7 Ansvar og myndighet
7.1 Gjeldende rett
Ansvarsforholdene etter gjeldende sikkerhetslov er regulert i §§ 4 og 5. Det følger av § 4 første ledd at ansvaret for forebyggende sikkerhetstjeneste påhviler «[d]epartementet». Fra lovens ikrafttredelse og fram til 2003 lå dette ansvaret hos Forsvarsdepartementet. Dette var en forlengelse av det overordnede ansvaret som fulgte av Ordningen av den alminnelige sikkerhetstjenesten i statsforvaltningen fra 1965.
I 2003 ble det fastsatt en fordeling av ansvaret mellom justisministeren og forsvarsministeren for henholdsvis sivil og militær sektor, jf. Kronprinsreg. res. 4. juli 2003 med hjemmel i lov av 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste (sikkerhetsloven) § 7. Bakgrunnen for delingen var at arbeidet med samfunnssikkerhet ble ansett å være sektorovergripende, og at beredskapsarbeidet skulle styrkes på sentralt, regionalt og lokalt nivå. Samordningen av samfunnssikkerhetsarbeidet skulle forsterkes, og Justisdepartementet fikk et tydeligere samordningsansvar på sivil side. Etter samme resolusjon skal direktoratet Nasjonal sikkerhetsmyndighet på vegne av justisministeren og forsvarsministeren ivareta de utøvende funksjonene for forebyggende sikkerhetstjeneste, jf. også sikkerhetsloven § 4 andre ledd. Forsvarsdepartementet ble gitt det administrative ansvaret for Nasjonal sikkerhetsmyndighet og forvaltningsansvaret for sikkerhetsloven.
7.1.1 Departementenes ansvar og myndighet
Departementenes overordnede ansvar begrenser ikke den enkeltes ansvar og plikter etter bestemmelsene gitt i eller i medhold av sikkerhetsloven, jf. § 4 første ledd andre punktum.
Den enkelte virksomhets plikter følger av sikkerhetsloven § 5. Enhver virksomhet plikter å utøve forebyggende sikkerhetstjeneste i henhold til bestemmelsene gitt i eller i medhold av loven. Begrepet «virksomhet» er i lovens § 3 nr. 6 definert som «et forvaltningsorgan eller annet rettssubjekt som loven gjelder for […]».
Virksomheten plikter å utarbeide en intern instruks for å ivareta sikkerheten, sørge for at virksomhetens ansatte og engasjerte får tilstrekkelig opplæring i sikkerhetsspørsmål, samt regelmessig kontrollere sikkerhetstilstanden i virksomheten, jf. § 5 andre ledd bokstav a til c. Sikkerhetsadministrasjon er den administrative og organisatoriske styringen som ligger til grunn for forebyggende sikkerhetstjeneste. I tillegg er det gitt utfyllende bestemmelser om sikkerhetsadministrasjon i forskrift 29. juni 2001 nr. 723 om sikkerhetsadministrasjon (sikkerhetsadministrasjonsforskriften).
Ansvaret for utøvelse av forebyggende sikkerhetstjeneste påhviler virksomhetens leder, jf. § 5 tredje ledd. Virksomhetens leder kan etter samme bestemmelse delegere utøvende funksjoner internt i virksomheten. Dersom dette gjøres skal det dokumenteres skriftlig.
Det følger videre av fjerde ledd at det påhviler en plikt for enhver ansatt eller engasjert personell til å ivareta sikkerhetsmessige hensyn, og til å bidra til forebyggende sikkerhetstjeneste gjennom sitt arbeid eller oppdrag for virksomheten.
I bestemmelsens femte ledd er fullmakt til å gi nærmere bestemmelser delegert til Nasjonal sikkerhetsmyndighet.
7.1.2 Nasjonal sikkerhetsmyndighet
Sikkerhetsloven kapittel 3 regulerer funksjonen nasjonal sikkerhetsmyndighet. Denne myndigheten (funksjonen) skal koordinere de forebyggende sikkerhetstiltakene, tilby rådgivning og kontrollere sikkerhetstilstanden i virksomheter som er omfattet av loven, samt å være utøvende organ i forholdet til andre land og organisasjoner. Som grunnlag for dette arbeidet skal den nasjonale sikkerhetsmyndigheten blant annet innhente og analysere relevant informasjon, føre tilsyn med sikkerhetstilstanden i virksomheter underlagt sikkerhetsloven, bidra til utvikling av sikkerhetstiltak og drive rådgivningsarbeid.
Den 1. januar 2003 ble myndigheten lagt til et eget direktorat, kalt Nasjonal sikkerhetsmyndighet, under Forsvarsdepartementet. Forsvarets overkommando, inkludert Sikkerhetsstaben (FO/S), ble nedlagt 1. august 2003, og Forsvarsjefens sikkerhetsavdeling (FSA) ble samtidig opprettet til støtte for forsvarssjefen.
En av Nasjonal sikkerhetsmyndighets viktigste oppgaver er å føre tilsyn og kontroll med sikkerhetsarbeidet og sikkerhetstilstanden i de virksomheter som er underlagt loven. Nasjonal sikkerhetsmyndighets tilsynsoppgave følger i dag av sikkerhetsloven § 9 første ledd bokstav c.
I § 10 hjemles Nasjonal sikkerhetsmyndighets adgangsrett til ethvert skjermingsverdig objekt og områder hvor skjermingsverdig informasjon oppbevares.
Nasjonal sikkerhetsmyndighet driver i dag en nasjonal responsfunksjon for alvorlige dataangrep mot kritisk infrastruktur (Norwegian Computer Emergency Response Team – NorCERT), og et nasjonalt varslingssystem for digital infrastruktur (VDI). Hensikten med NorCERT og VDI er å innhente, analysere og dele informasjon om digitale angrep mot kritisk infrastruktur. Dette oppnås blant annet gjennom utplassering av sensorer i utvalgte offentlige og private virksomheter som innehar kritisk infrastruktur i tilknytning til deltakernes datanettverk, jf. Prop. 97 L (2015–2016), side 26. Informasjon fra sensorene bidrar til en nasjonal evne til tidlig avdekking og verifikasjon av koordinerte og målrettede angrep.
Nasjonal responsfunksjon og varslingssystemet for digital infrastruktur ble lovfestet som en del av oppgavene til Nasjonal sikkerhetsmyndighet ved endringslov til sikkerhetsloven som trådte i kraft 1. januar 2017 (lov 12. august 2016 nr. 78), jf. Prop. 97 L (2015–2016) og Innst. 352 L (2015–2016), og framgår i dag av sikkerhetsloven § 9 første ledd bokstav e. Det ble samtidig også vedtatt en bestemmelse som nærmere regulerer behandling av personopplysninger knyttet til utførelsen av VDI og NorCERT-funksjonen.
7.1.3 Varslingsplikt og myndighet til å fatte vedtak ved risiko for sikkerhetstruende virksomhet
I endringsloven 12. august 2016 nr. 78 ble det også vedtatt en ny bestemmelse § 5 a, om varslingsplikt og vedtaksmyndighet for Kongen i statsråd.
Bestemmelsen pålegger virksomheter underlagt sikkerhetsloven en varslingsplikt til ansvarlig fagdepartement ved kunnskap om risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført. Bestemmelsen gir også Kongen i statsråd myndighet til å fatte vedtak for å hindre at slik virksomhet blir etablert eller gjennomført, uten hensyn til begrensningene i forvaltningsloven § 35, og uavhengig av om aktiviteten er tillatt etter annen lov eller annet vedtak.
Formålet med bestemmelsen er ifølge forarbeidene primært å etablere en hjemmel i loven for å kunne forebygge mer frittstående høyteknologisk virksomhet som kan innebære en fare for rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser, som ikke spesifikt er knyttet til sikkerhetsgradert informasjon eller skjermingsverdige objekter. Bestemmelsen omfatter også annen type aktivitet enn det som knytter seg til høyteknologiske innretninger, jf. Prop. 97 L (2015–2016).
7.1.4 Ansvar og myndighet etter relevant sektorregelverk
Det finnes en rekke sektorregelverk som regulerer ulike sikkerhetsspørsmål. Dette gjelder for eksempel innenfor kraftsektoren (energiloven og beredskapsforskriften), med Olje- og energidepartementet som overordnet ansvarlig, petroleumssektoren (petroleumsloven med underliggende forskrifter), med Arbeids- og sosialdepartementet som overordnet ansvarlig for HMS og forebygging av bevisste anslag, innenfor elektronisk kommunikasjon (ekomloven og ekomforskriften), med Samferdselsdepartementet som overordnet ansvarlig, og innenfor luftfartssektoren (luftfartsloven med underliggende forskrifter), med Samferdselsdepartementet som overordnet ansvarlig. Videre kan finanssektoren med blant annet finansforetaksloven og verdipapirhandelloven, med Finansdepartementet som overordnet ansvarlig, og helse- og omsorgssektoren med helseberedskapsloven, og med Helse- og omsorgsdepartementet som overordnet ansvarlig, nevnes.
Det gjeldende sektorregelverket eksisterer sammen med gjeldende sikkerhetslov med underliggende forskrifter.
7.2 Utvalgets forslag
7.2.1 Departementenes ansvar og myndighet etter loven
Sikkerhetsutvalget uttaler i NOU 2016:19 kapittel 7.7 at ansvars- og myndighetsfordelingen for forebyggende sikkerhet etter loven har stått sentralt i utvalgets arbeid. Et utgangspunkt for utvalgets arbeid har vært at de generelle prinsippene for krisehåndtering og beredskap ligger fast, og også bør gjelde for innretningen på en ny sikkerhetslov.
Utvalget anbefaler, i tråd med ansvarsprinsippet, at det primære ansvaret tillegges det enkelte fagdepartement. Utvalget uttaler om dette i kapittel 7.7 på side 137:
«Det er det enkelte fagdepartement som kjenner sin sektor best, og har de beste forutsetningene for å kunne identifisere grunnleggende nasjonale funksjoner og virksomheter av kritisk betydning for disse, samt gjøre nødvendige samfunnsøkonomiske prioriteringer innad i sektoren.»
Samtidig uttaler utvalget et tydelig behov for at det sektorovergripende perspektivet må ivaretas i tråd med samordningsprinsippet, noe som er helt avgjørende for å kunne ha en helhetlig tilnærming til forebyggende sikkerhet på tvers av sektorene.
Etter utvalgets forslag er det enkelte departement ansvarlig for forebyggende sikkerhet i eget myndighetsområde. Departementene tillegges ansvar for å identifisere og holde oversikt over grunnleggende nasjonale funksjoner innen sitt myndighetsområde. Departementene må identifisere og holde oversikt over både virksomheter som direkte eller indirekte er av vesentlig betydning for grunnleggende nasjonale funksjoner, og de som er av kritisk betydning for grunnleggende nasjonale funksjoner. De virksomhetene som vurderes å være av kritisk betydning, skal det fattes enkeltvedtak overfor, slik at disse underlegges sikkerhetslovens bestemmelser.
Som beskrevet under kapittelet om formål og virkeområde er det en forutsetning for lovens virkeområde at de grunnleggende nasjonale funksjonene kartlegges ved at de knyttes til de nærmere angitte kategoriene som framgår av utvalgets forslag til § 1-2 første ledd bokstav a til e.
Sikkerhetsutvalget legger til grunn at det er nødvendig å etablere en systematikk for å kunne identifisere grunnleggende nasjonale funksjoner og identifisere virksomheter som er av kritisk betydning for disse. Utvalget har vurdert det som lite hensiktsmessig å legge denne vurderingen til den enkelte virksomhet. Utvalget mener det er bedre å bygge på etablerte strukturer knyttet til identifisering av kritiske samfunnsfunksjoner etter instruks for departementenes arbeid med samfunnssikkerhet og beredskap. Utvalget uttaler om dette i kapittel 7.7.1 på side 137:
«Det er i dag allerede etablert et system hvor det enkelte fagdepartement har ansvaret for identifisering av kritiske samfunnsfunksjoner gjennom Instruks for departementenes arbeid med samfunnssikkerhet og beredskap (samordningsresolusjonen). I samordningsresolusjonen stilles det krav om at departementene skal ha oversikt over kritiske samfunnsfunksjoner og kritisk infrastruktur i egen sektor. På bakgrunn [av] disse oversiktene skal departementene blant annet vurdere risiko, sårbarhet og robusthet for de aktuelle kritiske samfunnsfunksjonene. Utvalget mener det vil være hensiktsmessig å bygge på disse etablerte strukturene, også for identifisering av grunnleggende nasjonale funksjoner og virksomheter som vil falle inn under den nye lovens virkeområde. Som nevnt innledningsvis, mener utvalget at de enkelte departementene – i tråd med ansvarsprinsippet – bør ha det primære ansvaret for forebyggende sikkerhet innenfor sitt myndighetsområde. Sektorspesifikk kunnskap og kompetanse er av sentral betydning for å kunne identifisere de funksjoner og virksomheter som er av grunnleggende nasjonal betydning i den enkelte samfunnssektor. En avgjørende forutsetning for at en slik systematikk skal fungere i praksis, er at de enkelte fagdepartementene er sitt ansvar bevisst og følger opp det ansvaret de tillegges gjennom loven. For enkelte departementer innebærer dette behov for kompetanseheving på forebyggende sikkerhet.
Fordi det finnes en etablert systematikk og strukturer for departementenes arbeid med samfunnssikkerhet og beredskap å bygge på, vil systematikken for identifisering og utvelgelse av virksomheter som omfattes av loven sannsynligvis ikke innebære noen vesentlig større ressursbruk hos de enkelte departementene.»
Utvalget mener det er viktig at det sektorovergripende perspektivet ivaretas for å sikre en helhetlig identifisering av gjensidige avhengigheter mellom virksomheter og sektorer. Om dette skriver utvalget i kapittel 7.7.1 på side 138:
«Dette både for å kunne fange opp sektorovergripende avhengigheter som det enkelte fagdepartement ikke nødvendigvis har forutsetninger for å kunne identifisere, og for å kunne bidra med faglig bistand og kvalitetssikring av det enkelte departements identifisering innen egen sektor.
Også trusselbildet de enkelte virksomhetene står overfor, særlig innenfor cyber-domenet, er i mange tilfeller av sektorovergripende karakter. Både behovet for informasjonsdeling om slike trusler på tvers av samfunnssektorene, og etablering av sikkerhetstiltak for å forebygge disse truslene, underbygger behovet for å ivareta et helhetlig og sektorovergripende ansvar. I tillegg vil det kunne være selvstendige rettssubjekter som ikke naturlig faller inn under et fagdepartements myndighetsområde. For disse virksomhetene vil det være nødvendig å etablere en mekanisme for identifisering og utvelgelse på lik linje med det enkelte fagdepartements myndighet i egen sektor. Dette er et tiltak som sannsynligvis vil kreve ressursbruk hos den aktøren som skal ivareta et slikt ansvar. Utvalget foreslår at et slik sektorovergripende ansvar tillegges funksjonen Nasjonal sikkerhetsmyndighet.
Funksjonen Nasjonal sikkerhetsmyndighet vil ha en bedre oversikt over sektorovergripende avhengigheter enn de enkelte fagdepartement. Utvalget mener derfor det vil være nødvendig at Nasjonal sikkerhetsmyndighet fremmer begrunnede forslag om virksomheter som bør underlegges sikkerhetsloven til fagdepartementene.
I tillegg mener utvalget at funksjonen Nasjonal sikkerhetsmyndighet burde ha anledning til å påklage tilfeller der den mener at departementenes identifisering og utvelgelse av virksomheter omfattet av loven, er uforsvarlig.»
Videre anbefaler utvalget at det utvikles tverrsektorielle scenarioer som er relevante for sikkerhetslovens virkeområde for å bidra til at grunnleggende nasjonale funksjoner identifiseres. Slike scenarioer vil også bidra til å identifisere virksomheter som er kritiske for disse funksjonene. Utvalget uttaler i kapittel 7.7.2 på side 138:
«Utvalget tror en scenariobasert tilnærming, på linje med det DSB gjør i Nasjonalt risikobilde og Forsvaret gjør for sine interne planprosesser, vil kunne bidra til at en ny sikkerhetslov får et presist nedslagsfelt. Slike scenarier bør derfor legges til grunn både for identifisering av grunnleggende nasjonale funksjoner og for identifisering og utvelgelse av virksomheter som er av kritisk betydning for understøttelsen av disse funksjonene. Utvalget finner det ikke naturlig å foreslå en lovfesting av plikten til å utvikle slike scenarier, men anbefaler en tilnærming for den videre implementeringen av loven.
I tråd med FFIs anbefalinger, mener utvalget at slike scenarier bør utvikles gjennom et samarbeid mellom Justis- og beredskapsdepartementet og Forsvarsdepartementet, i nær kontakt med øvrige berørte departementer. I tillegg mener utvalget at de aktuelle fagmyndighetene bør ha en sentral rolle som premissgivere for slike scenarier.»
Utvalget mener, på bakgrunn av at det eksisterer gjensidige avhengigheter mellom virksomheter, og mellom samfunnssektorer, at det er et behov for at noen ivaretar et helhetlig og sektorovergripende perspektiv. Dette er både for å fange opp sektorovergripende avhengigheter som fagdepartementet nødvendigvis ikke har forutsetninger for å identifisere, og bidra med faglig bistand til identifiseringen. Også trusselbildet, og kunnskap om dette, er sektorovergripende, særlig innen cyber-domenet. Derfor er det behov for (gradert) informasjonsdeling, og dette er en sektorovergripende utfordring. Utvalget mener derfor sikkerhetsmyndigheten må kunne fremme begrunnede forslag om at enkeltvirksomheter underlegges sikkerhetsloven. Dette kommer til uttrykk i § 2-1 fjerde ledd. Utvalget anbefaler videre at det dersom det oppstår uenigheter knyttet til underleggelse av enkelte virksomheter bør det, i ytterste konsekvens, være mulig å få avklart spørsmålet om underleggelse ved å fremme sak om dette til et tvisteorgan.
7.2.2 Sikkerhetsmyndigheten
Utvalget foreslår å videreføre funksjonen nasjonal sikkerhetsmyndighet. Utvalget viser blant annet til at Norge gjennom NATO er forpliktet til å ha en slik nasjonal funksjon. Som et pedagogisk grep har utvalget valgt å omtale funksjonen som sikkerhetsmyndigheten.
Utvalget mener det fortsatt vil være naturlig at direktoratet Nasjonal sikkerhetsmyndighet ivaretar de oppgavene som tillegges sikkerhetsmyndigheten i loven.
Utvalget foreslår at sikkerhetsmyndigheten skal ha det sektorovergripende ansvaret for forebyggende sikkerhetsarbeid i medhold av loven. Sikkerhetsmyndighetens ansvar skal ikke gripe inn i de enkelte departementers ansvar innenfor eget myndighetsområde. Det sektorovergripende ansvaret omfatter ansvaret for at forebyggende sikkerhetsarbeid etter loven har en helhetlig tilnærming og ansvaret for å koordinere sikkerhetsarbeidet mellom ulike departementer og ulike relevante sektormyndigheter. En viktig plikt som utvalget foreslår tillagt sikkerhetsmyndigheten, er å påse at det føres tilsyn med virksomheter som er underlagt loven.
Tilsynsmyndigheter organiseres på ulikt vis i ulike sammenhenger. Enkelte har rendyrkede tilsynsroller, slik som for eksempel Helsetilsynet, mens andre, som eksempelvis Nasjonal kommunikasjonsmyndighet, har en mer integrert tilnærming der tilsyn inngår som en del av en bredere oppgaveportefølje. Nasjonal sikkerhetsmyndighet er også organisert på denne måten.
Utvalget foreslår at sikkerhetsmyndigheten på samme måte som i dag blir organisert etter en tradisjonell integrert modell, hvor flere roller ivaretas innenfor samme organisasjon. Dette begrunnes med at forebyggende sikkerhet mot tilsiktede uønskede hendelser er et snevert fagfelt, hvor tilgangen til kvalifisert kompetanse er begrenset. En oppsplitting av rollene kan medføre at det skapes små og sårbare kompetansemiljøer. For øvrig vises det til utvalgets omtale i NOU 2016: 19, kapittel 7.7.3.
7.2.3 Informasjon om trusselvurderinger og risikohåndtering
Utvalget foreslår at virksomheter som er underlagt loven, skal kunne få tilgang til tidsriktig og relevant informasjon om hvilke trusler de er utsatt for. Dette skal bidra til at virksomhetene skal kunne gjennomføre tilfredsstillende risiko- og sårbarhetsanalyser og dermed iverksette riktige og forsvarlige sikkerhetstiltak. Utvalget begrunner forslaget slik i NOU 2016: 19 kapittel 7.7.5 på side 142:
«Ettersom relevante trusselvurderinger ofte vil utarbeides av andre myndighetsaktører, herunder Politiets sikkerhetstjeneste og Etterretningstjenesten, vil Sikkerhetsmyndigheten i de fleste tilfeller ikke være eier av den informasjonen som skal deles. Sikkerhetsmyndigheten, bør imidlertid i kraft av sin funksjon ha en generell plikt til å koordinere tilgjengeliggjøring av slik informasjon og påse at det etableres nødvendige arenaer for dette. Slike arenaer bør etableres i tett samarbeid med aktuelle sektormyndigheter i de enkelte samfunnssektorene.
Utvalget mener løsningen vil bidra til å maksimere mulighetene for å kunne dele sikkerhetsrelevant informasjon med virksomheter som har behov for denne. Den vil således være et viktig bidrag til at både private og offentlige virksomheter blir satt i bedre stand til å kunne gjøre gode vurderinger og iverksette forsvarlige tiltak i sitt forebyggende sikkerhetsarbeid.»
7.2.4 Nasjonal responsfunksjon for alvorlige dataangrep
Den nasjonale responsfunksjonen for alvorlige dataangrep mot kritisk infrastruktur (Norwegian Computer Emergency Response Team – NorCERT) og det nasjonale varslingssystemet for digital infrastruktur (VDI) som Nasjonal sikkerhetsmyndighet i dag driver, har som formål å innhente, analysere og dele informasjon om digitale angrep mot kritisk infrastruktur, jf. nærmere omtale i kap. 7.1.2 ovenfor.
Utvalget foreslår å videreføre NorCERT-funksjonen i en egen bestemmelse og begrunner det slik i NOU 2016: 19 kapittel 7.7.6 på side 142:
«Dette skyldes utelukkende at den nasjonale responsfunksjonen er en operativ funksjon, som ikke naturlig faller inn under de øvrige fagmyndighetsoppgavene som er foreslått tillagt Sikkerhetsmyndigheten. Utvalget har ikke vurdert om responsfunksjonen organisatorisk skal plasseres andre steder enn i dag.»
Om varslingssystemet for digital infrastruktur (VDI) skriver utvalget i kapittel 7.7.6 på side 142:
«Utvalget har vurdert hvorvidt det burde være en plikt for virksomheter underlagt loven å være tilknyttet varslingssystemet for digital infrastruktur. I likhet med de vurderingene som ble gjort i Prop. 97 L (2015–2016), mener imidlertid utvalget at dagens finansieringsmodell for VDI-samarbeidet gjør det utfordrende å lovfeste en slik plikt. Utvalget støtter derfor regjeringens tilnærming om at en eventuell lovfesting av en slikt plikt, bør ses i sammenheng med den fremtidige finansieringsmodellen for VDI. Utvalget vil i den forbindelse også fremheve viktigheten av at et slikt arbeid igangsettes raskt. […]
Utvalget mener det er viktig at virksomheter som råder over digital infrastruktur av kritisk betydning for grunnleggende nasjonale funksjoner får tilbud om, og anbefales å tilknytte seg dagens VDI-samarbeid. Dette forutsetter at NorCERT/VDI kapasitetsmessig innrettes slik at alle relevante aktører gis anledning til slik tilknytning.»
7.2.5 Vedtaksmyndighet for Kongen i statsråd
Utvalget foreslår å videreføre en hjemmel til å kunne stanse virksomhet som kan ha kritiske skadevirkninger for grunnleggende nasjonale funksjoner, tilsvarende § 5a som trådte i kraft som en endring til gjeldende sikkerhetslov 1. januar 2017. Utvalget begrunner dette blant annet slik i NOU 2016: 19 kapittel 7.7.8 på side 143:
«Utvalget er enig i at det er behov for en hjemmel for å kunne stanse virksomhet som kan ha kritiske skadevirkninger for grunnleggende nasjonale funksjoner, se kapittel 7.2.3, og foreslår derfor å videreføre den vedtatte § 5a i en form som er tilpasset utvalgets lovforslag.
Slik bestemmelsen er utformet i regjeringens forslag, og omtalt i forarbeidene, vil myndighetene ha et bredt spillerom i forhold til hvilke typer vedtak som kan fattes med hjemmel i den aktuelle bestemmelsen. Formålet med bestemmelsen er å etablere en hjemmel i loven for å kunne stanse, eller nærmere regulere enkelte typer virksomhet som kan innebære en fare for grunnleggende nasjonale funksjoner. Vedtakene må nødvendigvis også være av en slik art og karakter at de forbygger slik aktivitet, noe som vil kunne variere ut fra hvilken type aktivitet det er tale om.
Samtidig mener utvalget at bestemmelsens inngripende karakter gjør det nødvendig å [etablere] ytterligere rettssikkerhetsgarantier enn det som følger av regjeringens forslag.
For det første mener utvalget at myndigheten til Kongen i statsråd bør avgrenses til å gjelde enkeltvedtak, det vil si vedtak som retter seg mot bestemte personer eller virksomheter eller nærmere avgrensede grupper av slike.
For det andre bør det kunne påvises med stor grad av sannsynlighet at den aktuelle aktiviteten vil kunne få slike skadevirkninger at det er tvingende nødvendig å gripe inn. Bevisbyrden for at aktiviteten er av en slik alvorlighetsgrad, vil påligge myndighetene.
For det tredje mener utvalget at det ved avgjørelsen av hvilke vedtak som skal treffes, må påligge myndighetene et uttrykkelig forholdsmessighetskrav. I dette ligger en plikt til å vurdere vedtakets varighet, og forholdsmessigheten mellom vedtaket og den risiko aktiviteten utgjør.
Før vedtak fattes må saken utredes så godt som tiden tillater det. I denne utredningsplikten ligger en plikt til å innhente rådgivende uttalelser fra relevante organer, herunder PST, Etterretningstjenesten og NSM. I den utstrekning det er mulig bør også berørte parter få anledning til å uttale seg. Dersom tidskritiske forhold medfører at ordinære krav til utredning ikke kan følges, bør det gjennomføres en etterfølgende utredning for å sikre at vedtaket er fattet på et korrekt grunnlag.»
7.2.6 Klage- og tvisteløsning og tvisteorgan
Utvalget foreslår å opprette et tvisteorgan som ut fra rettssikkerhetsprinsipper kan ta stilling til klager fra virksomheter som blir underlagt loven ved enkeltvedtak og til klager fra sikkerhetsmyndigheten på departementenes etterlevelse av loven. Utvalget begrunner og beskriver blant annet forslaget slik i NOU 2016: 19 kapittel 7.7.7 på side 142–143:
«Formålet med tvisteorganets virksomhet er å komme frem til de samfunnsmessig beste løsningene i et helhetsperspektiv.
En grunnleggende utfordring med dagens system for forebyggende sikkerhet etter gjeldende sikkerhetslov er, slik utvalget ser det, at det ikke finnes noen form for mekanisme for å avklare uenigheter mellom sikkerhetsmyndighetene og relevante sektormyndigheter. Justis- og beredskapsdepartementet har det sektorovergripende ansvaret for forebyggende sikkerhet og beredskap for de sivile samfunnssektorene, men er i liten grad gitt myndighet til å kunne instruere de ulike fagdepartementene i deres arbeid.
Etter dagens sikkerhetslov har Nasjonal sikkerhetsmyndighet det utøvende ansvaret på vegne av Forsvarsdepartementet og Justis- og beredskapsdepartementet. Men heller ikke Nasjonal sikkerhetsmyndighet, eller de to departementene NSM har fått delegert sin myndighet fra, har noen instruksjonsmyndighet overfor det øvrige departementsfellesskapet.
Sett hen til dagens organisering av statsforvaltningen, og den strenge praktiseringen av sektorprinsippet, mener utvalget det vil være vanskelig å tillegge et enkelt departement en myndighet til å treffe vedtak overfor det øvrige departementsfellesskapet. Utvalget anbefaler derfor at det etableres et eget kollegialt tvisteorgan som gis myndighet til å treffe vedtak i klagesaker etter loven.
Konkret foreslår utvalget at Kongen gis myndighet til å peke ut et kollegialt organ med fem medlemmer. Ved oppnevningen av medlemmer foreslår utvalget at det i tillegg til sikkerhetsfaglig kompetanse, skal legges vekt på kompetanse innen personvern og selvstendige rettssubjekters rettssikkerhet, jf. utvalgets forslag til formålsbestemmelse i § 1-1.»
Utvalget foreslår å legge tvisteorganet til eksisterende strukturer, for eksempel Regjeringens sikkerhetsutvalg (RSU). For øvrig vises det til NOU 2016: 19 kapittel 7.7.7 side 142–143.
7.3 Høringsinstansenes syn
7.3.1 Generelt
De fleste høringsinstansene er i all hovedsak enig i utvalgets vurdering av ansvars- og myndighetsfordelingen for det forebyggende sikkerhetsarbeidet.
Samferdselsdepartementet uttaler:
«I tråd med ansvarsprinsippet legger utvalget opp til at det primære ansvaret for forebyggende sikkerhet i de ulike samfunnssektorene bør ligge i det enkelte fagdepartement. Dette er positivt. Vi mener også at det er riktig at Nasjonal sikkerhetsmyndighet (NSM) tilsvarende er gitt det sektorovergripende ansvaret for forbyggende sikkerhetsarbeid etter loven, og skal koordinere sikkerhetsarbeidet mellom ulike departementer og relevante sektormyndigheter.»
Norges Bank uttaler:
«Norges Bank støtter den foreslåtte endringen og presiseringen av ansvars- og myndighetsfordeling for sikkerheten til grunnleggende nasjonale funksjoner. Der endring av ansvars- og myndighetsfordeling synes nødvendig ut fra behovet for en helhetlig tilnærming og oversikt over sikkerhetssituasjonen i Norge, balanseres dette godt med involvering av eksisterende ordninger for sektortilsyn.»
Fylkesmannen i Rogaland uttaler:
«Vi støtter at ansvarsprinsippet legges til grunn for det forebyggende sikkerhetsarbeidet og at fagdepartementene har ansvar innen de ulike samfunnssektorene. Videre at det sektorovergripende ansvaret ivaretas av Nasjonal sikkerhetsmyndighet (NSM). Dette er det samme som i dag. Det er imidlertid nødvendig at det legges til rette for at både fagdepartement og NSM på en bedre måte kan ivareta dette ansvaret. I dag opplever vi at dette ikke gis høy nok prioritet i departementene og at NSM ikke har de ressurser som skal til å gjøre en god nok jobb. Større forventninger må følges opp med nødvendige tiltak for å sikre at oppgavene blir løst på en tilfredsstillende måte.»
Olje- og energidepartementet uttaler:
«Det er som nevnt positivt at det foreslås at de generelle prinsippene for krisehåndtering og beredskap skal ligge fast (sektoransvaret). Departementet er enig i at forebyggende sikkerhet har en sektorovergripende dimensjon, men denne må ikke overskygge behovet for å ivareta sektorenes egenart eller medføre dobbeltregulering.»
Direktoratet for samfunnssikkerhet og beredskap (DSB) uttaler:
«Problemstillingene knyttet til den uklare avgrensingen av lovens virkeområde, blir spesielt tydelig gjennom forslagets beskrivelse av myndigheter etter loven.»
Nasjonal kommunikasjonsmyndighet (Nkom) uttaler:
«Bestemmelsen (§ 2-1) etablerer lovens systematikk for identifisering av hvilke grunnleggende nasjonale funksjoner som omfattes. Bestemmelsens første ledd slår fast at hvert enkelt departement er ansvarlig for forebyggende sikkerhet innen sitt myndighetsområde. Det tillegges deretter sektorene spesifikke oppgaver i et tretrinnssystem i bestemmelsenes første ledd bokstav a, b og c. Nkom mener at bestemmelsen gir en god systematisk tilnærming til ivaretakelse av samfunnssikkerheten i form av å etablere sektorvis myndighet og plikter.
Nkom er positive til etableringen av et tydelig sektoransvar. Bestemmelsen gir en mer detaljert beskrivelse av plikter i forhold til gjeldende sikkerhetslov og videreutvikler departementenes sentrale rolle. Nkom tolker bestemmelsen slik at enhver type virksomhet som sektormyndigheten vurderer som kritisk i egen sektor i henhold til loven § 1-2, vil kunne utpekes av sektormyndigheten uavhengig av sektorregelverket.
Å bli underlagt sikkerhetsloven medfører potensielt økt sikkerhet, men vil også kunne medføre økte kostnader for den enkelte virksomhet. Nkom mener derfor at det er en viktig rettssikkerhetsgaranti å pålegge sektormyndigheten varslingsplikt og gi de enkelte virksomheter klageretten slik det er foreslått i bestemmelsens andre ledd.
I forhold til å kunne ivareta Sikkerhetsmyndighetens sektorovergripende ansvar etter lovforslaget § 2-2, er Nkom enig i at Sikkerhetsmyndigheten bør ha mulighet til selvstendig vurdering og forslagsrett for utpeking av virksomheter av kritisk betydning slik det foreslås i bestemmelsens fjerde ledd.»
Norges vassdrags- og energidirektorats (NVE) innspill:
«NVE er fornøyd med at hvert enkelt fagdepartement får ansvaret for å følge opp virksomheter innenfor egen sektor, både når det gjelder oversikt, utpeking og tilsyn med at sikkerhetsloven etterleves, jf. § 2-1 første ledd. Dette er i tråd med ansvarsprinsippet og NVE mener det er viktig og positivt at utvalget fastslår at ansvarsprinsippet bør ligge til grunn og være førende for det primære ansvaret for forebyggende sikkerhet i de ulike samfunnssektorene.
NVE mener primært at sikkerhet i energiforsyningen best ivaretas gjennom sektorregelverket. NVE støtter likevel forslaget om at også virksomheter i energiforsyningen som vurderes å være kritiske for nasjonale sikkerhetsinteresser kan underlegges sikkerhetsloven. Forutsetningen er at ansvar for vurdering og utpeking reelt sett ligger hos sektormyndigheten. Det må være vedkommende fagdepartement som avgjør hvilke virksomheter som er vesentlige for nasjonale sikkerhetsinteresser. Vi er derfor positive til det systemet utvalget foreslår i § 2-1 første ledd om at fagdepartementet først skal identifisere og holde oversikt over funksjoner i bokstav a) og virksomheter er av vesentlig betydning for funksjoner i bokstav b). Vi viser også til kommentaren i punkt 2.1 om at det må fremgå eksplisitt at fagdepartementet er ansvarlig for å utpeke virksomheter på bakgrunn av de tidligere trinnene i tre-trinns modellen, jf. bokstav c.
[…]
NVE er derimot skeptisk til at sikkerhetsmyndigheten kan overprøve fagdepartementets vurderinger etter § 2-1 fjerde og femte ledd og § 7-1 fjerde ledd. NVE mener at ansvarsprinsippet også må ligge til grunn her, og at sikkerhetsmyndigheten først og fremst skal være et veiledende og rådgivende fagorgan for departementet og tilsynsorganene.»
Norges Ingeniør- og Teknologorganisasjon (NITO) uttaler:
«NITO merker seg at utvalget mener det primære ansvaret for forebyggende sikkerhet i de ulike samfunnssektorene bør ligge i det enkelte fagdepartement. Begrunnelsen er at det er det enkelte departement som kjenner sin sektor best og har de beste forutsetningene for å kunne identifisere grunnleggende nasjonale funksjoner og virksomheter av kritisk betydning for disse. NITO er undrende til om dette er tilstrekkelig, og viser bla til utsetting av IKT-drift i Sykehuspartner.
[…]
Utvalget anbefaler at det lovfestes en systematikk for hvordan de ulike departementene skal identifisere grunnleggende nasjonale funksjoner innenfor eget myndighetsområde, samt de virksomheter som har en kritisk rolle i understøttelsen av slike funksjoner. NITO mener dette er et skritt i riktig retning. NITO vil samtidig understreke behovet for å søke og hensynta faglige råd i slike spørsmål. Utvalget anbefaler at det sektorovergripende ansvaret for sikkerhet fortsatt skal ivaretas av Nasjonal sikkerhetsmyndighet (NSM). NITO slutter seg til dette, men vil understreke at Nasjonal sikkerhetsmyndighet kun kan ivareta dette ansvaret med endrede og utvidede fullmakter.»
Næringslivets Hovedorganisasjons (NHO) innspill:
«Det går frem av lovforslaget at hvert enkelt sektordepartement skal treffe enkeltvedtak om «at virksomheter er av kritisk betydning for grunnleggende nasjonale funksjoner, slik at loven gjelder for dem». Enkeltvedtak skal forhåndsvarsles før vedtak treffes. Selvstendige rettssubjekter kan påklage vedtaket til et tvisteorgan som skal opprettes for å behandle klagesaker.
I dag er 14 private virksomheter pålagt å følge sikkerhetsloven. Det følger av utredningen at det nye regimet vil innebære en betydelig utvidelse, slik at langt flere virksomheter må påregne at loven aktiveres for dem.
NHO legger til grunn at sektormyndighetene i vurderingen også vil legge vekt på bedriftsøkonomiske interesser. Utvidelse av antall bedrifter som omfattes av sikkerhetsloven bør skje gradvis. Terskelen for å aktivere loven for nye virksomheter må ikke legges for lavt.
NHO forutsetter at eventuelle motforestillinger virksomheter har knyttet til å bli pålagt å følge loven, blir grundig vurdert i saksbehandlingen etter § 2-1 bokstav c.»
Statens strålevern uttaler:
«Den foreslåtte lovfestingen av en systematikk for departementenes identifisering av grunnleggende nasjonale funksjoner, foreslås understøttet ved utarbeidelse av tverrsektorielle scenarier. Strålevernet støtter dette, samt at de aktuelle fagmyndighetene bør ha en sentral rolle som premissgivere for slike scenarier.»
BDO skriver i sin uttalelse:
«Flere steder i utredningen og forslagene om konkrete bestemmelser, legges det opp til at virksomheter som ikke anses å falle innenfor et departements myndighetsområde ved ulike regler om varsling, vedtak osv. skal forholde seg direkte til Sikkerhetsmyndigheten. En del av begrunnelsen er at en del virksomheter ikke tilhører en bestemt sektor, men har oppgaver og funksjoner som i stor grad går på tvers av flere sektorer.
BDO anser det som uheldig at en del virksomheter skal forholde seg direkte til Sikkerhetsmyndigheten, og dermed omgå departementsnivået, med den begrunnelsen at det er uklart hvilken sektor virksomheten skal anses å tilhøre. Sikkerhetsmyndigheten vil da gis en annen og mer operasjonell rolle enn Sikkerhetsmyndigheten for øvrig har og burde ha. Slike avgrensingsutfordringer bør heller løses ved at Justis- og beredskapsdepartementet, som samordnende departement, gis myndighet til å utpeke hvilket departement som skal være hovedansvarlig etter sikkerhetsloven. Alternativt at dersom departementene ikke kommer til enighet på dette punkt, tilfaller ansvaret Justis- og beredskapsdepartementet. Da kan virksomheten forholde seg til det utpekte departementet i saker etter loven, og det utpekte departementet koordinerer med andre berørte departementer. Det vil gi en mer konsekvent og prinsipielt riktig tilnærming til ansvar og roller som loven legger til henholdsvis departementene og Sikkerhetsmyndigheten som direktorat. Gjør også at Sikkerhetsmyndigheten vil måtte fokusere mer faglig og ressursmessig på enkeltvirksomheter fremfor nasjonale og overordnede forhold.»
UNINETT uttaler:
«UNINETT mener det er positivt og sikkerhetsfremmende at lovforslaget tydeliggjør departementenes ansvar for det forebyggende sikkerhetsarbeidet i sine respektive sektorer, samtidig som mekanismer for tverrsektoriell samordning og informasjonsdeling foreslås styrket. […]
UNINETT mener imidlertid at vurderinger av hvilke virksomheter som omfattes av lovforslaget, det vil si hvem som råder over innsatsfaktorer (informasjon, informasjons systemer, objekter eller infrastruktur) eller driver aktivitet som er av kritisk betydning for nærmere angitte nasjonale funksjoner, kan by på vanskelige utfordringer. Det er for eksempel ikke umiddelbart klart for UNINETT hvilke kriterier som departementene skal legge til grunn for vurderinger av om virksomheter er av vesentlig eller kritisk betydning for disse nasjonale funksjonene. Ettersom det kun er virksomheter av kritisk betydning som foreslås omfattet av loven, er det etter UNINETTs syn viktig at det ikke skapes unødig usikkerhet om hvilke virksomheter som kan tenkes å bli omfattet og hvilke momenter som departementene skal legge til grunn for slike vurderinger og vedtak.
UNINETT mener likevel det er positivt at lovforslaget gir departementene en plikt til å identifisere, holde oversikt over og rapportere til Sikkerhetsmyndigheten (NSM) om vesentlige avhengigheter både i egen og mot andre sektorer, og hvilke virksomheter som er ansvarlige for disse, selv om disse virksomhetene i utgangspunktet ikke omfattes av loven. Dette vil, etter UNINETTs oppfatning, bidra til å etablere et forbedret og mer helhetlig forebyggende sikkerhetsarbeid, både internt i sektorene og på tvers av sektorer.»
7.3.2 Tvisteorgan
Når det gjelder utvalgets forslag om opprettelse av et eget tvisteorgan, er det ulike oppfatninger fra høringsinstansene. Flere private virksomheter er positive til forslaget og ser dette som en viktig rettssikkerhetsgaranti i saker som gjelder vedtak om å underlegge virksomheter til sikkerhetsloven. Offentlige myndigheter er i all hovedsak negative til forslaget.
Abelia ser i likhet med utvalget behov for at det opprettes et tvisteorgan slik at det finnes tilstrekkelige rettssikkerhetsgarantier for virksomheter som underlegges loven, som rett til å bli hørt og påklage. Imidlertid savner Abelia tre forhold i drøftelsen om organets plassering og sammensetning:
«For det første om også underleverandører til grunnleggende nasjonale funksjoner vil ha adgang til å klage til tvisteorganet. Igjen mangler vurderinger rundt konsekvenser for næringslivet. For det andre om det samme tvisteorganet skal behandle både militære og sivile saker. Vi mener det bør gjøres en særskilt drøfting av om det er heldig at samme organ vurderer både militære og sivile saker. Et skille mellom militære og sivile saker gjøres på flere andre områder, blant annet når det gjelder sikkerhetsklarering av personell hvilket lovens paragraf 8-4 og 8-5 reflekterer. Og for det tredje, dersom tvisteorganet skal oppfattes som objektivt, og ha en reell rettssikkerhetsgaranti, mener Abelia i likhet med NHO og NSR at minst ett av medlemmene må komme fra det private næringsliv.»
BDO uttaler:
«I teorien bør tvister mellom departementer kunne løses uten et eget tvisteorgan. Empiri de siste årene har imidlertid vist med all tydelighet at det i praksis dessverre ikke er tilfelle innen objektsikkerhet – selv ikke når toppledelsen ved Statsministerens kontor involveres for å finne løsninger/kompromisser. Å fortsette som før, med sterke og langvarige stridigheter som sprer seg helt ut i ytre etat og virksomheter i sektorer, er ingen tjent med. Det er også slik at det av og til er viktigere å få en avklaring, enn akkurat hvem som får medhold eller ikke i avklaringen, og det vil et slikt tvisteorgan i hvert fall bidra til.»
Direktoratet for e-helse ser et behov for å tydeliggjøre og konkretisere mandatet og funksjonen for klageordningen og tvisteorganet, slik at disse kan være på plass når nytt lovverk trer i kraft.
E-CO Energi AS er skeptisk til ordningen med tvisteorgan, da dette vil kunne undergrave ansvarsprinsippet, og uttaler:
«Tvister mellom departementer bør kunne løses uten et slikt organ på ordinær måte mellom departementene uten å måtte skyve på og synligjøre beslutninger til et «kollegialt» Tvisteorgan.»
Energi Norge uttaler:
«Tverrsektoriell koordinering og informasjonsutveksling er fornuftig, men kan medføre uklare rolle- og ansvarsforhold, økt byråkratisering og manglende kostnadskontroll. Energi Norge vil derfor anbefale at dagens klare rolle- og ansvarsfordeling videreføres. [...]
[…]
Energi Norge mener at det endelige ansvaret for sikkerhet og beredskap må ligge hos sektormyndighetene og at NSM/Sikkerhetsmyndigheten ikke bør ha anledning til å overprøve dette. Dermed faller også behovet for et eget tvisteorgan, som skal ta stilling til denne typen uenighet, bort.
For det tilfellet at sektormyndighetenes beslutninger likevel skal kunne overprøves, er det etter Energi Norges oppfatning viktig at det stilles krav om at tvisteorganet settes sammen av medlemmer som også har nødvendig samfunnsøkonomisk kompetanse og relevant sektorkompetanse. […]
Et eventuelt tvisteorgan må under enhver omstendighet være nøytralt og må ha tilstrekkelig kompetanse og øvrige ressurser til å behandle de saker det får seg forelagt på en kompetent og effektiv måte. I forslag til lovtekst fremgår det at tvisteorganets medlemmer skal utpekes av «Kongen». Utvalget foreslår riktignok at tvisteorganet skal ledes fra SMK og at sekretariatsfunksjonen legges til det nye permanente sekretariatet for RSU. Dette er imidlertid ikke bindende, dersom slik myndighet i stedet ønskes delegert til en annen instans/departement. Dette kan i så fall skape utfordringer knyttet til sammensetningen av tvisteorganet og tvisteorganets nøytralitet. […]
[...]
Utvalget har ikke vurdert hvilken faglige kompetanse og ressurser NSM har i dag på de ulike sektorene, og i hvilken grad enheten må styrkes for å ivareta nye oppgaver og funksjoner på tilfredsstillende måte. Et forvaltningsorgan, som ikke ressurs- og kompetansemessig er dimensjonert for oppgaven, kan snarere svekke beredskapen og samfunnssikkerheten enn å styrke den. I tillegg vil det kunne medføre at det går flere saker til tvisteorganet for behandling, noe som vil øke driftskostnadene for tvisteorganet og forsinke beslutningsprosessene.
[...]
Utvalget har ikke kvantifisert de potensielle kostnadsøkningene som forslaget vil medføre knyttet til etablering og drift av tvisteorganet, økt tilsynsvirksomhet overfor sektormyndighet og virksomheter, nødvendig kompetanse- og ressursoppbygging i NSM, forsinkelser i behandlingsprosessene, konkurransevridende effekter mellom virksomheter, avvikling av virksomheter og tap av arbeidsplasser.»
Forsvarets forskningsinstitutt (FFI) uttaler:
«Det er åpenbart at en sektors vurderinger kan avvike fra NSMs. Dette utfordrer ansvarsprinsippet og NSMs sektorovergripende ansvar. Det vil imidlertid være i strid med ansvarsprinsippet å gi NSM instruksjonsmyndighet overfor andre sektorer, men viktige beslutninger må kunne fattes. Etablering av et tvisteorgan, slik utvalget anbefaler, vil være nødvendig for at sikkerhetsloven skal kunne fylle sin koordinerende funksjon. For at organet skal få tilstrekkelig autoritet, bør det ledes fra Statsministerens kontor.»
Kommunal- og moderniseringsdepartementet uttaler:
«En nærmere presisering av lovens virkeområde vil også bidra til at det blir et mindre behov for å avklare uenigheter mellom sikkerhetsmyndighetene og relevante sektormyndigheter.
[...]
KMD mener at sammensetningen av tvisteorganet også må kunne ivareta interessene til den eller de virksomhetene som er berørt av enkeltvedtaket på en god måte. Det antas her at tvister i stor grad vil omhandle private virksomheter. Følgelig bør disse virksomhetens interesser bli ivaretatt i tvisteorganet på en hensiktsmessig måte.»
Nkom uttaler videre:
«I forhold til å kunne ivareta Sikkerhetsmyndighetens sektorovergripende ansvar etter lovforslaget § 2-2, er Nkom enig i at Sikkerhetsmyndigheten bør ha mulighet til selvstendig vurdering og forslagsrett for utpeking av virksomheter av kritisk betydning slik det foreslås i bestemmelsens fjerde ledd. Nkom mener imidlertid at det er unødvendig og lite formålstjenlig å benytte selvstendig tvisteløsningsorgan som mekanisme ved uenighet mellom Sikkerhetsmyndigheten og ansvarlig departement. Lovforslaget fokuserer gjennomgående på en bred samfunnsmessig tilnærming til sikkerhet med spesiell vekt på samarbeid mellom Sikkerhetsmyndigheten og sektorene, jf. lovforslaget kap 3. Nkom mener uenighet mellom Sikkerhetsmyndigheten og ansvarlig departement når det gjelder utpeking etter § 2-1 bør løses ved drøftelser og regjeringsbehandling som en egnet og allerede etablert metode.
[...]
[…] Nkom mener at det er unødvendig og lite formålstjeneslig å benytte selvstendig tvisteløsningsorgan som mekanisme ved uenighet mellom departementene. Her bør man benytte den ordinære forvaltningsrutinen med drøftelser innad i regjeringsapparatet. Mandatet til tvistorganet bør således begrenses til behandling av konflikter mellom private virksomheter og offentlige myndigheter.»
Nasjonal sikkerhetsmyndighet (NSM) mener sikkerhetsmyndigheten og tvisteorganet må gis en sterk lovforankret autoritet for å kunne styre og beslutte med bindende virkning overfor øvrige aktører. Dette er en nødvendig forutsetning for å sikre en enhetlig implementering av lovforslaget:
«Lovforslaget etablerer et tvisteorgan som skal ta standpunkt til uenighet knyttet til praktisering av enkelte av lovforslagets bestemmelser.
Basert på erfaringer med gjeldende sikkerhetslov ser NSM det som hensiktsmessig at det etableres en mekanisme for å avgjøre saker hvor det er uenighet. En suksessfaktor for forslaget er at Tvisteorganet gis nødvendig besluttende myndighet. Med det handlingsrom lovforslaget gir, både til departementene, sektormyndighetene og virksomhetene vil det være av avgjørende betydning for å sikre en harmonisert praksis at de avgjørelser tvisteorganet fatter er bindende for så vel forvaltningen som for private rettssubjekter.»
NITO mener tvisteorganet vil kunne tjene som en rettssikkerhetsgaranti, og at tvisteorganet ved uenighet mellom myndigheter skal sørge for en uavhengig avgjørelse. NITO vil understreke behovet for at tvisteorganet besitter tilstrekkelig kompetanse innenfor fagområdene IKT og sikkerhet. NITO etterlyser derfor en klargjøring av hvilken sammensetning, og hvilke kriterier, tvisteorganet skal styre etter.
Norges Bank mener at forslaget til klage- og tvisteløsninger (jf. forslag til §§ 2-6 og 2-7) er en ordning som kan fungere godt, og både ivareta sektorenes respektive behov og de mer overordnede behov for helhetlig og koordinert sikkerhetsarbeid på tvers av sektorene, og uttaler:
«Klageordningen fastsatt i § 2-6 retter seg mot vedtak etter loven. Det kan eventuelt vurderes om det i lovens forarbeider bør sies noe om hvem som kan påklage vedtak etter sikkerhetsloven, dvs. hvem som har rettslig klageinteresse.»
NVE er skeptiske til de skisserte mekanismene for å møte en forventet uenighet mellom sikkerhetsmyndigheten og sektormyndighetene om oppfølging av loven. Etter NVEs syn er disse både unødvendige og fremmede i norsk forvaltning:
«NVE er enig i at enda mer samarbeid, samspill og samhandling er nødvendig for å heve sikkerhetsnivået mot terror og sabotasje totalt sett.
Derfor er vi også skeptiske til de mange skisserte mekanismene for å møte det vi oppfatter som en forventet uenighet om oppfølging av loven i sektorene. Se for eksempel opprettelsen av tvisteorgan § 2-7, avtaleregulering av sektormyndighetens plikter gjennom samarbeidsavtaler (§ 3-2), adgang for sikkerhetsmyndigheten til å gi pålegg til sektormyndigheten (§ 3-6 tredje ledd) og rett for sikkerhetsmyndigheten til å bringe såkalte unnlatelser fra sektormyndigheten inn for Tvisteorganet, jf § 2-1 (utpeking) og § 7-1 (utpeke skjermingsverdig objekt).
Etter vårt syn blir det for mange slike mekanismer. NVE mener at disse er unødvendige og fremmed i norsk forvaltning. De utfordrer også ansvarsprinsippet. Det følger av Grunnloven § 3 at det er Regjeringen med ansvarlig statsråd som har ansvaret. NVE mener dessuten disse mekanismene gir motsatt signaler enn det positive fokuset på tett samhandling og samvirke for sikkerhet som er gjennomgående i NOU’en. Vi tror det samlede sikkerhetsarbeidet er best tjent med at samhandlingen mellom myndigheter skjer på mest mulig «ordinær» måte, og at uenigheter løses enten ved regjeringsbehandling eller ved megling etter modell av innsigelsesinstituttet i plan- og bygningsloven. Private virksomheter som blir underlagt sikkerhetsloven må kunne klage på dette, men også her vil alminnelige klageregler etter forvaltningsloven etter NVEs syn være tilstrekkelig.
Vi foreslår at behovet for denne typen mekanismer for håndtering av uenighet vurderes på nytt. God samhandling mellom sektorene bør fremheves som den bærende tilnærmingen og eventuell uenighet bør løses gjennom eksisterende ordninger.»
Norsk olje og gass uttaler:
«Det foreslås av Utvalget å opprette et tvisteorgan for overprøving av vedtak etter loven, jf. lovutkastet § 2-6. Ettersom det i lovutkastet er henvist til forvaltningsloven kapittel VI for selvstendige rettssubjekters klageadgang etter loven, legger vi til grunn at tvisteorganet kan overprøve alle sider av vedtaket. Norsk olje og gass foreslår at det bør fremgå av lovforslaget at virksomheten alltid har partsrettigheter i en klagesak for tvisteorganet.
Kongen i statsråd er overordnet det enkelte departement og det fremstår noe underlig at sikkerhetsmyndigheten kan overprøve departementets avgjørelse ved å bringe saken inn for avgjørelse i tvistenemnda jf § 2-1 fjerde ledd. Dersom dette blir løsningen bør virksomheten likefullt ha partsrettigheter også i slike saker.
Det synes fornuftig at tvisteorganet skal sammensettes av medlemmer med sikkerhetsfaglig kompetanse innen personvern, jf. lovutkastet § 2-7. Norsk olje og gass mener at et tvisteorgan i den enkelte sak også bør ha medlemmer som har særskilt kompetanse innenfor den sektor som klagen gjelder.»
NHO ber om at tvisteorganet blir satt med minst en fast representant fra det private næringsliv, slik at private virksomheters interesser i klagesaker blir ivaretatt på en forsvarlig måte.
Næringslivets Sikkerhetsråd (NSR) støtter at det opprettes et tvisteorgan slik at det finnes tilstrekkelige rettssikkerhetsgarantier for virksomheter som underlegges loven, som rett til å bli hørt og påklage. For at tvisteorganet skal oppfattes som objektivt, og ha en reell rettssikkerhetsgaranti, mener NSR at det er avgjørende at minst ett av medlemmene kommer fra det private næringsliv.
Olje- og energidepartementet uttaler om forslaget til tvisteorgan:
«Utvalget viser til at en utfordring med dagens system er at det ikke finnes noen form for mekanisme for å avklare uenigheter mellom sikkerhetsmyndighetene og relevante sektormyndigheter. OED viser til at uenighetssaker mellom sektorer normalt skal løftes opp til regjeringsbehandling i siste instans. Dette for å ivareta statsrådenes sektoransvar, og for å sikre at slike beslutninger tas på høyest mulig nivå med alle sider godt belyst. Vi mener dette må være løsningen også i saker under sikkerhetsloven. Et tvisteorgan kan ikke og bør ikke erstatte de etablerte konstitusjonelle mekanismene for regjeringens avgjørelser.»
Samferdselsdepartementet uttaler:
«I dagens sikkerhetslov finnes det ingen form for mekanisme for å avklare uenigheter mellom sikkerhetsmyndigheter og relevante sektormyndigheter. Utvalget anbefaler derfor at det etableres et eget kollegialt tvistorgan som gis myndighet til å treffe vedtak i klagesaker, bestående av fem medlemmer med kompetanse innen sikkerhetsfaget, personvern og rettssikkerhet. SD tror tvisteløsningsfunksjonen kan fungere bra som en form for rettsikkerhetsgaranti for private virksomheter som blir underlagt loven, og at det kan sikre likebehandling på tvers av sektorene. Det bør imidlertid vurderes nærmere om det finnes bedre og allerede etablerte organer for å løse eventuelle tvister mellom myndigheter.»
Statkraft mener det er avgjørende med tydelige ansvarslinjer. Endelig beslutningsmyndighet bør derfor ligge hos sektormyndigheten, ikke hos et tvisteorgan som det ikke er behov for.
UNINETT ser det som positivt at enkeltvedtak som fattes i medhold av loven kan klages inn for et uavhengig tvisteorgan, spesielt mht. hvilke virksomheter som departementene bestemmer skal omfattes av pliktene i den nye sikkerhetsloven.
Utenriksdepartementet ser at det kan være behov for raskt å kunne avklare uenigheter om praktiseringen av loven, men stiller spørsmål ved behovet for å etablere frittstående parallelle strukturer innen statsforvaltningen:
«Sikkerhetsloven er en offentligrettslig lov som skal utøves av de kompetente organer loven utpeker, og det kan stilles spørsmål ved behovet for å etablere særlige organer for å løse tvister. Det stilles også spørsmål ved om det er heldig å knytte et organ med formell beslutningsmyndighet til rene konsultasjonsorganer som RSU eller kriserådet. Dette vil kunne forsterke en allerede utbredt misforståelse innen statsforvaltningen om at disse organene kollektivt har større beslutningskompetanse enn det deltakerne besitter hver for seg.
Uavhengig av organets funksjon er UD skeptisk til benevnelsen «tvisteorgan» da dette kan gi en noe misvisende assosiasjon til et domstolslignende organ.»
7.4 Departementets vurdering
7.4.1 Departementenes ansvar og myndighet etter loven
Departementet er enig i utvalgets forslag når det gjelder fastsettelsen og fordelingen av departementenes myndighet og ansvar etter loven og sikkerhetsmyndighetens ansvar og oppgaver. De ulike rollene er etter departementets syn gjort klarere enn de er etter någjeldende lov. Det er viktig for å tydeliggjøre departementenes ansvar at ansvarsprinsippet eller sektorprinsippet blir mer rendyrket, samtidig som oppgaven med å ivareta helhetlig og sektorovergripende sikkerhet, fortsatt ligger til sikkerhetsmyndigheten som fagmyndighet.
I forslaget til kapittel 2 om ansvar og myndighet fastslås prinsippet om departementenes sektoransvar for forebyggende sikkerhetsarbeid. Det foreslås samtidig at sikkerhetsmyndigheten har det sektorovergripende ansvaret for å holde oversikt over det helhetlige bildet og sørge for at balanserte sikkerhetstiltak på tvers av sektorer iverksettes og vedlikeholdes. En rekke sektorer er gode når det gjelder ivaretakelse av forebyggende sikkerhet. Det er viktig at forholdene legges til rette for at dette kan opprettholdes. For å følge opp det ansvaret departementene får etter loven, vil det imidlertid være behov for kompetanseheving på enkelte områder innenfor forebyggende sikkerhetsarbeid.
Høringsuttalelsene gir i hovedsak uttrykk for enighet om forslaget til fordeling av ansvar og myndighet mellom departementene på den ene siden og sikkerhetsmyndigheten på den andre, jf. eksempelvis uttalelsene gjengitt ovenfor fra Nkom, Norges Bank og Fylkesmannen i Rogaland. En viktig oppgave for departementene er å treffe vedtak om hvilke virksomheter innenfor eget myndighetsområde som sikkerhetsloven skal gjelde for, jf. § 1-3 og omtalen i kapittel 6.4.3.
7.4.2 Sikkerhetsmyndighetens ansvar for forebyggende sikkerhetsarbeid
Sikkerhetsmyndighetens ansvar etter loven framgår av forslaget til § 2-2. Sikkerhetsmyndigheten har det sektorovergripende ansvaret for å se til at gjennomføring av forebyggende sikkerhetsarbeid i virksomhetene skjer i samsvar med loven.
Utfordringen i en slik løsning vil være hvordan og i hvilken grad sikkerhetsmyndighetens faglige vurderinger skal kunne gripe inn og påvirke sektormyndigheter, uten å skape uklarheter eller rokke ved fastlagte ansvarsforhold. Dette er søkt løst gjennom en nærmere beskrivelse av oppgavene til sikkerhetsmyndigheten i § 2-2. Det konstitusjonelle ansvaret vil uansett ligge hos fagdepartementet. Dette gjelder også så langt aktuell sektor har fått delegert tilsynsansvaret i egen sektor.
Det framgår av departementets lovforslag at sikkerhetsmyndigheten skal påse at det føres tilsyn med at virksomheter oppfyller krav til forebyggende sikkerhetsarbeid. Det enkelte fagdepartement kan imidlertid bestemme at sektormyndigheter kan føre tilsyn med virksomheter som er omfattet av loven innenfor sin sektor. Departementet presiserer at det bør legges opp til utstrakt samarbeid mellom sikkerhetsmyndigheten og sektormyndigheter når det gjelder tilsyn etter loven, se for øvrig kapittel 8.
Etter § 2-2 bokstav c i departementets lovforslag skal sikkerhetsmyndigheten innhente og vurdere informasjon som har betydning for forebyggende sikkerhetsarbeid. Departementet understreker at sikkerhetsmyndigheten er avhengig å få tilgang til et bredt informasjonsgrunnlag om trusselbildet og hendelser fra de ulike virksomhetene og sektorene for å kunne vurdere og analysere sikkerhetstilstanden innenfor lovens virkeområde, se for øvrig kapittel 7.4.3.
Videre skal sikkerhetsmyndigheten gi informasjon, råd og veiledning om sikkerhetsfaglige spørsmål, og dessuten utarbeide og gjøre tilgjengelig generell informasjon om loven og praktiseringen av den. For å ha tilstrekkelig oversikt over sikkerhetstilstanden, skal sikkerhetsmyndigheten holde en tverrsektoriell oversikt over departementenes identifisering og enkeltvedtak om å legge virksomheter under sikkerhetsloven. Sikkerhetsmyndigheten skal selv treffe tilsvarende vedtak overfor virksomheter som ikke anses for å falle innenfor et departements myndighetsområde.
Departementet har merket seg at de fleste høringsinstansene har sluttet seg til forslaget til systematikk når det gjelder myndighetsutøvelsen. Særlig gjelder dette klargjøringen av ansvarsprinsippet og at det etableres et tydelig sektoransvar. Imidlertid er enkelte høringsinstanser skeptiske til at sikkerhetsmyndigheten skal ha en sektorovergripende rolle og således kunne overprøve fagdepartementets vurderinger. Disse høringsinstansene mener at ansvarsprinsippet må gjelde fullt ut, og at sikkerhetsmyndigheten først og fremst skal være «et veiledende og rådgivende fagorgan for departementet og tilsynsorganene», jf. NVEs høringsuttalelse gjengitt ovenfor.
Departementet er ikke enig i at sikkerhetsmyndigheten skal reduseres til et rådgivende organ. Sikkerhetsmyndigheten skal etter departementets mening fortsatt være et fagorgan og ha myndighet innenfor forebyggende sikkerhetsarbeid. Samtidig skal de enkelte samfunnssektorene respekteres, slik at det skal tas hensyn til sektorspesifikke forhold. For at sikkerhetslovens krav skal kunne ivaretas i de enkelte samfunnssektorene er det for eksempel viktig at sikkerhetsmyndigheten bidrar til å sette de kriterier som er nødvendige for delegering av tilsynsansvar til de enkelte sektorer, og at den kan påse at tilsyn innenfor sikkerhetslovens virkeområde blir gjennomført. Nærmere om oppgaver til sikkerhetsmyndigheten er redegjort for i kapittel 8 om tilsyn og i kapittel 9 om generelle krav til forebyggende sikkerhetsarbeid.
BDO gir i sin høringsuttalelse uttrykk for uenighet til forslaget om at sikkerhetsmyndigheten selv skal kunne treffe vedtak om at sikkerhetsloven skal gjelde for virksomheter som ikke anses for å falle innenfor et departements myndighetsområde. BDO foreslår at vedtak for disse virksomhetene legges til et departement, for eksempel til Justis- og beredskapsdepartementet. Departementet vil peke på at sikkerhetsmyndigheten skal ha den nasjonale oversikten over virksomheter under sikkerhetsloven og vil være nærmest til å fange opp hvilke virksomheter som vil være utenfor departementenes myndighetsområder. Det antas å gjelde få virksomheter, og departementet ser ingen prinsipielle motforestillinger til å legge denne vedtakskompetansen til sikkerhetsmyndigheten.
7.4.3 Utveksling av trusselvurderinger og annen sikkerhetsinformasjon
Departementet foreslår å videreføre utvalgets forslag til § 2-3. Bestemmelsen gjelder utveksling av trusselvurderinger og annen sikkerhetsinformasjon, og at sikkerhetsmyndigheten skal legge til rette for tilgang til slik informasjon. Dette omfatter de virksomheter loven gjelder for, der slik informasjon og vurderinger har betydning for virksomhetenes forebyggende sikkerhetsarbeid. Departementet presiserer at det også ligger et ansvar hos virksomhetene for å dele informasjon om sikkerhetstruende virksomhet eller annen relevant sikkerhetsinformasjon med sektormyndigheter, andre virksomheter og myndigheter som har et tjenstlig behov og sikkerhetsmyndigheten. Dette gjelder også utover det som følger av varslingsplikten etter utvalgets forslag til § 4-6. For å kunne gi virksomhetene et best mulig tverrsektorielt risikobilde innen forebyggende sikkerhetsarbeid, jf. beskrivelsen i kapittel 7.4.2, er for eksempel sikkerhetsmyndigheten avhengig av at virksomhetene er villig til å dele relevant informasjon, særlig når det gjelder IKT-hendelser. Viktigheten av deling og utveksling av informasjon nevnes også i samfunnssikkerhetsmeldingen (Meld. St. 10 (2016–2017)), særlig i forbindelse med nasjonalt rammeverk for håndtering av digitale hendelser i kapittel 6.6.2, side 68, og i stortingsmeldingen om IKT-sikkerhet (Meld. St. 38 (2016–2017)). Departementet viser også til utvalgets vurderinger i NOU 2016: 19 kapittel 2.3, og i særmerknaden til § 5-2 på side 262 i NOU 2016: 19 lovforslag, som omtaler samfunnssikkerhetsprinsippet om samvirke og «responsibility to share».
7.4.4 Nasjonal responsfunksjon for alvorlige digitale angrep
Håndtering av digitale angrep eller avdekking av forsøk på dette er blitt en stadig viktigere del av det forebyggende sikkerhetsarbeidet. I forslaget til § 2-4 gis Kongen hjemmel til å utpeke en myndighet som skal drive en nasjonal responsfunksjon for alvorlige digitale angrep (NorCERT i dag) og det nasjonale varslingssystemet for digital infrastruktur (VDI). Departementet legger til grunn vurderingene som ble gjort i Prop. 97 L (2015–2016) kapittel 6.6, side 28 om plassering og ansvar for responsfunksjonen og VDI-systemet hos Nasjonal sikkerhetsmyndighet.
Bestemmelsen presiserer at myndigheten kan behandle personopplysninger i ulike former når det er nødvendig for å drive de to funksjonene. Det vises her til de drøftelsene som er gjort over temaet i Prop. 97 L (2015–2016) kapittel 7.4. Det følger av utvalgets særmerknader til lovforslaget § 2-4 at utvalget mente å videreføre gjeldende rett. Ordlyden i utvalgets forslag kan imidlertid tolkes som en innsnevring ved at den knyttet funksjonenes virkeområde tett til sikkerhetslovens virkeområde. Ettersom både responsfunksjonen og varslingssystemet har virkeområder som går utover sikkerhetsloven, mener departementet at utvalgets forslag til ordlyd blir for snevert. Departementet foreslår derfor en videreføring av gjeldende lov § 9 første ledd bokstav e og § 10 a.
7.4.5 Vedtak ved risiko for skadevirkninger for nasjonale sikkerhetsinteresser
Utvalget har foreslått å videreføre hjemmelen til å fatte vedtak i gjeldende § 5 a om varsling og myndighet til å fatte vedtak ved risiko for sikkerhetstruende virksomhet. Departementet er enig med Utenriksdepartementet i at utvalgets forslag til skjerping av kravet til sannsynlighet etter gjeldende § 5 a, kan medføre at bestemmelsen mister sin selvstendige funksjon. Departementet har forståelse for at utvalget ut fra bestemmelsens inngripende karakter ønsker å etablere ytterligere rettssikkerhetsgarantier. Bestemmelsen er imidlertid ment å være en sikkerhetsventil, jf. Prop. 97 L (2015–2016) side 19. Bestemmelsen vil eksempelvis kunne benyttes hvor det ikke foreligger andre rettslige grunnlag for å stanse en aktivitet som innebærer en risiko mot nasjonale sikkerhetsinteresser. At vedtaksmyndigheten er lagt til Kongen i statsråd, og skal baseres på råd fra relevante fagmyndigheter, vil sikre at saken er tilstrekkelig godt opplyst, både hva gjelder den konkrete risikoen og hva gjelder hvilke konsekvenser et eventuelt vedtak vil kunne få. Videre vil det sikre at vedtakene dermed er velbegrunnede og proporsjonale ut fra hensynet til nasjonal sikkerhet. Som det framgår av Prop. 97 L (2015–2016) side 21, vil det også måtte vurderes konkret i hvert enkelt tilfelle hvor bestemmelsen vurderes benyttet, hvorvidt vedtaket vil være i overensstemmelse med Grunnloven, menneskerettighetsloven og Norges internasjonale forpliktelser. Departementet har på denne bakgrunn kommet til at det materielle innholdet i gjeldende § 5 a bør videreføres, med nødvendige tilpasninger til den nye loven. Bestemmelsens natur som sikkerhetsventil tilsier at den i likhet med gjeldende § 5 a skal favne vidt, og bør være anvendelig på alle typer aktiviteter som kan innebære en ikke ubetydelig risiko mot nasjonale sikkerhetsinteresser.
7.4.6 Klage- og tvisteløsning og tvisteorgan
Utvalget har foreslått et tvisteorgan, både for å løse klagesaker fra private aktører og for å løse uenighetssaker mellom offentlige myndigheter. Departementet er enig i at private virksomheter som blir underlagt loven ved enkeltvedtak skal ha en klageadgang. Videre er det viktig at uenigheter på myndighetsnivå blir løst innen en rimelig tidshorisont. Klagesaker fra private og uenigheter mellom offentlige myndigheter er ikke nødvendigvis sammenlignbare sakstyper. Av høringsinstansene har private virksomheter i stor grad sagt seg enige i forslaget om et tvisteorgan, mens offentlige myndigheter er kritiske til forslaget om at sikkerhetsmyndigheten kan klage ansvarlig departement inn for tvisteorganet. Det bryter med ansvarsprinsippet.
I høringen har Nkom foreslått at uenigheter bør løses ved drøftelser og regjeringsbehandling som en egnet og allerede etablert metode. Mandatet til tvisteorganet bør derfor begrenses til behandling av konflikter mellom private virksomheter og offentlige myndigheter. NVE foreslår at uenigheter løses ved regjeringsbehandling eller ved megling etter modell av innsigelsesinstituttet i plan- og bygningsloven. NVE viser til at innsigelsesinstituttet i plan- og bygningsloven er et av de viktigste styringsvirkemidlene staten og fylker har over kommunenes planlegging. Det medfører at en myndighet som har adgangen til det kan forhindre at planen blir gyldig vedtatt med et innhold som er i strid med det hensynet myndigheten har fremmet. NVE peker på at kommunen med andre ord er avhengig av å bli enig med denne myndigheten, eller få saken avgjort i Klima- og miljødepartementet.
Departementet vil bemerke at private virksomheter i utgangspunktet vil ha klagerett etter forvaltningsloven, slik de også har etter sikkerhetsloven i dag. På noen forvaltningsområder er det opprettet uavhengige klageorganer. Utvalget foreslår en modell der tvisteorganet er tilknyttet regjeringens sikkerhetsutvalg. Det kan da stilles spørsmål ved om tvisteorganet framstår som uavhengig. Departementet anser heller ikke at spørsmål om nasjonal sikkerhet er et område som egner seg til å løftes ut til et uavhengig organ.
Uenighet mellom departementer kan by på utfordringer for enhver regjering, ikke bare i sikkerhetsspørsmål. Uenigheter mellom departementer kan heller ikke løses etter samme prosedyre som ordinære klagesaker etter forvaltningsloven.
Med bakgrunn i en samlet vurdering av innspillene i høringen, samt de prinsipielle sidene ved forslaget, har departementet kommet til at utvalgets forslag om å etablere et særskilt tvisteorgan ikke bør følges opp. Departementet foreslår at dagens klageordning etter forvaltningsloven videreføres. Dette vil sikre rettssikkerheten for private virksomheter. Sikkerhetsmyndighetens vedtak etter § 1-3 fjerde ledd og § 7-1 tredje ledd kan påklages til departementet.
Ved at sikkerhetsmyndigheten gis en lovbestemt rett til å foreslå for alle departementene om virksomheter som bør underleggelses sikkerhetsloven, jf. § 1-3 tredje ledd, og om utpeking av objekter og infrastruktur etter § 7-1 sjette ledd, innebærer dette en mulighet for å få løftet eventuelle saker med motstridende interesser eller uenigheter, for at slike saker ikke blir liggende uløst. Dette fordi det til forslagsretten ligger en rett til å bringe saken inn for endelig avgjørelse til det departement som har det overordnede ansvaret for forebyggende sikkerhetsarbeid i sivil sektor eller det departementet som har det overordnede ansvaret for forebyggende sikkerhetsarbeid i forsvarssektoren, jf. Kronprinsregentens resolusjon av 4. juli 2003. Departementet mener at man på denne måten kan sikre den gode intensjonen til utvalget som lå til grunn for forslaget om et tvisteorgan.
Fordelen med departementets forslag til løsning er at de ordinære og kjente forvaltningsrettslige prinsipper for klagebehandling kan følges, samtidig som det kan etableres mekanismer som gjør at sikkerhetsmyndighetens sektorovergripende rolle kan styrkes.