Formålet med denne lov er å

Loven gjelder for forvaltningsorganer. Som forvaltningsorgan regnes i loven ethvert organ for stat eller kommune. Kongen kan i tvilstilfelle bestemme om et organ er å regne som forvaltningsorgan. Kongen kan også bestemme at et forvaltningsorgan helt eller delvis skal være unntatt fra loven når det foreligger særlige grunner for det, og kan da i stedet fastsette særlige regler.

Loven gjelder også for ethvert rettssubjekt som ikke er forvaltningsorgan og som er leverandør av varer eller tjenester til et forvaltningsorgan i forbindelse med en sikkerhetsgradert anskaffelse.

Kongen kan bestemme at loven helt eller delvis også skal gjelde for ethvert annet rettssubjekt, herunder enkeltpersoner, foreninger, stiftelser, selskaper og privat og offentlig næringsvirksomhet,

Loven gjelder for domstolene med de særregler som følger av bestemmelsene om sikkerhetsklarering og autorisasjon i og i medhold av domstolloven og straffeprosessloven. Kongen kan fastsette ytterligere særregler.

Loven gjelder ikke for Stortinget, Riksrevisjonen, Stortingets ombudsmann for forvaltningen og andre organer for Stortinget.

Loven gjelder for Svalbard og Jan Mayen i den utstrekning Kongen bestemmer.

I denne lov forstås med:

Departementet har det overordnede ansvar for forebyggende sikkerhetstjeneste. Dette begrenser ikke den enkeltes ansvar og plikter etter bestemmelsene i eller i medhold av loven her.

Departementets utøvende funksjoner ivaretas av Nasjonal sikkerhetsmyndighet.

Enhver virksomhet plikter å utøve forebyggende sikkerhetstjeneste i henhold til bestemmelsene gitt i eller i medhold av loven her.

Virksomheten skal

Ansvaret påhviler lederen for virksomheten. Dersom utøvende funksjoner delegeres internt i virksomheten, skal dette gjøres skriftlig.

Alt ansatt eller engasjert personell har i sitt arbeid eller oppdrag for virksomheten ansvar for å ivareta sikkerhetsmessige hensyn, og plikter å bidra til forebyggende sikkerhetstjeneste.

Nærmere bestemmelser gis av Nasjonal sikkerhetsmyndighet.

Når utøvelse av forebyggende sikkerhetstjeneste etter eller i medhold av loven her overlates til den ansvarliges skjønn, skal det ikke nyttes mer inngripende midler og metoder enn det som fremstår som nødvendig i forhold til den aktuelle sikkerhetsrisiko og omstendighetene for øvrig.

Ved utøvelse av forebyggende sikkerhetstjeneste skal det særlig tas hensyn til den enkeltes rettssikkerhet.

Kongen gir bestemmelser om nasjonalt, regionalt og lokalt samarbeid om forebyggende sikkerhetstjeneste.

Nasjonal sikkerhetsmyndighet skal koordinere de forebyggende sikkerhetstiltak og kontrollere sikkerhetstilstanden. Nasjonal sikkerhetsmyndighet er også utøvende organ i forholdet til andre land og internasjonale organisasjoner.

Nasjonal sikkerhetsmyndighet skal

Kongen kan gi nærmere bestemmelser om Nasjonal sikkerhetsmyndighets utøvelse av oppgavene.

Så langt det er nødvendig for å gjennomføre kontrolloppgavene i eller i medhold av loven her, skal Nasjonal sikkerhetsmyndighet gis uhindret adgang til ethvert område hvor skjermingsverdig informasjon eller objekt befinner seg, dersom området eies, brukes eller på annen måte kontrolleres av en virksomhet.

Når informasjon må beskyttes av sikkerhetsmessige grunner, skal en av følgende sikkerhetsgrader benyttes:

Den som utsteder eller på annen måte tilvirker skjermingsverdig informasjon, skal sørge for at informasjonen merkes med aktuell sikkerhetsgrad. Sikkerhetsgradering skal ikke skje i større utstrekning enn strengt nødvendig, og det skal ikke brukes høyere sikkerhetsgrad enn nødvendig.

Sikkerhetsgradering skal ikke gis virkning for lengre tid enn det som er strengt nødvendig, og graderingen skal senest bortfalle etter 30 år. Nærmere regler om ned- og avgradering gis av Kongen. Kongen kan for særskilte tilfeller fastsette unntak fra 30 års regelen i første punktum.

Kongen kan under forutsetning om gjensidighet treffe overenskomst med fremmed stat eller internasjonal organisasjon om sikkerhetsgradering av mottatt informasjon som er sikkerhetsgradert av vedkommende stat eller internasjonale organisasjon, og om plikt til å treffe tiltak for å sikre slik informasjon.

Enhver som får tilgang til sikkerhetsgradert informasjon som ledd i arbeid, oppdrag eller verv for en virksomhet, plikter å hindre at uvedkommende får kjennskap til informasjonen. Taushetsplikten gjelder også etter at vedkommende har avsluttet arbeidet, oppdraget eller vervet. Sikkerhetsgradert informasjon skal bare overlates til personer som har tjenestlig behov for tilgang til den. Taushetsplikten er likevel ikke til hinder for at sikkerhetsgradert informasjon blir gitt til andre når dette har særskilt hjemmel i lov eller i generell forskrift fastsatt av Kongen.

Kongen gir nærmere regler om håndteringen av sikkerhetsgradert informasjon, herunder om journalisering, oppbevaring, forsendelse og tillintetgjøring. Kongen kan også gi regler om plikt til å legge forholdene til rette for at sikkerhetsgradert informasjon er korrekt, fullstendig og tilgjengelig.

Før skjermingsverdig informasjon behandles, lagres eller transporteres i et informasjonssystem, skal Nasjonal sikkerhetsmyndighet, eller den Nasjonal sikkerhetsmyndighet bemyndiger, godkjenne systemet for angjeldende sikkerhetsgrad.

Nasjonal sikkerhetsmyndighet er sertifiseringsmyndighet for informasjonssystemer som skal håndtere skjermingsverdig informasjon.

Nasjonal sikkerhetsmyndighet kan godkjenne at andre virksomheter utfører tjenester for sikring av informasjonssystemer som skal håndtere skjermingsverdig informasjon.

Nasjonal sikkerhetsmyndighet gir nærmere forskrifter om sikkerhetsmessig godkjenning av informasjonssystemer.

Bare kryptosystemer som er godkjent av Nasjonal sikkerhetsmyndighet, tillates brukt for beskyttelse av skjermingsverdig informasjon.

Nasjonal sikkerhetsmyndighet er nasjonal forvalter av kryptomateriell og leverandør av kryptosikkerhetstjenester til virksomheter. Nasjonal sikkerhetsmyndighet kan likevel godkjenne andre leverandører av kryptosikkerhetstjenester. Disse skal undertegne en særskilt avtale om dette med Nasjonal sikkerhetsmyndighet.

Nasjonal sikkerhetsmyndighet skal godkjenne kryptoalgoritmer som brukes i utstyr som tenkes eksportert.

Nærmere bestemmelser fastsettes av Nasjonal sikkerhetsmyndighet.

En virksomhet kan gi Nasjonal sikkerhetsmyndighet adgang til gjennom monitoring å kontrollere om informasjonssystemer i vedkommende virksomhet lagrer, behandler eller transporterer skjermingsverdig informasjon uten at de er godkjent for dette. Virksomhetens ansatte skal på forhånd ha blitt orientert om kontrollen. Monitoring skal ikke i noe tilfelle omfatte privat kommunikasjon eller kommunikasjon som blir formidlet til eller fra andre enn virksomheter.

En virksomhet kan gi Nasjonal sikkerhetsmyndighet adgang til å forsøke og eventuelt gjennomføre inntrengning i informasjonssystemer som lagrer, behandler eller transporterer skjermingsverdig informasjon, for å kontrollere motstandskraften i systemene. Virksomhetens ansatte skal på forhånd ha blitt orientert om kontrollen.

Informasjon som Nasjonal sikkerhetsmyndighet blir kjent med ved kontrollvirksomhet etter første og annet ledd, skal makuleres når den ikke lenger har betydning for kontrollen.

Kongen gir nærmere bestemmelser, herunder om varsling og gjennomføring av monitoring og inntrengning og om oppbevaring og makulering av informasjon.

Nasjonal sikkerhetsmyndighet, eller den Nasjonal sikkerhetsmyndighet bemyndiger, kan foreta undersøkelser av lokaler, bygninger og andre objekter som eies, brukes eller på annen måte kontrolleres av en virksomhet, i den hensikt å fastslå hvorvidt uvedkommende med eller uten tekniske hjelpemidler kan skaffe seg tilgang til skjermingsverdig informasjon gjennom avtitting, avlytting av tale eller avlesing av elektroniske signaler.

Kongen gir nærmere forskrifter om gjennomføring av tekniske sikkerhetsundersøkelser.

Vedkommende virksomhet plikter å utpeke skjermingsverdige objekter som virksomheten eier eller på annen måte har kontroll over eller fører tilsyn med, og treffe nødvendige forebyggende sikkerhetstiltak for å beskytte skjermingsverdige objekter mot sikkerhetstruende virksomhet.

Kongen gir nærmere bestemmelser om plikt til å beskytte skjermingsverdige objekter. Kongen kan herunder bestemme at det kreves sikkerhetsklarering etter reglene i kapittel 6 for den som vil kunne få tilgang til skjermingsverdig objekt.

Kongen kan under forutsetning om gjensidighet treffe overenskomst med fremmed stat eller internasjonal organisasjon om plikt til å treffe tiltak for å beskytte utenlandske objekter i Norge som anses skjermingsverdige av vedkommende stat eller organisasjon.

Person som vil kunne få tilgang til skjermingsverdig informasjon, skal på forhånd sikkerhetsklareres og ved behov autoriseres.

Sikkerhetsklarering gis særskilt for følgende nasjonale sikkerhetsgrader, eventuelt for tilsvarende sikkerhetsgrader i NATO eller annen internasjonal organisasjon:

Tilgang til informasjon sikkerhetsgradert BEGRENSET krever ikke sikkerhetsklarering, men vedkommende skal være autorisert.

Personkontroll iverksettes etter anmodning fra autorisasjonsansvarlig, med mindre annet er bestemt av Nasjonal sikkerhetsmyndighet.

Personkontroll skal ikke finne sted uten at den som skal sikkerhetsklareres er gjort oppmerksom på og har samtykket i at slik kontroll vil bli foretatt. Personkontroll skal alltid omfatte opplysninger gitt av vedkommende selv. Vedkommende plikter å gi fullstendige opplysninger om forhold som antas å kunne være av betydning for vurderingen av sikkerhetsmessig skikkethet etter § 21.

Ved sikkerhetsklarering for HEMMELIG/tilsvarende eller høyere sikkerhetsgrader, og i andre særlige tilfeller, kan personkontroll gjennomføres for nærstående personer som er knyttet til vedkommende ved familiebånd.

For øvrig skal kontrollen omfatte opplysninger som vedkommende klareringsmyndighet selv sitter inne med og avlesing av relevante offentlige registre, jfr femte ledd første punktum. Registeransvarlig plikter å utlevere registeropplysninger uten hinder av taushetsplikt. Registeropplysninger skal meddeles skriftlig. Kontrollen kan også omfatte andre kilder, herunder uttalelser fra tjenestesteder eller arbeidsplasser, offentlige myndigheter eller oppgitte eller supplerende referanser. Personkontrollopplysninger skal gis vederlagsfritt til klareringsmyndigheten.

Kongen bestemmer hvilke registre som er relevante for personkontroll. Kongen gir også bestemmelser om fremgangsmåten ved registerundersøkelser i utlandet og om utlevering av opplysninger i forbindelse med andre lands myndigheters tilsvarende personkontroll. Under ingen omstendighet skal det innhentes, registreres eller videreformidles opplysninger om politisk engasjement som omfattes av § 21 annet ledd.

Opplysninger som er gitt klareringsmyndigheten i forbindelse med personkontroll, skal ikke benyttes til andre formål enn vurdering av sikkerhetsklarering. Autorisasjonsansvarlig kan likevel meddeles slike opplysninger dersom dette anses påkrevet av hensyn til den sikkerhetsmessige ledelse og kontroll av vedkommende.

Sikkerhetsklarering skal bare gis eller opprettholdes dersom det ikke foreligger rimelig tvil om vedkommendes sikkerhetsmessige skikkethet. Ved avgjørelse om sikkerhetsmessig skikkethet skal det bare legges vekt på forhold som er relevante for å vurdere vedkommendes pålitelighet, lojalitet og sunne dømmekraft i forhold til behandling av skjermingsverdig informasjon. Opplysninger om følgende forhold kan tillegges betydning:

Politisk engasjement, herunder medlemskap i, sympati med eller aktivitet for lovlige politiske partier eller organisasjoner og annet lovlig samfunnsengasjement, skal ikke ha betydning for vurdering av en persons sikkerhetsmessige skikkethet.

Klareringsavgjørelser skal baseres på en konkret og individuell helhetsvurdering av de foreliggende opplysninger. Klareringsmyndigheten skal søke å avklare uklare forhold, eventuelt gjennom å avholde sikkerhetssamtale.

Negative opplysninger om nærstående personer, jfr § 20 tredje ledd, skal bare tas i betraktning dersom det antas at nærståendes forhold vil kunne påvirke vedkommendes sikkerhetsmessige skikkethet.

Utenlandske statsborgere skal normalt ikke gis sikkerhetsklarering. Foreligger det et særlig behov for å gi utenlandsk statsborger tilgang til skjermingsverdig informasjon, kan klarering likevel gis. Sikkerhetsklarering skal i slike tilfeller bare gis etter at uttalelse fra Nasjonal sikkerhetsmyndighet er innhentet.

Nærmere regler om sikkerhetsklarering av utenlandske statsborgere fastsettes av Kongen.

Hvert enkelt departement er klareringsmyndighet for personell innen sitt myndighetsområde. Departementet kan i særlige tilfeller delegere klareringsmyndighet til underlagte virksomheter som har et stort klareringsbehov.

I forbindelse med sikkerhetsgraderte anskaffelser foretatt av vedkommende departement eller underliggende etat eller institusjon, er departementet klareringsmyndighet for personell ansatt hos eller engasjert av leverandøren. Departementet kan delegere myndigheten til anskaffelsesmyndighet som har fått delegert klareringsmyndighet etter første ledd annet punktum.

Kongen bestemmer hvem som skal være klareringsmyndighet for øvrige virksomheter, herunder for beredskapspersonell i fylkeskommunene, kommunene og organer eller virksomheter med beredskapsmessig tilknytning til disse.

Sikkerhetsklarering av utenlandske statsborgere kan bare gis av vedkommende departement. Sikkerhetsklarering for COSMIC TOP SECRET/tilsvarende kan bare gis av Nasjonal sikkerhetsmyndighet.

Autorisasjon kan gis dersom autorisasjonsansvarlig ikke har opplysninger som gjør det tvilsomt om vedkommende sikkerhetsmessig er til å stole på. Autorisasjon gis normalt av virksomhetens leder. Autorisasjon skal ikke gis før det foreligger melding om sikkerhetsklarering, med unntak for de tilfeller som er beskrevet i § 19 tredje ledd, og sikkerhetssamtale er avholdt. Nasjonal sikkerhetsmyndighet gir nærmere regler om autorisasjon og om hvem som er autorisasjonsansvarlig.

Sikkerhetsklarert og autorisert personell skal holde autorisasjonsansvarlig orientert om forhold som antas å kunne være av betydning for vedkommendes sikkerhetsmessige skikkethet.

Fremkommer det opplysninger som reiser tvil om en sikkerhetsklarert persons sikkerhetsmessige skikkethet, skal klareringsmyndigheten vurdere å tilbakekalle eller nedsette klareringen, eller suspendere klareringen og iverksette nærmere undersøkelser for å avklare forholdet.

Er en sikkerhetsklarering besluttet tilbakekalt, nedsatt eller suspendert, skal begrunnet melding om dette sendes til Nasjonal sikkerhetsmyndighet. Autorisasjonsansvarlig skal varsles umiddelbart.

Autorisasjon bortfaller automatisk

Får autorisasjonsansvarlig opplysninger som gir grunn til tvil om en autorisert person fortsatt kan anses sikkerhetsmessig skikket, skal autorisasjonen vurderes tilbakekalt, nedsatt eller suspendert. Avgjørelse om dette skal innberettes til vedkommende klareringsmyndighet.

Nasjonal sikkerhetsmyndighet fastsetter generell gyldighetstid for sikkerhetsklareringer.

Forvaltningsloven kapittel IV til VI gjelder ikke for avgjørelser om sikkerhetsklarering eller autorisasjon.

Den som har vært vurdert sikkerhetsklarert, har rett til å bli gjort kjent med resultatet. Ved negative avgjørelser skal resultatet uoppfordret gjøres kjent for vedkommende. Ved underretning om negativ avgjørelse skal det opplyses om retten til å anmode om begrunnelse og om klageadgangen.

Anmodning om begrunnelse for avgjørelse om sikkerhetsklarering sendes klareringsmyndigheten. Klareringsmyndigheten skal innhente uttalelse fra Nasjonal sikkerhetsmyndighet før begrunnelse kan gis. Begrunnelse skal gis, med mindre person- eller kildevernmessige hensyn eller hensynet til beskyttelse av skjermingsverdig informasjon er til hinder for dette.

Klage på avgjørelse om sikkerhetsklarering sendes vedkommende klareringsmyndighet. Nasjonal sikkerhetsmyndighet er klageinstans. Departementet er klageinstans for klareringsavgjørelser truffet av Nasjonal sikkerhetsmyndighet i første instans.

Kongen kan gi forskrifter om opprettelse av et sentralt register for klareringsavgjørelser.

Nasjonal sikkerhetsmyndighet fastsetter utfyllende bestemmelser om personellsikkerhet, herunder om

Ved sikkerhetsgraderte anskaffelser skal det inngås en sikkerhetsavtale mellom anskaffelsesmyndigheten og leverandøren. Sikkerhetsavtale skal være inngått før leverandøren kan få tilgang til skjermingsverdig informasjon. Sikkerhetsavtale med utenlandske leverandører kan bare inngås etter godkjenning av Nasjonal sikkerhetsmyndighet. Nasjonal sikkerhetsmyndighet kan bestemme at sikkerhetsavtale også skal inngås dersom leverandøren vil kunne få tilgang til skjermingsverdig objekt eller dersom det av andre grunner er nødvendig å sikkerhetsgradere anskaffelsen.

Sikkerhetsavtalen skal fastsette nærmere detaljer om ansvar og plikter etter bestemmelsene i og medhold av loven her, herunder om

Utgifter eller krav leverandøren måtte ha for å oppfylle bestemmelsene i eller i medhold av loven her og inngått sikkerhetsavtale, er anskaffelsesmyndigheten og Nasjonal sikkerhetsmyndighet uvedkommende, med mindre annet er uttrykkelig avtalt i sikkerhetsavtalen.

Før en leverandør kan få tilgang til skjermingsverdig informasjon sikkerhetsgradert KONFIDENSIELT eller høyere, eller dersom det av andre grunner anses nødvendig, skal leverandøren ha gyldig leverandørklarering for angitt sikkerhetsgrad. Leverandørklareringen gjelder for det enkelte oppdrag. Nasjonal sikkerhetsmyndighet er klareringsmyndighet.

Leverandørklarering skal ikke gis dersom det foreligger rimelig tvil om leverandørens sikkerhetsmessige skikkethet. Ved avgjørelse om sikkerhetsmessig skikkethet skal det bare legges vekt på forhold som er relevante for å vurdere leverandørens evne og vilje til å utøve forebyggende sikkerhetstjeneste etter bestemmelsene i eller i medhold av loven her. I vurderingen skal inngå personkontroll av personer i leverandørens styre og ledelse.

Leverandøren skal gi alle opplysninger som antas å kunne være av betydning for klareringsspørsmålet.

Leverandøren skal uten ugrunnet opphold orientere Nasjonal sikkerhetsmyndighet om endringer i styre eller ledelse, forandringer i eierstrukturen, flytting av lokaliteter og utstyr, åpning av gjeldsforhandling eller begjæring om konkurs og andre forhold som kan ha betydning for leverandørens sikkerhetsmessige skikkethet. Anses slike forhold å representere en sikkerhetsrisiko og risikoen ikke kan elimineres gjennom å utøve forebyggende sikkerhetstjeneste, kan Nasjonal sikkerhetsmyndighet inndra leverandørklareringen. Skjermingsverdig informasjon eller objekt kan ikke overføres til ny eier eller inngå i bobehandling ved gjeldsforhandling eller konkurs, med mindre Nasjonal sikkerhetsmyndighet har samtykket til dette.

For øvrig gjelder reglene i kapittel 6, herunder reglene om begrunnelse og klage, tilsvarende så langt de passer.

Kongen kan gi utfyllende bestemmelser om sikkerhetsgraderte anskaffelser, samt fastsette særskilte regler for gjennomføring av internasjonale sikkerhetsgraderte anskaffelser.

Forebyggende sikkerhetstjeneste i medhold av loven her er underlagt kontroll og tilsyn av Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjeneste, i samsvar med bestemmelsene i og i medhold av lov 3 februar 1995 nr 7 om kontroll med etterretnings-, overvåkings- og sikkerhetstjeneste.

Kongen kan etablere særskilte ordninger for å kontrollere og føre tilsyn med Nasjonal sikkerhetsmyndighet og andre virksomheters forebyggende sikkerhetstjeneste, i den hensikt å påse at utøvelsen holdes innen rammen av gjeldende lov, adminstrative eller militære direktiver og ulovfestet rett, eller for å sørge for at rettssikkerhetsmessige og andre hensyn ivaretas.

Den som forsettlig eller uaktsomt overtrer bestemmelser gitt i eller i medhold av §§ 5, 10, 12 annet ledd, 13 første og fjerde ledd, 14 første, tredje og fjerde ledd og 17 i loven her, eller overtrer pålegg gitt av Nasjonal sikkerhetsmyndighet i medhold av § 9 første ledd bokstav c i loven her, straffes med bøter eller fengsel inntil seks måneder, hvis ikke forholdet går inn under en strengere straffebestemmelse. Medvirkning straffes tilsvarende.

Den som forsettlig eller grovt uaktsomt overtrer § 11 annet ledd første punktum i loven her, straffes med bøter eller fengsel inntil seks måneder, hvis ikke forholdet går inn under en strengere straffebestemmelse.

Den som forsettlig eller grovt uaktsomt krenker taushetsplikt etter § 12 første ledd, straffes med bøter eller fengsel inntil ett år, hvis ikke forholdet går inn under en strengere straffebestemmelse.

Denne lov trer i kraft fra den tid Kongen bestemmer.

Fra den tiden loven trer i kraft gjøres følgende endringer i andre lover:

I saker hvor det blir gitt opplysninger som etter sikkerhetsloven bare kan gjøres kjent for personer som er særskilt autorisert, skal det alene delta dommere som er autorisert for den aktuelle beskyttelsesgrad.

I saker hvor det vil bli gitt opplysninger som etter sikkerhetsloven bare kan gjøres kjent for personer som er særskilt autorisert, skal det alene delta dommere som er autorisert for den aktuelle beskyttelsesgrad.

Lagrettemedlemmer og meddommere som skal delta i sak hvor det vil bli gitt opplysninger som etter sikkerhetsloven bare kan gjøres kjent for personer som er særskilt autorisert skal forbigås dersom de ikke kan autoriseres for den aktuelle beskyttelsesgrad.

Kongen gir nærmere regler om hvordan retten skal gå fram ved oppnevning av offentlig forsvarer i saker hvor det vil bli gitt opplysninger som etter sikkerhetsloven bare kan gjøres kjent for personer som er særskilt autorisert.

Kongen gir nærmere regler om hvordan retten skal gå fram ved oppnevning av sakkyndige i saker hvor det vil bli gitt opplysninger som etter sikkerhetsloven bare kan gjøres kjent for personer som er særskilt autorisert.