1 Proposisjonens hovedinnhold
Forsvarsdepartementet foreslår i denne proposisjonen en ny lov om nasjonal sikkerhet (sikkerhetsloven). Forslaget er en modernisering av lov 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste (sikkerhetsloven). En ny lov om nasjonal sikkerhet er et av regjeringens prioriterte tiltak for å styrke sikkerhetsarbeidet i Norge. Departementet foreslår en dynamisk og fleksibel rammelov som skal bidra til å trygge våre overordnede nasjonale sikkerhetsinteresser. Den vil sette myndigheter og virksomheter bedre i stand til å sikre disse sentrale nasjonale interessene mot et trussel- og risikobilde i stadig og rask endring. Forslaget vil styrke samhandlingen mellom myndigheter og virksomheter slik at det forebyggende sikkerhetsarbeidet mot terror, sabotasje og spionasje kan gjennomføres på en mer effektiv og forsvarlig måte, på tvers av alle samfunnssektorene. Samtidig skal loven sikre at sikkerhetstiltak gjennomføres i samsvar med grunnleggende rettsprinsipper og verdier i et demokratisk samfunn. Særlig viktig er det at nødvendige personverninteresser blir ivaretatt.
Dagens sikkerhetslov var ment å kunne tilpasses samfunnsmessige endringer, men særlig den raske teknologiske utviklingen har gjort det nødvendig å revidere og modernisere loven. Forsvarsdepartementets arbeid med å utforme en ny og moderne sikkerhetslov bygger på Sikkerhetsutvalgets rapport NOU 2016: 19 Samhandling for sikkerhet – Beskyttelse av grunnleggende samfunnsfunksjoner i en omskiftelig tid.
Formålet med den nye sikkerhetsloven er i likhet med dagens sikkerhetslov å trygge nasjonale sikkerhetsinteresser, og særlig landets suverenitet, territorielle integritet og demokratiske styreform. I tråd med Sikkerhetsutvalgets anbefalinger er den nye sikkerhetsloven innrettet med sikte på å beskytte viktige samfunnsfunksjoner som understøtter disse interessene. Disse funksjonene er kalt grunnleggende nasjonale funksjoner. Med dette menes tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser. Sammenlignet med gjeldende sikkerhetslov vil forslaget til ny sikkerhetslov få et noe videre virkeområde.
Departementet foreslår at loven, i likhet med dagens lov, skal gjelde for alle statlige, fylkeskommunale og kommunale organer. Virksomheter som råder over informasjon, informasjonssystemer, objekter eller infrastruktur eller driver aktivitet som har avgjørende betydning for grunnleggende nasjonale funksjoner, skal omfattes av loven. Det er i tillegg presisert at virksomheter som behandler sikkerhetsgradert informasjon, må være underlagt loven. Lovforslaget viderefører samtidig utvalgets systematikk med at de enkelte departementene innenfor sine myndighetsområder skal utpeke virksomheter som loven skal gjelde for. De enkelte departementene vil fortsatt ha det overordnede ansvaret for forebyggende sikkerhetsarbeid innenfor sitt myndighetsområde. Sett i sammenheng med et utvidet virkeområde vil dette føre til at flere virksomheter enn i dag vil bli underlagt sikkerhetsloven.
I tråd med NOU 2016: 19 foreslår departementet at sikkerhetsmyndigheten (dvs. Nasjonal sikkerhetsmyndighet) skal ha det sektorovergripende ansvaret for å følge opp at forebyggende sikkerhetsarbeid i virksomhetene skjer i samsvar med loven. Dette er langt på vei en videreføring av gjeldende rett, men lovforslaget tydeliggjør sikkerhetsmyndighetens rolle og ansvar. I tillegg legges det opp til utvidet samarbeid mellom ulike myndigheter og en plikt for sikkerhetsmyndigheten til å gi råd og veiledning. Sikkerhetsmyndigheten skal også legge til rette for informasjonsdeling mellom myndigheter og virksomheter.
Departementet foreslår å videreføre tilsynsmodellen som Sikkerhetsutvalget har anbefalt. Sikkerhetsmyndigheten skal som utgangspunkt føre tilsyn etter loven, men i sektorer der det finnes kompetente sektormyndigheter som fører tilsyn med beskyttelse av informasjon, informasjonssystemer, objekter eller infrastruktur, kan ansvarlig departement bestemme at sektormyndigheten skal ha tilsynsansvaret.
Utvalgets forslag til et tvisteorgan for å behandle klager fra private virksomheter som underlegges loven og uenigheter mellom departementene, videreføres ikke i departementets lovforslag. Isteden videreføres og klargjøres dagens klageordning etter forvaltningsloven.
I lovforslagets kapittel 4 om generelle krav til forebyggende sikkerhetsarbeid foreslår departementet å lovfeste at det først og fremst er den enkelte virksomhet som har ansvar for sikkerheten. I tråd med utvalgets anbefaling foreslås det at det gjennomgående stilles funksjonelle krav til sikkerhetstiltak. Dette vil både kunne legge til rette for sektorspesifikke tilpasninger og kostnadseffektive løsninger. Det stilles krav til at alle virksomheter som er underlagt loven, skal foreta en vurdering av risiko. Denne skal danne grunnlaget for å iverksette tiltak som sørger for et forsvarlig sikkerhetsnivå i virksomheten. Virksomhetene ilegges også en plikt til å varsle om sikkerhetstruende virksomhet. Begrepet sikkerhetstruende virksomhet utvides sammenliknet med dagens sikkerhetslov.
Den tiltakende digitaliseringen av samfunnet har ført til behov for å gjøre enkelte endringer i dagens regler om informasjonssikkerhet. Departementet foreslår å videreføre den særlige beskyttelsen av sikkerhetsgradert informasjon. Konfidensialitet, det å skjerme gradert informasjon for uvedkommende, er imidlertid ikke alltid tilstrekkelig. Det er i mange tilfeller også helt avgjørende at informasjonen er tilgjengelig for de som trenger den, og at den er korrekt. Departementet foreslår derfor en plikt til også å beskytte informasjon som er særlig viktig av hensyn til informasjonens tilgjengelighet og integritet, i tillegg til beskyttelse av hensyn til konfidensialitet.
Departementet støtter utvalgets forslag om å utvide lovens beskyttelse av informasjonssystemer. Beskyttelse av informasjonssystemer som behandler sikkerhetsgradert informasjon, skal fortsatt omfattes av sikkerhetsloven. I tillegg foreslås det i lovforslagets kapittel 6 at informasjonssystemer som i seg selv er av avgjørende betydning for grunnleggende nasjonale funksjoner, skal beskyttes etter loven.
I lovforslagets kapittel 7 foreslår departementet et økt systemfokus i det forebyggende sikkerhetsarbeidet. Både objekter – slik som i dag – og infrastruktur som er av avgjørende betydning for grunnleggende nasjonale funksjoner, skal beskyttes etter loven. Dette skal bidra til en mer helhetlig tilnærming til sikkerhetsarbeidet. Ordningen med klassifisering av objekter foreslås videreført.
I tråd med utvalget foreslår departementet å videreføre hovedelementene i dagens regler om personellsikkerhet. Departementet støtter dessuten utvalgets forslag om fornyet personkontroll. De forhold som kan ha betydning for en sikkerhetsklarering, kan endre seg over tid. Det vil derfor kunne oppstå behov for en fornyet personkontroll. Personvernhensyn skal ivaretas, og det skal derfor kun gjennomføres slik fornyet kontroll når klareringsmyndigheten anser at det er behov for det. Videre foreslår departementet å gi hjemmel for å foreta adgangsklarering for tilgang til skjermingsverdige objekter og infrastrukturer, samt en hjemmel for å kunne dele informasjon fra klareringssaker med Politiets sikkerhetstjeneste.
En stadig mer globalisert verden har ført til at norske virksomheter i større utstrekning enn tidligere benytter seg av utenlandsk arbeidskraft. Departementet foreslår derfor moderniserte og bedre tilpassede bestemmelser om sikkerhetsklarering av personer med utenlandsk statsborgerskap.
Reglene om sikkerhetsgraderte anskaffelser foreslås i all hovedsak videreført. Virksomheter som er underlagt loven, har en plikt til å vurdere risikoen når en leverandør kan få tilgang til sikkerhetsgradert informasjon eller skjermingsverdig objekt eller infrastruktur. Det må i slike tilfeller inngås en sikkerhetsavtale med leverandøren, og det må vurderes om leverandøren skal klareres.
Utvalget foreslår å innføre regler om kontroll med eierskap i virksomheter som er underlagt loven. Departementet er enig med utvalget i at det eksisterende regelverket ikke er tilstrekkelig for å hindre at nasjonal sikkerhet blir skadelidende ved at slike virksomheter blir kjøpt opp av utenlandske aktører. Departementet foreslår derfor en lovhjemmel for Kongen i statsråd til å stanse oppkjøp av virksomheter som er underlagt sikkerhetsloven. Hjemmelen antas benyttet kun i helt særskilte tilfeller.