12 Administrative og økonomiske konsekvenser

Sikkerhet og sikringstiltak er kostnadskrevende. På den annen side må det også understrekes at manglende sikkerhet kan resultere i betydelige økonomiske tap. I et større perspektiv må også denne inntektssiden tas i betraktning ved beregning av kostnader knyttet til iverksettelse av forebyggende sikkerhetstiltak.

Inntil videre forutsettes det at funksjonen som Nasjonal sikkerhetsmyndighet, som i dag, ivaretas av Forsvarssjefen med sin fagstab Sikkerhetsstaben i Forsvarets overkommando (FO/S). Selve organiseringen av denne funksjonen vil således ikke i seg selv medføre administrative konsekvenser eller økonomiske merkostnader. For å kunne ivareta oppgavene etter loven, herunder utvikling og gjennomføring av opplæring, veiledning og tilsyn, overfor et større antall virksomheter i dag, vil det imidlertid være behov for en viss ressurstilføring til Nasjonal sikkerhetsmyndighet. Nasjonal sikkerhetsmyndighet må herunder påregne økt veiledning mht risikoanalyser og trusselvurderinger overfor ulike virksomheter. Kostnadene anslås til 2-3 stillingshjemler. Det er her tatt i betraktning en viss besparelse ved at lovforslaget åpner for at andre virksomheter kan godkjennes for å utføre tjenester for sikring av informasjonssystemer; tjenester som i dag utføres av Nasjonal sikkerhetsmyndighet.

Lovforslaget representerer for øvrig i hovedsak en kodifisering av allerede gjeldende instruksbestemmelser og praksis. For statlig virksomhet vil lovforslaget ikke medføre vesentlige administrative eller økonomiske konsekvenser. En omprioritering av ressurser fra underlagte ledd til departementene ifm sentraliseringen av sikkerhetsklareringssaker vil imidlertid være påkrevet. Sentraliseringen antas i et lengre perspektiv å kunne medføre en økonomisk innsparing totalt sett, ved at den enkelte klareringsmyndighet opparbeider mer erfaring ved å behandle et større antall klareringssaker. I dette ligger et mulig effektiviseringspotensiale som på sikt vil kunne medføre reduserte kostnader ifm sikkerhetsklareringer. I en overgangsperiode er det imidlertid neppe grunn til å forvente nevneverdige innsparinger.

Vedrørende personkontroll skal også nevnes at det i lovforslaget bestemmes at personkontrollopplysninger skal gis vederlagsfritt fra det enkelte offentlige register mv. Ressursbehovet i den forbindelse vil dermed belastes det enkelte register/den enkelte virksomhet. I Skattedirektoratets høringsuttalelse heter det om dette:

«I forbindelse med klarering antar vi at det fortsatt vil være behov for kontroll mot de opplysninger som er registrert i folkeregistret om den som skal sikkerhetsklareres. Så lenge klareringsmyndigheten retter forespørselen manuelt til det enkelte folkeregister der sikkerhetsklareringskandidaten er bosatt, antar vi saken vil være uproblematisk. Forholdet vil imidlertid være annerledes dersom klareringsmyndigheten ønsker å foreta on-line søk i Det sentrale folkeregister. I slike tilfelle vil det påløpe utgifter til linjeleie, abonnement og stykkpris pr. forespørsel. Direktoratet har i dag ikke budsjettmessig dekning for slike merutgifter. Direktoratet vil på generelt grunnlag uttale at utgifter til slike tjenester ikke bør bæres av registereier, men av brukerne.»

Som påpekt under pkt 9.5 ovenfor, anser departementet det som meget viktig, både av sikkerhetsmessige og rettssikkerhetsmessige årsaker, å sørge for at brukerne, i dette tilfellet klareringsmyndighetene, ikke unnlater å foreta så grundige undersøkelser som mulig ut fra økonomiske betraktninger. Det bemerkes også at forslaget er i tråd med dagens ordning, som ikke kan sees å ha voldt nevneverdige vanskeligheter. Det må anses som en samfunnsoppgave å bidra med registeropplysninger ifm sikkerhetsklareringer, og eventuelle kostnader forbundet med dette vil i de fleste tilfeller være marginale og eventuelt kunne kompenseres gjennom inntektene fra øvrige brukere. Dersom det mot formodning skulle vise seg at ordningen vil medføre økte belastninger for en enkelt registereier, antas dette å kunne løses særskilt uten å endre lovens prinsipp. En vil i den forbindelse bemerke at det i stor grad vil være opp til registeransvarlig å avgjøre på hvilken måte opplysningene skal meddeles. Loven gir ikke hjemmel for klareringsmyndigheten til å kreve at opplysningene skal gis på en bestemt måte, f eks gjennom direkte datatilgang til det enkelte register. Departementet foreslår derfor at prinsippet om vederlagsfri utlevering av personkontrollopplysninger opprettholdes.

Den endring i forhold til gjeldende rett som først og fremst kan innebære en marginal administrativ/økonomisk merkostnad, er forslaget om at reglene også skal gjelde for kommunal sektor (og eventuelt andre som ikke er underlagt Kongens instruksjonsmyndighet).

Det må imidlertid fremheves at selv om reglene formelt sett ikke gjelder utenfor statsforvaltningen i dag, så er det departementets erfaring at de i større eller mindre grad likevel følges. Det kan dessuten vanskelig sees at forslagene vil kreve større investeringer for å ivareta sikkerheten. Mange kommuner besitter kun i begrenset utstrekning skjermingsverdig informasjon eller skjermingsverdige objekter, og de kommuner som i større grad besitter slik informasjon/slike objekter, antas allerede å ha iverksatt adekvate beskyttelsestiltak. Selv om gjeldende regler ikke formelt er gjort gjeldende, har Nasjonal sikkerhetsmyndighet i praksis fra tid til annen fungert som rådgivende instans. Omfanget av skjermingsverdig informasjon som behandles eller oppbevares i kommunene, er dessuten totalt sett vesentlig mindre enn i sentralforvaltningen.

Spesielt på datasikkerhetssiden må det likevel påregnes marginale meromkostninger for de virksomheter som eier og nytter informasjonssystemer som sikkerhetsmessig skal godkjennes av Nasjonal Sikkerhetsmyndighet, og som tidligere ikke har vært underlagt slik plikt til sikkerhetsmessig godkjenning. Det forutsettes at eventuelle omkostninger dekkes innenfor virksomhetenes respektive budsjettrammer. Samtidig vil Forsvarsdepartementet understreke at implementeringen av bestemmelsene om sikkerhetsmessig godkjenning av informasjonssystemer vil skje i nær dialog med de berørte virksomheter, over tid og med bistand og oppfølging fra sentralt hold.

Plikten som lovforslaget legger til den enkelte virksomhet om å sørge for at ansatte og engasjerte får tilstrekkelig opplæring i sikkerhetsspørsmål, kan ved lovfestingen føles mer imperativt enn tidligere. I noen grad kan dette muligens medføre økt ressursbehov hos den enkelte virksomhet. Eventuelle merkostnadene bør imidlertid kunne dekkes innenfor eksisterende kurs- og personalutviklingsbudsjetter eller budsjetter knyttet til internkontroll.

For øvrig innebærer lovforslaget en omfordeling av ressursbehov fra Nasjonal sikkerhetsmyndighet til klareringsmyndigheter når det gjelder sikkerhetsklarering av personell hos leverandører i tilknytning til sikkerhetsgraderte anskaffelser. Sett under ett forventes ikke ordningen å medføre meromkostninger.