11 Anskaffelser til kritisk infrastruktur

11.1 Bakgrunn

11.1.1 Kritisk infrastruktur og økt risiko for spionasje, sabotasje og terror

Globalisering og økt internasjonalisering av vare- og tjenestehandelen har ført til at eiere av kritisk infrastruktur, i større utstrekning enn tidligere, bruker utenlandske selskaper som leverandører til norsk kritisk infrastruktur. Utstrakt bruk av utenlandske leverandører er potensielt problematisk fordi det kan medføre en forhøyet risiko for spionasje og sabotasje til skade for norske interesser. Samfunnets økte avhengighet av kritisk infrastruktur gjør at denne problemstillingen trolig vil få stadig større relevans framover.

Begrepet kritisk infrastruktur er ikke helt entydig, og det finnes en rekke ulike definisjoner av begrepet. En definisjon av kritisk infrastruktur som departementet mener fremdeles har aktualitet, er definisjonen som ble lagt til grunn av Infrastrukturutvalget i NOU 2006: 6 Når sikkerheten er viktigst. Begrepet ble der definert slik:

«Kritisk infrastruktur er de anlegg og systemer som er helt nødvendige for å opprettholde samfunnets kritiske funksjoner som igjen dekker samfunnets grunnleggende behov og befolkningens trygghetsfølelse.»

Denne definisjonen består av følgende tre hovedbegreper1:

1. Kritisk infrastruktur – som er de anlegg og systemer som er helt nødvendige for å opprettholde samfunnets kritiske funksjoner.

2. Samfunnets kritiske funksjoner – som er de funksjonene som dekker samfunnets grunnleggende behov.

3. Samfunnets grunnleggende behov – som er et noe uklart begrep, som utdypes nærmere nedenfor.

Selv om begrepet «samfunnets grunnleggende behov» nevnes til sist i definisjonen, tar definisjonen utgangspunkt i dette begrepet, og utleder innholdet i de to andre begrepene ut fra det. Definisjonen utløser tre spørsmål som må besvares i nedennevnte rekkefølge for å kunne identifisere kritisk infrastruktur:

1. Hva er samfunnets grunnleggende behov?

2. Hvilke samfunnsfunksjoner er kritiske for å dekke disse behovene?

3. Hva slags systemer og anlegg er helt nødvendige for å opprettholde disse funksjonene?

Først etter å ha besvart det tredje spørsmålet har vi identifisert de systemene og anleggene som utgjør kritisk infrastruktur.

Det første spørsmålet vi må ta stilling til, er imidlertid hva som er samfunnets grunnleggende behov. Dette kan også formuleres som et spørsmål om hva som er samfunnets viktigste verdier.

NOU 2006: 6 legger til grunn at en mulig måte å identifisere samfunnets grunnleggende behov på, er å ta utgangspunkt i psykologen Abraham Maslows behovspyramide. Muligens kan de to nederste nivåene i pyramiden omtales som grunnleggende behov (på individnivå). De to nederste nivåene er menneskets «fysiske behov» og «behov for trygghet». Som følge av dette kan en muligens si at samfunnets grunnleggende behov kollektivt sett, er å kunne ivareta innbyggernes fysiske behov og behov for trygghet.

Hva som utgjør samfunnets grunnleggende behov i sikkerhetslovens forstand, må vurderes i lys av sikkerhetslovens formål. Dette er blant annet «å motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser». Trolig vil både befolkningens fysiske behov og behovet for trygghet måtte anses som grunnleggende behov også i sikkerhetslovens forstand.

Etter å ha identifisert de grunnleggende behovene, er neste steg å identifisere hvilke kritiske samfunnsfunksjoner som trengs for å dekke disse behovene. Altså å finne ut hva som trengs av funksjoner i samfunnet for at de grunnleggende behovene skal bli ivaretatt. Det være seg myndighetsfunksjoner eller funksjoner drevet av andre.

Et eksempel på en opplisting av kritiske samfunnsfunksjoner finner vi i rapporten «Samfunnets kritiske funksjoner», utgitt av Direktoratet for samfunnssikkerhet og beredskap (DSB) i 20152. DSB har tatt utgangspunkt i at en funksjon er kritisk dersom samfunnet i løpet av syv dager etter at funksjonen har sviktet ikke lenger klarer å tilfredsstille ett eller flere grunnleggende behov. DSB har sortert funksjonene i fire behovskategorier.

• nasjonal styringsevne og suverenitet

  • (1) nasjonal styring, (2) forsvar

• befolkningens sikkerhet

  • (3) lov og orden, (4) helse og omsorg, (5) redningstjenester, (6) sikkerhet mot eksponering av farlige stoffer, (7) informasjonssikkerhet, (8) overvåking av naturfarer

• befolkningens velferd

  • (9) matforsyning, (10) vann og avløp, (11) sosiale ytelser og tjenester, (12) finansielle tjenester, (13) energiforsyning, (14) elektronisk kommunikasjon, (15) transport, (16) satellittbaserte tjenester

• kultur og natur

  • (17) vern av kulturelle verdier, (18) vern mot forurensning.

Departementet mener denne opplistingen kan tjene som et eksempel på hvordan man kan knytte ulike kritiske samfunnsfunksjoner opp mot de grunnleggende behovene, avhengig av hvordan man velger å angi grunnleggende behov eller verdier. Departementet understreker imidlertid at listen kun må ses på som et eksempel.

Etter å ha identifisert de kritiske samfunnsfunksjonene, må man identifisere hvilke systemer og anlegg som er helt nødvendige for å opprettholde de ulike kritiske samfunnsfunksjonene. Ved å besvare dette spørsmålet finner vi ut hva som er kritisk infrastruktur.

Infrastrukturutvalget oppstilte i NOU 2006:6 en modell for identifisering av kritisk infrastruktur, se figur 11.1.

Kilde: NOU 2006: 6 Når sikkerheten er viktigst

Figur 11.1 opererer med tre stikkord til hjelp for å identifisere kritisk infrastruktur: (1) avhengighet, (2) alternativer og (3) tett kobling.

Avhengighet – første trinn innebærer å finne ut hvem eller hva som er avhengig av den aktuelle infrastrukturen. Dersom et stort antall av kritiske samfunnsfunksjoner er avhengig av infrastrukturen, tilsier det at infrastrukturen er kritisk. Dette kriteriet veier tyngst når kritisk infrastruktur skal identifiseres. Eksempelvis er praktisk talt alle kritiske samfunnsfunksjoner avhengig av strøm gjennom kraftinfrastrukturen og elektronisk kommunikasjon gjennom ekominfrastrukturen.

Alternativer – andre trinn innebærer å vurdere alternativer. Hvis det ikke finnes alternativer til den aktuelle infrastrukturen, tilsier det at den er kritisk. Og motsatt kan det tilsi at infrastrukturen ikke er kritisk dersom det finnes alternativer. Eksempelvis har Norge et stort antall kraftverk spredt ut over hele landet. Dette medfører at bortfall av ett kraftproduserende anlegg ikke får store konsekvenser for kraftleveransen sett under ett. Dette kan dermed tilsi at et kraftverk ikke er kritisk infrastruktur.

Tett kobling – tredje trinn innebærer å vurdere i hvilken grad infrastrukturen er tett koblet. Et tett koblet system innebærer at forstyrrelser ett sted i systemet får umiddelbare konsekvenser for systemet som helhet. Høy grad av tett kobling tilsier at infrastrukturen er kritisk. Eksempler kan hentes fra offentlig transport. Jernbane og lufttrafikk i Norge er avhengig av sentralisert styring i sanntid for effektiv og sikker drift. Busstrafikk kan derimot operere uten en sentralisert styring, eller i hvert fall med langt lavere grad av sentralisert kontroll og styring i sanntid. Bortfall av knutepunkter i tett koblede systemer vil få store konsekvenser for funksjonsdyktigheten til infrastrukturen. El-nettet, særlig sentralnettet, er et ytterligere eksempel.

DSB har i sin rapport identifisert infrastruktur under 8 av de 18 kritiske samfunnsfunksjonene, se tabell 11.1.3 Bakgrunnen for at DSB kun har knyttet infrastruktur til 8 av de 18 kritiske samfunnsfunksjonene, er ikke at de resterende 10 samfunnsfunksjonene ikke er avhengige av infrastruktur. Alle kritiske samfunnsfunksjoner er avhengige av kritisk infrastruktur. Forklaringen er at enkelte kritiske samfunnsfunksjoner er mer direkte avhengige av kritisk infrastruktur enn andre, og at det derfor er mer naturlig å sortere infrastrukturen inn under disse. Eksempelvis er alle de kritiske samfunnsfunksjonene avhengige av kraftnettets infrastruktur. Imidlertid er det mest naturlig å omtale denne infrastrukturen under samfunnsfunksjonen «energiforsyning». Tilsvarende er det også på andre områder.

Tabellen viser hva som kan anses som kritisk infrastruktur, knyttet til den enkelte kritiske samfunnsfunksjonen. Tabellen er verken bestemmende eller uttømmende, men tjener som et eksempel. Opplistingen ovenfor er uansett kun på typenivå, slik at den konkrete identifiseringen av systemer og anlegg vil måtte gjennomføres i den enkelte sektor. Eksemplifiseringen er inntatt for å gjøre anskaffelser til kritisk infrastruktur mer håndgripelig, og for å synliggjøre hva slags infrastruktur som potensielt kan være utsatt for spionasje og sabotasje.

11.1.2 Gjeldende rett

Reglene i sikkerhetsloven kapittel 7 om sikkerhetsgraderte anskaffelser gir myndighetene adgang til å stille sikkerhetsmessige krav ved visse leveranser til norsk kritisk infrastruktur. Forutsetningen er at leveransen faller inn under lovens definisjon av «sikkerhetsgradert anskaffelse». Dette er i § 3 nr. 17 definert som anskaffelse der leverandøren «vil kunne få tilgang til skjermingsverdig informasjon eller objekt, eller som innebærer at anskaffelsen må sikkerhetsgraderes av andre årsaker». Det vil si at en anskaffelse til kritisk infrastruktur først beskyttes av reglene om sikkerhetsgraderte anskaffelser dersom den aktuelle infrastrukturen er utpekt som et skjermingsverdig objekt i medhold av sikkerhetsloven § 17, eller anskaffelsen innebærer at leverandøren vil få tilgang til skjermingsverdig informasjon.

Dersom en anskaffelse er sikkerhetsgradert, skal anskaffelsesmyndigheten og leverandøren etter sikkerhetsloven § 27 inngå en sikkerhetsavtale. Sikkerhetsavtalen skal blant annet omhandle praktisk gjennomføring av undersøkelser hos leverandøren og annen kontroll med leverandøren for å vurdere sikkerhetstilstanden, og for å kontrollere at leverandøren forholder seg i samsvar med kravene i sikkerhetsloven. En sikkerhetsavtale kan bare inngås med utenlandske leverandører dersom det godkjennes av Nasjonal sikkerhetsmyndighet (NSM).

Sikkerhetsloven § 28 gjelder for sikkerhetsgraderte anskaffelser der leverandøren vil kunne få tilgang til informasjon gradert KONFIDENSIELT eller høyere, og bestemmelsen oppstiller et krav om leverandørklarering. En leverandørklarering utføres av NSM, og den har som formål å undersøke om leverandøren er sikkerhetsmessig skikket til å foreta leveransen. Dersom undersøkelsene konkluderer med at det foreligger tvil om leverandøren er sikkerhetsmessig skikket, vil det ikke bli gitt klarering. I forbindelse med denne vurderingen ser NSM på leverandørens evne og vilje til å etterleve sikkerhetskravene som følger av sikkerhetsloven, og det foretas også personkontroll av personer i leverandørens styre og ledelse.

Sikkerhetslovens regler om sikkerhetsgraderte anskaffelser gir således myndighetene mulighet til å kontrollere selskaper som leverer til kritisk infrastruktur, forutsatt at anskaffelsen gir leverandøren tilgang til gradert informasjon eller til et utpekt skjermingsverdig objekt. Imidlertid vil ikke alle anskaffelser til kritisk infrastruktur bli fanget opp av reglene om sikkerhetsgraderte anskaffelser. På langt nær all kritisk infrastruktur er utpekt som skjermingsverdige objekter.

Ved en leveranse til kritisk infrastruktur som ikke er et skjermingsverdig objekt, vil leverandøren etter omstendighetene kunne utnytte tilgangen til den kritiske infrastrukturen til å utføre sabotasje, eller til å spionere via infrastrukturen som det leveres til, selv om leveransen i seg selv ikke gir leverandøren tilgang til skjermingsverdig informasjon eller til et skjermingsverdig objekt. Slik tilgang for leverandører kan for eksempel utnyttes ved leveranser av både fysiske komponenter, vedlikeholdstjenester og programvare. Problemstillingen kan aktualisere seg innenfor flere ulike typer infrastruktur. Departementet har registrert tilfeller der myndighetene ikke har hatt hjemmel til å nekte leveranser til norsk kritisk infrastruktur, selv om saken har vært vurdert slik at det forelå en potensiell fare for spionasje eller sabotasje mot Norge.

11.2 Høringsforslaget

11.2.1 Hovedpunktene i høringsforslaget

På bakgrunn av ovennevnte, så departementet et behov for et rettslig grunnlag for myndighetene til å stille sikkerhetsmessige krav ved anskaffelser også til kritisk infrastruktur som ikke var utpekt som skjermingsverdige objekter. Departementet sendte følgende forslag til bestemmelse på høring:

Ǥ 29 a Anskaffelser til kritisk infrastruktur

En virksomhet skal varsle ansvarlig fagdepartement dersom en anskaffelse til kritisk infrastruktur som virksomheten eier eller rår over kan innebære en ikke ubetydelig risiko for rikets selvstendighet og sikkerhet eller andre vitale nasjonale sikkerhetsinteresser. Departementet som mottar varselet bør innhente en rådgivende uttalelse om leveransens risikopotensiale og leverandørens sikkerhetsmessige pålitelighet fra relevante organer.

Dersom det foreligger risiko som nevnt i første ledd første punktum kan anskaffelsen nektes gjennomført, eller det kan settes vilkår. Dette gjelder også dersom det allerede er inngått avtale om anskaffelsen. Vedtak om å nekte anskaffelsen eller sette vilkår fattes av Kongen i statsråd. Dersom vilkårene for å nekte anskaffelsen eller sette vilkår ikke er oppfylt, gir departementet virksomheten tilbakemelding om dette.

Kongen i statsråd kan gi forskrift om anskaffelser til kritisk infrastruktur.»

I høringen ble det også foreslått et nytt fjerde ledd i sikkerhetsloven § 2, for å kunne fange opp eiere av kritisk infrastruktur som ikke var underlagt sikkerhetsloven fra før, se nærmere omtale i punkt 3.2.

Forslaget til ny § 29 a ble i høringsnotatet oppsummert slik:

«Departementet foreslår en ny bestemmelse som gir Kongen i statsråd kompetanse til å nekte en anskaffelse til norsk kritisk infrastruktur gjennomført, dersom det foreligger en ikke ubetydelig risiko for rikets selvstendighet og sikkerhet eller andre vitale nasjonale sikkerhetsinteresser. Det gis også hjemmel til å sette vilkår ved enkelte anskaffelser. Forslaget til ny bestemmelse vil supplere dagens regler om sikkerhetsgraderte anskaffelser, og tar sikte på å dekke behov som gjeldende regelverk ikke ivaretar. Bestemmelsen er ment å være en sikkerhetsventil, og forutsettes benyttet kun i sjeldne tilfeller. Bestemmelsen vil kunne komme til anvendelse på kritisk infrastruktur som ikke tilfredsstiller kriteriene for å bli utpekt som skjermingsverdig objekt. Bestemmelsen pålegger også virksomhetene en varslingsplikt.»

Om forslaget til varslingsplikt sto det i høringsnotatet blant annet:

«Varslingsplikten vil kun påhvile virksomheter som loven gjelder for, dvs. forvaltningsorganer eller andre rettssubjekter som ved enkeltvedtak er omfattet av loven, jf. sikkerhetsloven § 2. […] Rettssubjekter som har kritisk infrastruktur, men som ikke er underlagt loven fra før, vil det bli aktuelt å fatte et avgrenset vedtak for, jf. ny § 2 fjerde ledd. Rettssubjektene vil da kunne bli underlagt varslingsplikten i § 29 a, men ikke loven for øvrig.

Det er den enkelte virksomhet som, basert på en samlet vurdering, må avgjøre hvorvidt det foreligger en anskaffelse som utløser varslingsplikt. […] I vurderingen vil det være sentralt hva som skal leveres, og til hvilke deler av infrastrukturen. Virksomheten skal ta stilling til om leveransen kan misbrukes til sikkerhetstruende virksomhet, forutsatt at leverandøren har ondsinnede intensjoner. Videre vil det være av sentral betydning hvilke leverandører som faktisk er aktuelle, og om leverandørene kommer fra land som Norge har et sikkerhetsmessig samarbeid med […]».

Når det gjaldt myndighetenes behandling av et eventuelt varsel stod det i høringsnotatet blant annet:

«Departementet antar at det i mange tilfeller som omfattes av § 29 a vil være naturlig å innhente uttalelse fra både Nasjonal sikkerhetsmyndighet, Politiets sikkerhetstjeneste og Etterretningstjenesten. Departementet vil også fremheve Nasjonal kommunikasjonsmyndighet (tidligere Post- og teletilsynet) som et mulig relevant organ. Offentlige organer plikter å bistå når de blir forespurt i medhold av § 29 a.

[…] Uttalelsene bør så langt det er mulig gi anbefalinger knyttet til valg av leverandør, og om eventuelle risikoreduserende tiltak.

Fagdepartementet skal, basert på de rådgivende uttalelsene, ta stilling til om den aktuelle anskaffelsen innebærer en akseptabel eller for høy risiko. […] Dersom risikoen anses som akseptabel og håndterbar, skal fagdepartementet meddele dette til virksomheten, og anskaffelsen kan gjennomføres. Dersom risikoen anses som for høy, og saken ikke kan løses tilfredsstillende ved bruk av tiltak i eget sektorregelverk, skal saken forelegges Kongen i statsråd med anbefalinger om tiltak.»

Departementet uttalte i notatet om selve hjemmelen til å fatte vedtak blant annet:

«Kongen i statsråd kan tillate anskaffelsen, tillate anskaffelsen på visse vilkår, eller nekte anskaffelsen gjennomført. Avgjørelsen vil måtte baseres på en helhetsvurdering der sikkerhetshensyn står sentralt, men der det også tas hensyn til blant annet økonomiske forhold og ønsket om hensiktsmessig utvikling av infrastruktur og næringsvirksomhet.»

11.2.2 Andre særlige momenter omtalt i høringsforslaget

Om forholdet til internasjonale forpliktelser uttalte departementet i høringsnotatet side 33 følgende:

«Departementet har vurdert forholdet til Norges internasjonale forpliktelser – herunder forholdet til WTO-avtaleverk (GATT, GATS, GPA og TRIPS), EØS-avtalen, Norges bilaterale frihandelsavtaler og Norges bilaterale investeringsbeskyttelsesavtaler. […] Departementet har konkludert med at selve innføringen av bestemmelsen ikke vil være i strid med internasjonale forpliktelser, men at vedtak som Kongen i statsråd eventuelt fatter i medhold av bestemmelsen, vil måtte vurderes individuelt. Denne vurderingen må foretas ut fra det konkrete vedtaket som Kongen i statsråd fatter i saken, og omfanget av dette sett opp mot den eller de internasjonale forpliktelsene som gjør seg gjeldende i den aktuelle saken. Generelt kan det sies at de fleste internasjonale avtalene som Norge er part i, inneholder unntak for såkalte ‘essensielle sikkerhetsinteresser’, eller lignende. Unntakene er jevnt over snevre, men de innebærer at Norge vil kunne påberope seg at vedtak fattet i medhold av § 29 a må godtas under henvisning til at vedtaket ivaretar Norges essensielle sikkerhetsinteresser. Sikkerhetsklausulene er ulikt formulert i de ulike rettsaktene, og det må derfor legges til grunn at adgangen for unntak er ulik, avhengig av hvilket regime det dreier seg om. […] Det finnes også supplerende folkerettslige prinsipper som kan benyttes til å begrunne vedtak ut fra de samme betraktningene, herunder det folkerettslige prinsippet om ‘necessity’.»

Forholdet til Grunnloven ble i høringsnotatet side 33 beskrevet slik:

«Departementet har vurdert forholdet til Grunnloven, og har herunder særlig vurdert forholdet til §§ 97 og 105 om henholdsvis tilbakevirkende kraft og ekspropriasjon. Som omtalt ovenfor, vil bestemmelsen ikke kunne anvendes på avtaler som blir inngått før loven trer i kraft, og bestemmelsen vil derfor ikke komme i konflikt med Grunnlovens § 97. Hva gjelder forholdet til § 105 (samt EMKs tilleggsprotokoll 1 art. 1), vil den klare hovedregelen være at inngripen i avtaler som omfattes av § 29 a, ikke anses som ekspropriasjon vernet av § 105. Dette kan imidlertid stille seg annerledes dersom myndighetene griper inn i en avtale lenge etter at avtalen ble inngått, og der hvor ingen av avtalepartene har skyld i at myndighetene ikke har grepet inn på et tidligere tidspunkt. Det kan i et slikt tilfelle potensielt oppstå et krav på erstatning, forutsatt at vedtaket kan sies å gripe inn i en etablert formuesposisjon.»

Forholdet til anskaffelsesregelverket ble i høringsnotatet side 34 beskrevet slik:

«Virksomheter som er underlagt anskaffelsesregelverket og som skal foreta en anskaffelse som vil kunne utløse varslingsplikt etter § 29 a, må som utgangspunkt følge anskaffelsesregelverkets prosedyrer. Virksomheten bør imidlertid så tidlig som mulig i prosessen kommunisere utad at det kan bli foretatt en sikkerhetsmessig vurdering av både anskaffelsen og aktuelle kandidater, og at det foreligger en risiko for myndighetsinngripen etter § 29 a. Slik informasjon vil gi bedre forutsigbarhet for aktuelle tilbydere. Dersom det anses nødvendig å fravike anskaffelsesregler for å etterleve § 29 a, må det vurderes konkret om det foreligger hjemmel for dette i hvert enkelt tilfelle.»

Om sanksjoner sto følgende i høringsnotatet side 34:

«Departementet har vurdert om det bør gis hjemmel til å ilegge administrative sanksjoner eller straff ved brudd på varslingsplikten i § 29 a. Departementet har imidlertid valgt ikke å foreslå dette. Departementet mener det er tilstrekkelig som «sanksjon» at Kongen i statsråd har mulighet til å gripe inn i inngåtte avtaler, i de tilfeller der varslingsplikten er brutt (jf. bestemmelsens andre ledd, andre punktum).»

Spørsmålet om tilbakevirkende kraft ble i høringsnotatet side 33 omtalt slik:

«Bestemmelsen gis ikke tilbakevirkende kraft. Avtaler som allerede er inngått når bestemmelsen trer i kraft, kan det ikke gjøres inngrep i. Departementet presiserer at forslaget til andre ledd andre punktum (‘Dette gjelder også dersom det allerede er inngått avtale om anskaffelsen’) ikke sikter til avtaler som ble inngått før loven trådte i kraft, men til tilfeller der myndighetene får kunnskap om en avtale først etter at den er inngått.»

11.3 Høringsinstansenes syn

11.3.1 Sammendrag

25 høringsinstanser har gitt merknader til forslaget til § 29 a, og flere av innspillene er omfattende.

Høringsinstansene er delte i sitt syn på bestemmelsen. Noen høringsinstanser er positive og mener bestemmelsen vil gi bedret sikkerhet knyttet til anskaffelser. Blant disse er Cyberforsvaret, Forsvars- og sikkerhetsindustriens forening, Jernbaneverket, Nasjonal sikkerhetsmyndighet, Norsk romsenter, Politidirektoratet, Politiets sikkerhetstjeneste og Space Norway.

Andre høringsinstanser er negative, og de frykter særlig for negative konsekvenser med hensyn til økonomi og tidsbruk. Blant disse er Abelia, Den Norske Bank (DNB), Energi Norge, Finans Norge, Forsvarsbygg, Kraftcert AS, Norges vassdrags- og energidirektorat (NVE), Statnett, Telenor og privatpersonen Anders Bakke.

Det er særlig den foreslåtte varslingsplikten flere av høringsinstansene har innvendinger mot. Flere instanser tror bestemmelsen vil bli vanskelig å praktisere, og noen av disse mener at begrepene som benyttes i bestemmelsen er uklare. Flere instanser problematiserer også sammenhengen mellom bestemmelsen og annet regelverk, særlig anskaffelsesregelverket og regelverk innen sektorene finans og kraft.

11.3.2 Begrepet «kritisk infrastruktur»

Mange av høringsinstansene etterspør en legaldefinisjon av begrepet «kritisk infrastruktur». Blant disse er Arbeids- og sosialdepartementet, Departementenes servicesenter, Direktoratet for samfunnssikkerhet og beredskap, Forsvarets logistikkorganisasjon, Jernbaneverket, Nasjonal kommunikasjonsmyndighet (Nkom), Norges Bank, NVE, Petroleumstilsynet, Politidirektoratet og Telenor.

Flere av disse instansene mener en definisjon er påkrevd for å få en felles begrepsforståelse, og for at bestemmelsen skal bli forutsigbar å praktisere.

Norges Bank uttaler at etableringen av «kritisk infrastruktur» som et begrep på siden av det allerede eksisterende «skjermingsverdige objekter», gjør regelverket komplisert. Og videre oppfatter banken at «kritisk infrastruktur» i forslaget til ny § 29 a i for liten grad gir en avgrensning nedad mot infrastruktur som ikke er ansett som kritisk. Norges Bank mener at en slik avgrensning «med fordel kan gjøres i lovens § 3, eventuelt utdypet i forskrift, da eventuelt som begrepet ‘kritisk infrastruktur og kritiske samfunnsfunksjoner’».

NVE bemerker at «teknologisk utvikling tilsier at statisk identifisering/kartlegging fra departementenes side neppe vil oppfylle bestemmelsens intensjon». Videre legger NVE til grunn at sikkerhetsloven gjelder for kritisk infrastruktur som er av betydning for rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser. NVE skriver:

«Med henvisning til tidligere prosesser rundt innmelding av skjermingsverdige objekter, har FD og OED/NVE hatt ulik oppfatning av hvilken infrastruktur som oppfyller dette kriteriet. Det bør ved en eventuell lovendring klargjøres nærmere operasjonelle kriterier for hva som kan karakteriseres kritisk infrastruktur som faller inn under lovens formål.»

Petroleumstilsynet uttaler:

«Hva som menes med ‘kritisk infrastruktur’ i denne sammenhengen er uklart, og potensielt meget omfattende, jf. høringsnotatet punkt 2.7.1. Dette innebærer en fleksibilitet i bestemmelsens anvendelsesområde, og samtidig en betydelig grad av uforutsigbarhet for mulige pliktsubjekter, herunder private rettssubjekter i petroleumsnæringen, med tanke på om det vil bli fattet vedtak etter § 2 fjerde ledd eller ikke. De potensielt store konsekvensene av å bli omfattet av vedtak etter § 2 fjerde ledd tilsier at det tydeliggjøres bedre hva som faller inn under begrepet ‘kritisk infrastruktur’.»

11.3.3 Normen «ikke ubetydelig risiko»

Flere høringsinstanser mener vurderingsnormen «ikke ubetydelig risiko for rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser» kan bli vanskelig å praktisere, og at normen bør klargjøres. Blant høringsinstansene som anfører dette er Energi Norge, Anders Bakke, Jernbaneverket, Nkom, Norsk olje og gass, Petroleumstilsynet og Finans Norge.

Nkom uttaler at man «vurderer terskelen for varsling, ‘ikke ubetydelig risiko’, til å være relativt lav. Kombinert med at vedtakskompetansen foreslås å komme til anvendelse også ‘dersom det allerede er inngått avtale om anskaffelsen’, og at infrastruktureier dermed vil ha et insentiv til å varsle i tvilstilfeller, vil dette slik Nkom ser det kunne lede til et betydelig antall varslinger etter den foreslåtte § 29 a».

Anders Bakke bemerker at «[d]en foreslåtte regelen mangler beskrivelse av hva virksomheten skal vurdere risiko eller sannsynlighet for hva slags konsekvens eller uønsket hendelse eller tilstand reglen sikter til».

11.3.4 Bestemmelsens forhold til annet regelverk

Flere høringsinstanser etterspør hvordan § 29 a forholder seg til annet regelverk. Energi Norge, DNB, Norges Bank, NVE og Statnett spør særlig hvordan bestemmelsen forholder seg til reglene om offentlige anskaffelser.

DNB peker på at ansvaret for å sikre finansiell stabilitet allerede ligger under Norges Banks ansvarsområde, jf. sentralbankloven § 1. DNB refererer til finanstilsynsloven § 4 c og lov 17. desember 1999 nr. 95 om betalingssystemer m.v., og viser til at både Norges Bank og Finanstilsynet har hjemmel for å nekte etablering og sette vilkår for etablering og drift. DNB mener disse hjemlene fullt ut er tilstrekkelig for myndighetene til å kunne vurdere om etablering og drift vil være til ikke ubetydelig risiko for rikets selvstendighet og sikkerhet eller andre vitale nasjonale sikkerhetsinteresser.

Energi Norge mener «kraftforsyningen i økende grad underlegges en dobbelregulering fra to ulike regelverk og tilsynsmyndigheter: a) Energilovens krav til beredskap og sikring forvaltet av OED og NVE, b) Nye krav og regler forvaltet av Forsvarsdepartementet og NSM. Hvordan ansvars- og rollefordelingen mellom OED og Forsvarsdepartementet og mellom NVE og NSM skal håndteres, fremgår ikke så langt vi kan se av høringsforslaget.».

Finans Norge uttaler at det er behov for kunnskap om anskaffelser mv innen bank, finans og betalingsforetak som foreslås håndtert gjennom en utvidelse av sikkerhetslovens virkeområde, bør kunne håndteres gjennom koordinering mellom ulike departementer og myndighetsorganer, framfor å underlegge finansnæringen ytterligere reguleringer.

Nkom peker på at det ikke framgår av høringsnotatet hvordan hensynet til kontradiksjon overfor verken eiere av infrastruktur, eller leverandøren(e) som risikerer å bli utestengt, vil bli ivaretatt. Nkom legger til grunn at forvaltningslovens regler vil gjelde også i saker etter § 29 a, og mener at forholdet til dette regelverket med fordel kan beskrives nøyere i forarbeidene til endringene i sikkerhetsloven.

NVE mener det bør komme klarere fram hvilke typer anskaffelser varslingsplikten vil kunne komme til anvendelse på, og forutsetter at det utarbeides veiledningsmateriale som gir nærmere informasjon.

Norges Bank uttaler at det er et behov for at det gjøres klarere om paragrafen får virkning både for kritisk infrastruktur, som i dag ikke er omfattet av sikkerhetsloven, og for utpekte skjermingsverdige objekter. Banken forutsetter også at det gis nærmere bestemmelser om hvordan lovbestemt taushetsplikt utenom sikkerhetsloven (jf. for eksempel sentralbankloven § 12) skal ivaretas der varsling må foretas til eksterne.

Statnett er positiv til at det gis anledning til å vurdere en leverandørs sikkerhetsmessige skikkethet, og at det på lovmessig grunnlag gis anledning å nekte en anskaffelse til kritisk infrastruktur. Samtidig vises det til at Statnett allerede er underlagt et detaljert og omfangsrikt sikkerhets- og beredskapsregelverk i energilovens beredskapsforskrift. Selskapet ser det som uheldig å splitte opp regelverket knyttet til sikkerhet og beredskap i to ulike lover med to ulike forvaltningsmyndigheter. Statnett mener underleggelse av deler av sikkerhetsloven vil føre til en uoversiktlig og kompliserende situasjon, og at framtidige utvidelser og endringer derfor må skje innenfor energiloven.

11.3.5 Praktiseringen av bestemmelsen

Flere høringsinstanser har uttalt seg om praktiseringen av bestemmelsen, og mulige problemer knyttet til dette. Blant annet om praktiske problemstillinger som kan oppstå ved anvendelsen av bestemmelsen i ulike sektorer.

Abelia understreker at transparens i anskaffelsesregelverket er svært viktig for at leverandører på et tidlig tidspunkt skal kunne foreta avveininger av egen deltakelse. Abelia mener at enkeltleverandører som ikke skulle være aktuelle må bli gjort oppmerksom på dette på et svært tidlig tidspunkt i prosessen og med klare begrunnelser slik at det er forutsigbarhet for den enkelte leverandør. Abelia mener at vurderinger av hvilke selskaper som eventuelt ikke er aktuelle som leverandører må baseres på objektive, transparente kriterier.

Direktoratet for samfunnssikkerhet og beredskap (DSB) uttaler at departementenes identifisering av kritisk infrastruktur i egen sektor bør ta utgangspunkt i en oversikt over kritiske samfunnsfunksjoner fra Justis- og beredskapsdepartementet. DSB viser til at Justis- og beredskapsdepartementet i henhold til kgl.res. 15. juni 2012 er tillagt ansvar for å «utarbeide og vedlikeholde oversikt over hvilke funksjoner som i et tverrsektorielt perspektiv er kritisk for samfunnssikkerheten».

Forsvars- og sikkerhetsindustriens forening påpeker behovet for at en ny varslingsplikt for virksomheter ledsages av godt veiledningsmateriale og at kriterier og varslingspliktens omfang, identifisering av rett adressat, samt formkrav kommuniseres tydelig til aktuelle bedrifter slik at rettstilstanden er forutsigbar for hver enkelt bedrift.

Nkom uttaler at «vurderingen av potensialet til statlige aktører i cyberdomenet er en vesentlig og dimensjonerende faktor for design av gode sikkerhetsløsninger. Opprinnelsesland for leverandør av utstyr er således en del av totalbildet. I IKT og ekomsektoren er imidlertid de fleste leverandører globale aktører som integrerer utstyr fra en rekke ulike underleverandører fra ulike land. Å avgjøre hvilket land utstyret ‘kommer fra’ vil dermed i en del tilfeller kun ha verdi som en teoretisk øvelse. [..] Effektive sikkerhetstiltak må dermed ha et bredere fokus enn hva den foreslåtte bestemmelsen isolert sett kan ivareta, og det er nødvendig at sikkerhetstiltakene omfatter tekniske, administrative og organisatoriske barrierer uavhengig av opprinnelsesland på utstyret til tilbyderne».

Videre peker Nkom på at deler av det som kan defineres som kritisk infrastruktur i enkelte norske ekomnett fysisk er plassert i utlandet (blant annet komponenter i enkelte kjernenett). Nkom anbefaler departementet å vurdere hvorvidt de foreslåtte reglene skal få anvendelse i slike tilfeller, eventuelt hvordan dette skal hensyntas i risikovurderingen etter § 29 a.

Nkom uttaler videre:

«I høringsnotatets punkt 2.7.3 drøftes det hvilke momenter virksomheten må vurdere ved anskaffelser til kritisk infrastruktur. Inngangsvilkåret er at leveransen kan misbrukes til sikkerhetstruende virksomhet, forutsatt at leverandøren har ondsinnede intensjoner. Nkom vil påpeke at dette vil være tilfellet for de fleste IKT anskaffelser til kritisk infrastruktur (både drifts- og støttesystemer). Systemene er komplekse, og det vil være svært vanskelig – i enkelte tilfeller umulig – å avdekke om det for eksempel er programmert inn bakdører eller funksjonalitet egnet for sabotasje.»

Nkom peker til slutt på at private virksomheter og for eksempel kommuner gjerne ikke vil ha lett tilgang til informasjon om, eller kompetanse til å vurdere, forhold knyttet til «rikets selvstendighet og sikkerhet eller andre vitale nasjonale sikkerhetsinteresser». Nkom mener dette særlig vil gjøre seg gjeldende for rettssubjekter som utelukkende omfattes av sikkerhetsloven etter den foreslåtte § 2 fjerde ledd, ettersom disse som utgangspunkt ikke vil kunne behandle gradert informasjon. Nkom mener virksomheter som utpekes i medhold av § 2 fjerde ledd vil ha særlig behov for veiledning og informasjon, ettersom disse ellers vil ha få eller ingen forutsetninger for å kunne foreta risikovurderingen det legges opp til.

Norges Bank mener forslaget til § 29 a i stor grad synes formulert ut fra anskaffelser av fysisk materiell og programvare. Norges Bank henstiller til at det gis en nærmere beskrivelse av hvordan anskaffelse av kommunikasjonstjenester, samt rådgivnings- og systemdriftstjenester til kritisk infrastruktur eventuelt berøres av den nye § 29 a.

NVE legger til grunn at all infrastruktur som bestemmelsen kan tenkes å bli gjort gjeldende for, er underlagt en eller annen form for offentlig regulering. NVE mener derfor det bør presiseres at det må være det enkelte departements ansvar løpende å vurdere om ny infrastruktur eller planlagte endringer i eksisterende infrastruktur kan være av betydning for rikets selvstendighet og sikkerhet.

Norsk olje og gass uttaler at det før ikrafttredelse bør «være et strukturert system på plass, herunder kompetanse, forståelse og bevisstgjøring hos virksomhetene om hvilke type anskaffelser som kan innebære en ikke ubetydelig risiko for rikets selvstendighet og sikkerhet eller andre vitale nasjonale sikkerhetsinteresser».

Norsk romsenter uttaler at dette er en viktig endring som sikrer mulighet for bedre å ivareta sikkerhetsmessige krav til kritisk infrastruktur. Samtidig mener romsenteret at det er viktig at saksbehandling kan foretas så raskt som mulig og at Nasjonal sikkerhetsmyndighet ivaretar sin veiledningsplikt på kost- og tidseffektiv måte.

Petroleumstilsynet antar at det vil kunne være krevende, særlig for private rettssubjekter, å vurdere om det foreligger varslingsplikt. Tilsvarende mener tilsynet at det vil være krevende for myndighetene å følge opp hvorvidt varslingsplikten overholdes. Det kan ikke se at det er omtalt hvordan dette skal følges opp og hva som vil være konsekvensen for virksomheten av ikke å overholde varslingsplikten.

Statnett uttaler:

«En samlet vurdering vil etter vårt skjønn innebære å ha informasjon og kompetanse om forhold som kun EOS-myndighetene innehar. For å gjennomføre en samlet vurdering som ivaretar disse forholdene, vil det med forslaget til ny lovtekst, kun være mulig å få dette til ved å varsle om anskaffelsen da et varsel utløser en mulig vurdering fra kompetente myndigheter. Det er per i dag heller ingen formalisert kanal for å få opplysninger om leverandør eller underleverandører kommer fra et land som Norge har et sikkerhetsmessig samarbeid med.»

Statnett uttaler videre:

«I departementets høringsforslag fremgår det ikke hvor lang saksbehandlingstiden vil være etter en eventuell varsling iht. ny § 29 a. Som det fremkommer over, vil en saksbehandlingstid som trekker ut i tid, kunne føre til en ikke hensiktsmessig uforutsigbarhet når det gjelder tid, kost og kvalitet.»

11.3.6 Mulige konsekvenser av bestemmelsen

Flere høringsinstanser har uttalt seg om mulige konsekvenser av bestemmelsen, og om hvorvidt det er hensiktsmessig å innføre en slik bestemmelse. En fellesnevner for flere av innspillene er at høringsinstansene frykter negative konsekvenser, og da særlig med hensyn til tidsbruk og økte kostnader.

Abelia uttaler at det vil være svært uheldig dersom endringer i lovverk og bestemmelser skulle få utilsiktede, uheldige og fordyrende konsekvenser for norsk næringsliv.

DNB uttaler at med mindre tilsvarende bestemmelser gjelder for DNBs største konkurrenter, også utenlandske, vil dette kunne påvirke DNBs konkurransesituasjon betydelig i negativ retning. DNB mener bestemmelsen vil kunne medføre at DNBs anskaffelser blir mer kostbare på grunn av mangelfull relevant konkurranse mellom aktuelle leverandører, og videre at begrensninger i hvilke leverandører som kan velges, kan medføre at godkjente aktuelle leverandører over tid verken holder tritt med den tekniske utvikling, kravene til kompetanse eller generell prisutvikling på området. DNB mener myndighetene allerede har anledning til å sette de vilkår som er nødvendige for nasjonal sikkerhet, og uttaler:

«Ytterligere regulering av finansnæringen på dette området er derfor unødvendig og vil bare skape ytterligere byråkrati både for myndighetene og finansnæringen. Det vil neppe være i tråd med Regjeringens reform for avbyråkratisering og effektivisering.»

DNB uttaler at «det er unødvendig å gi en ny hjemmel for å pålegge en gjennomregulert bransje ytterligere plikter til rapportering enn de som allerede er pålagt selskapet i dag. Sikkerhetsmyndighetenes behov for oversikt og kunnskap bør dekkes gjennom intern koordinering og informasjonsflyt på myndighetssiden».

Energi Norge mener forslaget vil få særlig betydning for private virksomheter i energi- og ekomsektoren som i dag ikke er omfattet av sikkerhetsloven. For virksomheter som allerede er omfattet av sikkerhetsloven, kan forslaget etter Energi Norges syn innebære ytterligere byråkratisering og begrensninger i salg og leveranser av tjenester som både vil forsinke og fordyre dagens anskaffelsesprosesser. Energi Norge uttaler:

«Nye reguleringer som svekker tempoet i utvikling og tilpasning av kraftsystemet kan i seg selv svekke forsyningssikkerheten. Omfanget av lovforslaget og konsekvensene for norsk kraftsektor knyttet til nytteverdi og kostnader for samfunnet er så langt vi kan se ikke utredet. Dette bør gjøres før eventuelle endringer gjennomføres.»

Energi Norge mener dessuten det er naturlig å avvente både Lysneutvalgets konklusjoner og Sikkerhetsutvalgets anbefalinger før eventuelle endringer i sikkerhetsloven foretas.

Finans Norge mener at «medarbeidere i finansbedrifter generelt neppe har tilstrekkelig kompetanse til å foreta en god vurdering av hvorvidt anskaffelsen innebærer en ‘ikke ubetydelig risiko for rikets selvstendighet og sikkerhet eller andre vitale nasjonale sikkerhetsinteresser’». Etter Finans Norges syn kan en slik vurdering best foretas av myndighetene på grunnlag av koordinering mellom myndighetsorganer basert på allerede etablert pliktig anskaffelsesrapportering for virksomheter i finansiell sektor. Det er Finans Norges vurdering at forslaget ikke bidrar til økt sikkerhet for kritisk infrastruktur i finansiell sektor. Finans Norge viser til at bankvirksomhet, herunder betalingsformidling og interbankavregning og -oppgjør, er konsesjonsbelagt virksomhet og allerede underlagt en lang rekke rapporteringskrav og tilsyn fra ulike myndigheter. Finans Norge mener ytterligere krav om rapportering til flere instanser for samme anskaffelse/underleverandør vil være kostnadsdrivende både for myndighetene og for virksomhetene uten at det vil ha positive effekter.

Finans Norge savner en bredere diskusjon om alternative måter å oppnå det samme på, framfor å introdusere nye rapporterings- og inngrepstiltak. Finans Norge viser til at finansnæringen allerede nå samarbeider med myndighetene, blant annet ved samarbeidsavtale mellom FinansCERT og NorCERT. Finans Norge oppfatter at Lysneutvalgets mandat legger opp til en vurdering av denne type samarbeide, og mener det er uheldig at det nå foreslås ny spesifikk regulering innenfor en av de sektorene Lysneutvalget vurderer.

Forsvarsbygg uttaler:

«Forslaget sier ingen ting om på hvilket tidspunkt i anskaffelsesprosessen varselet skal gis. I og med at leverandøren skal vurderes, kan Forsvarsbygg vanskelig se at den aktuelle vurderingen kan gjennomføres på et tidligere tidspunkt enn etter evalueringen av innkomne tilbud er gjennomført. Dette vil innebære at den foreslåtte endringen vil ha konsekvenser for tiden det tar å gjennomføre en anskaffelse. Den tidsmessige forsinkelsen vil tilsvare saksbehandlingstiden for å håndtere varselet. De kostnadsmessige konsekvenser ved økt tidsbruk som er vurdert på side 41 i høringsnotatet – herunder at det tilsynelatende er lagt til grunn at det ikke vil ha noen konsekvenser for leverandører som allerede er omfattet av lov om offentlige anskaffelser – fremstår dermed som uriktig.»

KraftCERT mener forslaget vil medføre en dobbeltregulering av en betydelig mengde selskaper i flere sektorer, deriblant energi- og petroleumsindustrien, samt finans- og helseforetak. KraftCERT mener at «dobbeltreguleringen vil kunne lede til uklarheter i forståelse av gjeldende regler og derfor også forsinkelser i eksisterende sikringsarbeid og -tiltak. I tillegg vil det potensielt føre til betydelige og unødige kostnader, ikke minst i form av økt byråkrati». KraftCERT uttaler videre:

«I dag reguleres større anskaffelser av sektorielle myndigheter, så foruten dobbeltregulering vil dette øke sannsynligheten for store anskaffelsesprosjekter med betydelige forsinkelser. I tillegg vil mer omstendelige anskaffelsesprosedyrer lede til potensielt store økte kostnader.»

Nkom er bekymret for at «det som er tenkt som en ‘sikkerhetsventil’ for særlige tilfeller i realiteten vil framstå som en godkjenningsordning, som kan lede fokus bort fra behovet for, og forventningene til, et helhetlig sikkerhetsregime. En slik utvikling kan igjen medføre større sikkerhetsrisiki enn hva bestemmelsen i realiteten vil kunne benyttes til å verne mot. Nkom anbefaler derfor primært at det ikke gis noen form for ‘godkjennelse’ av anskaffelsen på den foreslåtte måte, annet enn at virksomheten får beskjed om at et vedtak er fattet i den ene eller andre retning. Alternativt bør informasjonen til virksomheten tydelig gjøre oppmerksom på om det anses at det er vilkårene som ikke er oppfylt eller om Kongen i statsråd har lagt avgjørende vekt på andre hensyn.»

Norges Bank uttaler:

«I høringsnotatet vises det til at de fleste anskaffelser som blir berørt av varslingskravet allerede er underlagt regelverk om offentlige anskaffelser, og at man legger til grunn at konsekvensene grunnet økt tidsbruk derfor ikke vil bli vesentlige. Norges Bank har vanskelig for å se at ikke varslingsplikt, departementets innhenting av informasjon og vurderinger fra relevante organer mv. vil kreve betydelig tid og vil kunne medføre vesentlige forsinkelser i anskaffelsesprosjektene. Dette spesielt ved innhenting av informasjon om leverandører som befinner seg utenfor Europa. På denne bakgrunn mener Norges Bank at det bør fremgå at behovet for sikkerhetsvurderinger ikke skal medføre unødvendige forsinkelser i anskaffelsesprosjektene.»

NVE peker på at en bestemmelse som pålegger virksomheter med kritisk infrastruktur, men hvor infrastrukturen ikke er skjermingsverdige objekter, i praksis må anses som en utvidelse av sikkerhetslovens virkeområde. NVE uttaler:

«En slik endring vil i praksis signalisere at sikkerhetslovens bestemmelser om sikkerhetsgraderte anskaffelser har et videre anvendelsesområde enn til å gjelde anskaffelser som involverer skjermingsverdig informasjon eller objekter. Det kan således stilles spørsmål om ikke forslaget foregriper konklusjoner på vurderinger som er tiltenkt fase 2 av arbeidet med sikkerhetsloven.»

Petroleumstilsynet mener at systemet for varsling og videre saksbehandling etter ny § 29 a slik det foreslås lagt opp, vil kunne innebære en ikke ubetydelig tidsbruk, som antas å kunne være problematisk for blant andre petroleumsnæringen. Petroleumstilsynet peker videre på at dersom en anskaffelse nektes, eventuelt dersom det settes vilkår, kan dette få privatrettslige konsekvenser mellom den som skal anskaffe og leverandøren.

Statnett advarer mot å etablere en prosess som vil utsette kostbare, kompliserte og kritiske anskaffelser, og mener dette vil få uhensiktsmessig store økonomiske konsekvenser. Statnett mener «det vil være naturlig å varsle for å sikre seg mot en eventuell fremtidig inngripen av Kongen i statsråd etter kontraktsinngåelse. Dette igjen for å unngå store kostnader ved et eventuelt fremtidig kontraktsbrudd på en allerede inngått kontrakt. Det er da naturlig å anta at uforholdsmessig mange anskaffelser blir varslet, og dermed trekker uforholdsmessig ut i tid. En annen effekt vil kunne være at antallet leverandører som ønsker å delta i en anskaffelsesprosess blir færre. Dette med tilhørende mulige konsekvenser for kost og kvalitet.» Statnett mener at de økonomiske og administrative konsekvensene ikke er tilstrekkelig utredet og vurdert. Statnett mener at lovforslaget slik det framstår, ikke er formålstjenlig og vil kunne føre til mindre helhet i arbeidet med sikkerhet og beredskap.

Telenor uttaler:

«Ved innføring av varslingsplikt om anskaffelse vil det innføres et forsinkende ledd for oss som virksomhet. Myndighetene må innrette seg slik at de på en meget rask og effektiv måte kan avklare om anskaffelsen trenger en særskilt risikovurdering eller ikke.»

Telenor uttaler videre:

«Konsulentselskapet BDO har anslått at utgifter til implementering av nye retningslinjer for anskaffelser til respektive kritiske infrastruktur er ett årsverk pr virksomhet. BDO har i sin rapport antatt at tidsbruken ikke vil bli vesentlig endret da de fleste allerede er underlagt regelen om offentlige anskaffelser. Telenor bemerker at private virksomheter ikke er underlagt offentlige anskaffelser og selv må utrede hvilke konsekvenser dette vil ha for virksomheten. Det antas fra Telenor sin side at myndighetene vil kompensere for de faktiske utgifter innføring av dette vil medføre.»

Telenor mener bestemmelsen ikke er forankret i en forståelse av kompleksiteten, sammenhengene og avhengighetene i dagens og framtidens IKT-infrastruktur og -bruk. Telenor mener det er uklart hvem som blir omfattet og hvilken rolle sektormyndigheten skal ha. Lovendringen virker etter Telenors syn forhastet og bør avventes og ses i sammenheng med neste fase i vurderinger av endring av sikkerhetsloven. Telenor mener det kan stilles spørsmål om slike særskilte krav ved anskaffelser til kritisk infrastruktur hører hjemme i sikkerhetsloven eller i den enkelte sektorlovgivning. Telenor uttaler:

«Telenor bidrar sterkt til å utvikle det digitale Norge, og gjør ikke dette alene. Våre leverandører bidrar aktivt med sin innovasjon og kunnskap for å sørge for at vi stadig utvikler oss. Telenor vil derfor utfordre myndighetens innstilling om å nekte anskaffelser. Det bør heller stilles særskilte sikkerhetskrav og åpenhet om hvordan anskaffelsene blir implementert.»

Utlendingsdirektoratet (UDI) uttaler at en eventuell varslingsplikt og påfølgende kvalitetskontroll av NSM vil være med på å kvalitetssikre enkelte anskaffelser, og vil ha en positiv effekt for sikkerheten i UDIs løsninger. UDI bemerker samtidig at: «Dersom NSM stiller strengere krav til sikkerhet enn vi tidligere har hatt, vil forslaget imidlertid kunne være kostnadsdrivende. Det samme gjelder varslingsplikt ved anskaffelser til kritisk infrastruktur.»

11.3.7 Andre innspill

Enkelte høringsinstanser har også kommet med innspill om andre temaer.

Jernbaneverket uttaler:

«Konsekvensen av å vurdere feil kan være betydningsfull og vi stiller spørsmål til om hver enkelt offentlig anskaffer vil ha tilstrekkelig oversikt til å kunne foreta en nasjonal sikkerhetsmessig vurdering. Vi foreslår derfor at hvilke anskaffelser som kan være av sikkerhetsmessig betydning avgjøres på et mer overordnet nivå.»

KraftCERT uttaler at dersom man virkelig ønsker å nå et mål om en sikrere infrastruktur, ville en naturlig løsning muligens være å gå i dialog med de sektorielle myndighetene om de eksisterende forskrifter og revisjoner i hver sektor. KraftCERT uttaler dessuten at: «Dersom det foreligger konkrete anbefalinger om anskaffelser bør dette kanaliseres gjennom sektorielle myndigheter, både fordi større transparens på tvers av sektorene vil kunne tilrettelegge for at det tas bedre avgjørelser i sikkerhetsøyemed, men kanskje særlig fordi dette gjør selskaper i stand til å vurdere og gjøre sikkerhetsundersøkelse av løsninger som allerede er anskaffet og satt i drift.»

Nkom deler departementets vurdering av at det ikke er nødvendig med sanksjonsbestemmelser for overtredelse av varslingsplikten som sådan, men anmoder departementet om å vurdere sanksjonsbestemmelser for overtredelse av Kongen i statsråds vedtak om nektelse av, eller vilkår for, anskaffelse.

NSM mener det må sikres at de offentlige organene som skal gi en rådgivende uttalelse etter anmodning fra et departement, har de tilstrekkelige hjemler til å innhente all informasjon av betydning for anskaffelsen, herunder informasjon om leverandøren, fra alle relevante kilder og registre i inn- og utland. NSM mener hjemmelsgrunnlaget for informasjonsinnhenting bør tydeliggjøres i bestemmelsen og/eller dens forarbeider. NSM frykter at myndighetene vil vise tilbakeholdenhet med å fatte enkeltvedtak om nye virksomheter som eier eller rår over kritisk infrastruktur med hjemmel i nytt fjerde ledd i § 2, og at dette igjen vil gjøre at effekten av § 29 a vil bli liten.

Norges Bank foreslår at kritisk infrastruktur gjøres til et fjerde nivå av systemet med skjermingsverdige objekter. Banken uttaler:

«Av hensyn til en helhetlig tilnærming til sikkerhetsstyring vil banken tilrå at det i lovens kapittel 5 etableres et hierarki for kritisk infrastruktur og kritiske samfunnsfunksjoner i fire nivåer. Her kan de eksisterende skjermingsverdige objekter utgjøre de tre øverste nivåene, mens strukturene som omfattes av forslaget til ny § 29 a får et annet navn og legges på det fjerde, laveste, nivået. […]

Norges Bank vil også anbefale at det i denne sammenheng, og gjerne i forskrift, gis en nærmere avgrensning av hvilke sektorer som omfattes av ‘kritisk infrastruktur’ eller ‘kritisk infrastruktur og kritiske samfunnsfunksjoner’. Dette kan være en parallell til de ni sektorene som er definert som ‘the national infrastructure’ av britiske Centre for the Protection of National Infrastructure (CPNI), de 16 sektorene som er definert som ‘critical infrastructure’ i den amerikanske presidentens direktiv PPD-21 Critical Infrastructure Secutity and Resilience eller de 17 sektorene som ble nevnt av Infrastrukturutvalget (NOU 2006: 6). Det bør videre fremgå hvilke departement som har ansvar for hvilke sektorer.»

NVE mener den foreslåtte ordlyden til forskriftskompetanse i bestemmelsens tredje ledd er for vid i sin utforming.

Anders Bakke mener at høringsnotatet klart gir uttrykk for at regelen skal ha anvendelse på objekter som ikke er skjermingsverdige:

«I følge sikkerhetsloven § 17 første ledd, om utvelgelse av skjermingsverdige objekter, skal utvelgelse av disse objektene skje innenfor lovens formål. Objektene som det nå foreslås tiltaksregler for, faller derfor – slik jeg forstår det – utenfor lovens formål. Dette gjør det naturlig å foreslå at disse reglene, dersom de trer i kraft, heller får sin plass i en egen lov som omhandler andre sikkerhetsmessige hensyn enn de som faller inn under sikkerhetsloven.»

11.4 Departementets vurderinger

11.4.1 Innledning

Det framgår av høringen at flere store markedsaktører og bransjeorganisasjoner mener særlig varslingsplikten i § 29 a vil kunne virke kompliserende, forsinkende og fordyrende.

Varslingsplikten ble foreslått fordi departementet ønsket at myndighetene skulle få kjennskap til risikofylte anskaffelser, og på et så tidlig tidspunkt som mulig. Departementet mener dette fremdeles er et relevant og viktig hensyn.

På bakgrunn av høringsinnspillene foreslår imidlertid departementet flere justeringer i forslaget som ble sendt på høring. Formålet med justeringene er å gjøre bestemmelsen enklere å praktisere, samt å minske muligheten for at det oppstår uheldige konsekvenser av bestemmelsen. Departementet ønsker blant annet å gjøre det tydelig at virksomhetene selv har ansvaret for å vurdere risiko ved anskaffelser, og for å iverksette risikoreduserende tiltak. Videre vil departementet understreke at virksomhetenes egen håndtering er det primære, og at det kun i noen få saker vil være aktuelt å varsle myndighetene.

Departementet foreslår følgende fire hovedendringer sammenlignet med forslaget som ble sendt på høring:

1. Lovfeste at § 29 a skal gjelde alle virksomheter som foretar anskaffelser til kritisk infrastruktur, uavhengig av om virksomheten er underlagt sikkerhetslovens øvrige bestemmelser.

2. Innføre en uttrykkelig plikt for virksomhetene til å foreta risikovurderinger ved anskaffelser til kritisk infrastruktur.

3. Presisere at virksomhetene ikke behøver å varsle myndighetene dersom virksomhetene selv iverksetter risikoreduserende tiltak.

4. Gjøre begrepsbruken i bestemmelsen enklere.

I tillegg foreslår departementet flere mindre endringer basert på innspill i høringsrunden.

11.4.2 Plikt til å foreta en risikovurdering

Departementet foreslår at virksomheter pålegges en uttrykkelig plikt til å foreta en risikovurdering ved anskaffelser til kritisk infrastruktur. Meningen er å gjøre det tydelig at virksomhetene selv har ansvaret for å vurdere risiko ved anskaffelser og for eventuelt å iverksette risikoreduserende tiltak. Virksomhetenes varsling til myndighetene skal være et sekundært virkemiddel, forbeholdt spesielle situasjoner.

Det kan her trekkes paralleller til hvitvaskingslovens regler om kundekontroll, undersøkelsesplikt og rapporteringsplikt (jf. hvitvaskingsloven §§ 6, 17 og 18). På en lignende måte vil § 29 a fungere. Virksomhetenes egenkontroll og risikohåndtering vil være det ordinære, mens involvering av myndighetene vil være et ekstraordinært virkemiddel for spesielle situasjoner.

Departementet fremmer forslag om at virksomhetene skal foreta en risikovurdering ved alle anskaffelser til kritisk infrastruktur. Det er ikke et krav at vurderingen må være skriftlig, men departementet antar at skriftlighet generelt vil være det beste og mest riktige. Omfanget av risikovurderingene må tilpasses den enkelte anskaffelsen, og virksomhetene har selv ansvaret for å tilpasse ressursbruken.

Departementet anser det ikke hensiktsmessig å lage et fast sett med vurderingskriterier i loven, siden infrastrukturen er svært ulik, og det handler om svært ulike virksomheter. Virksomhetene må selv finne gode kriterier ut fra egen virksomhet og den aktuelle infrastrukturen. Skulle det imidlertid vise seg at praktiseringen av bestemmelsen blir vanskelig, kan det bli aktuelt å gi utdypende vurderingskriterier i forskrift. Departementet tar for øvrig sikte på at det utarbeides veiledningsmateriell til bestemmelsen.

Virksomhetenes forutsetninger for å kunne vurdere risiko vil variere. Store virksomheter vil lettere kunne ha tilgang til egne tekniske miljøer og informasjon fra myndighetene om trusler og aktører som kan utgjøre en trussel, enn mindre virksomheter.

Alle eiere av kritisk infrastruktur må kunne forventes å ha inngående kunnskap om egen infrastruktur. Dette innebærer både kunnskap om verdien av infrastrukturen, altså dens betydning for samfunnet, og om potensielle sårbarheter ved infrastrukturen. Det kan derimot ikke forventes at alle eiere av kritisk infrastruktur skal ha kunnskap om mulige trusler og aktører som kan utgjøre en trussel. Dette er informasjon som primært besittes av myndighetene, og som i varierende grad deles med andre.

Mange virksomheter vil i sine risikovurderinger derfor måtte fokusere på sårbarheter ved infrastrukturen og ikke på trusler. Virksomhetene vil både måtte undersøke om anskaffelsen teknisk eller fysisk sett åpner en mulighet for at noen kan utføre eller legge til rette for sikkerhetstruende virksomhet og vurdere mulige konsekvenser av slik virksomhet.

Begrepet «ikke ubetydelig risiko» innebærer at det er situasjoner med risiko ut over det «normale» som skal varsles. Vurderingen vil måtte omfatte både sannsynlighet, sårbarhet og mulige konsekvenser. På sannsynlighetssiden innebærer kriteriet at det normalt ikke skal varsles dersom det kun foreligger en helt fjerntliggende eller rent teoretisk mulighet for at anskaffelsen skal kunne resultere i sikkerhetstruende virksomhet. Det bør være noe konkret med den aktuelle anskaffelsen som tilsier at risikoen er noe høyere enn ved andre anskaffelser. Bestemmelsen innebærer imidlertid ikke et krav om sannsynlighetsovervekt.

Departementet vil bemerke at det i mange tilfeller kan være tilnærmet umulig å gjøre nøyaktige sannsynlighetsberegninger av risikoen for at handlinger som spionasje, sabotasje og terror skal inntreffe. Man vil ofte ikke ha nok kunnskap om truslene til å få fullgode vurderinger, og ved for eksempel IKT-anskaffelser til kritisk infrastruktur kan det rent praktisk være svært vanskelig å avdekke om det for eksempel er programmert inn bakdører eller funksjonalitet egnet for sabotasje eller spionasje. I tilfeller der det ikke lar seg gjøre å få tilstrekkelig kunnskap til å vurdere sannsynligheten, vil vurderingen måtte bli konsentrert rundt sårbarhet og mulige konsekvenser.

Dersom virksomheten konkluderer med at det totalt sett foreligger en risiko, og denne er mer enn ubetydelig, bør virksomheten iverksette risikoreduserende tiltak. Slike tiltak kan for eksempel være tekniske, administrative eller organisatoriske barrierer. Slike barrierer kan i sum bidra til at det opprinnelige risikonivået reduseres til et ubetydelig nivå. Dersom virksomheten gjennom egne risikoreduserende tiltak får risikoen ned på et ubetydelig nivå, kan virksomheten gjennomføre anskaffelsen uten å varsle myndighetene.

11.4.3 Varslingsplikt

Departementet foreslår videre å pålegge en varslingsplikt for virksomheter som ønsker å gjennomføre en anskaffelse som innebærer en ikke ubetydelig risiko for sikkerhetstruende virksomhet. I forslaget som ble sendt på høring, kom det ikke tydelig fram at virksomhetene kunne unngå plikten til å varsle ved å iverksette egne risikoreduserende tiltak. Departementet foreslår derfor en ny ordlyd som uttrykkelig fastslår at plikten til å varsle ikke inntrer dersom virksomheten gjennom egne risikoreduserende tiltak fjerner risikoen, eller gjør den ubetydelig. Varslingsplikten vil dermed først inntre dersom en virksomhet likevel ønsker å gjennomføre en anskaffelse som innebærer en ikke ubetydelig risiko. Det kan være flere årsaker til at en virksomhet ønsker å gjennomføre en anskaffelse, selv om den innebærer en slik risiko. Virksomheten kan ha problemer med på egen hånd å identifisere egnede risikoreduserende tiltak, eller situasjonen kan være at man av økonomiske eller andre årsaker ikke ønsker å implementere tiltakene. Det kan også tenkes at virksomheten mener at det ikke lar seg gjøre å iverksette fullgode risikoreduserende tiltak uten å ha nærmere kunnskap om trusler og trusselaktører. I slike tilfeller vil en dialog med myndighetene kunne gi virksomheten informasjon som gjør det enklere å ta valg om risikoreduserende tiltak.

Varselet skal gis til overordnet departement. Private aktører og andre virksomheter som ikke har et overordnet departement i forvaltningsrettslig forstand, skal varsle til det departementet som forvalter regelverket i den aktuelle sektoren. Ved uklarhet kan varselet gis til Forsvarsdepartementet. Offentlige virksomheter med tilhørighet til flere departementer må varsle det aktuelle departementet som virksomheten anser som mest relevant i den konkrete saken, jf. det som er sagt under punkt 4.4.2.2. Dersom det skulle vise seg å være feil, vil vedkommende departement som mottar varselet, videreformidle dette til rett departement.

11.4.4 Myndighetenes behandling av et varsel

Som foreslått i høringen, går departementet inn for at et departement som mottar et varsel, bør innhente rådgivende uttalelser fra relevante organer. Her vil blant annet Politiets sikkerhetstjeneste, Etterretningstjenesten og Nasjonal sikkerhetsmyndighet kunne være aktuelle organer. De rådgivende organene vil kunne benytte alle kildene som organet har lovlig tilgang til. Uttalelsene bør redegjøre for sårbarheter og trusler, og så langt det er mulig også inneholde konkrete råd om valg av risikoreduserende tiltak og leverandører.

Etter å ha samlet nødvendig informasjon, kan saken avgjøres i departementet. Departementet kan tillate anskaffelsen slik den er tenkt, eller departementet kan gjøre sikkerhetsmessige tilpasninger i dialog med virksomheten. Eventuelt kan departementet fatte vedtak ved bruk av hjemler i sektorregelverk. Dersom departementet ikke skulle finne tilfredsstillende løsninger ved bruk av disse virkemidlene, kan departementet fremme saken for Kongen i statsråd med anbefalinger om tiltak.

Kongen i statsråd kan treffe vedtak om å nekte anskaffelsen gjennomført. Det kan også være aktuelt med mindre inngripende vedtak, som pålegg om risikoreduserende tiltak, eller å sette andre vilkår for gjennomføringen.

Grunnvilkåret for at Kongen i statsråd skal ha vedtakskompetanse, er at det foreligger en ikke ubetydelig risiko. I tillegg må vedtak fra Kongen i statsråd være innenfor lovens formål. Sistnevnte vil si at vedtaket må være innrettet for å «motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser», jf. § 1. Det er som følge av dette ikke enhver type sikkerhetstruende virksomhet Kongen i statsråd kan fatte vedtak for å stanse. For eksempel innebærer formålsbegrensningen at det ikke er hjemmel til å gripe inn ved risiko for industrispionasje som kun er egnet til å skade en enkeltbedrifts forretningsvirksomhet.

11.4.5 Forholdet til andre pågående utredningsprosesser

Noen høringsinstanser mener lovarbeidet burde stanses i påvente av arbeidet til det digitale sårbarhetsutvalget (Lysneutvalget) og Sikkerhetsutvalget (Traavikutvalget). Departementet vil til dette påpeke at noe av bakgrunnen for at arbeidet med sikkerhetsloven ble delt i to faser, var nettopp behovet for å få på plass enkelte endringer i sikkerhetsloven raskt, samtidig som andre problemstillinger skulle vurderes av et utvalg. Det er etter departementets syn fremdeles behov for å få på plass § 29 a raskt. Lysneutvalgets rapport ble avgitt i november 2015. Denne gir ikke noen grunn til å avvente en behandling av foreliggende lovforslag. Sikkerhetsutvalget skal etter mandatet avlegge rapport i form av en NOU i oktober 2016, hvoretter rapporten vil bli sendt på bred høring.

11.4.6 Begrepsbruk

Høringsforslaget hadde en annen ordlyd enn forslaget slik det nå foreligger. I henhold til høringsforslaget inntrådte varslingsplikten dersom en anskaffelse innebar «en ikke ubetydelig risiko for rikets selvstendighet og sikkerhet eller andre vitale nasjonale sikkerhetsinteresser». Denne ordlyden er endret i departementets nye forslag, og bestemmelsen bruker nå ordlyden «ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført». Begrepet «sikkerhetstruende virksomhet» er definert i lovens § 3 som en samlebetegnelse for spionasje, sabotasje og terrorhandlinger. Endringen er gjort for å forenkle ordlyden, og for å gjøre det tydeligere hva som skal vurderes. Se de særskilte merknadene under punkt 13 for nærmere informasjon.

I § 29 a andre ledd er begrepet «ansvarlig fagdepartement» byttet ut med «overordnet departement». Endringen er ikke ment å innebære en realitetsforskjell, men er foretatt på bakgrunn av høringsinnspill om at begrepsbruken bør være lik i §§ 29 a og 5 a. For virksomheter som er organisatorisk underlagt et departement, er det i de fleste tilfeller klart hva som ligger i «overordnet departement». Enkelte virksomheter kan derimot være knyttet til flere departementer. Departementet viser til de særlige merknadene til § 29 a når det gjelder hvem det i slike tilfeller skal varsles til.

11.4.7 Begrepet «kritisk infrastruktur»

Flere høringsinstanser har ønsket en legaldefinisjon av begrepet «kritisk infrastruktur». Departementet anerkjenner at det kan være hensiktsmessig med en felles forankring av begrepets betydning i sikkerhetsloven, og departementet foreslår derfor å lovfeste en definisjon av begrepet. Departementet har valgt å definere kritisk infrastruktur kortere og noe annerledes enn det som følger av definisjonen i sivilbeskyttelsesloven § 3 bokstav d og definisjonen som Infrastrukturutvalget brukte i NOU 2006: 6 Når sikkerheten er viktigst. Den foreslåtte formuleringen er ment å dekke de samme forholdene og lyder:

«Kritisk infrastruktur; anlegg og systemer som er nødvendige for å opprettholde samfunnets grunnleggende behov og funksjoner.»

Departementet viser til punkt 11.1.1, hvor det er redegjort for definisjonen som ble brukt av Infrastrukturutvalget i NOU 2006: 6, og for mulig metodebruk for identifisering av kritisk infrastruktur i lys av den. Forslaget til ny definisjon er innholdsmessig lik definisjonen i NOU 2006: 6, og metodebruken for identifisering av kritisk infrastruktur vil også være lik.

11.4.8 Forholdet til annet regelverk

Flere høringsinstanser har stilt spørsmål om hvordan § 29 a forholder seg til annet regelverk. Det er særlig fire typer regelverk høringsinstansene nevner; reglene om offentlige anskaffelser, regler om taushetsplikt, regelverk innen energi og kraft og regler om varslingsordninger innen bank og finans.

Departementet foreslår å lovfeste i § 29 a at varslingsplikten gjelder uten hinder av lovbestemt taushetsplikt.

Når det gjelder regler om varslingsplikt og konsesjonsordninger innen bank og finans, vil § 29 a komme som et supplement til disse. Departementet mener at finanstilsynsloven § 4 c om godkjenning av utkontraktering av virksomhet og betalingssystemloven §§ 2-3 og 3-2 om konsesjon og meldeplikt, ikke fullt ut ivaretar de samme hensynene som forslaget til sikkerhetsloven § 29 a. Selv om hensynet til finansiell stabilitet er relevant når det gjelder beskyttelse av kritisk infrastruktur, er ikke regelverket for bank og finans innrettet mot risikoen for spionasje og sabotasje på samme måte som § 29 a. Departementet mener at Finanstilsynet og Norges Bank ikke bør pålegges å vurdere alle meldinger de mottar etter de nevnte reglene opp mot risikobegrepet i § 29 a. Derfor mener departementet at også aktører innen bank og finans skal varsle i medhold av § 29 a. Departementet kan ikke se at dette innebærer en uforholdsmessig stor byrde på disse aktørene, særlig med tanke på at antallet varsler i medhold av § 29 a trolig vil bli lavt.

Enkelte andre høringsinstanser har stilt spørsmål om forholdet mellom § 29 a og sikkerhetslovens regler om skjermingsverdige objekter. Bakgrunnen er at deler av norsk kritisk infrastruktur er utpekt som skjermingsverdige objekter. Loven pålegger eierne av infrastruktur som er utpekt som et skjermingsverdig objekt å beskytte infrastrukturen med beskyttelsestiltak, jf. § 17 b. I tillegg skal eventuelle anskaffelser til denne infrastrukturen gjennomføres som graderte anskaffelser. Departementet mener reglene om sikkerhetsgraderte anskaffelser i all hovedsak ivaretar de samme hensynene som § 29 a bygger på, og at det dermed vil være tilstrekkelig at en anskaffelse gjennomføres som en sikkerhetsgradert anskaffelse. Det vil som et resultat av dette ikke være nødvendig å varsle i henhold til § 29 a ved en sikkerhetsgradert anskaffelse.

Enkelte høringsinstanser viser til at selskaper innen kraft og energi til daglig er underlagt krav i energiloven og dens beredskapsforskrift, og at innføringen av § 29 a kan medføre en uoversiktlig situasjon og uklarhet omkring roller. Departementet kan ikke se at det vil være spesielt problematisk for selskapene innen kraft og industri å forholde seg til § 29 a. Det bør heller ikke oppstå uklarhet omkring roller, ettersom selskaper innen kraft og energi vil ha Olje- og energidepartementet som overordnet eller tilknyttet departement, og de kan derfor forholde seg til samme myndighet ved henvendelser om § 29 a som ved henvendelser relatert til energiloven og beredskapsforskriften.

Flere høringsinstanser har stilt spørsmål om forholdet mellom § 29 a og regelverket om offentlige anskaffelser. Ved anskaffelser til kritisk infrastruktur bør virksomhetene allerede i konkurransegrunnlaget innarbeide krav som bidrar til å redusere risikoen for at sikkerhetstruende virksomhet kan bli etablert eller gjennomført. Det kan være aktuelt med krav både til leverandørens kvalifikasjoner og til leveransen eller ytelsen. En forutgående risikovurdering av anskaffelsen kan være bestemmende for hvilke krav som er aktuelle å stille til leverandøren og anskaffelsen. Det bør også i konkurransegrunnlaget informeres om § 29 a, og at myndighetene vil kunne stille vilkår eller nekte anskaffelsen gjennomført dersom risikoen for etablering eller gjennomføring av sikkerhetstruende virksomhet ikke er ubetydelig.

I saker der det foreligger en ikke ubetydelig risiko, men virksomheten ikke kan eller ikke ønsker å innføre tilfredsstillende risikoreduserende tiltak, må det varsles. Det vil da være mest hensiktsmessig om virksomheten ikke utlyser konkurransegrunnlaget før varselet har blitt behandlet. Om mulig vil virksomheten, i dialog med departementet, kunne fastsette krav i konkurransegrunnlaget som på tilfredsstillende måte reduserer risikoen for sikkerhetstruende virksomhet. Dette vil kunne redusere usikkerheten om mulige inngrep fra myndighetene på et senere tidspunkt. Det vil også kunne bidra til større forutsigbarhet for leverandørene, og sikre at kun leverandører som har en reell mulighet for å nå opp i konkurransen, bruker tid og ressurser på et tilbud. For å sikre at en slik prosess ikke unødig forsinker anskaffelser til kritisk infrastruktur, har departementet vurdert å foreslå saksbehandlingsfrister. Omfanget og kompleksiteten vil imidlertid kunne variere så vidt mye i slike saker, at det vanskelig kan fastsettes en konkret frist. Det er likevel en klar forventning om at myndighetene behandler slike saker raskt.

Departementet antar at mulige konflikter mellom anskaffelsesregelverket og § 29 a primært vil kunne oppstå dersom Kongen i statsråd vedtar å stanse eller stille vilkår til en anskaffelse. Et slikt vedtak vil potensielt kunne medføre erstatningskrav basert på anskaffelsesregelverket eller alminnelig erstatningsrett. Vedtakelsen av bestemmelsen vil i seg selv derimot ikke kunne medføre noe slikt krav.

11.4.9 Andre forhold som tas opp av høringsinstansene

Noen høringsinstanser spør hvilke saksbehandlingsregler og rettssikkerhetsgarantier som skal gjelde for bestemmelsen. Departementet vil bemerke at forvaltningslovens regler om enkeltvedtak vil gjelde også for vedtak som fattes av Kongen i statsråd. Vedtak fra Kongen i statsråd er ikke unntatt fra krav om begrunnelse eller reglene om innsyn. Et vedtak fra Kongen i statsråd kan ikke påklages eller klages inn for Sivilombudsmannen, men må eventuelt bringes inn for domstolene.

Det er også stilt spørsmål om bestemmelsens anvendelse for infrastruktur som er kritisk for Norge, men er fysisk plassert i utlandet. Departementet vil bemerke at regelen i utgangspunktet også gjelder for infrastruktur som befinner seg i utlandet, forutsatt at norske myndigheter har anledning å la norsk lov få anvendelse for infrastrukturen. Typisk vil det måtte være at et selskap med sitt hovedsete i Norge eier eller rår over den aktuelle infrastrukturen.

Alle typer anskaffelser vil i prinsippet kunne være aktuelle knyttet til bestemmelsen, også kommunikasjonstjenester og rådgivnings- og systemdrifttjenester, som det uttrykkelig er blitt spurt om.

Enkelte peker på at et eventuelt vedtak kan få privatrettslige konsekvenser mellom leverandør og oppdragsgiver. Departementet er innforstått med dette, og mener alle eiere av kritisk infrastruktur bør regulere i sine kontrakter hvilke konsekvenser en eventuell myndighetsinngripen etter § 29 a skal ha i forholdet mellom partene.

Departementet har blitt anmodet om å vurdere sanksjonsbestemmelser for overtredelse av Kongen i statsråds vedtak om å nekte eller sette vilkår for en anskaffelse. Departementet har valgt å regulere dette ved å ta inn følgende ordlyd i bestemmelsen:

«Vedtak etter første punktum er særlig tvangsgrunnlag etter tvangsfullbyrdelsesloven kapittel 13.».

Etter nærmere overveielser fremmer departementet forslag om at ny § 2 fjerde ledd om virkeområde til ny § 29 a, skal ha en annen ordlyd enn den som ble foreslått i høringsrunden, se departementets vurdering i punkt 3.4.

Den nye ordlyden innebærer en forenkling, siden loven selv fastsetter at § 29 a gjelder for alle anskaffelser til kritisk infrastruktur, uavhengig av om virksomheten er underlagt sikkerhetslovens øvrige bestemmelser. Hensynet til forutsigbarhet for rettssubjektene skal ivaretas ved at departementene løpende informerer rettssubjektene etter hvert som kritisk infrastruktur identifiseres. Det foreslås å gi hjemmel i fjerde ledd andre punktum til å fastsette forskrift om hvordan kritisk infrastruktur skal identifiseres, og om hvordan rettssubjekter som eier eller rår over infrastrukturen skal informeres.