene er ikke ment å gjøre realitetsendringer i dagens rettstilstand på området.

Kapittel 8 – Personellsikkerhet

§ 8-1 Når klarering og autorisasjon skal gjennomføres

Bestemmelsen regulerer når sikkerhetsklarering, adgangsklarering og sikkerhetsautorisasjon skal gjennomføres.

Med sikkerhetsklarering menes en avgjørelse fra klareringsmyndigheten om en persons antatte sikkerhetsmessige skikkethet til å kunne håndtere sikkerhetsgradert informasjon opp til et gitt sikkerhetsnivå.

Med adgangsklarering menes en avgjørelse fra klareringsmyndigheten om en persons antatte sikkerhetsmessige skikkethet for tilgang til klassifiserte områder innenfor skjermingsverdige objekter eller infrastruktur, jf. § 7-3 tredje ledd.

Med sikkerhetsautorisasjon menes avgjørelse fra autorisasjonsansvarlig i den enkelte virksomhet om at en person, etter en konkret helhetsvurdering, gis tilgang til sikkerhetsgradert informasjon eller tilgang til klassifiserte områder innen objekter eller infrastruktur.

Bestemmelsens første ledd slår fast at autorisasjon i medhold av § 8-2 skal gjennomføres for to kategorier personell. For det første gjelder dette for personer som skal gis tilgang til sikkerhetsgradert informasjon, jf. første ledd første punktum. «Skal gis tilgang til» indikerer at vedkommende gjennom sitt arbeid har tjenstlig behov for tilgang til slik informasjon. For det andre gjelder kravet til sikkerhetsautorisasjon, i henhold til første ledd andre punktum, personer som skal ha tilgang til klassifiserte områder innen objekter og infrastruktur, der det er truffet vedtak etter § 7-3 tredje ledd. Med adgang menes både fysisk og logisk tilgang til slike objekter eller infrastruktur, se merknad til § 7-3. Adgangsklarering er ment å være en mindre omfattende klareringsprosess enn sikkerhetsklarering for tilgang til sikkerhetsgradert informasjon, men samtidig mer omfattende enn en ordinær vandelskontroll.

Bestemmelsens andre ledd er en videreføring av gjeldende sikkerhetslov § 19 andre ledd, og slår fast at personer som skal autoriseres for tilgang til sikkerhetsgradert informasjon gradert KONFIDENSIELT eller høyere, på forhånd skal sikkerhetsklareres.

I bestemmelsens tredje ledd slås det fast at personell som innehar gyldig sikkerhetsklarering etter § 8-5, også skal anses adgangsklarert. Adgangsklarering er ment å være en mindre omfattende prosess enn sikkerhetsklarering, se merknad til § 8-5, og dersom sikkerhetsklarering allerede foreligger skal det legges til grunn at vedkommende er sikkerhetsmessig skikket også for adgang til objekt eller infrastruktur.

Fjerde ledd gjelder personer som «vil kunne få» tilgang til sikkerhetsgradert informasjon. Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 19 tredje ledd. Det er ikke et vilkår for sikkerhetsklarering at vedkommende faktisk vil få tilgang til slik informasjon. I forarbeidene til gjeldende sikkerhetslov vises det som eksempel til vakter, rengjøringspersonell og andre som forutsetningsvis ikke skal ha tilgang til slik informasjon, men som gjennom sitt arbeid er i en posisjon hvor en lett kan skaffe seg slik tilgang. Et vilkår for sikkerhetsklarering av slikt personell er at andre risikoreduserende tiltak, eksempelvis adgangskontroll til lokaler der slik informasjon oppbevares, kan fjerne risikoen for at personellet kommer i en slik posisjon, jf. fjerde ledd andre punktum.

Femte ledd er en videreføring av gjeldende lov § 19 fjerde ledd, og skal forstås på samme måte. At en person sikkerhetsklareres for en nasjonal sikkerhetsgrad innebærer ikke at vedkommende automatisk er klarert for tilsvarende sikkerhetsgrader fastsatt av internasjonale organisasjoner, jf. begrepet eventuelt i bokstav a til c.

§ 8-2 Sikkerhetsautorisasjon

Bestemmelsen regulerer hvem som har ansvaret for autorisasjon etter loven, og det nærmere vurderingstemaet for om personer kan gis autorisasjon.

Første ledd slår fast at virksomhetens leder er ansvarlig for autorisasjon. Dette henger sammen med at forebyggende sikkerhet er et ledelsesansvar, jf. § 4-2 første ledd første punktum. Myndigheten til å gi autorisasjon kan ved behov delegeres.

Bestemmelsens andre ledd slår fast at autorisasjonsansvarlig også har ansvaret for daglig sikkerhetsmessig ledelse og kontroll av autorisert personell i virksomheten. Autorisasjonsansvarlig vil som nevnt ovenfor normalt være virksomhetens leder. Myndigheten til å ha daglig sikkerhetsmessig ledelse og kontroll av personellet, vil i praksis følges opp av den som har fått delegert myndighet etter første ledd, eksempelvis autorisert personells nærmeste foresatte. Med sikkerhetsmessig ledelse og kontroll menes blant annet ansvaret for å påse at autorisert personell har tilstrekkelig opplæring og kompetanse på forebyggende sikkerhet, og å påse at personellet faktisk etterlever sikkerhetsbestemmelsene i sitt daglige virke.

Bestemmelsens tredje ledd angir vurderingstemaet for avgjørelser om autorisasjon. Hvorvidt vedkommende er sikkerhetsmessig til å stole på, må baseres på en konkret helhetsvurdering av de opplysninger autorisasjonsansvarlig har tilgjengelig, og på det inntrykket som gis i autorisasjonssamtalen. Det kan heller ikke gis autorisasjon før det foreligger melding om klarering der dette er påkrevd etter § 8-1 andre ledd, det vil si ved autorisasjon for tilgang til sikkerhetsgradert informasjon gradert KONFIDENSIELT eller høyere. I tredje ledd siste punktum presiseres det at autorisasjon ikke kan gis før det er avholdt en autorisasjonssamtale.

I bestemmelsens fjerde ledd pålegges virksomheten å løpende orientere Sikkerhetsmyndigheten om hvilke personer som er autorisert. Formålet med bestemmelsen er dels å sette Sikkerhetsmyndigheten i stand til å ha oversikt over hvor sikkerhetsklarert personell til enhver tid tjenestegjør, og dels å legge til rette for informasjonsdeling med Politiets sikkerhetstjeneste etter § 8-12.

§ 8-3 Nedsettelse, suspensjon og tilbakekallelse av autorisasjon

Bestemmelsen regulerer i hvilke tilfeller autorisasjonsansvarlig plikter å vurdere autorisasjonen tilbakekalt, nedsatt eller suspendert. Bestemmelsen regulerer også i hvilke tilfeller autorisasjon automatisk bortfaller.

Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 24 andre og fjerde ledd, og skal forstås på samme måte.

§ 8-4 Klareringsmyndigheter etter loven

Bestemmelsen viderefører det vedtatte forslaget i Prop. 97 L (2015–2016) om endring av klareringsmyndighetsstrukturen.

I bestemmelsens første ledd andre punktum angis klareringsmyndighetenes myndighet til å avgjøre om en person er sikkerhetsmessig skikket for håndtering av sikkerhetsgradert informasjon, eller for adgang til klassifiserte områder innen objekter eller infrastruktur.

§ 8-5 Sikkerhets- og adgangsklarering

Bestemmelsen angir det nærmere vurderingstemaet for når klarering skal gis eller opprettholdes.

Etter første ledd skal klarering bare gis eller opprettholdes dersom det ikke foreligger rimelig tvil om vedkommendes sikkerhetsmessige skikkethet. Vurderingen av rimelig tvil må ses i sammenheng med det nivå vedkommende skal klareres for. Desto høyere klareringsnivå, desto mindre grad av tvil kan aksepteres. Vurderingstemaet for om vedkommendes sikkerhetsmessige skikkethet må baseres på en konkret helhetsvurdering av de foreliggende opplysningene. Første ledd andre punktum slår fast at det skal gjennomføres en personkontroll, jf. § 8-7, som grunnlag for denne vurderingen.

Bestemmelsen tredje ledd angir skrankene for hvilke forhold som kan vektlegges ved vurderingen av sikkerhetsmessig skikkethet. Det er kun forhold som er relevant for vedkommendes pålitelighet, lojalitet og sunne dømmekraft vedrørende behandling av gradert informasjon og tilgang til klassifiserte områder, som kan tillegges vekt i vurderingen. I tredje ledd siste punktum er det også et totalforbud mot å legge vekt på lovlig politisk engasjement. For en nærmere omtale av hvilke forhold som relevante å vektlegge, vises det til omtalen i kapittel 10.6.1.

I bestemmelsens fjerde ledd avgrenses klareringsmyndighetens anledning til å vektlegge negative opplysninger om nærstående personer til tilfeller der det antas at disse forholdene vil kunne påvirke vedkommendes sikkerhetsmessige skikkethet. Begrepet nærstående personer er nærmere omtalt i merknaden til § 8-7.

§ 8-6 Nedsettelse, suspensjon og tilbakekallelse av klarering

Bestemmelsen regulerer i hvilke tilfeller klareringsmyndigheten plikter å vurdere klareringen tilbakekalt, nedsatt eller suspendert, samt klareringsmyndighetens plikt til å varsle Sikkerhetsmyndigheten og autorisasjonsansvarlig. Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 24 andre og tredje ledd og skal forstås på samme måte.

§ 8-7 Gjennomføring av personkontroll

Bestemmelsen gir nærmere regler for gjennomføring av personkontroll som grunnlag for klareringsmyndighetens vurdering av den enkeltes sikkerhetsmessige skikkethet etter § 8-5, og er i stor grad en videreføring av gjeldende sikkerhetslov § 20.

Med personkontroll menes i denne sammenheng både opplysninger fra vedkommende selv og de opplysninger klareringsmyndigheten selv besitter eller innhenter fra relevante registre eller andre kilder.

Etter bestemmelsens første ledd tredje punktum er det et vilkår for å igangsette personkontroll at den aktuelle personen er gjort oppmerksom på, og har akseptert, at slik kontroll igangsettes. Personer som søkes klarert er i de fleste tilfeller i en arbeidsgiver-/arbeidstakerrelasjon til autorisasjonsansvarlig, noe som gjør det vanskelig å oppfylle kravene til et informert og frivillig samtykke. Aksept av at slik kontroll gjennomføres er således tilstrekkelig. I første ledd siste punktum slås det fast at aksepten også skal omfatte muligheten for personkontroll av nærstående, jf. tredje ledd, og muligheten for fornyet personkontroll etter § 8-8.

Etter bestemmelsens tredje ledd kan det gjennomføres personkontroll for nærstående personer dersom det søkes om sikkerhetsklarering for HEMMELIG/tilsvarende eller høyere sikkerhetsgrader. Med begrepet nærstående menes i første rekke vedkommendes ektefelle, partner, samboer, barn, foreldre og søsken og andre personer vedkommende er knyttet til ved familiebånd. Nærståendebegrepet bør imidlertid ikke bare omfatte de personer vedkommende har en familiær tilknytning til. Det avgjørende bør være hvorvidt den aktuelle personen har en relasjon med vedkommende av en slik art at den har en reell påvirkningsmulighet på vedkommendes sikkerhetsmessige skikkethet.

Etter bestemmelsens femte ledd plikter behandlingsansvarlige (jf. merknadene til § 4-7) for relevante registre å legge til rette for en digitalisert overføring av personkontrollopplysningen til Sikkerhetsmyndigheten. Behandlingsansvarlig skal forstås på samme måte som registereier i gjeldende sikkerhetslov § 20 fjerde ledd andre punktum. Det vil være Sikkerhetsmyndigheten som forestår personkontrollen på vegne av de ulike klareringsmyndighetene. For en nærmere omtale av hva som menes med digital overføring vises det til kapittel 10.5.5 og 10.6.5.

§ 8-8 Fornyet personkontroll

Bestemmelsen regulerer klareringsmyndighetens adgang til å kunne anmode om fornyet personkontroll, jf. § 8-7, for klarert personell når som helst i klareringens gyldighetstid. Retten til å anmode om slik fornyet personkontroll gjelder både ved mistanke om nye forhold av betydning for vedkommende sikkerhetsmessige skikkethet, og som et ledd i regelmessig oppfølging av klarert personell.

§ 8-9 Bruk av vilkår og stillingsklarering

Bestemmelsen er i utgangspunktet en videreføring av dagens lov § 21 siste ledd.

Med begrepet særlige tilfeller menes at det skal være en viss tilbakeholdenhet med å gi klarering på vilkår eller stillingsklarering, blant annet av likebehandlingshensyn. Men i de tilfeller der alternativet er å avslå klareringsanmodningen, vil bruk av vilkår kunne benyttes dersom dette vurderes som et tilstrekkelig risikoreduserende tiltak. Bruk av vilkår for klarering, herunder stillingsklarering, vil blant annet kunne bidra til et mer fleksibelt system hvor verdifull kompetanse kan rekrutteres, uten at dette innebærer en uakseptabel høy risiko.

§ 8-10 Klarering av personer som ikke er norske statsborgere

Bestemmelsen er i hovedsak en videreføring av gjeldende lov § 22.

Begrepet eventuelle tilknytning til Norge indikerer at tilknytning til Norge ikke er et absolutt vilkår for å kunne innvilge klarering. Vurderingen skal baseres på en konkret helhetsvurdering, der tilknytning til Norge er ett av flere momenter som skal vektlegges i vurderingen. Hjemlandets sikkerhetsmessige betydning for Norge og vedkommendes tilknytning til dette, skal være tungtveiende momenter i vurderingen av sikkerhetsmessig skikkethet. Hva som menes med tilknytning til en annen stat er nærmere omtalt i merknaden til § 8-12.

I første ledd tredje punktum er det presisert at bruk av vilkår eller stillingsklarering skal vurderes særskilt ved klarering av utenlandske statsborgere. Denne type tiltak vil, sammen med autorisasjonsansvarliges sikkerhetsmessige ledelse og kontroll, kunne redusere en eventuell risiko til et akseptabelt nivå. Presisering gir såldes mulighet til å gjøre individuelle tilpasninger der dette er sikkerhetsmessig forsvarlig.

I bestemmelsens andre ledd er Kongen gitt myndighet til å gi nærmere bestemmelser om klarering av utenlandske statsborgere.

§ 8-11 Varslingsplikt

Bestemmelsen regulerer varslingsplikt for autorisert og klarert personell, samt autorisasjonsansvarliges varslingsplikt til den aktuelle klareringsmyndigheten.

Bestemmelsens første ledd er en videreføring av gjeldende lov § 24 første ledd om klarert og autorisert personells plikt til å varsle autorisasjonsansvarlig om forhold som antas å kunne innvirke på vurderingen av den enkeltes sikkerhetsmessige skikkethet.

Etter bestemmelsens andre ledd plikter autorisasjonsansvarlig som blir varslet, å varsle videre til vedkommende klareringsmyndighet dersom det innrapporterte forholdet antas også å kunne få betydning for vedkommendes klarering.

§ 8-12 Informasjonstilgang for Politiets sikkerhetstjeneste

Bestemmelsen regulerer Sikkerhetsmyndighetens adgang til, i nærmere angitte tilfeller, å utlevere opplysninger fra klareringssaker til Politiets sikkerhetstjeneste. Formålet med bestemmelsen er nærmere omtalt i kapittel 10.6.7.

Etter bestemmelsens første ledd er det et vilkår for utlevering av informasjon at det foreligger en forutgående anmodning fra Politiets sikkerhetstjeneste. Anmodningen må i en viss utstrekning ha et presist innhold, slik at utleveringen av informasjon begrenses til det som er nødvendig. Anmodningen kan eksempelvis være avgrenset til å gjelde informasjon om personer som har tilknytning til en bestemt nasjon, eller personer med utenlandsk tilknytning som tjenestegjør innen nærmere definerte virksomheter. Anmodningen bør normalt være avgrenset til å gjelde en nærmere avgrenset tidsperiode. Sikkerhetsmyndigheten vil kunne oppdatere informasjonsgrunnlaget dersom det skjer endringer innenfor den angitte tidsperioden. Anmodningene vil uansett måtte tilpasses det konkrete informasjonsbehovet Politiets sikkerhetstjeneste har på tidspunktet for anmodningen.

Begrepet nærstående skal forstås på samme måte som etter § 8-7 tredje ledd.

I bestemmelsens første ledd bokstav a til c er det nærmere angitt hvilke opplysninger Sikkerhetsmyndigheten kan utlevere med hjemmel i bestemmelsen.

Med klareringsstatus menes både hvilket nivå de aktuelle personene er klarert for og klareringens gyldighetstid.

Begrepet tilknytning til andre stater skal forstås vidt i den forstand at ulike slags tilknytninger vil kunne være relevante. Det kan for eksempel dreie seg om økonomiske interesser i en stat eller om vedkommende har familiær tilknytning i staten. Samtidig vil ikke enhver tilknytning til en annen stat være tilstrekkelig til å oppfylle kravet. Det avgjørende for vurderingen vil være om personen har en slik tilknytning til en annen stat, at denne vil kunne utgjøre et effektivt pressmiddel overfor vedkommende eller på annen måte ha betydning for vedkommendes lojalitet til Norge. Praksis vedrørende forståelsen av tilknytningskriteriet etter gjeldende sikkerhetslov 21 første ledd bokstav k, vil være relevant i denne sammenheng.

Med tjenestested menes hvor de aktuelle personene arbeider, herunder i hvilken virksomhet og hvilken stilling personene innehar i denne virksomheten.

Etter bestemmelsens andre ledd er det et vilkår for utlevering av informasjon som nevnt i første ledd bokstav a til c, at Politiets sikkerhetstjeneste anfører at det er nødvendig for å ivareta tjenestens oppgaver etter politiloven §§ 17b og 17c nr. 1. Begrunnelsen for hvorfor utlevering er nødvendig i de enkelte tilfellene vil ofte være av en slik karakter at Politiets sikkerhetstjeneste ikke kan, eller ikke ønsker, å dele denne begrunnelsen med andre. Når Politiets sikkerhetstjeneste anfører at slik informasjon er nødvendig, skal derfor Sikkerhetsmyndigheten legge til grunn at vilkårene for utlevering av informasjon er oppfylt. Begrunnelsen vil i ettertid kunne kontrolleres av EOS-utvalget.

§ 8-13 Begrunnelse og underretning

Bestemmelsene er en videreføring av gjeldende sikkerhetslov § 25, med de tilpasninger som er nødvendige for innretningen på lovforslaget for øvrig, og skal forstås på samme måte.

§ 8-14 Innsyn

Bestemmelsene er en videreføring av gjeldende sikkerhetslov § 25a, med de tilpasninger som er nødvendige for innretningen på lovforslaget for øvrig, og skal forstås på samme måte.

Begrepet sakens dokumenter skal forstås på samme måte som offentleglovas sakdokumentbegrep, jf. offentleglova § 4 første ledd, jf. andre ledd.

Et dokument er i offentleglova § 4 første ledd definert som «ei logisk avgrensa informasjonsmengd som er lagra på eit medium for seinare lesing, lytting, framsyning, overføring eller liknande».

Et saksdokument er et dokument som er kommet inn til eller lagt frem for et organ, eller som organet selv har opprettet, og som gjelder ansvarsområdet eller virksomheten til organet. Et dokument er opprettet når det er sendt ut av organet. Dersom dette ikke skjer, skal dokumentet regnes som opprettet når det er ferdigstilt.

Henvisningen i gjeldende lov til «audiovisuelt opptak av egen sikkerhetssamtale», jf. § 19 første ledd andre punktum og tredje ledd andre punktum, er ikke videreført. Audiovisuelle opptak omfattes av offentleglovas dokumentbegrep, og nærmere regler om fremgangsmåten for gjennomsyn av slike opptak bør fastsettes i forskrift.

§ 8-15 Oversendelse av sak til særskilt oppnevnt advokat

Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 25b, med de tilpasninger som er nødvendige for innretning på lovforslaget for øvrig, og skal forstås på samme måte.

§ 8-16 Klage

Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 25c, med de tilpasninger som er nødvendige for innretning på lovforslaget for øvrig, og skal forstås på samme måte.

§ 8-17 Utfyllende bestemmelser

Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 26, med de tilpasninger som er nødvendige for innretning på lovforslaget for øvrig, og skal forstås på samme måte.

Kapittel 9 – Sikkerhetsgraderte anskaffelser mv.

§ 9-1 Sikkerhetsgradert anskaffelse

Bestemmelsen regulerer hva som skal anses som en sikkerhetsgradert anskaffelse. Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 3 nr. 17, med de tilpasninger som er nødvendige i lys av innretningen på det nye lovforslaget.

§ 9-2 Inngåelse av sikkerhetsavtale

Bestemmelsen er i hovedsak en videreføring av gjeldende sikkerhetslov § 27.

Med anskaffelsesmyndigheten i første ledd første punktum menes den virksomhet som forestår anskaffelsen. Virksomhetsbegrepet er nærmere omtalt i merknaden til § 1-2.

I bestemmelsens første ledd andre punktum slås det fast at det skal inngås sikkerhetsavtale både før leverandøren kan få tilgang til gradert informasjon og før leverandøren får tilgang til skjermingsverdig objekt eller infrastruktur. Begrepet tilgang til objekt eller infrastruktur skal forstås på samme måte som i § 7-3 tredje ledd.

Hvilke leverandører som i medhold av første ledd tredje punktum er utenlandske må avgjøres konkret. Som et generelt utgangspunkt vil en leverandør anses som utenlandsk, dersom den driver sin virksomhet fra et annet land og under et annet lands jurisdiksjon, og hvor den sikkerhetsmessige oppfølging av leverandøren vil måtte forestås av et annet lands sikkerhetsmyndigheter. Det avgjørende for om leverandøren skal anses utenlandsk eller ikke, vil være hvorvidt Sikkerhetsmyndigheten har faktisk og rettslig anledning til å forestå sikkerhetsmessig oppfølging og kontroll av leverandøren.

Bestemmelsens andre og tredje ledd er en videreføring av gjeldende sikkerhetslov § 27 andre og tredje ledd, og skal forstås på samme måte.

§ 9-3 Leverandørklarering

Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 28, med de tilpasninger som er nødvendig i lys av innretningen på det nye lovforslaget, og skal forstås på samme måte.

Med «dersom det av andre grunner anses nødvendig», jf. bestemmelses første ledd første punktum, menes i første rekke de tilfeller der leverandøren vil få tilgang til klassifiserte områder innen skjermingsverdig objekt eller infrastruktur, hvor ansvarlig departement har truffet vedtak om krav til adgangsklarering, jf. § 7-3 tredje ledd. Hvorvidt det kreves leverandørklarering for anskaffelser til skjermingsverdig objekt eller infrastruktur, må avgjøres konkret. I vurderingen bør det særlig tas hensyn til hvorvidt leverandørens personell får tilgang til deler av objektet eller infrastrukturen som har et høyt skadepotensial.

Første ledd andre punktum er en videreføring av det vedtatte forslaget i Prop. 97 L (2015–2016) om å gå fra oppdragsbaserte til tidsbaserte leverandørklareringer.

Bestemmelsens andre til og med femte ledd er en videreføring av gjeldende sikkerhetslov § 28 andre til og med femte ledd, og skal forstås på samme måte.

§ 9-4 Varslingsplikt og myndighet til å fatte vedtak ved anskaffelser til skjermingsverdig objekt og infrastruktur

Bestemmelsen er en videreføring av det vedtatte forslaget i Prop. 97 L (2015–2016) om anskaffelser til kritisk infrastruktur, med de tilpasninger som er nødvendige i lys av det øvrige lovforslaget. For en nærmere omtale av det vedtatte forslaget og hvilke justeringer som er foreslått, vises det til kapittel 11.2.4 og 11.4.

Bestemmelsen er avgrenset mot sikkerhetsgraderte anskaffelser. Virksomhetenes plikt til å foreta en risikovurdering ved anskaffelsen vil således gjelde alle anskaffelser som ikke er å anse som en sikkerhetsgradert anskaffelse etter §§ 9-2 og 9-3.

§ 9-5 Utfyllende bestemmelser mv.

Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 29, og skal forstås på samme måte.

Kapittel 10 – Eierskapskontroll

§ 10-1 Eierskapskontroll

Etter bestemmelsen første ledd pålegges utenlandske erververe en meldeplikt ved erverv av eierandeler i nærmere angitte virksomheter.

Med erverver menes både fysiske og juridiske personer. Ved vurderingen av om erververen er utenlandsk vil det for fysiske personer måtte sees hen til statsborgerskap og bosted. For juridiske personer vil det måtte gjøres en konkret vurdering. Lokalisering av hovedkontor vil være et moment i denne vurderingen. I henhold til foretaksregistreringsloven § 1-2 regnes ethvert foretak med hovedkontor i Norge eller på norsk kontinentalsokkel, som et norsk foretak. Andre foretak er utenlandske.

Det vil imidlertid også være nødvendig å se hen til det aktuelle foretakets bakenforliggende eierstrukturer. Dersom en utenlandsk person (fysisk eller juridisk) innehar betydelige eierandeler i et norsk foretak, eller på annen måte har betydelig innflytelse over forvaltningen av selskapet, vil foretaket i seg selv måtte sees på som utenlandsk i relasjon til denne bestemmelsen. Med betydelig eierandel menes i utgangspunktet mer enn en tredjedel av aksjekapitalen eller av andelene eller stemmene på selskapets generalforsamling. Hvorvidt erverver kommer fra et annet EU-/EØS-land vil ikke ha betydning for om meldeplikten inntrer.

Virksomhet «av kritisk betydning for grunnleggende nasjonale funksjoner» skal forstås på samme måte som i loven § 1-2. Virksomheter av slik betydning vil være underlagt sikkerhetsloven ved enkeltvedtak etter §§ 2-1 første ledd bokstav c og 2-2 første ledd bokstav e.

Etter første ledd bokstav a, inntrer meldeplikt dersom erververen oppnår minst en tredjedel av aksjekapitalen, andelene eller stemmene i virksomheten. Begrepet minst en tredjedel viser til aksjelovgivningens bestemmelser om negativ kontroll ved avgjørelser som krever kvalifisert flertall, jf. blant annet aksjeselskapsloven/allmennaksjeselskapsloven § 5-18 første ledd andre punktum og § 2-2 første ledd.

Etter første ledd bokstav b, likestilles erverv av aksjer og andeler med erverv av rett til å bli eier når dette må ansees som reelt aksjeeie/andelseie. Et eksempel på erverv av rett til å bli eier kan være såkalte konvertible lån, hvor investor/långiver senere kan innløse gjelden i aksjer eller andeler. Slike konvertible lån innebærer i prinsippet at noen som ikke har skutt inn risikokapital, kan få innflytelse over selskapets beslutninger, og vil etter omstendighetene kunne omfattes av meldeplikten.

Etter første ledd bokstav c, inntrer også meldeplikt i de tilfeller erververen oppnår betydelig innflytelse over forvaltningen av selskapet på annen måte. Både juridiske og faktiske omstendigheter vil være relevante. Eksempelvis vil underliggende aksjonæravtaler som sikrer erververen kontroll ved strategisk viktige beslutninger i selskapet, være av betydning for vurderingen. Ved vurderingen vil det være naturlig å se hen til det selskapsrettslige kontrollbegrepet, slik dette er utviklet i norsk rettspraksis.

Etter bestemmelsens andre ledd skal aksjer som eies eller overtas av aksjeeierens nærstående likestilles med aksjeeierens egne aksjer ved vurderingen av om meldeplikt etter første ledd inntrer. Begrepet nærstående, skal forsås på samme måte som legaldefinisjonen av nærstående i relasjon til handel i finansielle instrumenter i verdipapirloven § 2-5.

Bestemmelsens fjerde ledd angir det nærmere vurderingstemaet for om Kongen i statsråd kan fatte vedtak etter bestemmelsen. En avgjørelse om å nekte godkjennelse av et slikt erverv skal baseres på en konkret og individuell helhetsvurdering, hvor inngripen kun kan skje av hensyn til sikkerhetsinteresser. Relevante sikkerhetsmessige hensyn kan være hensynet til forsyningssikkerhet og strategisk produksjon av varer og tjenester for grunnleggende nasjonale funksjoner, behovet for å beholde kritisk nøkkelkompetanse av betydning for slike funksjoner eller av hensyn til beskyttelse av sensitiv og/eller sikkerhetsgradert informasjon.

Begrepet ikke ubetydelig risiko innebærer at det er erverv med risiko ut over det normale som kvalifiserer for slike vedtak. Vurderingen vil måtte omfatte både sannsynlighet, sårbarhet og mulige konsekvenser ved at ervervet gjennomføres. På sannsynlighetssiden innebærer kriteriet at det ikke skal fattes vedtak dersom det kun foreligger en helt fjerntliggende eller rent teoretisk mulighet for at ervervet kan ha skadevirkninger for grunnleggende nasjonale funksjoner. Det bør være noe konkret med den aktuelle erververen som tilsier at risikoen er høyere enn for andre erververe. Bestemmelsen innebærer imidlertid ikke et krav om sannsynlighetsovervekt. For øvrig vises det til omtalen av bestemmelsen i kapittel 12.8.

Etter fjerde ledd gis det også hjemmel for å sette vilkår ved en godkjenning av ervervet. Fastsetting av vilkår etter denne bestemmelse skal gjøres på bakgrunn av en konkret helhetsvurdering hvor blant annet vilkårets inngripende karakter, hensynet til ivaretakelse av grunnleggende nasjonale funksjoner og erververens forhold tas i betraktning. De vilkår som settes for godkjenning av ervervet må ha en saklige sammenheng med vedtaket og hensynet til ivaretakelse av grunnleggende nasjonale funksjoner.

Kapittel 11 – Kontroll- og tilsynsordninger. Tvangsmulkt, overtredelsesgebyr og straff

§ 11-1 Kontroll- og tilsynsordninger

Bestemmelsen viderefører gjeldende sikkerhetslov § 30.

Første ledd fastslår gjennom begrepet underlagt at forebyggende sikkerhetsarbeid etter sikkerhetsloven kan bli gjenstand for kontroll og tilsyn av EOS-utvalget. Bestemmelsen gir ikke direkte føringer for verken organiseringen, gjennomføringen eller omfanget av EOS-utvalgets kontroll.

Med forebyggende sikkerhetsarbeid etter loven i første ledd menes planlegging, tilrettelegging, gjennomføring og kontroll av forebyggende sikkerhetstiltak som søker å fjerne eller redusere risiko som følge av tilsiktede uønskede hendelser. Begrepet tilsvarer i all hovedsak begrepet forebyggende sikkerhetstjeneste slik det er definert i gjeldende sikkerhetslov § 3 første ledd nr. 1. For en nærmere omtale av forholdet mellom tilsiktede uønskede hendelser og sikkerhetstruende virksomhet, vises det til kapittel 6.7.4.

Bestemmelsen må ses i sammenheng med EOS-kontrolloven, herunder § 1, som angir EOS-utvalgets kontrollområde til «etterretnings-, overvåknings- og sikkerhetstjeneste som utføres av den offentlige forvaltning eller under styring eller på oppdrag av denne». Kontrollområdet er funksjonelt og ikke organisatorisk definert, se nærmere Dokument 16 (2015–2016) Rapport til Stortinget fra Evalueringsutvalget for Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjeneste, kapittel 17.3.

Andre ledd tilsvarer dagens sikkerhetslov § 30 andre ledd.

§ 11-2 Tvangsmulkt

Bestemmelsen gir hjemmel til å ilegge en virksomhet som har overtrådt loven, løpende mulkt for å tvinge virksomheten til å rette opp i forholdet. Tvangsmulkt forutsetter at det er truffet gyldig enkeltvedtak som pålegger virksomheten å endre sin praksis, jf. § 3-6. Vedtaket må være rettskraftig før mulkten kan begynne å løpe. Mulighetene for å angripe vedtaket ved klage eller rettslige skritt, må altså være uttømt. Med tilsynsmyndigheten menes i denne sammenheng Sikkerhetsmyndigheten eller den sektormyndighet som har fått tildelt tilsynsansvaret etter § 3-1.

Tvangsmiddelet må være forholdsmessig, jf. blant annet § 1-1 andre ledd. Vedtaket må ikke være mer tyngende enn det som er nødvendig for å oppnå formålet med mulkten, og må dessuten være egnet til å oppnå formålet.

Vedtak om tvangsmulkt kan påklages, se nærmere i merknadene til § 2-6.

§ 11-3 Overtredelsesgebyr

Bestemmelsen gir tilsynsmyndigheten hjemmel til å ilegge overtredelsesgebyr ved overtredelse av de i første ledd angitte lovbestemmelsene.

Begrepet «noen som handler på dennes vegne» i første ledd, angir virksomhetens ansvar utover egen organisasjon. Det må være en viss tilknytning mellom virksomheten og den som har overtrådt bestemmelsen, jf. også § 5-3.

Oppregningen av lovens bestemmelser der overtredelsesgebyr er aktuelt omfatter de bestemmelser i loven som anses særlig viktig å overholde og som dessuten er tilstrekkelig klart formulert til at denne type sanksjon lar seg forsvare.

Ileggelse av gebyr er inngripende og må være forholdsmessig, jf. blant annet § 1-1 andre ledd. Bestemmelsens andre ledd angir relevante momenter som skal tas i betraktning ved fastsettelse av gebyrets størrelse. Momentene er relevante også ved vurderingen av om gebyr skal ilegges.

Bestemmelsens tredje ledd fastsetter foreldelsesfristen for adgangen til å pålegge overtredelsesgebyr. Utover det som er regulert i tredje ledd gjelder alminnelige regler om foreldelse.

§ 11-4 Straff

Bestemmelsens første ledd fastslår at overtredelse av nærmere angitt bestemmelser – de samme som i § 11-3 første ledd bokstav a og b – er straffbart, se merknadene til denne bestemmelsen. Første ledd retter seg i første rekke mot virksomheter som er ansvarlig for overholdelse av de enkelte bestemmelsene.

Bestemmelsens andre og tredje ledd retter seg mot enkeltpersoner som ikke overholder § 5-3 andre ledd eller forbud gitt i medhold av § 7-5.

Kapittel 12 – Ikrafttredelse og endringer i andre lover

§ 12-1 Ikrafttredelse

Ikrafttredelse av loven forutsetter en omfattende revisjon det det underliggende forskriftsverket til dagens sikkerhetslov. Myndighet til å fatte vedtak om når loven trer i kraft er derfor lagt til Kongen.

14 Lovforslag