Utvalgte hurtiglenker

    Proposisjoner til Stortinget

    Prop. 129 L (2011–2012)

    Endringer i sivilbeskyttelsesloven (gjennomføring av EPCIP-direktivet)

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    3 Identifisering og utpeking av europeisk kritisk infrastruktur

    3.1 Direktivets krav

    Artikkel 3 Identifisering av europeisk kritisk infrastruktur

    EPCIP-direktivet artikkel 3 pålegger EØS-statene å identifisere potensiell europeisk kritisk infrastruktur (EKI) som både tilfredsstiller de sektorovergripende og sektorspesifikke kriteriene og definisjonen av EKI som oppstilles i direktivets artikkel 2 bokstav a og b. Med ”kritisk infrastruktur” menes anlegg, systemer eller deler av slike som er nødvendige for å opprettholde sentrale funksjoner, menneskers helse, sikkerhet, trygghet og økonomiske eller sosiale velferd, og hvor driftsforstyrrelse eller ødeleggelse av disse vil kunne få betydelige konsekvenser, jf. direktivets artikkel 2 bokstav a.

    Med ”europeisk kritisk infrastruktur” menes kritisk infrastruktur hvis driftsforstyrrelse eller ødeleggelse vil kunne få betydelige konsekvenser for to eller flere EØS-stater. Det foreligger med andre ord krav om et grenseoverskridende element.

    De sektorbaserte kriteriene tar hensyn til de særlige kjennetegn for de enkelte sektorer av europeisk kritisk infrastruktur, jf. artikkel 3 nr. 2. Disse kriteriene er graderte, men skal være tilgjengelig for den aktuelle sektor.

    De sektorovergripende kriteriene som skal brukes for identifisering av europeisk kritisk infrastruktur følger av direktivets artikkel 3 nr. 2 og omfatter følgende:

    • ”Forulykkede-kriteriet” (en vurdering av det potensielle antall omkomne eller sårede),

    • ”økonomisk effekt - kriteriet” (en vurdering av størrelsen på det økonomiske tapet og/eller forringelse av varer og tjenester, herunder potensielle miljømessige konsekvenser) og

    • ”allmenne konsekvenser – kriteriet” (en vurdering av konsekvensene med hensyn til befolkningens tillit, fysiske lidelser og forstyrrelser av dagliglivet, herunder bortfall av vesentlige tjenester).

    Det følger av direktivets artikkel 3 (1) at identifisering av EKI skal følge fremgangsmåten i direktivets vedlegg III. Identifiseringsprosessen består av fire trinn. En mulig europeisk kritisk infrastruktur som ikke oppfyller kravene i ett av trinnene, anses ikke som europeisk kritisk infrastruktur. En mulig EKI som oppfyller kravene, skal gjennomgå de neste trinnene i fremgangsmåten.

    Trinn 1: Hver EØS-stat skal anvende de sektorbaserte kriteriene for å foreta en første utvelgelse av kritisk infrastruktur i en sektor.

    Trinn 2: Hver EØS-stat skal anvende definisjonen av kritisk infrastruktur i henhold til artikkel 2 bokstav a) på en mulig europeisk kritisk infrastruktur identifisert i trinn 1. Betydningen av følgene vil bli fastslått enten ved hjelp av nasjonale metoder for å identifisere kritisk infrastruktur, eller ved henvisning til sektorovergripende kriterier, på et egnet nasjonalt plan. Når det gjelder infrastruktur som leverer en viktig tjeneste, vil det bli tatt hensyn til tilgjengelige alternativer og til varigheten av driftsavbruddet/gjenopprettingen.

    Trinn 3: Hver EØS-stat skal anvende det grenseoverskridende elementet i definisjonen av europeisk kritisk infrastruktur som har oppfylt kravene i de første to trinnene i denne fremgangsmåten. En mulig europeisk kritisk infrastruktur som oppfyller definisjonen, skal gjennom det neste trinnet i fremgangsmåten. Når det gjelder infrastruktur som leverer en viktig tjeneste, skal det i vurderingen tas hensyn til tilgjengelige alternativer og til varigheten av driftsavbruddet/gjenopprettingen.

    Trinn 4: Hver EØS-stat skal anvende de sektorovergripende kriteriene på gjenstående mulig europeisk kritisk infrastruktur. De sektorovergripende kriteriene skal ta hensyn til: hvor alvorlig følgene er, og når det gjelder infrastruktur som leverer en viktig tjeneste skal det vurderes tilgjengelige alternativer samt varigheten av driftsavbruddet/gjenopprettingen. En mulig europeisk kritisk infrastruktur som ikke oppfyller de sektorovergripende kriteriene, skal ikke anses som europeisk kritisk infrastruktur. En mulig europeisk kritisk infrastruktur som har gjennomgått denne fremgangsmåten, skal bare meddeles til de EØS-stater som kan bli betydelig berørt av denne infrastrukturen.

    EØS-statene skal hvert år underrette Kommisjonen – eller EFTAs overvåkningsorgan (ESA) for Norges vedkommende – om antall infrastrukturer pr. sektor som har vært gjenstand for drøftelser med hensyn til terskelverdiene for de sektorovergripende kriteriene.

    Det legges opp til at Kommisjonen i samarbeid med medlemsstatene utarbeider retningslinjer for anvendelse av de sektorbaserte og sektorovergripende kriteriene og de omtrentlige grenseverdiene som skal brukes til å identifisere europeisk kritisk infrastruktur. Det er opp til EØS-statene selv om de ønsker å anvende disse retningslinjene.

    Artikkel 4 Utpeking av europeisk kritisk infrastruktur

    Det følger av direktivets artikkel 4 nr. 1 at hver EØS-stat skal underrette de øvrige EØS-statene som kan bli betydelig påvirket av en potensiell europeisk kritisk infrastruktur (EKI) om dens identitet samt om årsakene til å utpeke denne som potensiell EKI. Hver enkelt EØS-stat som har potensiell EKI på sitt territorium, skal innlede bilaterale og/eller multilaterale drøftelser med de øvrige EØS-statene som kan bli betydelig påvirket av den potensielle EKI.

    Kommisjonen (ESA for Norges del) kan delta i disse diskusjonene, men har ikke tilgang til detaljerte opplysninger som vil muliggjøre en utvetydig identifisering av en bestemt infrastruktur. En EØS-stat som har grunn til å tro at den kan bli betydelig påvirket av en mulig EKI, men som ikke er identifisert som sådan av den EØS-stat på hvis territorium denne infrastrukturen befinner seg, kan underrette Kommisjonen/ESA om at den ønsker å delta i bilaterale og/eller multilaterale drøftinger om saken. Kommisjonen/ESA skal uten opphold formidle dette ønsket til den EØS-stat på hvis territorium den mulige EKI befinner seg, og bestrebe seg på å fremme en avtale mellom partene.

    En EØS-stat som har en potensiell EKI på sitt territorium utpeker denne som EKI på grunnlag av en avtale med de EØS-statene som kan bli berørt i betydelig grad. For at en infrastruktur skal kunne bli utpekt som EKI, er det nødvendig med aksept fra den EØS-stat hvis territorium den befinner seg på, jf. direktivets artikkel 4 nr. 3.

    Det følger av artikkel 4 (4) at EØS- stater som identifiserer og utpeker EKI innen sitt område hvert år skal underrette Kommisjonen/ ESA om antall utpekte EKI per sektor og antall EØS-stater som er avhengig av hver utpekte EKI. Det er kun generisk informasjon om antall EKI som skal sendes Kommisjonen/ESA; ikke informasjon som kan identifisere den enkelte EKI. Det er kun de EØS-stater som kan bli berørt i betydelig grad av en EKI som skal få kjennskap til dens identitet. Videre skal EØS-stater med utpekt EKI i følge direktivets artikkel 4 nr. 5 underrette eieren/operatøren av infrastrukturen om dens utpeking som EKI. Opplysninger om utpeking av infrastruktur som EKI skal sikkerhetsklassifiseres på et passende nivå.

    Prosessen med å identifisere og utpeke EKI, jf. direktivets artikkel 3 og 4, skal være fullført senest 12. januar 2011 og skal jevnlig tas opp til revisjon, jf. direktivets artikkel 4 nr. 6.

    3.2 Gjeldende rett

    I norsk rett har vi ikke bestemmelser som gjelder identifisering og utpeking av europeisk kritisk infrastruktur.

    Lov 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste (sikkerhetsloven)har bestemmelser om virksomheters plikter til å beskytte skjermingsverdige objekter (objektsikkerhet). Loven gjelder som hovedregel kun for forvaltningsorganer eller rettssubjekt som er leverandør av varer eller tjenester til et forvaltningsorgan i forbindelse med en sikkerhetsgradert anskaffelse. Det gis en åpning for at loven, etter bestemmelser gitt av Kongen, kan gjøres gjeldende for andre rettssubjekt på visse vilkår.

    Vedkommende virksomhet som omfattes av sikkerhetsloven plikter å utpeke skjermingsverdige objekter som virksomheten eier eller på annen måte har kontroll over eller fører tilsyn med, og treffe nødvendige forebyggende sikkerhetstiltak for å beskytte skjermingsverdige objekter mot sikkerhetstruende virksomhet. Objektsikkerhetsreglene omfatter nasjonale objekter.

    I §§ 17 flg. gis det bestemmelser om utvelgelse, klassifisering og beskyttelse av nasjonale skjermingsverdige objekt.

    Med skjermingsverdige objekt etter sikkerhetsloven menes eiendom som må beskyttes av hensyn til rikets eller alliertes sikkerhet eller andre vitale nasjonale sikkerhetsinteresser, jf. sikkerhetsloven § 3 nr. 12. Objektsikkerhetsreglene i sikkerhetsloven omfatter kun nasjonale skjermingsverdige objekter og gir ikke bestemmelser for europeisk kritisk infrastruktur (EKI). Skjermingsverdige objekter kan også være europeisk kritisk infrastruktur hvis kriteriene oppfylles, men det kan også tenkes tilfeller hvor det kan utpekes en europeisk kritisk infrastruktur uten at det er et skjermingsverdig objekt.

    Utvelgelsen av objekter skal skje på grunnlag av en skadevurdering, hvor det er fire forhold som anses som særskilt viktige å ta hensyn til: betydning for sikkerhetspolitisk krisehåndtering og forsvar av riket, betydning for kritiske funksjoner for det sivile samfunn, symbolverdi og mulighet for å utgjøre en fare for miljøet eller befolkningens liv og helse.

    Sikkerhetsloven § 17 første ledd fastsetter at vedkommende departement plikter å utpeke skjermingsverdige objekter som virksomheten eier eller på annen måte har kontroll over eller fører tilsyn med. Objekteier plikter overfor departementet å foreslå hvilke objekter som er skjermingsverdige.

    Identifiserings- og utvelgelsesprosessen ligner i stor grad på den prosessen som foretas i forhold til utpeking og identifisering av europeisk kritisk infrastruktur etter EPCIP-direktivet. Det er imidlertid en større forskjell på utvelgelse av skjermingsverdige objekter og utpeking av EKI når det gjelder de ulike tiltak som skal iverksettes. Sikkerhetsloven opererer med ulike graderingsnivå på objektene og differensiering av sikkerhetstiltak ut fra antatte skadefølger. Sikkerhetstiltakene etter sikkerhetsloven består av en kombinasjon av barrierer, deteksjon, verifikasjon og reaksjon. Videre skal sikkerhetstiltakene ta sikte på å redusere muligheten for etterretningsaktiviteter mot objektet. I EPCIP-direktivet består sikringen av utpekt EKI i å opprette visse stillingskategorier og rapporteringsrutiner. EPCIP-direktivet skiller heller ikke mellom ulike sikringstiltak for de utpekte objektene. Sikkerhetsloven retter oppmerksomheten mot sikkerhetstruende hendelser mens EPCIP-direktivet omfatter både tilsiktede og utilsiktede hendelser.

    3.3 Forslaget i høringsbrevet

    Når det gjelder identifisering og utpeking av europeisk kritisk infrastruktur (EKI) foreslo departementet i høringsbrevet å følge det alminnelige sektoransvarsprinsippet med å plassere ansvaret for utpeking av EKI på hvert enkelt departement innen deres myndighetsområde. Dette vil gi en enhetlig og helhetlig tilnærming samt gjøre det enklere for pliktsubjektene å forholde seg til regelverket. I de tilfeller der det er et privat rettssubjekt som eier eller råder over EKI, vil ansvaret etter departementets vurdering måtte påhvile det departement som forvalter vedkommende område der virksomheten er tilknyttet. Objekteier plikter imidlertid å foreslå overfor sitt respektive departement hvilke av virksomhetens egne objekter som bør utpekes som EKI. Det legges således til grunn at den som eier eller råder over EKI skal ta aktivt del i identifiseringen. Dette er også i tråd med EPCIP-direktivets forutsetning om ”full private sector involvement” (jf. direktivets fortale punkt 8).

    Det departementet som har en potensiell EKI utpeker den som EKI på grunnlag av en avtale med de medlemsstatene som kan bli berørt i betydelig grad. Departementet skal videre informere objekteier eller operatør om utpekingen av EKI.

    3.4 Høringsinstansenes syn

    Nasjonal sikkerhetsmyndighet(NSM) peker på at verken forslaget eller merknadene berører forholdet til sikkerhetsloven § 17. Det fremstår således som det her må gjennomføres to separate utvelgelsesprosesser. Det påpekes også at forholdet mellom tilsynsmyndighetene etter de to regimene (vår merknad: sikkerhetsloven og sivilbeskyttelsesloven) ikke synes å være tilstrekkelig avklart eller koordinert. Dette er av stor betydning for å unngå at brukerne må forholde seg til flere tilsynsregimer vedrørende samme forhold.

    NSM påpeker videre at sivilbeskyttelseslovens formål, slik dette fremgår av endringsforslaget § 1, er begrenset til beskyttelse av kritisk infrastruktur ved bruk av ikke-militær makt. De reiser spørsmål om dette medfører at militære styrker ikke kan benyttes til å sikre EKI utpekt etter sivilbeskyttelsesloven. De reiser også spørsmål om EKI vil være avskåret fra å bli utpekt som nøkkelpunkter i henhold til nøkkelpunktdirektivet.

    Forsvarsdepartementet (FD) legger til grunn at lovforslaget ikke vil berøre nøkkelpunktprosessen i Forsvaret, og at verken Justisdepartementet eller Direktoratet for samfunnssikkerhet og beredskap vil ha en koordinerende rolle eller tilsynsrolle i forhold til militær infrastruktur eller militære tiltak for å sikre militære mål (sivil og militær infrastruktur) i væpnet konflikt.

    OLF spør om hvem som skal definere “akseptabel tidsperiode i § 24 a.

    Samferdselsdepartementet (SD) påpeker at i sivilbeskyttelsesloven § 36 er det “Sivilforsvarets myndigheter“ og “tilsynsmyndigheten” som kan ilegge overtredelsesgebyr, også når det gjelder plikter for eksempel knyttet til operatørsikkerhetsplaner og sikkerhetskontakt. SD ber departementet vurdere om loven er utformet hensiktsmessig med hensyn til det sektoransvaret som forutsettes for oppfølging av direktivet. SD peker også på at slik de forstår det, må aktuelle tilsynsmyndigheter innen sektoren etter utkastet til § 36 utpekes etter loven § 29, og at det derfor må fastsettes særlige bestemmelser om dette for at sektortilsyn skal ha vedtakskompetanse etter loven § 36.

    Statnett påpeker at det er en lang tradisjon i Norge for å identifisere og utpeke de mest kritiske anleggene i norsk kraftforsyning og at det i tillegg eksisterer et nordisk samarbeid hvor ulike forhold knyttet til sikkerhet og beredskap blir ivaretatt. Det gjør at det fra Statnett SFs side ikke blir oppfattet å gi noen merverdi å identifisere og utpeke europeisk kritisk infrastruktur for sine anlegg. De forhold som § 24 a er ment å ivareta, er etter Statnetts syn allerede ivaretatt med dagens lovverk og dagens nordiske samarbeid.

    Politidirektoratet mener departementets forslag om å gjennomføre EPCIP-direktivet ved endringer i sivilbeskyttelsesloven synes saklig og godt fundert og har ingen merknader.

    3.5 Departementets vurderinger

    Departementet er enig i at det er likheter mellom utpekingsprosessen etter sikkerhetsloven § 17 og sivilbeskyttelsesloven § 24 a, og berører forholdet til sikkerhetsloven § 17 under pkt. 3.2 gjeldende rett. Det er sannsynlig at en EKI også vil kunne være utpekt som et skjermingsverdig objekt. For objekter som allerede er utpekt som skjermingsverdig objekt vil det derfor være naturlig å bygge videre på den jobben som allerede er gjort med identifisering og utpeking, hvor en utpeking som EKI blir et “trinn to” i prosessen, hvor det kommer inn en del tilleggsmomenter som skal vurderes. Det er imidlertid viktig at identifisering og utpeking av EKI oppfyller direktivets krav til identifiseringsprosess. Objektsikkerhetsregelverket gjelder kun nasjonale skjermingsverdige objekter, mens EPCIP-direktivet gjelder for grenseoverskridende kritisk infrastruktur. Hovedfokus ved utpeking av EKI vil derfor være det grenseoverskridende elementet. På denne bakgrunn blir både identifiseringen og utpekingen nokså forskjellige da EPCIP-direktivet stiller mye strengere krav til at en infrastruktur skal kunne utpekes som EKI. Som det også fremgår under pkt. 3.2 er sikringstiltakene for skjermingsverdige objekter mye strengere. Utpekt EKI skal oppfylle sektorspesifikke kriterier som gjelder for den aktuelle infrastrukturen, i tillegg til sektorovergripende kriterier.

    Det er sektormyndighetene som skal stå for utpeking og identifisering av europeisk kritisk infrastruktur (EKI), samt føre tilsyn. For å unngå at det i etterkant blir nødvendig å foreta en ny utpeking av tilsynsmyndigheter i sivilbeskyttelsesloven foreslår departementet et nytt ledd i sivilbeskyttelsesloven § 29 som sier at tilsynsorganer med ansvar i den aktuelle sektor skal føre tilsyn etter §§ 24 a-d. Det skal ikke etableres noe “nytt tilsynsregime”. I henhold til objektsikkerhetsregelverket er det også sektortilsynene som fører tilsyn. Det vil derfor være samme myndighet som fører tilsyn etter både objektsikkerhetsregelverket og bestemmelsene om europeisk kritisk infrastruktur i sivilbeskyttelsesloven. I sivilbeskyttelsesloven gis “Sivilforsvarets myndigheter” eller “tilsynsmyndigheten” hjemmel til å ilegge overtredelsesgebyr. Sektortilsynene vil fanges opp under begrepet “tilsynsmyndigheten”. Departementet presiserer i merknadene til § 36 at når det gjelder EKI vil det være sektormyndigheten i den aktuelle sektor som har myndighet til å ilegge overtredelsesgebyr.

    Forsvarsdepartementet har stilt spørsmål vedrørende bruk av militære styrker og forholdet til nøkkelpunktdirektivet. Departementet vil påpeke at EPCIP direktivet i seg selv ikke gir bestemmelser om beskyttelse av objekter ved bruk av militære styrker. Direktivet favner under området “Civil protection” (sivil beskyttelse). Dersom Norge kommer i en situasjon hvor bruk av militær makt er nødvendig for å beskytte en EKI vil vi måtte søke hjemmel for dette i annen relevant lovgivning eller avtale. Innlemmelse av EPCIP direktivet i sivilbeskyttelsesloven vil ikke være til hinder for bruk av militær makt, så fremt det finnes hjemmel for dette i annen lovgivning eller internasjonale avtaler. Det er heller ingenting som avskjærer en EKI fra å kunne bli utpekt som et nøkkelpunkt i henhold til nøkkelpunktdirektivet i Forsvaret, så fremt objektet fyller kriteriene for det.

    En høringsinstans har stilt spørsmål om hvem som definerer «akseptabel tidsperiode» i lovforslaget § 24 a. Hva som er «akseptabel tidsperiode» vil være avhengig av hvilken type tjeneste som leveres. Noen tjenester vil være mer kritiske enn andre, slik at “akseptabel tidsperiode” vil kunne variere fra tjeneste til tjeneste.

    Statnett peker på at det eksisterer en del sektorlovgivning som gir tilsvarende krav som direktivet, og at en del lovgivning stiller strengere krav enn direktivet. Departementet er enig i dette, og presiserer at lovforslaget ikke skal erstatte lovgivning som allerede stiller tilfredsstillende krav. Der annen lovgivning stiller strengere krav skal selvsagt dette følges. Som departementet nevner i kap. 2.2 finnes det en del spredte krav i sektorlovgivningen som kan brukes til å beskytte nasjonal kritisk infrastruktur, og at disse bestemmelsene på noen områder kan oppfylle bestemmelsene i direktivet. Departementet vil likevel påpeke at EPCIP-samarbeidet er europeisk og favner videre enn det nordiske samarbeid som Statnett refererer til. I direktivets fortale pkt. 8 vises det også til at de forskjellige sektorer har særlig erfaring, ekspertise og særlige krav hva angår beskyttelse av kritisk infrastruktur, og det på denne bakgrunn bør utvikles en felleskapsstrategi som skal gjennomføres med hensyn til sektorenes karakteristikk og eksisterende sektorbaserte ordninger. I direktivets fortale pkt. 10 vises det videre til at for å unngå unødig dobbeltarbeid bør den enkelte medlemsstat først vurdere hvorvidt eier eller operatør av utpekt EKI har relevante sikkerhetsplaner for operatører eller lignende. Dette formålet er ivaretatt i lovteksten.

    Departementet vil videre påpeke at de funksjoner Kommisjonen er gitt i henhold til artikkel 4 (2) i forhold til EFTA statene skal utøves av EFTA Surveillance Authority (ESA). Dette betyr at dersom en EFTA stat og en EU medlemsstat ønsker å delta i diskusjoner vedrørende denne artikkelen skal det adresseres til ESA og Kommisjonen. Hvis ønske om diskusjon fra en EFTA-stat angår en potensiell EKI som er lokalisert i en EU medlemsstat, skal ESA kommunisere dette til Kommisjonen som skal ta kontakt med den aktuelle medlemsstat. Hvis ønsket fra en EU medlemsstat angår en potensiell EKI som er lokalisert i en EFTA stat skal Kommisjonen kommunisere dette til ESA. I disse tilfellene skal Kommisjonen og ESA samarbeide om å få til enighet mellom partene.

    Det fremgår av EØS-komiteens beslutning at termen «medlemsstatene» i direktivet skal inkludere EFTA-statene. Det fremgår videre at de oppgaver som er lagt til kommisjonen i artikkel 3(1), 4 (4), 5 (3), andre avsnitt i 3(2) og artikkel 7 (2) for EFTA statene skal bli utført av ESA. Kommisjonen og ESA skal utveksle informasjon som er mottatt fra avtalepartene eller kompetent myndighet.

    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen