Utvalgte hurtiglenker

    Proposisjoner til Stortinget

    Prop. 129 L (2011–2012)

    Endringer i sivilbeskyttelsesloven (gjennomføring av EPCIP-direktivet)

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    6 Rapportering

    6.1 Direktivets krav

    Artikkel 7 Rapportering

    Direktivet pålegger EØS-statene å foreta en vurdering av trusselbildet for den enkelte undersektor av en europeisk kritisk infrastruktur (EKI), eksempelvis innen energisektoren, senest ett år etter at en kritisk infrastruktur innen deres territorier er blitt utpekt som EKI, jf. direktivets artikkel 7 nr. 1. EØS-statene skal hvert annet år kortfattet, rapportere til Kommisjonen/ESA generelle opplysninger om de typer av risiko, trusler og sårbarhet som er påvist i den enkelte sektor der det er utpekt EKI, jf. direktivets artikkel 7 nr. 2. Hver rapport skal graderes på egnet nivå ut fra det EØS-staten finner nødvendig.

    På bakgrunn av rapportene skal Kommisjonen og EØS-statene foreta en sektorvis vurdering av om det bør overveies ytterligere beskyttelsestiltak på fellesskapsnivå for europeisk kritisk infrastruktur, jf. direktivets artikkel 7 nr. 3. Videre kan Kommisjonen, i samarbeid med EØS-statene, utforme felles metodiske retningslinjer for gjennomførelse av risikoanalyser for EKI. EØS-statene kan fritt velge om de vil anvende slike retningslinjer, jf. art 7 nr. 4.

    6.2 Gjeldende rett

    Vi har ingen lover som gir rapporteringsplikt for europeisk kritisk infrastruktur i dag. Etter Rådsdirektiv 96/82/EF av 9. desember 1996 om kontroll med farene for større ulykker med farlige stoffer (Seveso-direktivet) artikkel 19 (4) skal medlemsstatene hvert tredje år rapportere om gjennomføringen av direktivet til Kommisjonen. Rapporteringen omfatter blant annet sikkerhetsrapporter, beredskapsplaner, arealplanlegging, informasjons- og sikkerhetstiltak, forbud og tilsyn med virksomheter som faller inn under direktivet. Denne plikten er ikke tatt inn i storulykkeforskriften som gjennomfører direktivet for øvrig, men det går fram av veiledningen til forskriften at Koordineringsgruppen for storulykkeforskriften skal følge opp Norges internasjonale forpliktelser i henhold til forskriften; herunder også rapporteringsplikten. Denne plikten har likheter med rapporteringsplikten etter EPCIP-direktivet.

    Det finnes også krav om register og rapportering gitt med hjemmel i sikkerhetsloven. Etter objektsikkerhetsforskriften § 2-4 skal det enkelte departement føre register over skjermingsverdige objekter og klassifiseringen av disse innen eget myndighetsområde. Alle skjermingsverdige objekt skal meldes inn til Nasjonal sikkerhetsmyndighet (NSM). Det følger videre av forskrift om sikkerhetsadministrasjon § 5-6 at en virksomhet snarest mulig skal avgi foreløpig rapport til NSM dersom den oppdager sikkerhetstruende hendelser eller sikkerhetsbrudd vedrørende informasjon som er sikkerhetsgradert av utenlandske myndigheter eller internasjonale organisasjoner. NSM skal i samsvar med gjeldende sikkerhetsavtaler avgjøre hvorvidt det skal rapporteres videre til fremmed stat eller internasjonal organisasjon.

    Sikkerhetsloven § 11 gir regler for sikkerhetsgradering av informasjon som må beskyttes av sikkerhetsmessige grunner. Det er den som utsteder eller på annen måte tilvirker skjermingsverdig informasjon som skal sørge for at informasjonen merkes med aktuell sikkerhetsgrad. Sikkerhetsgraderingen skal ikke skje i større utstrekning enn nødvendig og det skal ikke brukes høyere sikkerhetsgrad enn nødvendig. I forslag til ny sivilbeskyttelseslov § 24 d fjerde ledd følger det at departementenes rapportering skal sikkerhetsgraderes etter sikkerhetsloven § 11 i den grad det er nødvendig.

    6.3 Forslaget i høringsbrevet

    Det fremgår av høringsbrevet at plikten i artikkel 7 om rapportering retter seg mot myndighetene, og berører ikke virksomhetene direkte. Rapporteringsplikten kan imidlertid nødvendiggjøre kartlegging og informasjon fra virksomhetenes side. En plikt for virksomhetene til å medvirke til dette, kan bare fastsettes med hjemmel i lov. I lovforslaget fastsettes det en bistandsplikt for virksomhetene slik at rapporteringsplikten kan oppfylles.

    Rapporten skal sendes til den myndighet Kongen utpeker. Kgl.res. 24. juni 2005 gir nærmere retningslinjer for hvordan Direktoratet for samfunnssikkerhet og beredskap (DSB) skal understøtte Justis- og beredskapsdepartementets koordineringsrolle innenfor samfunnssikkerhet og beredskap, herunder arbeidet med sikkerhet i kritisk infrastruktur og kritiske samfunnsfunksjoner. Det blir foreslått at DSB gis en rolle etter direktivets artikkel 7 om å motta generelle rapporter fra departementene om de typer risiko, trusler og sårbarhet som er registrert mot europeisk kritisk infrastruktur (EKI) innenfor sitt område. Justis- og beredskapsdepartementet er ansvarlig myndighet (CIP Contact Point) og vil rapportere videre til ESA/kommisjonen. DSBs rolle som mottaker og videreformidler av rapportene vil styrke direktoratets oversikt over kritisk infrastruktur og bidra til å ivareta direktoratets rolle som et koordinerende organ/tverrfaglig rådgivning innen samfunnssikkerhetsområdet.

    6.4 Høringsinstansenes syn

    Nasjonal sikkerhetsmyndighet(NSM) antar at en del kjerneinformasjon om europeisk kritisk infrastruktur (EKI) etter sitt innhold vil falle inn under sikkerhetsloven § 11. Det vises også til prinsippene nedfelt i objektsikkerhetsforskriften § 3-2 annet ledd samt § 2-4 tredje ledd. Tilsvarende prinsipper bør gis anvendelse også for EKI. Hjemmel vil måtte søkes i sikkerhetsloven. I denne sammenheng vil det kunne oppstå en utfordring knyttet til private eiere av EKI. Sikkerhetsgradert informasjon kan ikke deles med, eller tilvirkes av private rettssubjekter med mindre disse er lagt inn under loven etter vedtak av FD, jf. Sikkerhetsloven § 2.

    NSM mener videre at det bør sikres at rapporteringsprosessene (etter objektsikkerhetsforskriften § 2-4, forskrift om sikkerhetsadministrasjon kap 5 og forslag til ny § 24 d i sivilbeskyttelsesloven)i tilstrekkelig grad er koordinert og harmonisert, slik at dobbeltregulering i størst mulig utstrekning unngås.

    NSM påpeker også at det bør tilrettelegges for at det forberedes sikkerhetstiltak som i nødvendig grad reduserer muligheten for uønsket innhenting av opplysninger om funksjoner og sårbarhet knyttet til EKI.

    Olje- og energidepartementet (OED) er enig i at DSB har et tverrfaglig ansvar innen samfunnssikkerhet, men vil understreke at endringen i sivilbeskyttelsesloven ikke innebærer at DSB får et økt ansvar for kritisk infrastruktur. Bestemmelsen gjelder bare et koordineringsansvar overfor Kommisjonen ved en eventuell utpeking av europeisk kritisk infrastruktur i Norge. De bemerker også at det ikke er i samsvar med DSBs rolle i dag dersom DSB tillegges ansvar og oppgaver som gir grunnlag for å normere risikovurderinger mv. i forbindelse med europeisk kritisk infrastruktur.

    OED påpeker videre at bestemmelsen om at rapportene skal “sikkerhetsgraderes i den grad det er nødvendig” ikke tar hensyn til at det i energisektoren både finnes bestemmelser i damsikkerhetsforskriften og beredskapsforskriften som angir visse typer informasjon som skal anses som sensitiv og er taushetsbelagt.

    Forsvarsdepartementet(FD) legger til grunn at forsvarssektoren ikke med lovforslaget pålegges rapporteringsplikter eller andre plikter (utarbeidelse av sikkerhetsplaner, angivelse av sikkerhetskontakter etc.) i den forbindelse.

    Statnett peker på at de har en rapporteringsplikt til NVE. En rapporteringsplikt slik den fremstår i forslaget vil etter deres syn ikke bidra med noen sikkerhets- og beredskapsmessig merverdi. Tvert i mot vil krav om ytterligere rapportering kunne bidra til økt administrasjon samt bidra til å utydeliggjøre dagens etablerte ansvarsforhold. Dette vil etter Statnetts syn være en uheldig bruk av ressurser i en situasjon hvor selskapet allerede blir tett fulgt opp av NVE.

    6.5 Departementets vurderinger

    Forslag til ny § 24 d fjerde ledd angir at rapportene skal sikkerhetsgraderes i den grad det er nødvendig. Sikkerhetsgraderingen vil skje etter sikkerhetsloven § 11. For å fjerne enhver tvil om det vil departementet gi en henvisning til sikkerhetsloven § 11 i sivilbeskyttelsesloven § 24 d fjerde ledd. Sikkerhetsgradering medfører en høyere beskyttelsesgrad enn reglene om sensitiv informasjon og taushetsplikt som OED viser til. Så fremt rapporten ikke har slikt innhold at det er nødvendig med sikkerhetsgradering kan selvsagt øvrig sektorregelverk om beskyttelse av sensitiv informasjon og taushetsplikt benyttes. Departementet ser derfor ikke at det skal være noen konflikt her.

    Hvis en virksomhet som utpekes som europeisk kritisk infrastruktur (EKI) ikke allerede er omfattet av sikkerhetsloven må det vurderes om det skal fattes vedtak om dette. Per i dag er det et fåtall private rettsubjekter som omfattes av sikkerhetsloven.

    Departementet har omtalt objektsikkerhetsforskriften § 2-4 og forskrift om sikkerhetsadministrasjon kap. 5 under pkt. 6.2 (gjeldende rett). Som det også sies under pkt. 3.5 kan en slik rapportering bygge videre på rapporter som ev. allerede er utarbeidet i virksomheten.

    Departementet vil på bakgrunn av Statnetts uttalelser fremheve at en rapportering også vil ha en betydelig merverdi for myndighetene, da det gir et godt og koordinert oversiktsbilde over kritisk infrastruktur. Videre er det et formål med direktivet å identifisere EKI som er gjensidig avhengig av hverandre, hvor brudd i en sektor vil kunne få betydelige konsekvenser for flere sektorer eller medlemsland.

    Når det gjelder øvrige sikkerhetstiltak som NSM påpeker ser ikke departementet det som naturlig å ta inn sikkerhetstiltak i sivilbeskyttelsesloven som skal redusere muligheten for uønsket innhenting av opplysninger om funksjoner og sårbarhet knyttet til EKI enn det som følger av direktivet. Hjemler for ytterligere sikkerhetstiltak vil følge av annen relevant lovgivning.

    I lovutkastet gis Kongen myndighet til å utpeke den myndigheten som skal motta rapportene. Departementet mener det er naturlig at Direktoratet for samfunnssikkerhet og beredskap (DSB) mottar generelle rapporter fra departementene om de typer risiko, trusler og sårbarhet som er registrert mot utpekt europeisk kritisk infrastruktur. DSBs rolle vil være å motta rapportene fra departementene og formidle en samlet og koordinert rapport til Justis- og beredskapsdepartementet. Dette betyr ikke at DSB skal overta ansvar eller overprøve sektordepartementenes vurderinger. Departementet ser det imidlertid som viktig at rapportene koordineres nasjonalt før en felles rapport sendes videre til ESA, og at DSB og Justis- og beredskapsdepartementet som følge av sitt samordningsansvar er det naturlige koordineringspunktet.

    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen