11 Objekt- og infrastruktursikkerhet
11.1 Gjeldende rett
Gjeldende bestemmelser om objektsikkerhet står i sikkerhetsloven kapittel 5 Objektsikkerhet med tilhørende forskrift. Opprinnelig, ved ikrafttredelse av sikkerhetsloven 1. juli 2001, var kapittelet om objektsikkerhet svært kortfattet, der hovedbestemmelsene oppstilte en plikt for vedkommende virksomhet underlagt loven til å utpeke skjermingsverdige objekter og til å treffe nødvendige forebyggende sikkerhetstiltak for å beskytte skjermingsverdige objekter mot sikkerhetstruende virksomhet. Som Sikkerhetsutvalget peker på i NOU 2016: 19 kapittel 9.2, side 176, har dette sin historiske bakgrunn i at sikkerhetsloven, som ble vedtatt i 1998, bygde på og erstattet den daværende Sikkerhetsinstruksen, som kun omhandlet informasjonssikkerhet. At objektsikkerhet kom inn i regelverket, var således en nyskapning.
I forbindelse med utarbeidelse av forskrift om objektsikkerhet, som først kom i gang etter ikrafttredelse av loven i 2001, kom man etter hvert til at lovbestemmelsene om objektsikkerhet burde bygges mer ut, for å få inn prinsipielle bestemmelser om utpeking og klassifisering av skjermingsverdige objekter, og for å unngå at alle hovedinnretningene i det operasjonelle regelverket skulle stå i forskrift.
De nåværende hovedbestemmelsene i kapittel 5 kom derfor først inn ved lovendring i 2008 (lov 11. april 2008 nr. 9), jf. Ot. prp. nr. 21 (2007–2008) og Innst. O nr. 33 (2007–2008). Her fastslås det at det er hvert enkelt departement som utpeker skjermingsverdige objekter innen sitt myndighetsområde og at klassifiseringsgradene for skjermingsverdige objekter er MEGET KRITISK, KRITISK og VIKTIG, vurdert etter hvilket skadepotensial et anslag vil kunne få, jf. §§ 17 og 17 a. Det blir dessuten fastslått at det er objekteier som plikter å beskytte skjermingsverdige objekt med sikkerhetstiltak, der tiltakene skal bestå av «en kombinasjon av barrierer, deteksjon, verifikasjon og reaksjon», som i sum tilfredsstiller krav tilpasset de aktuelle klassifiseringsgradene, jf. § 17 b.
Forskrift om objektsikkerhet ble fastsatt ved kongelig resolusjon 22. oktober 2010. Her heter det blant annet at der det finnes relevante og tilstrekkelige bestemmelser innenfor sektorlovgivningen, og det er etablert tilsynsorgan, går disse foran bestemmelsene i objektsikkerhetsforskriften, jf. § 1-3. I forbindelse med departementenes oppgave med utpeking av skjermingsverdige objekter innen sitt myndighetsområde, skal den enkelte virksomhet overfor vedkommende fagdepartement levere en dokumentert skadevurdering over hvilke objekter som kan være skjermingsverdige, jf. § 2-1 andre ledd. Der det finnes tilsynsorgan for sektoren, kan disse foreslå overfor departementet skjermingsverdige objekter uavhengig av virksomhetens eller objekteiers forslag, jf. § 2-1 tredje ledd. Videre heter det i forskriften at de enkelte departementene skal føre register over skjermingsverdige objekter og klassifiseringen av disse innen eget myndighetsområde, og deretter melde inn registreringen til Nasjonal sikkerhetsmyndighet (NSM), jf. § 2-4. Formålet med innmeldingen er at NSM som fagmyndighet skal ha en nasjonal og tverrsektoriell oversikt over de aktuelle objektene og deres klassifiseringsgrad. Forskriften har videre generelle bestemmelser om krav til sikkerhetstiltak som grunnsikring og mer spesifikke tiltak for nærmere angitte trusselsituasjoner, jf. §§ 3-1 til 3-5. Etter § 3-5 plikter eier av skjermingsverdig objekt å legge til rette for at sikringsstyrker kan forberede, øve og gjennomføre tiltak på og ved objektet for å beskytte dette.
I forskriften om objektsikkerhet framgår det også at NSM skal føre tilsyn med at utvelgelse og klassifisering av skjermingsverdige objekter skjer i henhold til sikkerhetsloven og forskriften, og at NSM om nødvendig kan gi pålegg om dette, i samsvar med den oppgave som NSM har om å føre tilsyn med sikkerhetstilstanden i de enkelte virksomhetene, jf. sikkerhetsloven § 9 første ledd bokstav c og objektsikkerhetsforskriften § 4-3.
Tilrettelegging for eventuell bruk av sikringsstyrker, jf. gjeldende sikkerhetslov § 17 b siste ledd og forskrift om objektsikkerhet av 22. oktober 2010 nr. 1362 § 3-5, er nærmere regulert i instruks om sikring og beskyttelse av objekter ved bruk av sikringsstyrker fra Forsvaret og politiet i fred, krise og krig, fastsatt ved kongelig resolusjon 24. august 2012. Instruksen har bestemmelser om ansvarsforhold og samarbeid om politiets og Forsvarets objektsikring ved bruk av sikringsstyrker, og er nærmere omtalt av utvalget i kapittel 9.3.4 side 183–184.
11.2 Utvalgets forslag
Sikkerhetsutvalget gir i NOU 2016: 19 kapittel 9.5.1 uttrykk for at objekter og infrastruktur som er av kritisk betydning for grunnleggende nasjonale funksjoner, må beskyttes. Følgende definisjoner legges til grunn:
«Skjermingsverdig objekt; eiendom som må beskyttes mot tilsiktede uønskede hendelser av hensyn til opprettholdelse av grunnleggende nasjonale funksjoner. Eiendom omfatter områder, bygninger, anlegg, transportmidler eller annet materiell, eller deler av slik eiendom.»
Utvalget viser videre til at en rekke instanser har framhevet et behov for å utvikle objektsikkerhetsregelverket slik at det gir bedre fleksibilitet i hvordan og med hvilke typer tiltak et gitt sikkerhetsnivå skal oppnås. Utvalget peker på at det særlig er vektlagt behov for å stimulere til tiltak som øker redundans (tilgang på alternativer) og resiliens (motstandsdyktighet) for kritiske samfunnsfunksjoner. Utvalget har lagt disse synspunktene og argumentene til grunn for sin anbefaling om å innføre begrepet skjermingsverdig infrastruktur. Utvalget ser det også som naturlig å benytte dette begrepet for å skape en klarere sammenheng med systematikken for risikovurdering i sikkerhet i kritisk infrastruktur og kritisk samfunnsfunksjoner (KIKS) som brukes av Direktoratet for samfunnssikkerhet og beredskap (DSB), og for å etablere et begrepsapparat som samsvarer bedre med internasjonal begrepsbruk. Infrastruktur og kritisk infrastruktur går igjen som et offisielt begrep i EU, NATO og de fleste landene Norge har et sikkerhetssamarbeid med.
«Skjermingsverdig infrastruktur; anlegg og systemer som må beskyttes mot tilsiktede uønskede hendelser av hensyn til opprettholdelse av grunnleggende nasjonale funksjoner.»
Utvalget oppfatter skjermingsverdig infrastruktur som en delmengde av kritisk infrastruktur, på samme måte som grunnleggende nasjonale funksjoner oppfattes som en delmengde av kritiske samfunnsfunksjoner:
«Kritisk infrastruktur; anlegg og systemer som er nødvendige for å opprettholde samfunnets grunnleggende behov og funksjoner.»
Utvalget peker på at de to begrepene skjermingsverdig objekt og skjermingsverdig infrastruktur er delvis overlappende, men at de hver for seg ikke anses som tilstrekkelig dekkende for det loven skal regulere. I forståelsen av begrepet skjermingsverdig infrastruktur skal det etter utvalgets mening legges vekt på koplingene mellom relevante objekter og systemer som er nødvendige for å understøtte grunnleggende nasjonale funksjoner.
Utvalget er av den oppfatning at det vil være hensiktsmessig å videreføre dagens praksis med hensyn til at det er de enkelte departementene som er ansvarlige for utpeking av objekter, mv. innenfor sine respektive myndighetsområder. I tillegg er det et behov for at departementene har et utvidet og konkretisert ansvar for å holde oversikt over objekter og infrastruktur som har betydning for grunnleggende nasjonale funksjoner, og ansvar for sikkerhetsnivået i egen sektor. Samtidig ser utvalget behov for å styrke sikkerhetsmyndighetens rolle som ansvarlig for å koordinere sikkerhetstiltak på tvers av sektorer. Utvalget peker på at tverrsektoriell koordinering innebærer å sikre et harmonisert sikkerhetsnivå og å sikre at sårbarheter knyttet til tverrsektorielle avhengigheter blir godt ivaretatt.
Utvalget mener det er nødvendig å tydeliggjøre rapporteringsansvar og informasjonsbehov for ulike etater og virksomheter, for at sikkerhetsmyndigheten skal settes i stand til å ivareta sin koordinerende og sektorovergripende rolle.
Utvalget mener videre at det er en svakhet med dagens objektsikkerhetsregelverk at det ikke hviler noen forpliktelse på departementer eller NSM om å holde oversikt over objekter som er av en type som er nødvendig for understøttelse av kritiske samfunnsfunksjoner, men som ikke er kritiske som enkeltobjekt.
Når det gjelder gjennomføringen av sikkerhetstiltak, mener utvalget at det i loven bør stilles funksjonelle krav til sikkerhetstiltak framfor spesifikke krav. Dette innebærer at det vil være opp til sektormyndigheten å avgjøre i hvilken grad det skal spesifiseres hvilke tiltak som skal gjennomføres eller hvorvidt det først og fremst skal pekes på for lavt sikkerhetsnivå på spesifikke områder og la det være opp til virksomheten å velge hvilke tiltak som skal gjennomføres. Etter utvalgets syn vil dette være den beste løsningen for å bidra til at sikkerhetstiltakene blir på riktig nivå, med en så lav kostnad som mulig. Det vises til prinsippet og forutsetningen om at aktuelle sikkerhetstiltak mot objekter og infrastruktur i sum er samfunnsøkonomisk lønnsomme.
Utvalget peker videre på at virksomheter og myndigheter som skal vurdere ulike sikkerhetstiltak, gjennomføre tiltak eller føre tilsyn med sikkerhetstilstanden, har behov for tilgang til ekspertkunnskap, og at dette vil være nødvendig for å sikre at de tiltak som blir valgt og iverksatt, er effektive og tilpasset dagens trusselbilde. Utvalget mener at det bør legges til en sentralisert funksjon å holde oversikt over fagmiljøer og å bidra til informasjonsutveksling og samarbeid, samt å identifisere kunnskapshull og behov. Disse oppgavene vil naturlig kunne legges til sikkerhetsmyndigheten, sier utvalget.
Utvalget mener det bør påhvile den enkelte virksomhet som har fått utpekt skjermingsverdig infrastruktur eller objekter, og som dermed omfattes av sikkerhetsloven, å gjennomføre sikkerhetstiltak. Virksomhetene må også ta kostnadene av sikkerhetstiltakene, men kostnadene ved slike tiltak bør stå i et rimelig forhold til det som oppnås ved tiltaket. Ut fra samfunnets behov for sikkerhet vil det kunne være nødvendig å pålegge omfattende sikkerhetstiltak for en spesifikk virksomhet eller i en samfunnssektor. Dette vil gagne samfunnet som helhet og ofte også være nyttig for virksomheten som får pålegg. Utvalget peker likevel på at dersom slike pålegg medfører uforholdsmessig stor belastning for den aktuelle virksomhet eller sektor, sett i forhold til den egenverdi tiltakene har for virksomheten eller sektoren, kan det være behov for å vurdere kompensatoriske tiltak.
11.3 Høringsinstansenes syn
Et flertall av høringsinstansene er enig i utvalgets forslag til regulering av objekt- og infrastruktursikkerhet. Flere uttalelser peker på at det kan være utfordrende å finne hensiktsmessige avgrensninger til hvilke systemer og infrastrukturer som loven skal kunne regulere.
Samferdselsdepartementet uttaler:
«Utvalget foreslår å utvide sikkerhetsloven fra kun å omhandle objekter til også å omfatte skjermingsverdig infrastruktur. SD mener en slik systemtilnærming er grunnleggende fornuftig. Samtidig er vi av den oppfatning at en slik tilnærming fordrer at man tenker nytt med hensyn til hvordan systemer skal sikres. Det er grunn til å tro at hva som er hensiktsmessige sikringstiltak i stor grad vil variere mellom ulike sektorer og ulike typer infrastrukturer og objekter. SD er derfor positive til at man i større grad legger opp til funksjonskrav, og at det i utgangspunktet vil være sektormyndighetene – med utgangspunkt i sin sektorkunnskap – som skal legge føringer for hva som er forsvarlig sikkerhet.»
NSM uttaler blant annet:
Til lovforslaget § 7-1:
«Det er av vesentlig betydning å holde en samlet nasjonal oversikt over skjermingsverdige objekter og infrastruktur. Det bør derfor fremgå av § 7-1 at klassifiserte objekter og infrastruktur skal meldes til Sikkerhetsmyndigheten.
Bestemmelsens ordlyd er forenklet sammenliknet med dagens § 17. Dagens bestemmelse stiller opp visse kriterier som særlig skal vurderes i utvelgelsesprosessen. NSM tror det er nyttig å ha denne type kriterier til hjelp i utvelgelsesprosessen og mener derfor at kriteriene vurderes videreført enten på lovs nivå eller i forskrift.
Det må også sikres at objekter og infrastruktur som må skjermes på bakgrunn av internasjonale avtaler og overenskomster, slik som bakkeinfrastruktur til satelittnavigasjonssystemet Galileo, kan utpekes som skjermingsverdig objekt eller infrastruktur.»
Til lovforslaget § 7-2:
«Ordlyden i første ledd bokstav a til c er forenklet slik at det nå utelukkende vises til «redusert funksjonalitet». NSM legger til grunn at dette ikke innebærer en realitetsendring men at begrepet også vil favne skadeverk, ødeleggelse eller rettsstridig overtakelse.»
Til lovforslaget § 7-3:
«Til bestemmelsens andre ledd første punkt, vil NSM bemerke at siste setningsledd ikke har selvstendig betydning. Konsekvens ved bortfall eller reduksjon av kvalitet er allerede vurdert gjennom klassifiseringen. Siste setningsledd kan derfor strykes.
Bestemmelsens tredje ledd gir hjemmel til å treffe vedtak om adgangsklarering for tilgang til skjermingsverdig objekt eller infrastruktur. I relasjon til begrepet tilgang legger NSM til grunn at dette både omfatter fysisk og logisk tilgang. Det bør vurderes om dette skal synliggjøres i bestemmelsen.»
Til lovforslaget § 7-4:
«NSM gir sin tilslutning til at det etableres en hjemmel for testing av sikkerhetssystemer. Bestemmelsen må legge til rette for en bred virkemiddelbruk, og herunder blant annet omfatte både fysisk og logisk forsering. NSM legger til grunn at man også med hjemmel i denne bestemmelsen kan gjennomføre Tekniske sikkerhetsundersøkelser i «grunnleggende nasjonale funksjoner».
Nasjonal kommunikasjonsmyndighet (Nkom) uttaler:
Til lovforslaget § 7-1:
«Bestemmelsen regulerer departementenes og Sikkerhetsmyndighetens ansvar og myndighet til å utpeke, klassifisere og holde oversikt over skjermingsverdige objekter og infrastruktur, og må ses i sammenheng med departementenes og sikkerhetsmyndighetens myndighet til å treffe enkeltvedtak lovforslagets § 2-1 første ledd bokstav c og § 2-2, første ledd bokstav e.»
Til lovforslaget § 7-3:
«Nkom har en del erfaring med bruk av sikkerhetsklareringsregimet knyttet til objektsikkerhet. Med et aktørbilde i stadig endring er det mange argumenter for en forenkling av bakgrunnssjekken av personell med tilgang til lavere klassifiserte objekter. Lovforslaget, slik vi forstår det, innfører adgangsklarering som et svar på denne utfordringen. Nkom støtter dette for lavere klassifiserte objekter, men ber departementet vurdere å la myndigheten beholde adgangen til å kreve klarering av personell som skal ha adgang til objekter klassifisert KRITISK eller MEGET KRITISK.»
Telenor uttaler:
«Telenor støtter innføringen av et nytt begrep skjermingsverdig infrastruktur, hvor anlegg og systemer ses i sammenheng og ikke bare gjelder fysiske skjermingsverdige objekter. At det åpnes opp for å utpeke kontroll- og styringssystemer som skjermingsverdig infrastruktur på forskjellige klassifiseringsnivåer anses positivt.
Lovforslaget legger opp til funksjonelle krav til sikring. Dette er fornuftig og sett fra et virksomhetsperspektiv gir det stort mulighetsrom for å finne hensiktsmessige løsninger. I et nasjonalt perspektiv kan det imidlertid gi økt risiko hvis det ikke er tverrsektoriell koordinering. Det er viktig at lovforslaget tydeliggjør at sektoransvarlige må sikre samsvar innad i sektoren, og at Sikkerhetsmyndigheten har ansvaret for å sikre samsvar på tvers av sektorer med hensyn på bruk av standarder og begreper og hvordan man vurderer risiko.
Telenor har tidligere påpekt behovet for tverrsektoriell koordinering og synes det er positivt at utvalget med sitt lovforslag legger til rette for det. At sikkerhetsmyndighetene ikke bare koordinerer, men også blir en aktiv pådriver for arbeidet fremover anser vi som viktig.»
Statnett uttaler:
«Det er gjennom energilovens beredskapsforskrift utpekt, klassifisert og etablert oversikt over sektorens objekter og infrastruktur. Sikkerhetsloven er således […] langt på vei overlappende med beredskapsforskriften. Samtidig ser Statnett de sikkerhetsmessige gevinstene ved å kunne adgangsklarere personell til kritiske objekter og infrastruktur.[…]
[…]
Anlegg og systemers sikring etableres ut fra sikkerhetsklassen, og er et veletablert system som gir detaljerte krav til fysisk sikring av anlegg, og ikke minst til robustheten i de elektriske og digitale komponentene. Det fremstår derfor som viktig at en ny sikkerhetslov ikke griper inn og overstyrer energiloven.»
Norges vassdrags- og energidirektorat (NVE) uttaler blant annet:
«Utvalget skriver at det er «verdt å merke seg at det eksisterende sektorregelverket eksisterer sammen med gjeldende sikkerhetslov, og at i den grad objekter er utpekt som skjermingsverdig objekt omfattes de av dette regelverket». NVE vil bemerke at dette ikke gjelder for energisektoren. Ingen objekter innenfor energiforsyningen er i dag underlagt gjeldende sikkerhetslov. Beredskapsforskriftens virkeområde er videre enn forslaget i ny sikkerhetslov. Det betyr at de objekter i energiforsyningen som eventuelt vil bli utpekt av departementet allerede har krav til objektsikring. NVE mener det er god grunn til å videreføre denne systematikken.
[…]
NVE støtter forslaget om å utvide loven til å gjelde «objekter og infrastruktur av kritisk betydning for grunnleggende nasjonale funksjoner» Dette er en utvidelse av dagens sikkerhetslovs «skjermingsverdige objekter». Utvalget skriver at det er «behov for å innføre begrepet infrastruktur, for å skape tydeligere skille mellom enkeltstående objekter og infrastruktur som del av et system som understøtter grunnleggende nasjonale funksjoner.» NVE støtter utvalget i at innføring av begrepet skjermingsverdig infrastruktur i seg selv vil kunne bidra til å imøtegå svakheten de fremhever ved dagens regelverk. NVE mener imidlertid, som utvalget også peker på, at objekter og infrastruktur er ulikt regulert innenfor de ulike sektorene. For å motvirke tilsiktede uønskede hendelser på en samfunnsmessig rasjonell måte, må forskriftene være tilpasset den enkelte infrastruktur.
[…]
NVE er enig med utvalget om at det vil være hensiktsmessig å klassifisere skjermingsverdige objekter og infrastruktur. NVE mener at det også bør være med i vurderingen hvor lang tid det vil ta før system er tilbake til normal funksjon ved for eksempel en sabotasjehandling.
[…]
NVE er enig i utvalgets vurdering om at begrunnelsen for klassifiseringen bør følge sektormyndigheters og sikkerhetsmyndighetens oversikt over skjermingsverdige objekter og infrastruktur. Denne informasjonen vil inneholde viktig informasjon for sektormyndigheter i forbindelse med tilsyn og kontroll med sikkerhetsnivå og gjennomførte sikkerhetstiltak.
[…]
Dersom eiere av virksomheter innen energiforsyningen ved enkeltvedtak blir omfattet av sikkerhetsloven, vil eierne av disse objektene måtte forholde seg til krav som til dels dupliserer de krav som allerede gjelder etter sektorlovgivningen. Det vil da oppstå muligheter for motsetninger eller uklarheter mellom de to regelsettene, samt utfordringer knyttet til grenseflatene mellom NVE som tilsynsorgan etter beredskapsforskriften og damsikkerhetsforskriften og sikkerhetsmyndigheten. De områdene som kan bli spesielt problematiske er samordning av nivået for klassifisering, gradering av store informasjonsmengder, sikkerhetsklarering av et stort antall personell, rett tilsynsmyndighet, ulik tilsynsmyndighet etter sikkerhetsloven og sektorlovgivningen, ulikt nivå for klagebehandling med mer.»
Energi Norge uttaler:
«En infrastruktur som det norske kraftsystemet kan ikke sikres fullstendig, noe som utvalget også slår fast. Nytteeffekten av ulike tiltak må vurderes, og avveiningen mellom objektsikring og systemsikring vil være sentral i slike vurderinger.»
Norsk olje og gass uttaler:
«Klassifiseringen av det enkelte skjermingsverdige objekt eller infrastruktur kan få stor betydning for den enkelte virksomhet. Norsk olje og gass foreslår at det inntas en tilsvarende forholdsmessighetsvurdering som i lovutkastet § 4-1 andre ledd ved klassifisering av skjermingsverdige objekter og infrastruktur, jf. lovutkastet § 7-2 andre ledd. Avgjørelse om klassifisering må anses som et enkeltvedtak, som bør kunne påklages av virksomheten som råder over objektet. Dette synes å være i tråd med utvalgets kommentarer til § 7-1 tredje ledd, men i lovforslaget er kun «utpeking» nevnt. Norsk olje og gass vil foreslå at det her presiseres at også klassifiseringen kan påklages.»
Politidirektoratet uttaler:
«Politidirektoratet støtter en utvidelse av nedslagsfeltet til objektsikkerhetsregelverket slik at det også omfatter infrastruktur. At systemer omfattes fremfor objekter er en forutsetning for å oppnå en helhetlig sikring med fokus på avhengigheter.
Utfordringen for politiet er at flere objekter vil forvente en høyere prioritet på reaksjonsstyrker fra politiet ved en uønsket hendelse, mens politiets ressurser vil være de samme. […] Dette fordrer at politiet må prioritere bruk av sine ressurser ut fra det til enhver tids gjeldende trusselbilde, og ikke ut fra hvilke objekter som har høyeste klassifisering.»
Oslo politidistrikt uttaler:
«Utvalget har ikke drøftet nøkkelpersonell og beredskapsressurser som en faktor som må beskyttes. Personell som er innsatsfaktorer til grunnleggende nasjonale funksjoner på lik linje med eiendom definert som skjermingsverdig objekt, bør gis tilsvarende beskyttelse. […] Per i dag berører verken lov eller forskrift nøkkelpersonell som verdiobjekter. Det bør derfor stilles krav til at den enkelte virksomhet skal vurdere beskyttelsestiltak for eget personell, herunder informasjon om personellet i egne informasjonssystemer.»
Luftfartstilsynet uttaler blant annet:
«Luftfartstilsynet støtter en omlegging av strukturen, slik at regelverket om forebyggende sikkerhet for kritisk infrastruktur og objekter går fra dagens til dels fragmenterte karakter, til å bli samlet i sikkerhetsloven. Vi er også enig i forslaget om å utvide sikkerhetsloven til å omfatte skjermingsverdig infrastruktur.
Luftfartstilsynet legger til grunn som et utgangspunkt at norske lufthavner med passasjertrafikk, alle vil falle inn under «objekter og infrastruktur av kritisk betydning for grunnleggende nasjonale funksjoner». Den etablerte interkonnektiviteten mellom disse lufthavnene, som inngår i det europeiske området hvor det er etablert såkalt «one-stop-security», har som konsekvens at de alle faller inn under sikkerhetsloven, jf. utkastets § 7-1, dog med ulike klassifiseringer, jf. utkastets § 7-2.»
NHO Luftfart uttaler på sin side:
«Skjermingsverdig objekt og infrastruktur defineres i NOUen som eiendom og anlegg og systemer som må beskyttes mot tilsiktede uønskede hendelser av hensyn til opprettholdelse av grunnleggende nasjonale funksjoner. Vi antar at hva som vil være å anse som «skjermingsverdig» må ses i sammenheng med gjeldende objektsikkerhetsregelverk, herunder de krav som fremkommer av objektsikkerhetsforskriften. Skillet mellom «objekter» og «infrastruktur» er slik vi leser det flytende. Vi legger til grunn i den videre drøftelsen at flyplasser, ift. spørsmålet om disse er å kunne anse som skjermingsverdig, faller inn under infrastrukturdefinisjonen. Slik vi forstår det skal det være en høy terskel for å utpeke et objekt/infrastruktur som skjermingsverdig.
[…] Vi stiller oss […] tvilende til om det vil være mulig, og ikke minst om det er ønskelig og praktisk, å definere alle Avinors flyplasser som skjermingsverdig ift. de kriterier som skal ligge til grunn for et slikt vedtak, jf. «opprettholdelse av grunnleggende nasjonale funksjoner». Vi stiller i forbindelse med dette spørsmål om det i hele tatt er mulig å definere flyplasser som skjermingsverdig all den tid de er åpne for publikum på landside, samt på sikkerhetskritiske områder for reisende som har vært underlagt en sikkerhetskontroll. Vi mener således det blir feil å knytte adgangsklarering for vår sektor opp mot begrepet «skjermingsverdig» […]».
Avinor uttaler:
«Avinor vil måtte gjennomføre sikringsrisikovurderinger ved et større antall geografiske lokasjoner for å belyse infrastrukturens samfunnskritikalitet. Dette vil medføre ressursbruk av betydelig omfang.
Myndighet til å klassifisere objekter og infrastruktur tilligger ansvarlig departement eller Sikkerhetsmyndighet. Formålet med klassifisering av objekter og infrastruktur er dels at det er styrende for hvilke sikkerhetstiltak som skal iverksettes, og dels at det gir myndighetene anledning til å kunne prioritere mellom ulike objekt eller infrastruktur avhengig av graden av kritikalitet ved redusert funksjonalitet.
Departementene og Sikkerhetsmyndigheten gis myndighet til å treffe vedtak om krav til adgangsklarering for tilgang til hele eller deler av objekt eller infrastruktur som er utpekt og klassifisert.
Avinor har ingen merknader til dette utover at det per i dag er vanskelig å kvantifisere eller anslå administrative og økonomiske konsekvenser av forslagene før disse er nærmere detaljert i forskrifts form.»
Norges Ingeniør- og Teknologorganisasjon (NITO) uttaler blant annet:
«NITO vil understreke at gjensidige avhengigheter i og mellom sektorer er noe av nøkkelen for å få etablert en sikkerhetsbevissthet som ivaretar lovens intensjon.
Utvalget foreslår en videreføring av ordningen der ansvarlig departement for den enkelte samfunnssektor har det primære ansvaret for å utpeke, klassifisere og holde oversikt over skjermingsverdige objekter og infrastruktur. NITO mener ansvaret kan innskjerpes ytterligere, ved at loven pålegger det enkelte fagdepartement å foreta den vurderingen. Etter NITOs syn vil en delegering av ansvaret trolig medføre at underliggende instans foretar en vurdering som ikke ivaretar helhetsinteressene. Da kan andre hensyn, eksempelvis økonomiske, veie tyngre.»
Konsulentselskapet BDO kommenterer de enkelte forslag til bestemmelser i kapittelet om objekt- og infrastruktursikkerhet:
«Forslaget til § 7-2 fastsetter at klassifisering av objekter og infrastruktur skal skje på bakgrunn av en «risiko- og sårbarhetsanalyse».
BDO anser at klassifisering av objekter og infrastruktur bør skje på bakgrunn av en verdivurdering. I verdivurderingen bør det inngå en vurdering av skadepotensialet ved redusert funksjonalitet. Det er slik tilnærmingen er for gradering av informasjon både i gjeldende sikkerhetslov § 11 og utvalgets lovforslag § 5-1, og det er også tilnærmingen for klassifisering etter gjeldende sikkerhetslov § 17a. BDO mener det er uheldig og lite pedagogisk at det er en annen tilnærming ved klassifisering av objekter og infrastruktur, enn ved gradering av informasjon. I tillegg mener BDO det er fare for at bestemmelsen, slik den er formulert, fører til at objekter og infrastruktur ikke blir klassifisert med den begrunnelse at trusselnivået er lavt eller at sårbarheten er lav. […] BDO anbefaler derfor at uttrykket «risiko- og sårbarhetsanalyse» erstattes med «verdivurdering».
[…]
Utvalgets tilnærming til sikring av objekter og infrastruktur er i utredningen knyttet til det som er av kritisk betydning for grunnleggende nasjonale funksjoner, uttrykt spesielt i §§ 7-1 til 7-3.
BDO er enig i viktigheten av å inkludere infrastruktur og dermed få en mer systemrettet tilnærming til hva som skal sikres og hvordan. Samtidig er vi bekymret for at forslaget ikke tar med objekter som kan utnyttes til å påføre befolkningen og det ytre miljøet meget store eller langvarig skade. Det vises i denne sammenheng til at gjeldende sikkerhetslov § 17 første ledd bokstav d har en slik kategori som grunnlag for utvelgelse av skjermingsverdige objekter. Dette er objekter som ikke behøver å ha en kritisk funksjon for samfunnet, men som ved rettsstridig overtakelse eller tyveri av materiale derfra, kan utnyttes til omfattende skade på andre. Et eksempel er atomreaktorer for forskningsformål eller store giftdeponier. Dersom denne type objekter, slik BDO forstår utvalgets forslag, ikke lenger skal (kunne) omfattes av sikkerhetsloven, må det utredes nærmere hvilke andre sikkerhetsregelverk disse i stedet skal /kan underlegges, og om det vil være en tilstrekkelig regulering ut ifra det skadepotensialet objektene representerer.»
Statens strålevern uttaler:
«Objekter (anlegg) med stort skadepotensiale (f.eks. C, B og/eller RN materiale) vil kunne utgjøre en fare for samfunnskritiske funksjoner og derfor være skjermingsverdige. Det er viktig at tilsynsorgan kan foreslå objekter som skjermingsverdige uavhengig av objekteiers vurdering. Vi er videre enige i FFIs konklusjon om at det er behov for et nasjonalt tverrsektorielt regelverk for utvelgelse av skjermingsverdige objekter. Dette bør inneholde dimensjonerende trusler for de tiltak som skal iverksettes for objektsikkerhet.»
Generaladvokaten uttaler til lovforslaget § 7-5 Adgang til steder og områder:
«Generaladvokaten forstår lovforslaget slik at adgangsforbudet i gjeldende sikkerhetslov § 18a videreføres i ny lovs § 7-5, og at ordlyden i gjeldende bestemmelse i hovedsak videreføres.
Den gjeldende sikkerhetsloven § 18a er i det vesentlige en videreføring av ordlyden i lov om forsvarshemmeligheter § 1, som ble opphevet da ny straffelov trådte i kraft. Det var ikke tilsiktet noen realitetsendring av bestemmelsen.
I lovforslaget til ny sikkerhetslov § 7-5 har gjeldende sikkerhetslov § 18a bokstav a) «forsvarsbygg og -anlegg hvor gjenstander av interesse for rikets forsvar fremstilles, istandsettes eller oppbevares», falt bort. Generaladvokaten støtter imidlertid utvalget sin begrunnelse om at adgangen til å fastsette slike forbud ivaretas av de øvrige delene av lovforslaget. […] Det er informasjonen, funksjonen og verdien innenfor eller der det er adgangsforbud som er av betydning, og dette endres med trusselbildet, tilgjengelige ressurser, beredskapen og samfunnsutviklingen for øvrig. En nærmere presisering og konkretisering av hvor og hva et forbud skal omfatte, er dessuten den enkelte etat den nærmeste og best kvalifiserte til å vurdere i forskrifts form. Generaladvokaten tar da forbehold om at en forskrift til § 7-5 om forbudt adgang til visse områder av forsvarshensyn, faktisk blir videreført.»
11.4 Departementets vurdering
Som foreslått av utvalget legger departementet til grunn at lovforslaget skal omfatte både objekt- og infrastruktursikkerhet. Det betyr at gjeldende lovs mer ensidige objektfokus utvides til en mer helhetlig systemtilnærming for sikkerhet i funksjoner. Til grunn for denne vurderingen ligger blant annet at nettverkssystemer i stadig økende grad er viktig for helhetlig sikkerhet i samfunnet. Med denne helhetlige tilnærmingen vil strukturene som ofte binder ulike former for objekt og funksjoner sammen i systemer, også bli omfattet av loven.
Lovbestemmelsene om objekt- og infrastruktursikkerhet er i utgangspunktet rettet mot fysiske objekter og fysiske strukturer. Likevel er det innenfor intensjonen til lovforslaget at også logiske strukturer som inngår i ulike former for informasjonssystemer, skal omfattes av loven. Denne typen strukturer er imidlertid i seg selv svært sammensatte. Det er to hovedtyper av informasjonssystemer som har klar sammenheng med og betydning for objekt- og infrastruktursikkerhet. For det første gjelder dette infrastruktur der informasjonssystemene utgjør integrerte strukturer i den fysiske infrastrukturen. Dette gjelder for eksempel styringssystemer i kraftforsyningen og innenfor jernbanen. Den andre systemtypen utgjør en selvstendig infrastruktur og leverer informasjonstjenester som sluttprodukt, for eksempel ekom-tjenester som mobiltelefoni eller internett.
Etter departementets vurdering er disse typene systemer så vidt komplekse at den grunnleggende risikobaserte vurderingen som hovedregel bør inngå under bestemmelsene for informasjonssikkerhet og informasjonssystemsikkerhet. Disse funksjonene er likevel også viktige for objekt- og infrastruktursikkerhet. Innenfor mange av de funksjonene og systemene som vil falle inn under sikkerhetsloven, vil det være påkrevet å se bestemmelsene om informasjonssikkerhet, informasjonssystemsikkerhet og objekt- og infrastruktursikkerhet i nær sammenheng. Dette vil måtte reguleres nærmere i forskrift.
Departementet er enig med utvalget når det gir uttrykk for å videreføre dagens praksis som gir de enkelte departementene ansvar for å utpeke og klassifisere skjermingsverdige objekter og skjermingsverdig infrastruktur. Dette er også det eneste logiske når lovforslaget for øvrig bygger på å legge ansvar og myndighet til hvert enkelt departement til å identifisere og holde oversikt over grunnleggende nasjonale funksjoner innenfor sitt myndighetsområde, og dessuten til å identifisere og holde oversikt over virksomheter som har vesentlig betydning for grunnleggende nasjonale funksjoner, jf. lovforslagets § 2-1. I en slik identifikasjonsprosess må det forventes at også skjermingsverdige objekter og skjermingsverdig infrastruktur vil bli identifisert.
Når det gjelder begrepsbruken, har departementet merket seg at hovedtyngden av høringsinstansene som har uttalt seg til spørsmålet, er enige i at man også innbefatter infrastruktur i tospann med objekt.
Utvalget mener at begrepet objekt, slik det er benyttet i gjeldende sikkerhetslov, også dekker infrastruktur, men ser likevel behov for å innføre begrepet infrastruktur for å skape et tydeligere skille mellom enkeltstående objekter og infrastruktur som del av et system som understøtter grunnleggende nasjonale funksjoner. Departementet viser i denne sammenheng til at begrepet skjermingsverdig objekt i dagens sikkerhetslov er definert som «eiendom som må beskyttes mot sikkerhetstruende virksomhet…» og at begrepet eiendom er definert som «områder, bygninger, anlegg, transportmidler eller annet materiell, eller deler av slik eiendom», jf. § 3 første ledd nr. 12 og 13. Departementet oppfatter likevel at å bruke begrepet infrastruktur i tillegg til objekt, innebærer en viss utvidelse av lovens virkeområde i forhold til dagens lov, og ikke bare en tydeliggjøring. Departementet oppfatter videre den nye begrepsbruken som en modernisering, ved at den er mer systemrettet og innrettet mot funksjonelle krav for å sikre et forsvarlig sikkerhetsnivå, i motsetning til dagens lov med til dels strenge og mer spesifikke «skal-krav» til beskyttelse av objekter. En begrenset utvidelse av sikkerhetslovens virkeområde etter lovforslagets modell trenger derfor ikke nødvendigvis å innebære store økonomiske og administrative konsekvenser sett opp mot dagens lovverk.
Det er likevel grunn til å utvise noe varsomhet i en slik utvelgelsesprosess inn mot systemer. I utgangspunktet skal det være en relativt høy terskel for utpeking av skjermingsverdige objekter og infrastruktur og for den klassifisering som skal foretas.
Det er den enkelte virksomhet som skal iverksette nødvendige sikkerhetstiltak for å opprettholde et forsvarlig sikkerhetsnivå. Sikkerhetstiltakene er eksemplifisert gjennom en beskrivelse av begrepene «barrierer, deteksjon, verifikasjon og reaksjon». Barrierer er i forslaget til § 7-3 beskrevet som «fysiske, elektroniske, menneskelige eller organisatoriske barrierer». Deteksjon er forklart som «systemer som skal oppdage og varsle om aktiviteter eller hendelser». Verifikasjon er forklart som «systemer og rutiner for avklaring vedrørende aktiviteter og hendelser», mens reaksjon er forklart som «oppfølging av uønskede aktiviteter og uønskede hendelser». Til forskjell fra dagens «skal»-bestemmelse, jf. § 17 b andre ledd, foreslås en mer fleksibel bestemmelse i § 7-3, dels ved å presisere at tiltakene kan bestå av en kombinasjon av de nevnte tiltakene og dels ved å åpne for andre typer sikkerhetstiltak, jf. «kan være» i § 7-3 første ledd andre punktum.
Konsulentselskapet BDO viser i sin høringsuttalelse blant annet til dagens sikkerhetslov § 17 første ledd bokstav d som gjelder objektets «mulighet for å utgjøre gjøre fare for miljøet eller befolkningens liv og helse» dersom objektet blir påført skade, og uttrykker bekymring for at slike objekter ikke omfattes av lovforslaget. BDO viser til at dette er objekter som ikke behøver å ha en kritisk funksjon for samfunnet, men som ved rettstridig overtakelse eller ved tyveri av materiale derfra kan utnyttes til omfattende skade på andre. Etter departementets syn er dette forhold som kan ligge innenfor nasjonale sikkerhetsinteresser, jf. § 1-5 nr. 1 bokstav e, om «samfunnets grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhet».
Når BDO i denne sammenheng uttrykker tvil om lovforslaget vil omfatte objekter som atomreaktorer og giftdeponier, vil det være fagdepartementet som vil måtte foreta en konkret vurdering av dette. Departementet har i denne sammenheng merket seg høringsuttalelsen fra Statens strålevern om at objekter med stort skadepotensial vil kunne utgjøre en fare for samfunnskritiske funksjoner og derfor være skjermingsverdige, jf. ovenfor i kapittel 11.3.
Skjermingsverdig objekt innbefatter etter departementets forståelse, på samme måte som etter dagens sikkerhetslov § 17 første ledd bokstav c, også objekter med stor nasjonal symbolverdi, og som dermed vil kunne være mulige terrormål. Eksempler på objekter med stor nasjonal symbolverdi kan være Nasjonalbiblioteket, Nidarosdomen, Akershus slott, og andre historiske bygninger som nasjonen knytter sin identitet til.
Departementet har merket seg at NSM i sin høringsuttalelse savner kriterier i lovforslaget § 7-1 som særlig skal vurderes i utvelgelsesprosessen av skjermingsverdige objekter og skjermingsverdig infrastruktur, slik man har i gjeldende sikkerhetslov § 17. Ved å lese lovforslaget § 7-1 i sammenheng med forslag til § 1-3 og departementenes ansvar og myndighet for forebyggende sikkerhetsarbeid etter loven, jf. § 2-1, mener departementet at kriterier for utvelgelse foreligger. Utvalget har foreslått at det utarbeides scenarioer som kan være til hjelp både ved identifisering av virksomheter som skal underlegges loven og ved utvelgelse av skjermingsverdige objekter og infrastruktur. Departementet er enig i at slike scenarioer kan være et nyttig hjelpemiddel i så måte. I tillegg vil de eksempler på kriterier for tiltak som foreslås inntatt i § 7-3 første ledd om barrierer mv., være egnet til å klargjøre de prosesser som skal gjennomføres.
På samme måte som § 1-3 tredje ledd, foreslås det en bestemmelse i § 7-1 sjette ledd som gir sikkerhetsmyndigheten adgang til på eget initiativ å fremme forslag overfor departementene om at det bør fattes vedtak om utpeking av skjermingsverdige objekter og infrastruktur i medhold av § 7-1 andre ledd.
Når det gjelder NSMs bemerkning til «redusert funksjonalitet» i lovforslaget § 7-2, er departementet enig i at dette også omfatter skadeverk, ødeleggelse og rettsstridig overtakelse. For å tydeliggjøre denne forståelsen foreslår departementet at dette presiseres uttrykkelig i loven, jf. § 7-1 første ledd.
NSM reiser problemstillingen om hvorvidt en adgangsklarering vil omfatte både fysisk tilgang til et objekt eller en infrastruktur og en logisk (digital) tilgang. I utvalgets forslag kan det settes krav til adgangsklarering både for fysisk og logisk tilgang. Departementet er enig i dette, jf. merknad til § 7-3.
Nkom har i sin høringsuttalelse om etablering av en adgangsklarering bedt departementet om å la myndigheten beholde adgangen til å kreve sikkerhetsklarering av personell som skal ha adgang til objekter klassifisert KRITISK eller MEGET KRITISK. En adgangsklarering skal i utgangspunktet ikke erstatte sikkerhetsklareringsordningen, men være et supplement der det ikke anses nødvendig med en «full» sikkerhetsklarering. Det vil derfor ikke være unaturlig med krav til sikkerhetsklarering for tilgang til objekter og infrastruktur med de høyeste klassifiseringsnivåene. Dette vil det imidlertid være opp til det enkelte fagdepartement å beslutte.
Statnett og NVE er i sine høringsuttalelser opptatt av at eget sektorregelverk er godt og at sikkerhetsloven vil kunne duplisere sektorregelverket på en uheldig måte, i den grad sikkerhetsloven får anvendelse i kraftsektoren. Departementet er kjent med at sektorregelverket er godt i kraftsektoren. Sikkerhetsloven er ikke ment å skulle «gripe inn og overstyre energiloven». Der sektorregelverket anses å være tilfredsstillende på sikkerhetsområdet, forutsettes dette i utgangspunktet å gå foran sikkerhetslovens bestemmelser. Dette antas i særlig grad å gjøre seg gjeldende innenfor området objekt- og infrastruktursikkerhet. Departementet vil presisere at denne «forrangen» kan aktualiseres når det er tale om sikkerhetstiltakene, ikke i spørsmålet om objektet eller infrastrukturen er skjermingsverdig etter sikkerhetsloven eller ikke. Departementet ser på samme måte som utvalget at det er behov for et tverrsektorielt regelverk som skal ivareta helheten, oversikten og balansen i sikkerhetsarbeidet i de ulike samfunnssektorene. Det er i en slik sammenheng at sikkerhetsloven bør få anvendelse. Med god samhandling mellom sikkerhetsmyndigheten og sektormyndighet vil dette være egnet til å øke det samlede sikkerhetsnivået i samfunnet. Selv om en konkret vurdering skulle resultere i at enkelte objekter eller infrastruktur fra kraftsektoren blir omfattet av sikkerhetsloven, vil ikke dette nødvendigvis innebære store kostnader siden sikkerhetsnivået allerede er godt ivaretatt gjennom sektorregelverket.
Departementet følger opp utvalgets forslag om at en avgjørelse om utpeking av objekt eller infrastruktur som skjermingsverdig kan påklages til overordnet organ, dersom utpekingen berører selvstendige rettssubjekter, jf. forslaget til § 7-1 femte ledd. Norsk olje og gass mener at denne klageretten også må omfatte hvilken klassifisering som blir gitt det utpekte objekt eller infrastruktur. Departementet finner det ikke naturlig å skille klassifiseringen ut som et eget enkeltvedtak, idet en klassifisering normalt vil bli gitt samtidig med utpekingen. Utpekingen og klassifiseringen hører nøye sammen med den helhetlige vurderingen som det ansvarlige departementet vil måtte foreta.
Når det gjelder eventuell bruk av sikringsstyrker som sikkerhetstiltak for skjermingsverdige objekter og infrastruktur vil departementet understreke at tiltak for å sikre slike objekter og slik infrastruktur i all hovedsak vil være i form av forebyggende grunnsikring som objekteier eller rådighetshaver har ansvar for å foreta i fredstid. Bare rent unntaksvis, og på et fåtall objekter eller infrastruktur, kan det bli aktuelt med bruk av sikringsstyrker, og da normalt i en krisesituasjon. Det nærmere forholdet mellom instruksen om sikring og beskyttelse av objekter ved bruk av sikringsstyrker fra Forsvaret og politiet og objektsikkerhetsregelverket, forutsettes nærmere behandlet i forbindelse med en revisjon av objektsikkerhetsforskriften.