9 Merknader til den enkelte bestemmelse

Til § 1

Lovens formål utvides slik at den også skal beskytte kritisk infrastruktur. Kritisk infrastruktur defineres i ny § 3 bokstav d.

Til § 3 første ledd bokstav a

Definisjonen av en uønsket hendelse utvides til også å omfatte hendelser som kan medføre skade på kritisk infrastruktur.

Til § 3 første ledd bokstav d

Definisjon av kritisk infrastruktur er utledet av direktivets art. 2 bokstav a.

Til § 3 første ledd bokstav e

Definisjonen av europeisk kritisk infrastruktur er utledet av direktivets art. 2 bokstav b. Med ”europeisk kritisk infrastruktur” menes kritisk infrastruktur som befinner seg i EØS-statene, og hvor avbrytelse eller ødeleggelse vil kunne få betydelige konsekvenser for to eller flere EØS-stater. Det foreligger krav om et grenseoverskridende element. Vurderingen av konsekvensene skal skje på bakgrunn av de sektorovergripende kriteriene som følger av § 24 a fjerde ledd.

Til § 23 femte ledd

Ved en inkurie ble ikke forskriftshjemmelen for krav om systematisk helse-, miljø- og sikkerhetsarbeid videreført fra den tidligere sivilforsvarsloven § 48 annet ledd. Forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter (internkontrollforskriften) var hjemlet i sivilforsvarsloven og hjemmelen videreføres i sivilbeskyttelsesloven gjennom å gi departementet forskriftskompetanse til å utforme forskrifter om systematisk helse-, miljø- og sikkerhetsarbeid (internkontroll).

Til ny § 24 a

Den nærmere prosedyre for identifisering av europeisk kritisk infrastruktur (EKI)i henhold til direktivets artikkel 3 er konkretisert i direktivets vedlegg III. Per nå omfattes energi- og transportsektoren, men det er satt inn en henvisning til direktivet på bakgrunn av at det kan utvides til å gjelde flere sektorer etter hvert.

Første ledd angir at det er det enkelte departement som er ansvarlig for å identifisere og utpeke EKI innen egen sektor. I de tilfeller det er et privat rettssubjekt som eier eller råder over EKI, vil ansvaret påhvile det departement som forvalter vedkommende område der virksomheten er tilknyttet.

Annet ledd sier at eier eller operatør av objektet plikter å forslå overfor departementet hvilke objekter som kan være EKI. Disse er nærmest til å kunne foreta en første identifisering. Med eier/operatør menes enheter som har ansvar for investeringer i og/eller daglig drift av et bestemt anlegg eller et bestemt system eller deler av det.

Tredje ledd henviser til sektorbaserte kriterier. Disse kriteriene er graderte, men skal være tilgjengelig for eier eller operatør av objektet. De sektorbaserte kriteriene skal brukes av eier eller operatør av det potensielle objektet til å foreta en foreløpig identifisering av kritisk infrastruktur innen sektoren.

Fjerde ledd angir de sektorovergripende kriteriene som vurderingen skal skje etter. I denne vurderingen er det de potensielle konsekvensene ved en ulykke/hendelse som skal vurderes. Terskelverdiene for de sektorovergripende kriteriene skal bygge på hvor alvorlige følgene er av driftsavbruddet eller ødeleggelsen av en bestemt infrastruktur. De nøyaktige terskelverdiene skal fastsettes i den enkelte sak av de EØS-stater som berøres av en bestemt infrastruktur. Kommisjonen skal sammen med EØS-statene utarbeide retningslinjer for anvendelsen av sektorovergripende og sektorspesifikke kriterier og omtrentlige terskelverdier som skal anvendes for å identifisere europeisk kritisk infrastruktur. Kriteriene skal klassifiseres. EØS-statene kan fritt velge om de vil anvende retningslinjene.

Femte ledd gir nærmere vurderingskriterier for infrastrukturer som leverer viktige tjenester. Her skal det i vurderingen av konsekvensene også tas hensyn til akseptabel tidsperiode for funksjonssvikt og mulighet for å gjenopprette funksjonaliteten. Hva som er “akseptabel tidsperiode” må vurderes i forhold til den enkelte tjeneste og hvor kritisk den er.

Sjette ledd angir at selve utpekingen skal skje med grunnlag i avtale med de EØS-statene som kan bli berørt i betydelig grad. Det er nødvendig med godkjenning fra den EØS-stat på hvis område den europeiske kritiske infrastrukturen ligger før en formell utpeking skjer.

Sjuende ledd gir Kongen myndighet til å gi utfyllende forskrifter. Bestemmelsen gir også en åpning for å omfatte nye sektorer etter hvert som direktivet eventuelt utvides.

Til ny § 24 b

Paragrafen er utledet av direktivets artikkel 5.

Første ledd første punktum angir at utpekt europeisk kritisk infrastruktur skal ha en operatørsikkerhetsplan. Dersom det allerede eksisterer relevante og tilstrekkelige planer i virksomheten som inneholder minimumskravene angitt i annet ledd er det ikke nødvendig å foreta seg ytterligere med hensyn til gjennomførelsen av direktivets krav.

Operatørsikkerhetsplanen kan betegnes som en avansert kontinuitetsplan for virksomheten. En kontinuitetsplan er en plan som skal beskrive de alternative rutinene som virksomheten må følge når en kritisk situasjon har oppstått. Normalt vil slike rutiner finnes bare for de mest kritiske forretningsfunksjonene i virksomheten. Planen bør dokumentere de normale forretningsprosessene på en overordnet måte og inneholde rutinebeskrivelser som for eksempel: minimalisering av økonomiske tap som en direkte følge av hendelsen, opprettholdelse av de viktigste forretningsfunksjonene ved å ta i bruk alternative rutiner og retur til normal virksomhet.

Første ledd annet punktum angir at operatørsikkerhetsplanen skal identifisere kritiske aktiva samt presisere hvilke sikkerhetsløsninger som er eller skal bli iverksatt med henblikk på å beskytte den. Det er ikke nødvendigvis hele infrastrukturen som er kritisk, men den kan inneholde en eller flere kritisk aktiva/komponenter som er nødvendig for å opprettholde infrastrukturen, og det er den eller disse som må identifiseres og beskyttes gjennom ulike sikkerhetsløsninger.

I annet ledd er det angitt et minimumsnivå på hva sikkerhetsplanen skal dekke. Denne er avledet av direktivets vedlegg II. De permanente sikkerhetsforanstaltningene skal identifisere hvilke investeringer og midler som er nødvendige for sikkerheten og relevante å bruke til enhver tid. Dette vil omfatte opplysninger om generelle tiltak slik som tekniske foranstaltninger (herunder installering av detektorer, adgangskontroll samt beskyttelses- og forebyggingstiltak), organisatoriske tiltak(herunder varslingsprosedyrer og krisestyring), kontroll og verifiseringsforanstaltninger, kommunikasjon, bevisstgjøring og utdannelse samt sikring av informasjonssystemer. De graderte sikkerhetsforanstaltningene er tiltak som aktiveres avhengig av risiko- og trusselnivået.

Tredje ledd angir at operatørsikkerhetsplanen skal være iverksatt senest ett år etter at en infrastruktur er utpekt som europeisk kritisk infrastruktur. Tidspunktet her vil derfor følge av en utpekingsavtale med et eller flere andre land etter § 24 a sjette ledd.

Fjerde ledd angir at operatørsikkerhetsplanen skal oppdateres jevnlig. Normalt vil dette være når det skjer endringer i virksomheten eller risiko- og trusselnivået.

Til ny § 24 c

Paragrafen er utledet av direktivets artikkel 6 nr. 1.

Første ledd angir at eier eller operatør av en utpekt europeisk kritisk infrastruktur skal ha en sikkerhetskontakt. Dersom det allerede eksisterer tilsvarende stilling/rolle innenfor den utpekte europeiske kritiske infrastrukturen er det ikke nødvendig å opprette noen ny stilling. Det er ikke nødvendig at stillingen formelt heter «sikkerhetskontakt» for å oppfylle kravet.

Annet ledd angir at sikkerhetskontakten skal fungere som et kontaktpunkt i forbindelse med sikkerhetsmessige spørsmål mellom eieren/operatøren av EKI og departementet med ansvar for den sektor hvor den aktuelle EKI er utpekt. Departementet skal sørge for at det etableres en passende kommunikasjonsmekanisme med sikkerhetskontakten med henblikk på å utveksle relevante opplysninger om påviste risiko og trusler i forbindelse med den aktuelle utpekte europeiske kritiske infrastrukturen.

Til ny § 24 d

Paragrafen er utledet av direktivets artikkel 7. Plikten i første og annet ledd retter seg mot myndighetene.

Første ledd er utledet av direktivets artikkel 7 nr. 1 og angir at departementet (sektormyndigheten) innen ett år etter utpeking av europeisk kritisk infrastruktur skal utarbeide en trusselvurdering i sektoren hvor utpekingen har skjedd.

Annet ledd angir at departementet hvert annet år skal utarbeide en generell rapport med opplysninger om de former for risiko, trusler og sårbarhet som er registrert i de sektorer hvor det er utpekt en europeisk kritisk infrastruktur. Rapporten skal være kortfattet og kun inneholde allmenne opplysninger. Sektordepartementet skal sende rapporten til utpekt myndighet som skal lage en samlet rapport fra Norges side. En samlet rapport fra alle sektormyndighetene skal sendes til ESA.

Av tredje ledd følger det at virksomheter med utpekt europeisk kritisk infrastruktur skal bistå departementet (sektormyndigheten)med opplysninger for å oppfylle rapporteringsplikten.

Fjerde ledd angir at rapporten skal sikkerhetsgraderes i den grad det er nødvendig. Dette vil være etter en vurdering av sektordepartementet og eier eller operatør av den utpekte europeiske kritiske infrastrukturen.

Til § 29 nytt annet ledd

Det er sektormyndigheten i den aktuelle sektor som skal føre tilsyn med §§ 24 a-d. Implementeringen av EPCIP-direktivet gjør ingen endringer i allerede utpekt tilsynsmyndighet.

Til ny § 34 fjerde ledd

Ved en feil kom det med et overflødig ord «eller» i fjerde ledd første setning i gjeldende § 34 fjerde ledd. Dette ordet strykes da det ikke er meningsbærende.

Til § 36 første ledd

Den som forsettlig eller uaktsomt overtrer kravene i § 24 b om operatørsikkerhetsplan, § 24 c første ledd om utpeking av sikkerhetskontakt og § 24 d tredje ledd skal kunne ilegges overtredelsesgebyr.

Det vil være den utpekte tilsynsmyndighet innen den enkelte sektor som vil ha myndighet til å ilegge overtredelsesgebyr. “Sivilforsvarets myndigheter” vil således ikke være relevant som tilsynsmyndighet i denne sammenheng.