10 Informasjonssikkerhet og informasjonssystemsikkerhet
10.1 Innledning
Sikkerhetsloven skal inngå som et viktig virkemiddel for sikkerhet i et samfunn i svært rask utvikling, der særlig informasjons- og kommunikasjonsteknologi utgjør en stadig viktigere faktor. På området informasjonssikkerhet og informasjonssystemsikkerhet har det kommet tydelige høringsinnspill som er uenige i utvalgets lovforslag og mener at det er nødvendig med endringer. Det har videre i løpet av lovarbeidet kommet råd fra Forsvaret og forsvarssektoren som dels utfyller disse høringsinnspillene og som også understreker Forsvarets framtidige behov. Basert på dette er det etter departementets vurdering tre forhold som er av sentral betydning for lovforslaget. Det første er den raske utviklingen og utbredelsen av informasjons- og nettverksteknologi. Det andre forholdet er at samfunnet og forsvarssektoren direkte og indirekte blir stadig mer avhengig av informasjonsteknologi, mens det tredje dreier seg om at lovens virkeområde utvides noe sammenlignet med tidligere lov.
Svært rask utvikling og utbredelse av avansert informasjons- og nettverksteknologi medvirker til at forsvarssektoren og samfunnet for øvrig tilbys stadig mer avanserte tjenester, med mål om å effektivisere samfunnsfunksjoner og sikre velstandsutviklingen. Utviklingen fører også til at teknologien ikke lenger bare er forbeholdt land vi gjerne sammenligner oss med, men nå også er tilgjengelig i et globalt marked. Imidlertid fører også teknologiutviklingen til økte sårbarheter både for forsvarssektoren og samfunnet for øvrig. Norges digitale sårbarheter er grundig utredet i NOU 2015: 13 Digital sårbarhet – sikkert samfunn. Dette er sårbarheter som det vil være nødvendig å forholde seg til både i en statssikkerhetskontekst og en samfunnssikkerhetskontekst. Disse sårbarhetene er imidlertid ikke statiske og vil over tid utvikles i både form og innretning, i nær sammenheng med teknologiutviklingen. For å møte denne utviklingen er det av stor betydning at loven har innebygd nødvendig fleksibilitet, og at loven kan tilpasses teknologiutviklingen over tid.
Forsvarssektoren og samfunnet for øvrig blir stadig mer avhengig av teknologi i nær sagt alle sammenhenger. Forsvaret bruker i stadig større grad teknologi til å utvikle militær evne og til å effektivisere militære operasjoner, i nært samarbeid med militære og sivile samarbeidspartnere. Samfunnet for øvrig bruker på samme måte teknologi til å effektivisere samfunnets virksomhet til beste for innbyggerne. I dag brukes informasjonsteknologi blant annet til å automatisere sentrale samfunnsfunksjoner som kraftforsyning, kommunikasjonstjenester og transporttjenester. Teknologi brukes også til å støtte effektiv produksjon og distribusjon av alle typer varer i det moderne samfunnet, som for eksempel mat og andre livsviktige forsyninger. Det vises i denne forbindelse til Meld. St. 27 (2015–2016) Digital agenda, hvor det er en omfattende gjennomgang av Norges digitale tilstand. Det pekes der blant annet på at IKT er vesentlig for innovasjon og produktivitet, at det er behov for styrket digital kompetanse og deltakelse og at personvern og informasjonssikkerhet skal være en integrert del av utviklingen og bruken av IKT.
Teknologien gir muligheter til å behandle og bruke informasjon på helt nye måter sammenlignet med tidligere. Mye av denne informasjonen vil kunne være skjermingsverdig. Nasjonale sivile og militære beredskapsplaner er eksempler på informasjon det vil være nødvendig å skjerme også i framtiden. Det samme gjelder løpende informasjon om konkrete situasjoner og tilstander innhentet fra etterretningskilder og sensorer som for eksempel radarer. Ulike tekniske informasjonstyper utgjør i dag en grunnleggende faktor for produksjon og styring av så godt som alle samfunnets grunnleggende tjenester, som for eksempel kraftforsyning, helse, ekom, transport og finans. Slik informasjon vil også til en viss grad kunne vurderes som skjermingsverdig, men vil samtidig kreve andre former for beskyttelse enn tidligere. Offentlig informasjon til befolkningen i forbindelse med hendelser er av sentral betydning for sivil og militær krisehåndtering. Tidligere hadde myndighetene god kontroll med at informasjonen som ble presentert gjennom tradisjonelle medier som kringkasting og aviser, både var hensiktsmessig og korrekt. Nye teknologier har gitt samfunnet nye internettbaserte kommunikasjonskanaler som for eksempel sosiale medier. Slike kanaler kan også utgjøre betydelige sårbarheter dersom de blir misbrukt. Felles for alle disse eksemplene er at anvendelsen av teknologi samlet og enkeltvis utgjør en økende potensiell sårbarhet for samfunnet. Mangfoldet av typer informasjon det vil være nødvendig å skjerme er langt mer sammensatt enn tidligere, og vil også kreve en langt mer fleksibel tilnærming i en helhetlig risikobasert kontekst.
Forslaget til ny sikkerhetslov vil favne bredere enn nåværende sikkerhetslov og vil sannsynligvis omfatte flere private virksomheter enn tidligere. Samtidig er Forsvaret gjennom totalforsvaret blitt stadig mer avhengig av tilførsel av sivile varer og tjenester, også direkte i militære operasjoner. Informasjonsteknologi inngår nå som en tett integrert del av både militær og sivil virksomhet, der samhandling er en grunnleggende forutsetning. Et grunnleggende dilemma i sikkerhetslovens praktisering blir å etablere mekanismer som er balansert mellom det sivile samfunns behov for fleksibilitet og raske endringer, og behovet for å ivareta overordnede nasjonale sikkerhetsbehov. Sikkerhetsloven må derfor på den ene siden sørge for å ta høyde for et tilstrekkelig sikkerhetsnivå i et svært dynamisk samfunn, og samtidig må loven ta hensyn til de spillereglene som gjelder i et globalt konkurransemarked. Dette er en særlig stor utfordring på områdene informasjonssikkerhet og informasjonssystemsikkerhet, der endringene i og bruken av teknologi skjer svært raskt.
Informasjonssystemene som brukes for å behandle informasjon, har også endret karakter. Fra å være enkle fysiske redskaper som skrivemaskiner, teleksmaskiner og fysiske arkiv er dagens informasjonssystemer ofte komplekse datasystemer koblet i store og til dels globale nettverk. Økende kompleksitet sett sammen med systemenes økende betydning for mange viktige samfunnsfunksjoner gjør at også forvaltningen av loven blir vesentlig mer kompleks. Dette må tillegges særlig vekt i det videre arbeidet med forskrifter til loven.
Etter departementets vurdering har utvalget ikke i tilstrekkelig grad tatt inn over seg betydningen av utviklingen beskrevet ovenfor. Mange av utviklingstrekkene er godt beskrevet i NOU 2016: 19, men er likevel ikke i tilstrekkelig grad reflektert i lovforslaget. Departementet har derfor funnet det nødvendig å foreta enkelte endringer i utvalgets lovforslag for å gjøre loven mer tilpasset departementets vurdering av teknologi- og samfunnsutviklingen. Det er i disse endringene også tatt hensyn til Forsvarets behov. Det understrekes at dette er et krevende tema som videre må følges opp og videreutvikles i forskriftsarbeidet. Denne oppfølgingen må også knyttes opp mot oppfølgingen av Lysne I- og Lysne II-utvalget og stortingsmelding om IKT-sikkerhet (Meld. St. 38 (2016–2017)).
Sammenlignet med dagens sikkerhetslov foreslår utvalget særlig ett viktig grep innen informasjonssikkerhet. Forslaget går ut på at den nye sikkerhetsloven skal gi beskyttelse til informasjonssystemer som har viktige roller ved produksjon eller leveranse av grunnleggende nasjonale funksjoner. Departementet støtter dette forslaget.
Imidlertid mener departementet at det bør gjøres ytterligere grep for å ta høyde for den digitale utviklingen. Dette gjøres det nærmere rede for i det følgende. Det er ikke lenger tilstrekkelig å tenke hemmelighold når vi tenker på informasjonssikkerhet. Når man skal vurdere hvilken informasjon som må gis ekstra god beskyttelse, må det i større grad enn tidligere anerkjennes at informasjonens integritet og tilgjengelighet er verdifulle egenskaper. Denne utvidede tankegangen må man bringe med seg når man skal vurdere beskyttelsestiltak. Idet man anerkjenner at informasjonens integritet og tilgjengelighet også trenger beskyttelse, får man samtidig behov for en mer fleksibel tilnærming til hvordan informasjonen skal beskyttes. Utvalget foreslo en slik tilnærming for sikkerhetsgradert informasjon. Etter departementets syn må tilnærmingen gjelde for all informasjon som etter lovforslaget er skjermingsverdig. Det må dessuten aksepteres at det kan være behov for individuelle tilpasninger, noe loven må legge til rette for.
Flere høringsinstanser har pekt på utfordringer med praktiseringen av instruks 17. mars 1972 nr. 3352 for behandling av dokumenter som trenger beskyttelse av andre grunner enn nevnt i sikkerhetsloven med forskrifter (beskyttelsesinstruksen). Departementet har forståelse for disse synspunktene. Siden utvalget ikke har funnet det hensiktsmessig å vurdere beskyttelsesinstruksen, se NOU 2016: 19 kapittel 8.6.7, har departementet ikke funnet det hensiktsmessig å gå nærmere inn på dette regelverket i forbindelse med arbeidet med en ny sikkerhetslov.
10.2 Gjeldende rett
10.2.1 Informasjon som skal beskyttes etter sikkerhetsloven
Etter sikkerhetsloven § 11 skal en konkret verdivurdering av informasjonen ligge til grunn for om den skal beskyttes etter sikkerhetsloven. Avgjørende for verdivurderingen er i hvilken grad informasjonen kan skade «Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser» dersom informasjonen blir kjent for uvedkommende. Spørsmålet som må stilles, er hva en aktør med onde hensikter kan bruke informasjonen til, som kan skade nasjonale sikkerhetsinteresser. Informasjonens verdi kan beskrives som skadepotensialet ved konfidensialitetsbrudd.
Informasjonens skadepotensial må være på et visst nivå for at den skal falle inn under sikkerhetsloven. Den nedre grensen følger av sikkerhetsloven § 11 bokstav d. Informasjon som, dersom den blir kjent for uvedkommende, i noen grad kan skade nasjonale sikkerhetsinteresser, jf. § 11 bokstav d, omfattes dermed av sikkerhetsloven, og skal behandles og beskyttes deretter. Informasjon som har et større skadepotensial omfattes også av loven, men må beskyttes bedre. Det er ingen øvre grense. Informasjon som har et mindre skadepotensial, som ikke i noen grad kan skade nasjonale sikkerhetsinteresser, omfattes følgelig ikke av sikkerhetsloven. Det kan likevel være at denne informasjonen faller inn under og skal beskyttes i henhold til andre regelverk, for eksempel personopplysningsloven, beredskapsforskriften eller beskyttelsesinstruksen.
Som beskrevet i NOU 2016: 19 kapittel 8.6.1, side 168, sondrer sikkerhetsloven mellom begrepene skjermingsverdig informasjon og sikkerhetsgradert informasjon:
«Førstnevnte brukes om all informasjon i materiell eller immateriell form som må beskyttes av hensyn til rikets sikkerhet. Skjermingsverdig informasjon oppfyller kriteriene for sikkerhetsgradering. Hvorvidt informasjonen har blitt sikkerhetsgradert etter sikkerhetsloven § 11 har ikke betydning for om informasjonen skal anses som skjermingsverdig. Begrepet sikkerhetsgradert informasjon omfatter skjermingsverdig informasjon som er blitt påført sikkerhetsgradering i henhold til § 11.»
Departementet slutter seg til denne beskrivelsen.
10.2.2 Beskyttelse av skjermingsverdig informasjon
Sikkerhetsloven har flere bestemmelser om tiltak for å beskytte sikkerhetsgradert informasjon. Sikkerhetstiltakene gjenspeiler at loven kun omfatter informasjon som har skjermingsbehov. Det følger likevel av § 12 andre ledd andre punktum en forskriftshjemmel til å legge forholdene til rette for at sikkerhetsgradert informasjon er korrekt, fullstendig og tilgjengelig.
Etter sikkerhetsloven § 11 andre ledd er det «den som utsteder eller på annen måte tilvirker skjermingsverdig informasjon som plikter å sørge for at informasjonen merkes med aktuell sikkerhetsgrad.» Det følger av § 11 første ledd at det skal foretas en konkret verdivurdering av informasjon. Avhengig av informasjonens skadepotensial skal den sikkerhetsgraderes enten BEGRENSET, KONFIDENSIELT, HEMMELIG eller STRENGT HEMMELIG.
§ 12 fastsetter en taushetsplikt for sikkerhetsgradert informasjon og prinsippet om at tilgang til informasjonen kun kan gis til personer som har tjenstlig behov for dette. Videre fastsetter loven krav til informasjonssystemsikkerhet, kryptosikkerhet, tekniske sikkerhetsundersøkelser, monitoring og inntrengingstesting. Mer utfyllende regler om beskyttelsestiltak følger av forskrift 1. juli 2001 nr. 744 om informasjonssikkerhet (informasjonssikkerhetsforskriften). For en nærmere beskrivelse av nevnte sikkerhetstiltak, samt kryptosikkerhet og tekniske sikkerhetsundersøkelser vises det til NOU 2016: 19 kapittel 8.2.1.
10.2.3 Informasjonssystemsikkerhet
I sikkerhetsloven § 3 første ledd nr. 10 defineres informasjonssystemer slik:
«en organisert samling av periferiutrustning, programvare, datamaskiner og kommunikasjonsnett som knytter dem sammen.»
Det følger av gjeldende sikkerhetslov § 13 at informasjonssystemer som skal behandle sikkerhetsgradert informasjon må godkjennes av Nasjonal sikkerhetsmyndighet eller den de bemyndiger før behandlingen starter. Bestemmelsen angir samtidig hvilke informasjonssystemer som skal beskyttes etter sikkerhetsloven, det vil si informasjonssystemer som behandler sikkerhetsgradert informasjon. Slike systemer kalles ofte graderte systemer. Med unntak av § 15 første ledd om monitoring omhandler sikkerhetsloven kun graderte systemer. Systemer som ikke behandler sikkerhetsgradert informasjon, beskyttes dermed ikke av sikkerhetsloven.
De grunnleggende bestemmelsene for beskyttelse av informasjonssystemer følger av informasjonssikkerhetsforskriften kapittel 5. Utvalget har i utredningen kapittel 8.2.1.1 følgende oppsummering av reglene, som departementet stiller seg bak:
«Det heter i forskriften § 5-1 at sikkerhet i informasjonssystemer skal vurderes opp mot de grunnleggende egenskapene autentisitet, konfidensialitet, integritet og tilgjengelighet til systemets data og tjenester. Videre fremheves brukernes ansvarlighet for egne handlinger og tilliten til at sikkerhetstiltak er korrekt implementerte og ivaretar sikkerheten på en effektiv og hensiktsmessig måte. § 5-2 setter som hovedmål for sikkerheten en sikker plattform, sikker drift, vedlikehold og sikker hendelseshåndtering og gjenoppretting.
I forskriften §§ 5-3 og 5-4 gis det bestemmelser om hva som skal oppnås gjennom sikkerhetstiltak. For eksempel skal tilgjengelighet sikres ved at data beskyttes mot uønsket sletting og tjenester beskyttes mot uønsket reduksjon/stans. Tiltakene skal videre forebygge, detektere, reagere på, kontrollere sikkerhetsbrudd, samt gjenopprette informasjonssystemets sikre tilstand.
Sikkerhetsprinsipper som skal legges til grunn ved utarbeidelse av tiltak, følger av forskriften § 5-5 […]. Videre gis det i forskriften kapittel 5 regler om systemtekniske og administrative sikkerhetskrav, sikkerhetsgodkjenning av informasjonssystemer og sikkerhetsdokumenter.»
Enkelte konkrete sikkerhetstiltak følger imidlertid av loven. § 13 fastsetter som nevnt krav om forhåndsgodkjenning av graderte systemer. Det samme følger av forskriften § 5-24. Som utgangspunkt er det virksomhetens leder som godkjenner informasjonssystemet, jf. forskriften § 5-28 andre ledd. Bestemmelsen setter imidlertid begrensninger for hvilke systemer virksomhetens leder kan godkjenne. Informasjonssystemet må være lokalisert i Norge og må ikke ha forbindelse til utlandet, til informasjonssystemer utenfor egen virksomhet eller utenfor kontrollert område.
Etter loven § 15 første ledd og forskriften kapittel 11 kan det foretas monitoring av en virksomhets informasjonssystemer. Dette omfatter også informasjonssystemer som ikke behandler sikkerhetsgradert informasjon. Det følger av forarbeidene (Ot.prp. nr. 49 (1996–97) side 6) at monitoring betyr kontroll av «tjenestlig kommunikasjon i og mellom informasjonssystemer, gjennom avlytting av tale eller avlesing av elektroniske saker.» Formålet er å avdekke om det lagres, behandles eller kommuniseres informasjon med høyere sikkerhetsgradering eller skjermingsverdi enn det systemet er godkjent for, jf. informasjonssikkerhetsforskriften § 11-1. Dette innebærer blant annet å kontrollere en virksomhets informasjonssystemer som ikke er ment for behandling av sikkerhetsgradert informasjon, for å se om det likevel behandles gradert informasjon i disse systemene.
Sikkerhetstiltaket monitoring vil ofte innebære behandling av personopplysninger og kan dermed ikke gjennomføres uten videre. I Ot.prp. nr. 49 (1996–97), side 40, ble behovet for monitoring vurdert opp mot tiltakets personvern- og rettssikkerhetskonsekvenser:
«Det er departementet syn at monitoring er et viktig tiltak for å oppnå god forebyggende informasjonssikkerhet, og at monitoringtjenesten således bør opprettholdes. Sikkerhetsbrudd forekommer fremdeles. Rapporter fra Nasjonal sikkerhetsmyndighet om sikkerhetsbrudd blir tatt alvorlig av avdelinger i Forsvaret, og ordningen må antas å ha en positiv effekt ved å bidra til å hindre at et større antall kompromitteringer forekommer. Ordningen er et supplement, ikke et alternativ, til andre virkemidler for å oppnå respekt for skjermingsverdig informasjon. For øvrig bør nevnes at dagens monitoringstjeneste uansett må opprettholdes som følge av forpliktelser etter NATOs regelverk.
[…]
De gjeldende restriktive begrensninger mht gjennomføringen av kontrollen, vil naturligvis bli opprettholdt. Den Norske Advokatforening uttaler om dettte i sin høringsuttalelse at en «... har merket seg at det foreslås lovfestet at monitoring ikke i noe tilfelle skal omfatte privat kommunikasjon som blir formidlet til eller fra andre enn virksomheter og at informasjon som fremkommer ved kontroll skal makuleres når den ikke lenger har betydning for kontrollen. Av personvernhensyn er det viktig at det i forskriftene etableres betryggende kontrollrutiner for å sikre at disse regler blir fulgt.» Departementet slutter seg til uttalelsen, og vil sørge for at betryggende kontrolltiltak iverksettes.»
Om konklusjonen uttaler departementet videre på side 40:
«Dagens monitoringsvirksomhet har etter departementets oppfatning et aktverdig formål, representerer ikke et uforholdsmessig inngrep og kan ikke ses å ha vesentlige rettssikkerhetsmessige implikasjoner, bl.a tatt i betraktning de begrensninger og retningslinjer for gjennomføring av monitoring som er nedfelt i gjeldende direktiver gitt av Forsvarssjefen. Selv om hjemmelsgrunnlaget anses tilfredsstillende i dag, basert på eierrådighetsbetraktninger og avtale-/samtykkesynspunkter, vil det være naturlig å lovfeste hovedreglene om monitoring i en samlet lov om forebyggende sikkerhetstjeneste.»
Utvalget skriver i NOU 2016: 19 kapittel 8.2.1.3 videre at:
«Av rettssikkerhets- og personvernhensyn stiller loven flere absolutte krav som må være oppfylt før monitoring kan iverksettes. Den virksomhet som skal kontrolleres må enten selv anmode om eller, dersom NSM har tatt initiativet, samtykke til gjennomføring av kontrollen. Samtykket eller anmodningen skal skje skriftlig, jf. informasjonssikkerhetsforskriften § 11-4 fjerde ledd. Monitoring kan dessuten kun iverksettes i virksomheter som er underlagt sikkerhetsloven og bare tjenestelig kommunikasjon kan kontrolleres. Dersom det i løpet av kontrollen viser seg at nevnte vilkår ikke er oppfylt, skal monitoringen avbrytes umiddelbart, jf. informasjonssikkerhetsforskriften § 11-7.
Det stilles også krav om at alle ansatte og andre direkte berørte må varsles i forkant om at det vil bli gjennomført kontroll, om hensikten med og varigheten av kontrollen, at NSM gjennomfører og på hvilken måte kontrollert informasjon blir behandlet. Det er kun NSM som kan gjennomføre monitoring i henhold til sikkerhetsloven. Etter endt monitoring skal NSM rapportere til virksomheten om resultatet av kontrollen.»
Departementet slutter seg til denne beskrivelsen.
Sikkerhetsloven § 15 andre ledd og forskriften om informasjonssikkerhet kapittel 11 regulerer inntrengingstesting av informasjonssystemer. Dette sikkerhetstiltaket har en del til felles med, men skiller seg også noe fra, monitoring. Det følger av forskriften § 11-2 at formålet med tiltaket er å teste informasjonssystemets motstandsdyktighet for å kontrollere om sikkerhetsgradert informasjon beskyttes i tråd med fastsatte krav. Det handler altså om å forsøke å bryte seg inn i informasjonssystemet. Gjennomføring av inntrengingstesting kan innebære behandling av personopplysninger. Derfor er det krav om blant annet samtykke fra virksomheten og varsling av ansatte. Det er imidlertid ikke krav om å avbryte kontrollen dersom kontrolløren kommer over privat informasjon, slik som ved monitoring.
Sikkerhetsloven § 13 a om sikkerhetsmessig overvåkning trådte i kraft 1. januar 2017 og fastsetter krav om at virksomheten overvåker egne informasjonssystemer for å avdekke ulovlig inntrenging. Det framgår av forarbeidene (Prop. 97 L (2015–2016), side 39) til bestemmelsen at loggingen skal
«gjøre virksomheten i stand til å foreta en vurdering av omfanget og karakteren av skaden som har oppstått, gjenopprette sikker tilstand, samt sikre sporbarhet og ansvarlighet for utførte handlinger i samsvar med kravene i sikkerhetsloven for øvrig.»
For dette tiltaket vil det også kunne bli aktuelt å behandle personopplysninger. Om ivaretakelsen av personvernet i disse tilfellene uttales det i forarbeidene (Prop. 97 L (2015–2016), side 38):
«Departementet vil innledningsvis presisere at forslaget er avgrenset til systemer som er godkjent for behandling av sikkerhetsgradert informasjon. Dette er systemer som er klare etterretningsmål, og som derfor må ha et høyt sikkerhetsnivå. Sikkerhetsmessig overvåking av disse systemene slik at angrep på et tidlig tidspunkt kan oppdages, og omfanget kartlegges, framstår derfor etter departementets vurdering som nødvendig.
De systemer som vil være gjenstand for overvåking etter forslagets § 13 er i mindre grad egnet til, eller beregnet for, kommunikasjon av privat karakter, eller annen type privat bruk. Dette er lukkede systemer uten direkte tilknytning til internett. Omfanget av privat kommunikasjon og privat bruk av disse systemene vil derfor være begrenset. Det vil likevel være slik at kommunikasjon av privat karakter vil kunne forekomme, da primært som e-post eller nettprat med videre, mellom brukerne i det lukkede systemet.
[…]
Omfanget av systemer som blir gjenstand for sikkerhetsmessig overvåking etter § 13 a er også av et begrenset omfang. Det er kun et fåtall systemer i offentlig forvaltning som er godkjent for å behandle sikkerhetsgradert informasjon, og som således vil være underlagt kravene til sikkerhetsmessig overvåking i § 13 a.»
For en nærmere beskrivelse av gjeldende rett vises det til NOU 2016: 19 kapittel 8.2. For en oversikt over fremmed rett som dekker kapittel 10.2 til 10.4, se NOU 2016: 19 kapittel 8.4.
10.3 Utvalgets forslag
10.3.1 Informasjon som skal beskyttes etter sikkerhetsloven
Utvalget foreslår å videreføre gjeldende rett. Lovforslaget § 5-1 er likevel ikke helt lik dagens § 11. Endringene består i tilpasninger til lovforslagets øvrige bestemmelser og en forenkling av enkelte elementer.
Utvalget legger en vid forståelse av begrepet informasjon til grunn. Det framgår av utvalgets merknad til § 5-1 i NOU 2016: 19, side 261 at
«[b]egrepet informasjon skal forstås vidt. Måten informasjonen er tilvirket på og hvilken form informasjonen har er ikke relevante momenter i vurderingen av om noe er informasjon. Begrepet omfatter for eksempel informasjon i form av fysiske dokumenter, digitale og maskinlesbare signaler, film, lydopptak og muntlige opplysninger. I vurderingen av om noe skal anses som informasjon skal det legges vekt på om det er egnet til å tilføre en trusselaktør kunnskap som denne direkte eller indirekte kan benytte til å skade grunnleggende nasjonale funksjoner.»
Utvalget drøfter særlig innholdet i verdivurderingen av informasjon og stiller spørsmål om hensynene til informasjonens integritet og tilgjengelighet også burde inngå i vurderingen, i tillegg til konfidensialitetshensynet. NOU 2016: 19 kapittel 8.5.1 gjør rede for noen generelle utgangspunkter for informasjonssikkerhet:
«For det første må informasjonens verdi angis. Verdivurderingen gir svaret på om informasjonen er beskyttelsesverdig. Informasjonens verdi deles ofte opp i ulike kategorier. De mest brukte er konfidensialitet, integritet og tilgjengelighet. Avhengig av situasjonen benyttes også eksempelvis sporbarhet, ikke-benektbarhet og flere andre. I det videre er det tilstrekkelig å benytte de tre hovedkategoriene.
Med konfidensialitet menes at det har en verdi at informasjonen ikke blir kjent for uvedkommende. Et eksempel på informasjon som må beskyttes av konfidensialitetshensyn, er Norges Banks sikkerhetsrutiner.
Med integritet menes at det har en verdi at informasjonen er korrekt. Eksempelvis må programkode være korrekt for at dataprogrammet skal virke. Beskyttelse mot tap av integritet innebærer å sørge for at det ikke lar seg gjøre å endre programkoden. I motsetning til beskyttelse av konfidensialitet er det ikke viktig om andre kan lese programkoden.
Med tilgjengelighet menes at det har en verdi at informasjonen er tilgjengelig ved behov. Eksempelvis er det fordelaktig å ha bruksanvisningen til badevekten som er tilkoblet hjemmenettverket tilgjengelig den dagen det kommer opp en feilmelding i displayet. Beskyttelse eller ivaretakelse av tilgjengeligheten kan innebære å mangfoldiggjøre informasjonen og oppbevare den på et lett tilgjengelig sted.
Dersom verdivurderingen konkluderer med at informasjonen er beskyttelsesverdig, er neste steg å vurdere informasjonens beskyttelsesbehov. Det må foretas en vurdering av aktuelle sårbarheter og trusler.»
Utvalget legger videre til grunn at verdivurderingen i mange tilfeller vil vise at informasjonen er verdifull med hensyn til alle tre egenskapene.
Utvalget drøfter så disse prinsippene opp mot behovet for beskyttelse i en sikkerhetslovkontekst under kapittel 8.6.1:
«Som nevnt i kapittel 8.5.1 fokuserer dagens regelverk på lovs nivå særlig på informasjonens konfidensialitet. Utvalget har vurdert om informasjonens integritet og tilgjengelighet bør likestilles med konfidensialiteten. Informasjon kan i mange tilfeller være svært viktig for nasjonens sikkerhet, herunder opprettholdelse av grunnleggende nasjonale funksjoner. Dersom en trusselaktør klarer å endre, slette eller gjøre informasjonen utilgjengelig for de som trenger den, vil dette kunne ha negativ innvirkning på sentrale myndigheters evne til å opprettholde viktige funksjoner. Det er fullt mulig både å endre, slette og gjøre informasjon utilgjengelig uten at en er kjent med informasjonen. Dette vil særlig gjelde for elektronisk lagret informasjon, men også dokumenter må beskyttes mot uønsket påvirkning. Utvalget har ikke funnet grunn til å endre kriteriene for angivelse av hvilken informasjon som skal beskyttes etter sikkerhetsloven. Det bør fortsatt være behovet for å bevare informasjonens konfidensialitet, som er inngangskriteriet for om informasjonen skal sikkerhetsgraderes, og dermed beskyttes etter sikkerhetsloven. Etter utvalgets syn ville det unødig komplisere identifiseringen av informasjon som skal beskyttes, dersom integritet og tilgjengelighet skulle vært ytterligere inngangskriterier. Sett i sammenheng med digitaliseringen og at viktige ugraderte informasjonssystemer skal beskyttes, legger utvalget til grunn at mye viktig ugradert informasjon fanges opp og beskyttes gjennom bestemmelsene om informasjonssystemsikkerhet.»
Utvalget anerkjenner altså behovet for beskyttelse også av informasjonens integritet og tilgjengelighet i en nasjonal sikkerhetskontekst, men mener dette ivaretas godt nok gjennom reglene om informasjonssystemsikkerhet.
Etter gjeldende lov § 11 skal informasjonens skadepotensial vurderes opp mot nasjonale sikkerhetsinteresser. Ettersom utvalget foreslår andre begreper for å angi lovens formål og virkeområde, foreslås det tilsvarende endringer i bestemmelsen om sikkerhetsgradering. Systematikken er likevel den samme. Utvalget skriver om dette i merknaden til lovforslaget § 5-1:
«Ordlyden i bestemmelsen skiller seg noe fra tidligere lov. Endringen innebærer at man ved skadevurderingen må ta hensyn til skadepotensialet for hele lovens virkeområde, se nærmere i merknad til § 1-2. Tidligere lov nevnte eksplisitt hensynene til vitale sikkerhetsinteresser og alliertes sikkerhet. Slike hensyn er fortsatt relevante, jf. § 1-2.»
Utvalget foreslår å fjerne sondringen mellom skjermingsverdig informasjon og sikkerhetsgradert informasjon. Det framgår følgende av kapittel 8.6.1:
«Begrepet sikkerhetsgradert informasjon foreslås benyttet for all informasjon som trenger beskyttelse av hensyn til grunnleggende nasjonale funksjoner. Begrepet sikkerhetsgradert informasjon i den nye loven vil dermed omfatte både skjermingsverdig og sikkerhetsgradert informasjon etter gjeldende sikkerhetslov, det vil si all informasjon som skal beskyttes etter den nye sikkerhetsloven.»
10.3.2 Beskyttelse av skjermingsverdig informasjon
Utvalget foreslår med ett unntak å videreføre alle dagens bestemmelser om tiltak for å beskytte informasjon. Det er likevel foreslått enkelte justeringer og en ny generell bestemmelse om beskyttelse av informasjon i § 5-2.
Utvalget mener det ikke er behov for å regulere kryptosikkerhet på lovs nivå og viser til at det er tale om et spesifikt sikkerhetstiltak som ikke må reguleres i lov. Utvalget foreslår derfor å fjerne bestemmelsen om kryptosikkerhet fra loven og heller regulere dette i forskrift. Utvalget påpeker at det fortsatt er behov for en tilsvarende regulering som i dag og at det er mest naturlig at Nasjonal sikkerhetsmyndighet fortsetter å forvalte kryptosikkerheten.
I lovforslaget § 5-2 foreslår utvalget en ny generell bestemmelse om beskyttelse av sikkerhetsgradert informasjon. Bakgrunnen for forslaget framgår av NOU 2016: 19 kapittel 8.5.1. Utvalgets vurdering framgår av NOU 2016: 19 kapittel 8.6.1:
«Informasjon som er blitt sikkerhetsgradert skal så beskyttes både av hensyn til konfidensialitet, integritet og tilgjengelighet. At de to sistnevnte hensynene ikke fremgår av dagens lov, betyr antakelig ikke at de anses irrelevante. Blant annet nevnes alle hensynene som relevante for informasjonssystemsikkerhet, jf. informasjonssikkerhetsforskriften kapittel 5. Utvalget mener i alle tilfelle at plikten til å ivareta alle tre hensynene bør komme tydelig frem i loven. I denne sammenheng må det understrekes at et forsvarlig sikkerhetsnivå forutsetter en god verdivurdering.»
Utvalget foreslår at informasjonssystemsikkerhet bør reguleres i et eget kapittel i loven.
Utvalget foreslår for øvrig enkelte endringer for å ivareta personvernet bedre og ellers endringer av språklig og redaksjonell karakter.
10.3.3 Informasjonssystemsikkerhet
10.3.3.1 Informasjonssystemer som skal beskyttes etter sikkerhetsloven
Utvalget foreslår flere endringer innen informasjonssystemsikkerhet for å sikre et dynamisk og tidsriktig regelverk som er i tråd med digitaliseringen av samfunnet. Utvalget legger til grunn at det finnes en rekke informasjonssystemer som er av avgjørende betydning for om en virksomhet evner å opprettholde sine kritiske tjenester. Utvalget skriver om dette under kapittel 8.6.2:
«I kategorien ugraderte IKT-systemer befinner det seg både tradisjonelle informasjons- og kommunikasjonssystemer, og såkalte kontroll- og styringssystemer. Nærmere bestemt er dette datasystemer som styrer, og eller kontrollerer, industrielle prosesser og tjenesteleveranser, eksempelvis innenfor telekom og strømproduksjon. Utvalget mener at denne typen systemer, i den grad de er kritiske for grunnleggende nasjonale funksjoner, må beskyttes mot uønskede tilsiktede hendelser. Konfidensialiteten er ikke nødvendigvis like viktig for disse systemene, men den kan heller ikke avskrives. Her som ellers må det foretas en konkret vurdering av det enkelte systems skjermingsbehov. Først etter en slik vurdering blir det klart om informasjonens konfidensialitet må beskyttes.
De ugraderte IKT-systemer som skal beskyttes etter den nye loven, har det til felles at dersom systemet faller ut vil det svekke virksomhetens evne til å understøtte eller opprettholde den grunnleggende nasjonale funksjonen som gjør at de omfattes av sikkerhetsloven. Et grunnleggende spørsmål ved vurderingen er: hva må beskyttes for at den grunnleggende nasjonale funksjonen skal opprettholdes?»
Utvalget foreslår altså at sikkerhetsloven skal omfatte ugraderte informasjonssystemer som er av kritisk betydning for grunnleggende nasjonale funksjoner. Utvalget foreslår også å videreføre beskyttelse av dagens såkalte godkjente informasjonssystemer. Som samlebegrep for alle informasjonssystemer som skal beskyttes etter loven, foreslår utvalget å benytte skjermingsverdige informasjonssystemer. Se nærmere om dette i lovforslaget § 6-1 og tilhørende merknader.
10.3.3.2 Beskyttelse av skjermingsverdige informasjonssystemer
Utvalget foreslår å videreføre alle dagens sikkerhetstiltak som gjelder informasjonssystemer. Selv om tiltakene videreføres, foreslår utvalget en del mindre endringer. Det var særlig behov for tilpasninger til det øvrige lovforslaget og for bedre å ivareta personvernet.
Utvalget foreslår å ta inn i loven en ny og generell bestemmelse om beskyttelse av skjermingsverdige informasjonssystemer. Det følger av merknadene til lovforslaget § 6-2:
«Bestemmelsen fastsetter en plikt for virksomheten til å beskytte virksomhetens skjermingsverdige informasjonssystemer. Virksomhetens ROS-analyse, jf. § 4-3, vil danne grunnlaget for å angi hvilke informasjonssystemer som skal beskyttes etter sikkerhetsloven.
Virksomheten plikter å oppnå et forsvarlig sikkerhetsnivå for informasjonssystemene. Bokstav a og b konkretiserer hva som ligger i begrepet ved å angi hovedmålene for sikkerhetstiltakene. Ivaretakelse av a og b må ses i sammenheng. Eksempelvis er det ikke tilstrekkelig å bare se på sikkerhetsgraderingsnivået for et sikkerhetsgradert informasjonssystem, se kapittel 8.6.2. ROS-analysen vil danne grunnlaget for iverksettelse av de sikkerhetstiltak som er mest hensiktsmessige for det enkelte system. Det vil kunne variere fra system til system hva som skal til for å oppnå et forsvarlig sikkerhetsnivå.»
Om sikkerhetsmessig godkjenning av informasjonssystemer uttaler utvalget under kapittel 8.6.4:
«Utvalget mener at sikkerhetsmessig godkjenning av informasjonssystemer er et viktig sikkerhetstiltak som bør videreføres. Utvalget har vurdert om også ugraderte informasjonssystemer som omfattes av loven, bør underlegges et slikt godkjenningssystem. En godkjenningsplikt vil kunne bidra til at både anskaffelse og anvendelse av så vidt viktige informasjonssystemer holder et forsvarlig sikkerhetsnivå. Når det gjelder informasjonssystemer som skal behandle sikkerhetsgradert informasjon, anbefaler utvalget at dagens krav til forhåndsgodkjenning videreføres. Det kan imidlertid stille seg annerledes for ugraderte informasjonssystemer. Det kan også for slike systemer være riktig å kreve forhåndsgodkjenning. Utvalget mener likevel at det for disse systemene ikke skal være en lovbestemt plikt til forhåndsgodkjenning. Dette vil dessuten gjøre overgangen fra gjeldende til ny sikkerhetslov enklere. Utvalget anbefaler at det overlates til Kongen å utforme nærmere bestemmelser om godkjenningsprosessen, herunder om det er behov for ulike løsninger i ulike sektorer eller for ulike typer informasjonssystemer, hvor omfattende prosessene skal være, og hvem som skal gis myndighet til å kunne godkjenne slike systemer.»
Utvalget foreslår å videreføre monitoring som sikkerhetstiltak, men foreslår å erstatte begrepet monitoring med kommunikasjons- og innholdskontroll av informasjonssystemer. Utvalget setter en klar premiss for videreføringen i kapittel 8.6.4:
«Når utvalget foreslår en videreføring må det understrekes at det er en absolutt forutsetning med en videreføring også av forbudet mot kontroll av privat kommunikasjon og kommunikasjon med virksomheter som ikke er underlagt sikkerhetsloven.»
Kommunikasjons- og innholdskontroll skal etter lovforslaget § 6-5 kunne gjennomføres i alle virksomhetens skjermingsverdige informasjonssystemer.
Utvalget vurderte om det burde være en lovfestet plikt til å gjennomføre inntrengingstesting. Utvalget viste til de mange ulike typene systemer som bestemmelsen omfatter, og ville ikke utelukke at tiltaket i noen tilfeller kunne være direkte uhensiktsmessig. Det ble derfor konkludert med at det ikke var behov for en plikt. Utvalget uttaler videre under kapittel 8.6.4:
«Inntrengningstesting vil dessuten kunne innebære behandling av personopplysninger. Utvalget antar at det vil kunne virke mindre inngripende at den enkelte virksomhet må ta initiativ til gjennomføring av tiltaket, fremfor at det foreligger en rettslig plikt.»
Av personvernhensyn mener utvalget det burde gjøres enkelte endringer i bestemmelsen.
Utvalget mener at sikkerhetsmessig overvåking er et «helt nødvendig tiltak for å beskytte skjermingsverdige informasjonssystemer i tilstrekkelig grad». I motsetning til kommunikasjons- og innholdskontroll og inntrengingstesting mener utvalget at virksomhetene må ha en plikt til å gjennomføre sikkerhetsmessig overvåking av sine informasjonssystemer. Utvalget foreslår også her enkelte endringer sammenlignet med dagens bestemmelse. Blant annet at et absolutt krav om en viss mengde lagring for noen vil kunne være svært byrdefullt. Utvalget foreslår også en mer generell angivelse av hvilken informasjon som kan lagres og registreres. I forslaget ligger også en tydeliggjøring av personvernhensyn.
10.4 Høringsinstansenes syn
10.4.1 Informasjon som skal beskyttes etter sikkerhetsloven
Direktoratet for forvaltning og IKT (Difi) viser til forslaget om å videreføre konfidensialitet som eneste inngangsverdi for beskyttelse etter loven, og bemerker at
«det vil være uheldig om en utvidelse av sikkerhetslovens virkeområde påvirker virksomheters vurdering av hensiktsmessig balanse mellom konfidensialitet, integritet og tilgjengelighet.»
Difi skriver også at dagens bruk av informasjonssikkerhet omfatter både konfidensialitet, integritet og tilgjengelighet.
Etter Forsvarets forskningsinstitutts (FFI) syn er Forsvarets framtidige behov i for liten grad ivaretatt, for eksempel på områdene kommando- og kontroll i framtidige operasjoner, militær etterretning og operasjonssikkerhet. Forsvarets behov for sikkerhet er for tiden inne i en dramatisk endring uten at FFI ser at dette i nødvendig grad er reflektert i lovforslaget. Det er for eksempel svært viktig å utdype forholdet mellom de grunnleggende sikkerhetsfaktorene tilgjengelighet, konfidensialitet og integritet, og hvordan disse skal behandles i den framtidige loven.
Kommunal- og moderniseringsdepartementet viser til digitaliseringen av samfunnet og uttaler at utvalget burde hatt en mer balansert tilnærming til hvordan informasjonen skal beskyttes etter sikkerhetsloven. Balansen mellom de tre sikkerhetsaspektene (konfidensialitet, tilgjengelighet og integritet) må ivaretas på en slik måte at beskyttelsen av de funksjonene som behandler informasjonen, er så god som mulig. Dette er helt avgjørende for å ivareta de verdiene som sikkerhetsloven skal hegne om.
Nasjonal kommunikasjonsmyndighet (Nkom) mener i korte trekk at sikkerhetsloven også bør beskytte informasjon som ikke har sterke konfidensialitetsbehov. Det innebærer at også integritet og tilgjengelighet bør være kriterier som informasjonen må vurderes etter. Dette er ikke tilstrekkelig ivaretatt gjennom bestemmelsene om beskyttelse av ugraderte systemer.
Oslo politidistrikt uttaler at begrepet skjermingsverdig informasjon bør videreføres, blant annet fordi det er et innarbeidet begrep. Når det gjelder beskyttelse av sikkerhetsgradert informasjon, mener Oslo politidistrikt at bruken av minimumskrav bør videreføres. Politidirektoratet støtter Oslo politidistrikts synspunkter.
Skattedirektoratet viser til at forslaget innebærer en videreføring av at det utelukkende skal være konfidensialitet som er driver for om informasjon skal beskyttes etter sikkerhetsloven. Skattedirektoratet mener dette kan bidra til at loven unnlater å omfatte viktige sikkerhetsområder som kan omfatte tilsiktede uønskede hendelser. Dette kan blant annet være informasjon som er åpen og ugradert, men som i seg selv er svært viktig å beskytte av integritetshensyn. Noen eksempler på dette kan være informasjon til befolkningen som gjøres tilgjengelig på troverdige nettsteder som for eksempel www.regjeringen.no og www.nrk.no, i det daglige og spesielt i forbindelse med krise eller konflikt. Falske nyheter kan bidra til destabilisering. Slike informasjonskanaler er av vital betydning for nasjonen og bør kunne underlegges sikkerhetsloven basert på behovet for beskyttelse med hensyn til integritet alene.
NSM bemerker at kapitteloverskriften Informasjonssikkerhet gir et misvisende inntrykk fordi det kun er sikkerhetsgradert informasjon som omhandles.
Telenor er av den oppfatning at innføringen av et nytt samlebegrep sikkerhetsgradert informasjon ikke nødvendigvis fører til en klargjøring. Det er heller ikke tydeliggjort hvordan skjermingsverdig informasjon i ugraderte systemer blir behandlet i NOU 2016: 19 og lovforslaget. Dersom det er slik at det nye begrepet sikkerhetsgradert informasjon ikke omfatter skjermingsverdig informasjon i ugraderte systemer, anser Telenor dette som en mangel i lovforslaget. Dersom informasjon om nasjonal samfunnskritisk infrastruktur/samfunnskritiske funksjoner blir kjent og misbrukt av uvedkommende, vil det kunne ha store nasjonale konsekvenser. Denne type informasjon bør graderes etter sikkerhetsloven, selv om informasjonen ikke kan behandles i graderte systemer. Denne type informasjon lagres og behandles i dag i systemer som benyttes til å sikre levering av blant annet telekommunikasjonstjenester, og som aldri vil tilfredsstille kravene til behandling av sikkerhetsgradert informasjon slik det framstilles i lovforslaget. Denne type «skjermingsverdig informasjon» kan Telenor ikke se er hensyntatt og oppfatter at dette vil medføre at informasjonen ikke blir beskyttet på rett nivå. Informasjonssikkerhetsforskriften er i dag gjeldende kun for graderte systemer.
10.4.2 Beskyttelse av skjermingsverdig informasjon
NSM slutter seg til de overordnede prinsipper som defineres for beskyttelse av sikkerhetsgradert informasjon. Det er nødvendig med tverrsektorielle minstestandarder både for å ivareta hensyn til sektorvise særegenheter og internasjonale forpliktelser. NSM støtter derfor forslaget om forskriftshjemmelen for dette formålet. NSM uttaler videre at de minstekrav som hjemles i § 5-2 andre ledd må omfatte alle relevante fagområder for beskyttelse av sikkerhetsgradert informasjon. Dette omfatter også krav til informasjonssystemer som behandler slik informasjon (herunder bruk av krypto), jf. lovforslagets kapittel 6, til personell som skal ha tilgang til slik informasjon, jf. lovforslagets kapittel 8, og til leverandører i forbindelse med sikkerhetsgraderte anskaffelser, jf. lovforslagets kapittel 9. Det må også kunne stilles minstekrav til virksomheters sikkerhetsorganisasjon og sikkerhetsstyring jf. lovforslagets kapittel 4. På denne bakgrunn bør det vurderes om denne forskriftshjemmelen mer naturlig hører hjemme i kapittel 4.
Norges Rederiforbund skriver at for at kravene til informasjonssikkerhet skal kunne ivaretas bør loven beskrive hvordan en godkjent infrastruktur skal etableres og driftes. Etter Rederiforbundets syn vil myndighetene måtte levere både arkitekturen og rammevilkårene for slik kommunikasjon. Dersom løsningen på problematikken ikke i større utstrekning beskrives i loven, vanskeliggjøres en tidsmessig relevant implementering med påfølgende forskriftsmessig forvaltning og bruk av selve systemene.
Direktoratet for samfunnssikkerhet og beredskap (DSB) påpeker utfordringer med sikkerhetsgraderingsregimet. De uttaler blant annet at
«gradering av informasjon gjør det vanskeligere å gjøre helhetlige vurderinger av risiko og risikoreduserende tiltak, og at forankring av sikkerhetsmessige utfordringer og problemstillinger i ledelsen og organisasjonen blir vanskeligere å få til.»
Statnett mener det er viktig at et nasjonalt regelverk for sikkerhet og beredskap ses i sammenheng med det kommende europeiske regelverket som forutsetter og pålegger til dels betydelig utveksling av sensitiv informasjon, for å ivareta hensynet til et felles energimarked med god forsyningssikkerhet for alle. Beredskapsforskriftens kapittel 6 har egne bestemmelser om hva som er sensitiv informasjon i energiforsyningen (kraftsensitiv informasjon), og hvordan denne skal beskyttes. Med sensitiv informasjon menes spesifikke og inngående opplysninger om energiforsyningen som kan brukes til å skade anlegg eller påvirke funksjoner som har betydning for energiforsyningen. Hensikten med bestemmelsen er overlappende med både dagens sikkerhetslov og forslaget til ny sikkerhetslov.
Informasjon som kan misbrukes av ondsinnede aktører, skal beskyttes. Det store skillet i denne sammenheng er styrken i barrierene, og at beredskapsforskriften ikke har flere graderinger av sensitiv informasjon. Der hvor sikkerhetsloven har sin styrke med høy grad av teknisk og organisatorisk konfidensialitet, legger beredskapsforskriften i større grad til rette for en balanse mellom konfidensialitet, integritet og tilgjengelighet.
Deling av informasjon med entreprenører, leverandører og faste ansatte over hele landet er en forutsetning for å ivareta forsvarlig drift av kraftsystemet, og en forutsetning for å gjøre nødvendige investeringer for framtidens kraftsystem. Økt deling av informasjon med europeiske transmisjonsselskaper og markeder er videre en utvikling drevet av endringer i EUs energilovgivning. Selv mindre endringer i verdivurderingen av informasjon for det som i dag faller inn under taushetsbestemmelsene i beredskapsforskriften, vil kunne føre til at Statnett må etablere et nytt landsdekkende gradert samband med tilhørende behov for et stort antall sikkerhetsklareringer. Det må legges til at Statnetts landsdekkende nett anses å ha høy grad av konfidensialitet, integritet og tilgjengelighet. En endring av verdivurdering av informasjon i dette informasjons- og kommunikasjonssystemet vil etter Statnetts syn kunne utfordre nødvendig tilgjengelighet, og bremse tiltak knyttet til sikkerhet og beredskap. Eksempelvis behandles ROS-analyser og beredskapsplaner på anlegg og administrative kontorer rundt om i landet, og en gradering etter sikkerhetsloven av disse dokumentene vil måtte føre til ombygging og godkjenning av flere hundre sambandspunkter for å ivareta behovet for å behandle disse etter sikkerhetslovens krav. Det reises også spørsmål om dette vil medføre behov for etablering av et stort antall rom over hele landet som er godkjent for å behandle sikkerhetsgradert informasjon. En eventuell endring av verdivurdering fra energiloven til sikkerhetsloven vil også kunne gjøre Statnetts og Norges deltagelse i utviklingen av det europeiske energimarkedet svært krevende. Usikkerhet vil kunne oppstå ved verdivurdering av sensitiv informasjon. For de første hos den som utarbeider og produserer informasjon i det enkelte selskap som er underlagt to lovverk med samme formål. For det andre mellom to ulike myndigheter som forvalter hvert sitt lovverk med samme formål. For å skape et tydelig og forutsigbart skille, og dermed en tydelig og forutsigbar forvaltning av informasjon i energiforsyningen, må informasjon om kraftforsyningsanlegg med tilhørende systemer reguleres etter energiloven. Dette vil også gi nødvendig fleksibilitet med hensyn til nødvendig deling av informasjon med norske og utenlandske leverandører og samarbeidsparter.
Direktoratet for e-helse viser til at Norm for informasjonssikkerhet i helse- og omsorgstjenesten (Normen) er etablert som et viktig regulatorisk instrument i sektoren. Direktoratet ber om at det tas spesielt hensyn til denne normen ved utforming av nytt regelverk om informasjonssikkerhet.
Telenor støtter utvalget i at plikten til å ivareta alle tre hensynene til informasjonssikkerhet (konfidensialitet, integritet og tilgjengelighet) innarbeides i ny lov. Dette forsterker at det innen informasjonssikkerhet er mange hensyn som skal ivaretas, herunder tilgjengelighet til kritisk funksjonalitet, tjenester og infrastruktur. Telenor peker videre på at det innen deres sektor behandles informasjon som burde vært gradert etter sikkerhetsloven. Imidlertid må denne informasjonen behandles i ugraderte systemer som ikke vil kunne tilfredsstille kravene til behandling av sikkerhetsgradert informasjon.
Thales viser til at loven utvides til også å gjelde informasjon og informasjonssystemer for kritiske samfunnsfunksjoner, og foreslår å definere en ny kritikalitetsgradering for informasjonssikkerhet i kapittel 5, med fokus på integritet og tilgjengelighet. Det anbefales å benytte samme eller lignende kategorier som i «§ 7-2 Klassifisering» (MEGET KRITISK, KRITISK, VIKTIG). Om det er informasjonen, informasjonssystemet eller begge som skal kritikalitetsgraderes, så plasserer man definisjonen der det er mest hensiktsmessig, enten i kapittel 5 om informasjonssikkerhet eller i kapittel 6 om informasjonssystemsikkerhet.
10.4.3 Informasjonssystemsikkerhet
Flere av høringsinstansene understreker viktigheten av styring av informasjonssikkerhet og informasjonssystemsikkerhet i en tid der disse temaene har fått økende betydning for sikkerheten i et gjennomdigitalisert samfunn. Høringsinstansene vektlegger imidlertid til dels ulike sider ved informasjonssystemsikkerheten i sine mer detaljerte kommentarer. Flere av høringsinstansene forventer at antallet informasjonssystemer som kan bli omfattet av loven, vil øke og at de selv vil kunne bli omfattet av loven. Mange av høringsinstansene mener at det er hensiktsmessig. Likevel uttrykkes det blant annet fra Samferdselsdepartementet en usikkerhet om hvilke krav som vil stilles til sikkerhetsnivå for i utgangspunktet åpne eller ugraderte informasjonssystemer. For noen skaper dette også usikkerhet om dette kan medføre uforutsette kostnader for virksomhetene i framtiden.
Telenor anbefaler blant annet at det etableres vurderingskriterier og prosesser som sikrer at det blir sammenheng mellom utpeking av kritiske systemer innad i en sektor og på tvers av sektorer.
Departementenes sikkerhets- og serviceorganisasjon (DSS) anbefaler at det i lovteksten eksplisitt tas inn at det må tas hensyn til internasjonale standarder.
Noen etater fremmer synspunkter om at det allerede finnes sektorkrav som delvis samsvarer eller overlapper med lovforslagets bestemmelser. Finans Norge peker i den sammenheng på at bankene ikke bør påføres økte eller parallelle byrder. Statnett og Norges vassdrags- og energidirektorat (NVE) peker på at det bør legges opp til at sektorvise særbehov blir ivaretatt. Statnett peker også på at det er uklart hva som ligger i forslaget om å åpne for å etablere flere ulike godkjenningsprosesser og godkjenningsmyndigheter, jf. utvalgets merknad til § 6-3 i NOU 2016: 19, side 263. Statnett uttrykker behov for at loven vil møte behovet for at ulike virksomheter innen kraftbransjen både innenlands og utenlands også i framtiden kan knyttes sammen i digitale grensesnitt.
Kommunal- og moderniseringsdepartementet mener det må være en forutsetning at sikkerhetsmyndigheten blir tilført tilstrekkelig med ressurser til å ta på seg den store oppgaven som de gis i lovforslaget. Kommunal- og moderniseringsdepartementet mener i den sammenheng at det bør vurderes å øke bruken av sikkerhetsgodkjente aktører for å avlaste sikkerhetsmyndigheten.
Det framgår av høringsinnspillene at det er ulike oppfatninger av sammenhengen mellom hva som oppfattes å inngå i bestemmelsene om informasjonssystemsikkerhet og hva som inngår i bestemmelsene om objekt- og infrastruktursikkerhet. NSM peker i den sammenheng på at det ligger en utfordring i grensedragningen mellom informasjonssystemene og systemer som vil omfattes av lovens kapittel om skjermingsverdige objekter og infrastruktur.
NSM påpeker videre at de overordnede prinsippene om informasjonssystemsikkerhet bør suppleres med at tiltakene skal sikre ivaretagelse av «autentisitet, ansvarlighet og tillit». Det må dessuten kunne stilles krav til minimumstiltak.
NSM savner en logikk i at systemer som behandler sikkerhetsgradert informasjon skal forhåndsgodkjennes, mens andre skjermingsverdige informasjonssystemer også skal godkjennes, men uten at det er krav om slik godkjenning før de tas i bruk. NSM foreslår at også systemer som behandler informasjon av kritisk betydning for nasjonale funksjoner skal forhåndsgodkjennes. NSM uttaler dessuten:
«Det er viktig med sentral oversikt over alle godkjente systemer. Dette er også nødvendig for å kunne ivareta våre forpliktelser overfor NATO. Det må derfor være en tydelig hjemmel for at Sikkerhetsmyndigheten skal kunne ha oversikt over alle godkjente systemer. Det må vurderes nærmere om det er tilstrekkelig at denne hjemmelen etableres i forskrift.»
NVE mener at det ikke bør innføres krav til godkjenning av systemer som ikke skal behandle sikkerhetsgradert informasjon.
NSM peker videre på at lovforslaget ikke synes å gi hjemmel for kommunikasjons- og innholdskontroll av andre systemer enn de som er sikkerhetsgodkjente. Direktoratet argumenterer videre for at det er viktig at slik kontroll også i framtiden skal kunne foretas på ugraderte systemer. NSM påpeker også at det bør være mulig for sikkerhetsmyndigheten å samle inn og analysere funn og erfaringer fra kommunikasjons- og innholdskontroll for å utvikle metodikk og som grunnlag for risikovurderinger. Etter NSMs syn bør virksomheten motta rapport etter endt kontroll.
DSS og Oslo politidistrikt uttrykker at kontroll og test av informasjonssystemer bør legges inn som del av tilsynets virkemidler. DSB drøfter også denne problemstillingen i sin uttalelse, der de peker på mellomløsninger der det også er andre enn sikkerhetsmyndigheten som kan foreta slike tester og at det kan foregå på regelmessig basis.
Inntrengingstesting i skjermingsverdige informasjonssystemer er foreslått å være frivillig og samtykkebasert. NSM uttrykker imidlertid at det bør vurderes om inntrengingstester også skal kunne benyttes som ledd i sikkerhetsmyndighetens tilsynsaktivitet.
NSM påpeker at forslaget om å avbryte en operasjon med inntrengingstesting med en gang sikkerhetsmyndigheten klarer å trenge inn i informasjonssystemet, vil bryte med dagens praksis og dramatisk kunne redusere verdien av en inntrengingstest. Dette blir blant annet begrunnet med at det ofte vil være mer enn en vei inn i et system, og at en slik begrensing vi redusere muligheten for analyse av svakheter og sårbarheter.
NSM uttaler dessuten:
«Til femte ledd bemerkes at det også må være mulig for Sikkerhetsmyndigheten å samle og analysere funn og erfaringer fra inntrengningstesting til bruk i risikovurderinger, for å forbedre sikkerhetstiltak, herunder videreutvikling av metodikk for inntrengningstesting, revurdering av gitte sikkerhetsmessige godkjenninger, samt forbedring av rådgivningsarbeidet. En ny lov bør gi tydelig hjemmel for dette.»
NSM påpeker også at dersom det i forskrift legges til rette for at andre enn sikkerhetsmyndigheten kan gjennomføre inntrengingstester av skjermingsverdige informasjonssystemer, må det etableres kriterier og rettslig grunnlag for slik virksomhet.
Datatilsynet har ingen konkrete kommentarer til bestemmelsene som innebærer behandling av personopplysninger, men har en generell merknad:
«Datatilsynet mener det er positivt at rapporten inneholder et eget kapittel om [forebyggende] sikkerhet og rettssikkerhetsgarantier, hvor personvern er godt beskrevet. Vi ser at det er gjennomgående i rapporten at der det foreslås inngrep eller tiltak som kan påvirke den enkeltes personvern, viser utvalget til vurderinger de har gjort og kommer med anbefalinger for å redusere personvernkonsekvensene, samtidig som man ivaretar sikkerheten. Dette gjenspeiles i stor grad også i lovforslaget.»
10.5 Departementets vurdering
10.5.1 Informasjon som skal beskyttes etter sikkerhetsloven
Temaene informasjonssikkerhet og informasjonssystemsikkerhet er i høringsinnspillene i begrenset grad blitt gjenstand for detaljerte kommentarer og innspill. Likevel peker mange av høringsinstansene på viktigheten av at bestemmelsene om informasjonssikkerhet blir gitt god og tidsmessig behandling i lovarbeidet. Dette blir etter departementets oppfatning også viktig gitt en begrenset utvidelse av lovens virkeområde, der det blant annet forventes at flere virksomheter i sivil sektor vil bli omfattet av loven enn i dag. Dette er virksomheter som gjennom lang tid har utviklet egendefinerte løsninger med IKT-systemer og sikkerhet basert på egen sektors særlige behov. Det er etter departementets syn nødvendig med en hensiktsmessig tilpasning også til disse virksomhetenes behov basert på et helhetlig risikobasert og kostnadseffektivt regime. Dette begrunnes med behovet for at virksomheten i størst mulig grad skal kunne utvikle sin kommersielle virksomhet.
Selv om en ny sikkerhetslov vil få større betydning for sivile aktører enn dagens lov, er det etter departementets syn svært viktig også å ivareta forsvarssektorens behov ved utarbeidelse av nytt regelverk. Dette aspektet ble i liten grad vurdert av utvalget. Slik departementet oppfatter det, er det også for militære aktiviteter et klart behov for endringer i eksisterende sikkerhetslov. Særlig kan forholdet mellom skjerming og deling av informasjon trekkes fram som viktige faktorer for å oppnå effektivitet og slagkraft i framtidens digitaliserte forsvar. Sett fra et militært perspektiv bør en ny sikkerhetslov legge grunnlaget for mer effektive og målrettede materiellanskaffelser tilpasset den løpende utviklingen av teknologi og trusselbilde, enn det dagens sikkerhetslov legger opp til. Det bør også vurderes om en ny sikkerhetslov vil utgjøre et grunnlag for hensiktsmessig operativ sikkerhet i militære operasjoner og digitale operasjoner innenlands og utenlands.
Utvalget hadde i sitt arbeid en grunnleggende oppfatning av at informasjonssikkerhet i utgangspunktet var tilfredsstillende dekket med tilnærmingen i gjeldende sikkerhetslov. Etter utvalgets syn var hensynet til graderingsregimet i NATO et viktig argument for ikke å gjøre større endringer på området informasjonssikkerhet. Ut fra en forståelse av utviklingen innen informasjonsteknologi innen sivil sektor fant utvalget det likevel nødvendig å gjøre visse utvidelser og presiseringer i forhold til gjeldende sikkerhetslov, for å ta inn over seg endringer i behovet for sikkerhet i IKT-baserte tjenester. Dette gjelder særlig behovet for beskyttelse av informasjonssystemer.
Etter departementets syn er dette likevel ikke tilstrekkelig for å oppnå tilfredsstillende tidsmessighet i bestemmelsene. Høringsinnspill fra både offentlige og private aktører, sett i sammenheng med Forsvarets behov, viser at det bør tas inn en prinsippbestemmelse om informasjonssikkerhet i lovteksten. Denne vil tydeliggjøre at alle de tre grunnleggende sikkerhetsegenskapene konfidensialitet, integritet og tilgjengelighet er viktige, og at de må ses i sammenheng. Departementet foreslår å benytte skjermingsverdig informasjon som samlebegrep for all informasjon som skal beskyttes etter sikkerhetsloven.
Skjermingsverdig informasjon skal altså i denne lovproposisjonen omfatte både informasjon som etter dagens sikkerhetslov er sikkerhetsgradert, og informasjon som må beskyttes av integritets- og tilgjengelighetshensyn. Begrepet sikkerhetsgradert informasjon videreføres fra gjeldende rett og brukes om den informasjonen som ut fra en verdivurdering pekes ut som skjermingsverdig ut fra en ren konfidensialitetsvurdering, se figur 10.1. Årsaken til videreføringen er blant annet at begrepet er godt innarbeidet i forvaltningen og fremdeles har en sentral plass i andre bestemmelser i loven.
I dagens sikkerhetslov er det i hovedsak samsvar mellom bruken av begrepene skjermingsverdig informasjon og sikkerhetsgradert informasjon. I NOU 2016: 19 foreslås det kun å videreføre begrepet sikkerhetsgradert informasjon som en forenkling av bestemmelsene. Etter dagens lov blir kun informasjon som er verdivurdert som skjermingsverdig på grunn av konfidensialitetshensyn, sikkerhetsgradert.
Behovet for integritetsbeskyttelse har blitt tydeligere med tiden. I praksis har prosessen rundt konfidensialitetsbeskyttelse også i stor grad gitt nytte for å sikre informasjon som krever integritetsbeskyttelse. Ulempen med denne tilnærmingen er at den stadig oftere kommer i direkte konflikt med behovet for å dele informasjon i virksomheter og mellom virksomheter. Dette gjelder blant annet i mange tilfeller der informasjon inngår som viktig virkemiddel i prosesser og funksjoner, både i militær og sivil kontekst.
Manglende mulighet til å dele informasjon kan ha store konsekvenser for operativ evne i militære operasjoner og en virksomhets evne til å produsere varer og tjenester. Eksempler på dette er styringssystemer for vann og kraft og signalsystemer for togframføring. Disse styringssystemene vil kunne inneholde svært mye informasjon som ikke har særlig behov for konfidensialitetsbeskyttelse. Mye av denne informasjonen vil være behandlet i mange ulike prosesser i til dels store systemer, og vil kunne være foredlet i samarbeid med mange eksterne kilder. En svært liten del av informasjon brukes imidlertid også til selve styringsfunksjonen av den fysiske infrastrukturen i vannverk, kraftforsyningsnett og signalene til togene. Dette vil være informasjon som vil kunne vurderes å være skjermingsverdig etter den nye lovens systematikk, fordi det er så viktig at informasjonen er korrekt og tilgjengelig. Konsekvensen av integritetsbrudd vil kunne være at deler av landet blir mørklagt, at vannforsyningen ikke har tilstrekkelig kvalitet eller at militært materiell ikke kan fraktes på jernbane i en sikkerhetspolitisk situasjon.
Det samme gjelder militære operasjoner på stridsteknisk nivå eller spesialstyrkeoperasjoner. Her vil det kunne være behov for ulike typer informasjon som enten er ugradert eller lavt gradert med kort levetid. I en slik sammenheng vil korrekt situasjonsoversikt og korrekt formidling av gitte ordre kunne være langt mer verdifullt enn formelt sikkerhetsgradert informasjon. I ytterste konsekvens vil en feil tilnærming til helhetlig sikkerhet kunne føre til at liv går tapt liv eller at kampen vil tapes. Etter departementets vurdering er det derfor nødvendig at loven også gir eksplisitt beskyttelse av informasjon som må beskyttes først og fremst av hensyn til integritet og tilgjengelighet. Dette vil legge grunnlaget for en modernisert tilnærming til informasjonssikkerhet også innenfor sikkerhetslovens område.
Dagens sikkerhetslov anerkjenner at sikkerhetsgradert informasjon kan ha andre beskyttelsesbehov enn konfidensialitet. Lovens ordning er likevel at det kun er konfidensialitetshensyn som inngår i vurderingen av om informasjonen skal beskyttes etter loven. Utvalget foreslår å videreføre denne ordningen. I takt med at informasjonsteknologi brukes til stadig mer avanserte funksjoner som er tidskritiske, er tilgjengelighetsaspektet blitt stadig viktigere for helhetlig informasjonssikkerhet. Det blir derfor etter departementets vurdering uheldig å videreføre en praksis som ikke fullt ut anerkjenner tilgjengelighet som en sentral sikkerhetsegenskap. Mange funksjoner effektiviseres med utstrakt bruk av informasjonsteknologi både av ressurshensyn og for å samle for eksempel krisehåndteringskompetanse. I en krisesituasjon vil tilgang til situasjonsoversikt fra radarer og andre sensorer kunne være svært viktig for krisehåndteringsevne på både sivil og militær side. Det vil både på politisk nivå og i forvaltningen være viktig at slik informasjon både er tilgjengelig til rett tid og med korrekt innhold. Dette er dermed også et eksempel på en situasjon der både tilgjengelighet og integritet kan være viktigere enn konfidensialitetshensyn. Tilsvarende er det viktig at den sentraliserte styringen av kraftnettet eller togtrafikken i Norge både er tilgjengelig til rett tid og innehar tilstrekkelig integritetsbeskyttelse.
Til grunn for å avgjøre hvilken informasjon som faller inn under begrepet skjermingsverdig informasjon skal det, som etter gjeldende rett, ligge en verdivurdering. Tema for vurderingen er hvilke konsekvenser det kan få for nasjonal sikkerhet dersom verdien av informasjonen går tapt. For konfidensialitet blir spørsmålet hvilke konsekvenser det kan få for nasjonal sikkerhet dersom informasjonen blir kjent for uvedkommende. For integritet blir spørsmålet hvilke konsekvenser det kan få for nasjonal sikkerhet dersom informasjonen ikke er korrekt. For tilgjengelighet blir spørsmålet hvilke konsekvenser det kan få for nasjonal sikkerhet dersom informasjonen ikke er tilgjengelig. Se for øvrig lovforslaget og merknadene til § 5-1.
Figur 10.1
Illustrasjonen viser forholdet mellom skjermingsverdig og sikkerhetsgradert informasjon og hvilke sikkerhetsbehov virksomhetens informasjon kan ha.
Departementet har vurdert om andre egenskaper for informasjonssikkerhet, som for eksempel autentisitet og ikke-benektbarhet, også bør tas inn i loven. Departementet erkjenner at også disse egenskapene tidvis er meget viktige å ta hensyn til for å oppnå tilstrekkelig informasjonssikkerhet. Utvalgets forslag til en egen lovbestemmelse om sikkerhetsmessig overvåking (som departementet foreslår videreført, se nærmere kapittel 10.5.3) ivaretar for eksempel særlig behovet for at aktivitet i et informasjonssystem skal være sporbart. Departementet er imidlertid av den oppfatning at det er tilstrekkelig eksplisitt å nevne de tre hovedhensynene i lovteksten. For det første kan øvrige hensyn utledes av de tre hovedhensynene. For det andre vil det bli utfordrende å sette grensen for hvilke hensyn som skal inkluderes i lovteksten. Og for det tredje vil det unødig komplisere lovteksten.
Det er etter departementets syn viktig å ta inn over seg det store spennet av ulike aktiviteter og tilhørende informasjonssystemer som loven skal omfatte. For eksempel gjelder dette offentlige saksbehandlingssystemer, militære kampsystemer, kontorstøttesystemer og industrielle kontroll- og styringssystemer. Det er videre etter departementets syn viktig å ta hensyn til at lovens bestemmelser vil dekke et område der faktorer som teknologiutvikling, trusselutvikling og anvendelse er i svært rask endring, både militært og sivilt. Fortsatt økt digitalisering er en ønsket og ventet utvikling både for Forsvaret og for det sivile samfunn. Loven må legge til grunn prinsipper som understøtter denne utviklingen, der det samtidig legges til grunn et tidsriktig, helhetlig og balansert risikoregime innen sikkerhet. Dette innebærer forhold med høy iboende kompleksitet som gjør det lite hensiktsmessig med detaljerte bestemmelser i loven. Departementet vil derfor foreslå at nærmere detaljerte bestemmelser gis i forskrift.
10.5.2 Beskyttelse av skjermingsverdig informasjon
10.5.2.1 Beskyttelse av skjermingsverdig informasjon
Beskyttelse av informasjon handler om ivaretakelse av informasjonens verdi. Informasjon består av ulike verdier som tidvis er i konflikt med hverandre. Beskyttelsestiltakene må derfor tilpasses konkret til ulike typer informasjon. For å oppnå god informasjonsbeskyttelse må det ligge til grunn en konkret og grundig verdivurdering av informasjonen.
En slik tilnærming ble også lagt til grunn av utvalget, som nevnt under kapittel 10.3.1. Departementet mener forslaget er godt og ivaretar behovet for en helhetlig og balansert tilnærming til beskyttelse av informasjon. Imidlertid må denne bestemmelsen om beskyttelse justeres i tråd med departements forslag om at verdivurderingen av informasjon også skal omfatte integritet og tilgjengelighet. Departementet foreslår derfor at begrepet sikkerhetsgradert informasjon i første ledd erstattes av samlebegrepet skjermingsverdig informasjon.
Departementet mener videre at det bør gå klart fram av bestemmelsen at den enkelte virksomhet plikter å iverksette tiltak slik at det oppnås et forsvarlig sikkerhetsnivå. Denne rettslige standarden er nærmere omtalt i NOU 2016: 19 kapittel 7.7.9, side 144. Forskriftshjemmelen i andre ledd bør også justeres slik at den omfatter all skjermingsverdig informasjon og slik at den ikke begrenser seg til minimumskrav.
10.5.2.2 Sikkerhetsgradert informasjon
Etter departementets syn bør dagens lovbestemmelser for sikkerhetsgradering og beskyttelse av informasjonens konfidensialitet videreføres, slik som utvalget har foreslått. Sikkerhetsgradert informasjon vil dermed bli en delmengde av den skjermingsverdige informasjonen. NSM påpeker i sitt høringssvar at dette er informasjon som har det samme beskyttelsesbehovet uavhengig av i hvilken sektor eller virksomhet informasjonen håndteres. Dette fordi skadefølgene ikke bare rammer virksomheten, men også bredere nasjonale interesser. Departementet er enig i denne vurderingen. Informasjon som skal sikkerhetsgraderes, vil fortsatt stå i en særstilling og vil måtte underlegges særlige nasjonale tverrsektorielle sikkerhetskrav fastsatt av sikkerhetsmyndigheten slik som i dag. Sikkerhetsgradert informasjon må beskyttes enhetlig og helhetlig på tvers av alle sektorer.
Det må også legges vekt på at denne formen for verdivurdering har betydelige implikasjoner for andre bestemmelser i loven, og at denne lovbestemmelsen på kort sikt sikrer interoperabilitet med NATOs og andre nasjoners graderingsregime. Som utgangspunkt er det derfor grunn til å videreføre dagens regime for beskyttelse av denne type informasjon. En eventuell endring av disse reglene vil kreve en grundig utredning.
Samtidig er trussel- og utfordringsbildet blitt mer komplekst enn tidligere. Dette er godt beskrevet i utredningen. I både militær og sivil sektor har det skjedd og er i ferd med å skje en betydelig utvikling som setter dagens regime på prøve. Blant annet er det i mange tilfeller vanskelig å vurdere behovet for skjerming opp mot behovet for informasjonsdeling. Et eksempel er trusselinformasjon, som kan være svært sensitiv og derfor må skjermes. Samtidig har mange aktører innen forebyggende sikkerhetsarbeid behov for å kjenne til trusselinformasjonen for å kunne iverksette treffende mottiltak. Andre utfordringer oppstår når samme informasjon defineres innenfor flere ulike sikkerhetsregimer. Et eksempel på dette er informasjon som er definert som kraftsensitiv i henhold til energisektorens beredskapsforskrift.
For å fange opp samfunnsutviklingen ser departementet at det i enkelte tilfeller kan være behov for å gjøre konkrete tilpasninger mellom ulike sikkerhetsregimer. For det første kan slike forhold i særlige tilfeller begrunne anvendelse av lovforslaget § 1-2 der det gis forskriftshjemmel til å gjøre helt eller delvis unntak fra lovens virkeområde, inkludert visse typer informasjon og informasjonssystemer. I andre tilfeller kan det være behov for å åpne i noe større grad for unntak fra beskyttelsestiltak som vil bli fastsatt i forskrift. I så fall må andre kompenserende tiltak være på plass. Lovforslaget §§ 5-2 og 6-2 inneholder forskriftshjemler til å fastsette nærmere sikkerhetskrav. Verken ordlyd eller utredningen for øvrig hindrer etter departementets vurdering at hjemmelen også omfatter mulighet til å fastsette unntak fra sikkerhetskravene i særlige tilfeller. Departementet mener likevel at dette bør gå tydelig fram av lovteksten. Se nærmere lovforslaget §§ 5-2 andre ledd andre punktum og 6-2 andre ledd andre punktum.
Departementet vil understreke at unntak fra sikkerhetskrav om beskyttelse av sikkerhetsgradert informasjon, enten det gjelder dokumentbehandling, informasjonssystembeskyttelse eller annet, kun kan forekomme i helt spesielle tilfeller. For det første må slike unntak være godt begrunnet i hensyn til den aktuelle virksomhetens aktivitet. For det andre må det vurderes kompenserende tiltak. I første omgang bør det være opp til sikkerhetsmyndigheten om slike unntak kan innvilges. Blir det ikke enighet, kan spørsmålet eventuelt løftes til et overordnet nivå. De nærmere reglene om når det kan gjøres unntak og av hvem bør vurderes grundig og fastsettes i forskrift.
Departementet er enig med utvalget i at gjeldende rett om taushetsplikt for sikkerhetsgradert informasjon må videreføres. Departementet støtter utvalgets forslag om å regulere tilgjengeliggjøring av og taushetsplikt om sikkerhetsgradert informasjon i en egen bestemmelse. Det vises for øvrig til utredningens merknader til bestemmelsen.
Sikkerhetstiltaket tekniske sikkerhetsundersøkelser (TSU) bør videreføres, som foreslått av utvalget. Departementet støtter dessuten NSMs forslag om at kontrolløren skal rapportere om resultatet av kontrollen til virksomheten. Departementet er videre enig med NSM i at nærmere regler om bemyndigelse av andre virksomheter som TSU-kontrollører må utarbeides i forskrift.
Etter gjeldende lov § 16 åpnes det for at sikkerhetsmyndigheten kan bemyndige andre til å gjennomføre den tekniske sikkerhetsundersøkelsen. Departementet mener at den nye loven også bør åpne for at andre enn sikkerhetsmyndigheten gjennomfører slike kontroller. Imidlertid bør myndigheten til å peke ut andre kontrollører legges til Kongen. Dette samsvarer bedre med lovforslagets øvrige systematikk om delegering av myndighet.
Gjeldende rett om kryptosikkerhet, se sikkerhetsloven § 14, må etter departementets oppfatning videreføres i den nye sikkerhetsloven. Kryptosikkerhet er en viktig del av nasjonalt forebyggende sikkerhetsarbeid. I motsetning til utvalget mener departementet derfor at de mest grunnleggende reglene om kryptosikkerhet fortsatt bør gå klart fram av loven. Det er viktig at det på lovs nivå gjøres klart hvordan kryptosikkerheten skal forvaltes og at det stilles særlige krav ved bruk av krypto for å beskytte sikkerhetsgradert informasjon.
Departementet vil bemerke at denne bestemmelsen ikke kommer i konflikt med regjeringens generelle holdning om at bruk av kryptografi verken bør forbys eller reguleres. Bestemmelsen i sikkerhetsloven handler bare om at når krypto skal brukes for å beskytte sikkerhetsgradert informasjon, må det stilles krav om at kryptoen er av en viss kvalitet. Dette legger ikke bånd på bruken av kryptografi for øvrig i samfunnet.
10.5.3 Informasjonssystemsikkerhet
Informasjonssystemsikkerhet utgjør etter departementets vurdering en sentral del av informasjonssikkerheten ved at den beskriver innretning og tiltak for hvordan informasjonssikkerheten skal ivaretas i de systemene der informasjonen behandles og brukes. Høringsinnspillene støtter i hovedsak opp under denne vurderingen. Likevel foreligger det innspill som det er hensiktsmessig å behandle spesielt.
Sikkerhetsloven er en rammelov som skal ha sin funksjon gjennom en relativt lang tidsperiode. Samfunnets anvendelse av informasjonsteknologi og de sikkerhetsutfordringer som følger av denne anvendelsen, må forventes å endres raskt i løpet av den samme tidsperioden. En utfordring vil være at loven kan oppfattes som utydelig innenfor særlig sammensatte områder som informasjonssystemsikkerhet. Dette er en utydelighet som etter departementets syn er uunngåelig, samtidig som at dette også er hensiktsmessig for å gi rom for å møte den framtidige utviklingen. Konkretiseringen av hvilke konsekvenser loven får, vil skje gjennom forskriftsutvikling og praktisering av regelverket.
10.5.3.1 Informasjonssystemer som skal beskyttes etter sikkerhetsloven
Departementet støtter utvalgets drøftelser og forslag om hvilke informasjonssystemer sikkerhetsloven skal beskytte, se nærmere NOU 2016: 19 kapittel 8.5.2 og 8.6.2. En rekke høringsinstanser gir støtte til dette forslaget. En ny sikkerhetslov må, i tillegg til å beskytte informasjonssystemer som behandler sikkerhetsgradert informasjon, også beskytte informasjonssystemer som på grunn av sin funksjonalitet er viktig for nasjonal sikkerhet. Som en naturlig konsekvens av drøftelsene under kapittel 10.5.1 om hvilken informasjon loven skal beskytte, følger det at loven også må beskytte informasjonssystemer som behandler skjermingsverdig informasjon, og ikke bare sikkerhetsgradert informasjon. Se nærmere i lovforslaget § 6-1 om hvilke informasjonssystemer loven skal gjelde for.
Utvalget legger til grunn en vid forståelse av begrepet informasjonssystem, jf. merknaden til utvalgets lovforslag § 6-1 i NOU 2016: 19, side 262:
«Med begrepet informasjonssystem menes systemer som anvendes for å løse en oppgave eller utføre en funksjon i en organisasjon. Det omfatter menneskelige, organisatoriske og tekniske ressurser, metoder og teknikker.
Informasjonssystem skal i sikkerhetsloven forstand forstås vidt. Begrepet omfatter både manuelle og digitale informasjonssystemer, og favner alt fra saksbehandlingssystemer, kontorstøttesystemer og rene kommunikasjonssystemer til kontroll- og styringssystemer.»
Departementet stiller seg bak denne tilnærmingen og mener at beskrivelsen er dekkende for begrepet informasjonssystem.
Departementet er videre enig i utvalgets forslag om å bruke begrepet skjermingsverdige informasjonssystemer som samlebegrep for alle informasjonssystemer som skal beskyttes etter sikkerhetsloven.
10.5.3.2 Beskyttelse av informasjonssystemer
Informasjonssystemer må gis en konkret og helhetlig beskyttelse basert på en vurdering av risiko for det enkelte informasjonssystemet. Departementet stiller seg bak utvalgets generelle drøftelser i kapittel 8.6.2 og merknaden til utvalgets lovforslag § 6-2. Departementet støtter dermed i hovedsak utvalgets forslag til bestemmelser om informasjonssystemsikkerhet. Det er likevel behov for å gjøre enkelte justeringer. Blant annet mener departementet at utvalget ikke går tilstrekkelig langt i å ta høyde for den raske samfunnsutviklingen på dette feltet.
Det blir i høringsuttalelsene uttrykt at det i virksomheter som må kunne forventes å komme inn under sikkerhetslovens virkeområde, allerede foregår utstrakt informasjonsdeling mellom ulike informasjonssystemer både innenlands og utenlands. Det uttrykkes behov for tiltak som tilpasses denne virkeligheten. Disse informasjonssystemene vil til dels også kunne behandle både sikkerhetsgradert informasjon og informasjon som ikke er sikkerhetsgradert, men som fortsatt er skjermingsverdig.
Et tema som er særlig aktuelt for Forsvaret, er behovet for fleksible risikobaserte løsninger for forhåndsgodkjenning av systemer, særlig til mer kortvarig bruk i feltsammenheng og øvelser.
Flere av høringsinstansene har videre tatt opp behovet for sikker tilgjengelighet som del av informasjonssystemsikkerheten. Kommunikasjonsinfrastrukturer som omfatter både sivile og militære systemer, blir stadig viktigere for militær evne og overlevelse, uten at det oppfattes at dagens sikkerhetsregime tar inn over seg denne utfordringen. Utviklingen mot bruk av stadig flere sivile tjenester blir framhevet som klare utfordringer i slik tilgjengelighetssammenheng.
Loven vil etter departementets vurdering i stor grad møte behovene i både militær og sivil sektor. Dette gjøres i hovedsak ved i større grad enn tidligere å legge til grunn risikobaserte vurderinger for de konkrete løsningene som velges. Det skal også gjøres en konkret vurdering av kostnadene som løsningene kan medføre. Kostnadene skal stå i et rimelig forhold til nytteverdien av det som faktisk oppnås ved tiltaket. Likevel er det viktig også å ta hensyn til begrensninger Norge er pålagt gjennom samarbeid med blant annet NATO og deres sikkerhetsbestemmelser.
På samme måte som for beskyttelse av informasjon mener departementet at det for informasjonssystemer i særtilfeller må være mulig å gjøre spesielle tilpasninger av sikkerhetstiltakene. Dette vil antakelig være særlig aktuelt for informasjonssystemer som behandler både sikkerhetsgradert informasjon og informasjon som ikke skal sikkerhetsgraderes. Departementet foreslår derfor en generell hjemmel for Kongen til å fastsette nærmere regler om unntak fra beskyttelsestiltakene i forskrift. Forskriften bør blant annet fastsette vilkår for hva som skal anses som særlige tilfeller og hvem som skal foreta denne vurderingen. Departementet vil her understreke at det ikke er meningen å lempe på sikkerhetskravene, men å gjøre det mulig gjennom en risikobasert tilnærming å få til tilpassede løsninger som ivaretar hensyn til både sikkerheten og virksomhetens aktivitet. På denne måten tas det også høyde for mulige behov for tilpasning til sektorregelverk. Det vises for øvrig til kapittel 10.5.2 om dette. Samlet skal unntaksbestemmelsene i lovforslaget §§ 1-2, 5-2 og 6-2 gjøre loven tilstrekkelig dynamisk til å møte en fortsatt rask digital utvikling på alle samfunnsområder.
Utvalget foreslår å videreføre dagens regler om at informasjonssystemer som skal behandle sikkerhetsgradert informasjon, må forhåndsgodkjennes før de tas i bruk. I utvalgets lovforslag legges det videre til grunn ulik behandling av henholdsvis sikkerhetsgradert informasjon og ugradert, men skjermingsverdig informasjon. Etter departementets syn er det hensiktsmessig å følge lovforslaget der systemer som behandler sikkerhetsgradert informasjon, i utgangspunktet skal forhåndsgodkjennes. Det er også etter departementets syn nødvendig å følge lovforslaget og åpne opp for ulik praksis med sikkerhetsgodkjenning av skjermingsverdige systemer som ikke behandler sikkerhetsgradert informasjon. Dette begrunnes i at en utvidelse av lovens virkeområde vil kunne omfatte systemer som inngår i kommersiell virksomhet. Det vil etter departementets syn være risiko for at et krav om forhåndsgodkjenning utilsiktet vil kunne påvirke kommersiell virksomhet på en uhensiktsmessig måte.
Departementet foreslår å videreføre utvalgets forslag til regulering av overvåking av informasjonssystemer, jf. utvalgets lovforslag § 6-4. Som utvalget uttaler er dette et nødvendig sikkerhetstiltak som må gjennomføres for alle virksomhetens skjermingsverdige informasjonssystemer. Ingen høringsinstanser har hatt særlige merknader til denne bestemmelsen. Departementet støtter utvalgets vurderinger og viser til disse i sin helhet i NOU 2016: 19, kapittel 8.6.4 og merknaden til utvalgets lovforslag § 6-4 på side 263–264. Departementet har gjennomført enkelte språklige endringer, se nærmere lovforslaget og tilhørende merknader.
Enkelte høringsinnspill peker på at inntrengingstesting bør kunne inngå som del av sikkerhetsmyndighetens tilsynsaktivitet. NSM ber om at det vurderes. Utvalget drøftet spørsmålet i utredningen kapittel 8.6.4, side 171:
«Av hensyn til de forskjelligartede informasjonssystemer som omfattes av bestemmelsen, kunne beskrivelsen av plikten vanskelig blitt veldig konkret. Utvalget vil dessuten ikke utelukke at tiltaket i enkelte tilfeller er direkte uhensiktsmessig. Inntrengningstesting vil dessuten kunne innebære behandling av personopplysninger. Utvalget antar at det vil kunne virke mindre inngripende at den enkelte virksomhet må ta initiativ til gjennomføring av tiltaket, fremfor at det foreligger en rettslig plikt.»
Lysne-utvalget drøfter også problemstillingen i NOU 2015: 13 kapittel 21.11.3, side 276:
«NSM anbefaler i sikkerhetsfaglig råd at Sikkerhetsutvalget bør vurdere om «NSM bør gis hjemmel til å gjennomføre inntrengingstesting uten forutgående samtykke fra virksomheten». Utvalget er prinsipielt uenig i at man bør tillate å gjennomføre inntrengingstesting uten samtykke fra virksomheter. Dette begrunnes med at det kan undergrave tillit, samt sektorenes og virksomhetenes selvstendige ansvar.»
Departementet støtter disse vurderingene og mener det vil være et uforholdsmessig stort inngrep å gjøre inntrengingstesting til et virkemiddel i sikkerhetsmyndighetens tilsynsaktivitet uten at det blir gitt samtykke til dette fra systemeier.
Departementet mener at det ikke er hensiktsmessig å følge utvalgets lovforslag om å avbryte en inntrengingstest med en gang sikkerhetsmyndigheten klarer å trenge inn i systemet. NSM gir i sin høringsuttalelse en god og konsistent begrunnelse for dette. Hensynet til personvernet er godt ivaretatt i bestemmelsens andre ledd.
Det er i lovforslaget lagt til rette for at andre enn sikkerhetsmyndigheten kan utføre inntrengingstesting. Flere av høringsinnspillene peker også på at dette er et behov. Etter departementets syn er dette hensiktsmessig særlig i lys av et utvidet virkeområde i forhold til dagens lovgivning. NSM uttaler i sitt høringssvar at det i så fall må etableres kriterier og rettslig grunnlag for slik virksomhet. Departementet er enig i denne vurderingen. Det rettslige grunnlaget for slik aktivitet følger av lovforslaget § 6-5 første ledd og de nærmere kriteriene vil måtte følge av forskrift, jf. femte ledd.
Bestemmelsen åpner etter ordlyden for at andre enn sikkerhetsmyndigheten utfører testing av alle typer systemer. Departementet legger imidlertid til grunn at det i praksis fortsatt vil være sikkerhetsmyndigheten som skal stå for testing av informasjonssystemer som behandler sikkerhetsgradert informasjon, og andre særlig sensitive systemer. Flere gode grunner taler for å videreføre dagens ordning, jf. forskrift om informasjonssikkerhet § 11-5. Etter denne bestemmelsen kan slik testing gjennomføres kun av personell tilhørende Nasjonal sikkerhetsmyndighet eller som står under ledelse av Nasjonal sikkerhetsmyndighet. Om det skal åpnes for at andre enn sikkerhetsmyndigheten skal foreta inntrengingstesting i de tilfellene som her er nevnt, må vurderes grundig når det skal utarbeides forskrifter.
NSM har i sitt høringssvar påpekt at det er viktig at sikkerhetsmyndigheten har hjemmel til å samle inn og bruke funn og erfaringer fra kontrolltiltakene de gjennomfører. Dette vil være viktig for å videreutvikle metodikk og sikkerhetstiltak og som grunnlag for risikovurderinger. Departementet støtter denne vurderingen og mener det i loven bør gis hjemmel for dette. Muligheten for å kunne nyttiggjøre seg lærdom fra gjennomførte kontroller er viktig for at sikkerhetsmyndigheten skal kunne utvikle seg og holde et faglig høyt nivå. Som det framgår av lovforslaget, er det lagt til hjemmel for viderebruk av informasjon i §§ 5-5, 6-5 og 6-6. Departementet foreslår at de nærmere bestemmelsene for videre bruk av informasjon tilegnet gjennom kontrolltiltak fastsettes i forskrift. Hensynet til personvern må vurderes nøye.
Et særlig spørsmål er forholdet mellom sikkerhetsmyndigheten og andre virksomheter som eventuelt vil kunne utføre inntrengingstesting eller andre kontroller i medhold av sikkerhetsloven. Gode grunner taler i mange tilfeller for at kontrolløren bør dele sine erfaringer og funn fra kontrollene med sikkerhetsmyndigheten. Departementet mener imidlertid at det ikke bør settes krav til slik informasjonsdeling i loven, da hensiktsmessigheten av en slik ordning kan være forskjellig fra tiltak til tiltak. Problemstillingen må vurderes nærmere ved utforming av forskrifter om de ulike kontrolltiltakene.
Departementet støtter utvalgets forslag om å videreføre dagens bestemmelse om kommunikasjons- og innholdskontroll. Det er videre departementets vurdering at det i loven bør gis hjemmel for kommunikasjons- og innholdskontroll i alle virksomhetens ugraderte systemer, og ikke bare de som er skjermingsverdige. Dette er en videreføring av dagens praksis. Som NSM uttrykker, bør dette gå tydeligere fram av lovteksten, og departementet foreslår derfor justering i tråd med dette. Departementet slutter seg for øvrig til utvalgets vurderinger i utredningen kapittel 8.6.4 om dette temaet.
Departementet har vurdert om andre enn sikkerhetsmyndigheten bør kunne utføre denne typen kontroller. En slik arbeidsfordeling vil i så fall være i tråd med ordningen for tekniske sikkerhetsundersøkelser og inntrengingstesting. Det kan være grunn til å begrense muligheten for andre fordi det her dreier seg om sikkerhetsgradert informasjon. Imidlertid gjelder også tekniske sikkerhetsundersøkelser som oftest sikkerhetsgradert informasjon. Som nevnt over gir gjeldende sikkerhetslov § 16 åpning for at andre enn sikkerhetsmyndigheten kan gjennomføre tekniske sikkerhetsundersøkelser. Etter departementets syn bør loven åpne for muligheten for en avlastning av sikkerhetsmyndigheten også på dette området. Etter departementets syn må kontrolltjenestene være av en viss kvalitet. Det må derfor settes klare kriterier for hva som skal til for at andre virksomheter, om det er sektormyndigheter eller private selskaper, skal kunne tilby slike kontrolltjenester etter sikkerhetsloven. Dette gjelder for både tekniske sikkerhetsundersøkelser, kommunikasjons- og innholdskontroll og inntrengingstesting. De nærmere kriteriene må utarbeides gjennom forskrift.
NSM påpeker i sitt høringssvar at det bør framgå av lovbestemmelsen at virksomheten etter endt kontroll skal få rapport om kontrollen, slik at virksomheten skal kunne foreta eventuelle utbedringstiltak. Departementet støtter denne vurderingen og foreslår å ta inn et nytt ledd som foreslått av NSM og som tilsvarer utvalgets forslag til § 6-6 femte ledd. Dette vil gjelde for alle kontrolltiltakene.
10.5.3.3 Særlig om sikkerhetsgradering med kort levetid
I dagens sikkerhetslov er informasjonens verdi knyttet til graderingsnivåene for sikkerhetsgradert informasjon. Historisk sett hadde sikkerhetsgradert informasjon lang levetid, det vil si fem år eller mer. Imidlertid behandler informasjonssystemene i dag informasjon som, avhengig av hvilken sammenheng den brukes i, vil kunne ha svært kort levetid. Dette kan for eksempel være teknisk informasjon i et drifts- og styringssystem for en viktig samfunnsfunksjon eller informasjon som brukes i en militær operasjon. Muligheten til å dele visse typer informasjon i nettverk vil være en viktig forutsetning for både militære operasjoner og andre viktige funksjoner i samfunnet. Det er med den bakgrunnen uttrykt ønske om at det blir lagt til rette for en mer fleksibel tilnærming til muligheten for deling av enkelte typer sikkerhetsgradert informasjon, der det tas hensyn til informasjonens levetid i en helhetlig risikobasert sammenheng. Det har imidlertid ikke vært mulig å innarbeide dette hensynet i den nye loven. Det vurderes likevel som viktig å gjøre vurderinger og foreta avklaringer på dette området i det videre forskriftsarbeidet.
10.5.3.4 Særlig om informasjonssystemsikkerhet og objekt- og infrastruktursikkerhet
Etter departementets vurdering utgjør tilgjengelighet og sammenhengen mellom informasjonssystemsikkerhet og objekt- og infrastruktursikkerhet en stadig viktigere del av helhetlig sikkerhet både i militære og sivile informasjonssystemer. Det søkes så langt det er mulig å framheve dette forholdet i lovgrunnlaget. Videre behandling av dette sammensatte temaet vil også måtte bli tatt inn i det påfølgende forskriftsarbeidet.
Utvalgets forslag om å utvide objektsikkerhet til også å omfatte infrastruktursikkerhet er i utgangspunktet ment å skulle tilføre en tydeligere systemtilnærming i lovgivningen. Forslaget vil i noen grad også innebære en utvidelse. Det vil imidlertid fortsatt være objekter og infrastruktur med spesielt høy verdi og skjermingsbehov som vil bli omfattet av den nye loven. Mange av systemene i militære og sivile infrastrukturer er i økende grad nettverksbasert. Økende bruk av informasjonsteknologi i drifts- og styringsfunksjoner i mange samfunnsfunksjoner fører til at infrastrukturene blir stadig mer sammensatte, særlig ved at de utgjør kombinasjoner av fysiske og logiske nettverksfunksjoner. For eksempel er kraftnettet i Norge både avhengig av at det fysiske kraftnettet er robust, og at den fysiske og logiske delen av informasjonssystemene som kraftforsyningen bruker for å styre det fysiske kraftnettet, også er robust.
Det blir derfor på den ene siden nødvendig å se alle typer av infrastrukturer i en helhet, der både objekter og de nettstrukturene som knytter det hele sammen, ses på i et helhetlig sikkerhetsperspektiv. Her vil det imidlertid være et utydelig skille mellom informasjonssystemsikkerhet og infrastruktursikkerhet. Innenfor informasjonssystemsikkerhet skal det legges til grunn at all sikkerhet i skjermingsverdige informasjonssystemer skal håndteres helhetlig med hensyn til tilgjengelighet, integritet og konfidensialitet.
Samtidig må det imidlertid tas hensyn til at informasjonssystemsikkerhet må ses i nær sammenheng med objekt- og infrastruktursikkerhet for å oppnå tilstrekkelig helhetlig sikkerhet, og dermed et forsvarlig sikkerhetsnivå. Hvordan de fysiske og logiske nettverkene er knyttet sammen i infrastrukturene, vil ha stor betydning for tilgjengeligheten i de fleste moderne informasjonssystemer. Sammenhengen mellom informasjonssystemsikkerhet og objekt- og infrastruktursikkerhet er i særlig grad viktig for å sikre tilgjengeligheten i moderne distribuerte informasjonssystemer. Departementet stiller seg for øvrig bak de betraktninger utvalget gjør omkring dette i NOU 2016: 19 kapittel 8.6.3. Det kan i flere tilfeller være aktuelt å peke ut skjermingsverdige informasjonssystemer som skjermingsverdig objekt eller infrastruktur.