NOU 2016: 19 - Lovdata · NOU Norges offentlige utredninger 2016: 19 Departementenes sikkerhets- og serviceorganisasjon Informasjonsforvaltning Oslo 2016 Samhandling for sikkerhet

NOU

07 PRINTMEDIA – 2041 03

79

MIL

JØ

MERKET TRYKKERI

Samhandling for sikkerhetBeskyttelse av grunnleggende samfunnsfunksjoner i en omskiftelig tid

NO

U 2

01

6: 1

9

Samhandling for sikkerhet

Norges offentlige utredninger 2016: 19

Bestilling av publikasjoner

Offentlige institusjoner:Departementenes sikkerhets- og serviceorganisasjonInternett: www.publikasjoner.dep.noE-post: [email protected]: 22 24 00 00

Privat sektor:Internett: www.fagbokforlaget.no/offpubE-post: [email protected]: 55 38 66 00

Publikasjonene er også tilgjengelige påwww.regjeringen.no

Trykk: 07 PrintMedia – 10/2016

Norges offentlige utredninger 2016

Seriens redaksjon:Departementenes sikkerhets- og serviceorganisasjon

Informasjonsforvaltning

1. Arbeidstidsutvalget Arbeids- og sosialdepartementet

2. Endringer i verdipapirhandelloven – flagging og periodisk rapportering Finansdepartementet

3. Ved et vendepunkt: Fra ressursøkonomi til kunnskapsøkonomi Finansdepartementet

4. Ny kommunelov Kommunal- og moderniseringsdepartementet

5. Omgåelsesregel i skatteretten Finansdepartementet

6. Grunnlaget for inntektsoppgjørene 2016 Arbeids- og sosialdepartementet

7. Norge i omstilling – Karriereveiledning for individ og samfunn Kunnskapsdepartementet

8. En god alliert – Norge i Afghanistan 2001–2014 Utenriksdepartementet og Forsvarsdepartementet

9. Rettferdig og forutsigbar – voldsskadeerstatning Justis- og beredskapsdepartementet

10. Evaluering av garantireglene i bustadoppføringslova Justis- og beredskapsdepartementet

11. Regnskapslovens bestemmelser om årsberetning mv. Finansdepartementet

12. Ideell opprydding Kulturdepartementet

13. Samvittighetsfrihet i arbeidslivet Arbeids- og sosialdepartementet

14. Mer å hente Kunnskapsdepartementet

15. Lønnsdannelsen i lys av nye økonomiske utviklingstrekk Finansdepartementet 16. Ny barnevernslov Barne- og likestillingsdepartementet 17. På lik linje Barne- og likestillingsdepartementet

18. Hjertespråket Kommunal- og moderniseringsdepartementet 19. Samhandling for sikkerhet Forsvarsdepartementet

Norges offentlige utredninger2015 og 2016

Statsministeren:

Arbeids- og sosialdepartementet:NOU 2015: 6 Grunnlaget for inntektsoppgjørene 2015NOU 2016: 1 ArbeidstidsutvalgetNOU 2016: 6 Grunnlaget for inntektsoppgjørene 2016 NOU 2016: 13 Samvittighetsfrihet i arbeidslivet

Barne-, likestillings- og inkluderingsdepartementetNOU 2015: 4 Tap av norsk statsborgerskap

Barne- og likestillingsdepartementetNOU 2016: 16 Ny barnevernslovNOU 2016: 17 På lik linje

Finansdepartementet:NOU 2015: 1 Produktivitet – grunnlag for vekst og velferdNOU 2015: 5 Pensjonslovene og folketrygdreformen

IV NOU 2015: 9 Finanspolitikk i en oljeøkonomiNOU 2015: 10 Lov om regnskapspliktNOU 2015: 12 Ny lovgivning om tiltak mot hvitvasking og terrorfinansieringNOU 2015: 14 Bedre beslutningsgrunnlag, bedre styringNOU 2015: 15 Sett pris på miljøetNOU 2016: 2 Endringer i verdipapirhandelloven – flagging og periodisk rapporteringNOU 2016: 3 Ved et vendepunkt: Fra ressursøkonomi til kunnskapsøkonomiNOU 2016: 5 Omgåelsesregel i skatterettenNOU 2016: 11 Regnskapslovens bestemmeler om

årsberetning mv.NOU 2016: 15 Lønnsdannelsen i lys av nye økonomiske utviklingstrekk

Forsvarsdepartementet:NOU 2016: 8 En god alliert – Norge i Afghanistan

2001–2014NOU 2016: 19 Samhandling for sikkerhet

Helse- og omsorgsdepartementet:NOU 2015: 11 Med åpne kortNOU 2015: 17 Først og fremst

Justis- og beredskapsdepartementet:NOU 2015: 3 Advokaten i samfunnetNOU 2015: 13 Digital sårbarhet – sikkert samfunnNOU: 2016: 9 Rettferdig og forutsigbar

– voldsskadeerstatningNOU 2016: 10 Evaluering av garantireglene

i bustadoppføringslova

Klima- og miljødepartementet:NOU 2015: 16 Overvann i byer og tettsteder

Kommunal- og moderniseringsdepartementet:NOU 2015: 7 Assimilering og motstandNOU 2016: 4 Ny kommunelovNOU 2016: 18 Hjertespråket

Kulturdepartementet:NOU 2016: 12 Ideell opprydding

Kunnskapsdepartementet:NOU 2015: 2 Å høre tilNOU 2015: 8 Fremtidens skoleNOU 2016: 7 Norge i omstilling – karriereveiledning

for individ og samfunnNOU 2016: 14 Mer å hente

Landbruks- og matdepartementet:

Nærings- og fiskeridepartementet:

Olje- og energidepartementet:

Samferdselsdepartementet:

Utenriksdepartementet:NOU 2016: 8 En god alliert – Norge i Afghanistan

2001–2014

Omslagsillustrasjon: Anagramdesign.no

NOU Norges offentlige utredninger 2016: 19


Utredning fra utvalg oppnevnt ved kongelig resolusjon 27. mars 2015.Avgitt til Forsvarsdepartementet 12. oktober 2016.

Departementenes sikkerhets- og serviceorganisasjonInformasjonsforvaltning

Oslo 2016

ISSN 0333-2306ISBN 978-82-583-1295-3

07 PrintMedia AS

Til Forsvarsdepartementet

Sikkerhetsutvalget ble oppnevnt ved kongelig resolusjon 27. mars 2015.Utvalget gir med dette sin utredning.

Oslo, 12. oktober 2016

Kim Traavik (leder)

Brian Bjordal Olav Fjell Torgeir Hagen

Gry Dyregrov Hamarsland Kristin Lian Hanne Løvstad

Dag Wiese Schartum Siri Wiig

Fredrik Irgens(sekretariatsleder)

Christian F. Mathiessen

Kjetil Longva

Seline Høiseth

Anders G. Romarheim

Innhold

Del I Innledning .................................... 9

1 Oppnevning, mandat og utvalgets arbeid ........................... 11

1.1 Utvalgets sammensetning ............. 111.2 Utvalgets mandat ........................... 111.3 Utvalgets forståelse av mandatet .. 131.4 Prosesser med innvirkning på

utvalgets arbeid .............................. 141.5 Utvalgets arbeid ............................. 151.6 Struktur og innhold ....................... 15

2 Oppsummering ........................... 172.1 Lovens virkeområde ...................... 182.2 Ansvars- og myndighets-

fordelingen ..................................... 192.3 Rådgivning og informasjons-

deling .............................................. 202.4 Beskyttelse av informasjons-

systemer ......................................... 202.5 Beskyttelse av infrastruktur ......... 202.6 Personellsikkerhet ......................... 212.7 Eierskapskontroll ........................... 212.8 Avslutning ....................................... 21

Del II Bakteppe ....................................... 23

3 Forebyggende sikkerhet ........... 253.1 Innledning ...................................... 253.2 Forholdet mellom forebyggende

sikkerhet og beredskap ................ 253.2.1 Beredskapslovgivningen ............... 283.3 Forebyggende nasjonal sikkerhet 283.4 Ansvar, myndighet og

krisehåndtering .............................. 293.5 Totalforsvaret ................................. 353.6 EOS-tjenestene, EOS-utvalget

og DSB ............................................ 37

4 Dagens sikkerhetsutfordringer 414.1 Risikohåndtering og forebyggende

nasjonal sikkerhet .......................... 414.1.1 Risikostyring .................................. 414.1.2 Tilsiktede hendelser versus

utilsiktede hendelser – konsekvenser for sikkerhetsarbeidet ......................... 42

4.1.3 Tilnærminger til risikovurdering .. 434.2 Verdier av betydning for nasjonal

sikkerhet ......................................... 444.2.1 Grunnleggende verdier i vårt

demokratiske samfunn .................. 44

4.2.2 Samfunnets grunnleggende behov og kritiske samfunns-funksjoner ....................................... 46

4.2.3 Rikets sikkerhet og vitale nasjonale sikkerhetsinteresser ..... 47

4.2.4 Grunnleggende nasjonale interesser ........................................ 48

4.3 Trusler mot nasjonal sikkerhet ..... 494.3.1 Aktuelle trusler ............................... 504.3.2 Dagens trusselbilde – trender og

utsikter fremover ............................ 554.3.3 Trusler i form av statlige aktører .. 574.3.4 Trusler fra ikke-statlige aktører .... 604.4 Nasjonale sårbarheter .................... 654.4.1 Nye sårbarheter som følge av

samfunnsutviklingen ...................... 654.4.2 Sårbarheter for samfunns-

funksjoner og infrastruktur ........... 674.4.3 Digitale sårbarheter ....................... 704.4.4 Sårbarhet i risikostyring og

sikkerhetskultur ............................. 734.4.5 Sårbarhet i beredskap og

krisehåndtering .............................. 754.4.6 Militære sårbarheter ...................... 764.4.7 Sårbarheter for demokratiske

samfunn ........................................... 774.5 Virkemidler for å oppnå nasjonal

sikkerhet ......................................... 814.5.1 Samfunnsøkonomisk lønnsomme

tiltak ................................................. 814.5.2 Risikoreduserende tiltak,

restrisiko og risikoaksept .............. 824.5.3 Statens styring og bruk av

virkemidler ...................................... 83

5 Forebyggende sikkerhet og rettssikkerhetsgarantier ............ 85

5.1 Innledning ....................................... 855.2 Begrepsavklaring ........................... 865.3 Internasjonale forpliktelser og

grunnlovsvern ................................. 885.3.1 Personvern og rettssikkerhet ....... 885.3.2 Personopplysningsvernet .............. 895.4 Rettssikkerhet ................................ 905.4.1 Materielle rettssikkerhets-

garantier .......................................... 905.4.2 Prosessuelle rettssikkerhets-

garantier .......................................... 915.5 Personvern ...................................... 925.6 Tilsyns- og kontrollordninger ....... 93

5.7 Avveiningen mellom nasjonal sikkerhet og rettssikkerhet og personvern ...................................... 94

Del III Tematisk gjennomgang og utvalgets vurderinger ................. 97

6 Lovens formål og virkeområde 996.1 Innledning ...................................... 996.2 Gjeldende sikkerhetslovs

regulering ....................................... 1006.2.1 Lovens formål ................................. 1006.2.2 Lovens virkeområde ...................... 1026.2.3 Legaldefinisjoner ........................... 1056.3 Fremmed rett ................................. 1056.3.1 Sverige ............................................ 1056.3.2 Danmark ......................................... 1066.3.3 Storbritannia ................................... 1076.4 Tidligere vurderinger av lovens

virkeområde ................................... 1076.5 Organisering av offentlig

virksomhet ...................................... 1086.6 Kritisk infrastruktur og kritiske

samfunnsfunksjoner ...................... 1106.7 Utvalgets vurderinger ................... 1126.7.1 Ulike alternativer for lovens

formål og virkeområde .................. 1126.7.2 Grunnleggende nasjonale

funksjoner ....................................... 1146.7.3 Relasjonen mellom grunnleggende

nasjonale funksjoner og kritiske samfunnsfunksjoner ...................... 116

6.7.4 Tilsiktede uønskede hendelser og utilsiktede uønskede hendelser ... 117

6.7.5 Hvilke virksomheter vil omfattes av den nye loven ............................. 117

6.7.6 Kompensatoriske ordninger ......... 118

7 Ansvar for og utøvelse av forebyggende sikkerhet, samt tilsynsfunksjon ............................ 120

7.1 Innledning ...................................... 1207.2 Gjeldende sikkerhetslovs

regulering ....................................... 1217.2.1 Overordnet ansvar for

forebyggende sikkerhet ................ 1217.2.2 Den enkelte virksomhets plikter .. 1217.2.3 Vedtaksmyndighet for Kongen

i statsråd og varslingsplikt ............ 1217.2.4 Utøvelse av forebyggende

sikkerhetstjeneste og samarbeid .. 1227.3 Nasjonal sikkerhetsmyndighet .... 1237.3.1 Historisk tilbakeblikk .................... 1237.3.2 Direktoratet Nasjonal sikkerhets-

myndighets ansvar og myndighet 124

7.3.3 NorCERT/VDI ............................... 1257.4 Ansvar og myndighet etter

relevant sektorregelverk ............... 1257.4.1 Kraftsektoren .................................. 1257.4.2 Petroleumssektoren ....................... 1267.4.3 Elektronisk kommunikasjon ......... 1277.4.4 Luftfartssektoren ............................ 1287.4.5 Vannforsyning ................................ 1287.4.6 Finansielle tjenester ....................... 1297.4.7 Helse og omsorg ............................ 1297.4.8 Satellittbaserte tjenester ................ 1307.5 Tilsynsmyndigheters organisering

og oppgaver i Norge ...................... 1307.5.1 Tilsynsmeldingens idealer for

organisering og utføring av tilsynsfunksjonen ........................... 133

7.5.2 Samordning og koordinering av tilsyn ................................................ 134

7.6 Tverrsektorielle scenarier ............. 1357.7 Utvalgets vurderinger .................... 1377.7.1 Systematikk for identifisering og

utvelgelse ........................................ 1377.7.2 Tverrsektorielle scenarier ............. 1387.7.3 Funksjonen Nasjonal sikkerhet-

smyndighet ..................................... 1387.7.4 Tilsynsfunksjon og samhandling

med relevante sektormyndigheter 1407.7.5 Informasjonsdeling ........................ 1417.7.6 NorCERT og varslingssystemet for

digital infrastruktur ........................ 1427.7.7 Tvisteorgan ..................................... 1427.7.8 Vedtaksmyndighet for Kongen

i statsråd .......................................... 1437.7.9 Generelle krav til forebyggende

sikkerhet ......................................... 1447.7.10 Forskriftsregulering ....................... 1457.7.11 Forvaltningsansvaret for loven ..... 1467.7.12 Forholdet til sektorlovgivning ...... 147

8 Informasjonssikkerhet ............... 1488.1 Innledning ....................................... 1488.2 Gjeldende sikkerhetslovs

regulering ........................................ 1498.2.1 Informasjonssikkerhet ................... 1498.3 Annet relevant regelverk ............... 1548.3.1 Sektorovergripende regelverk ...... 1548.3.2 Utvalgt sektorregelverk ................. 1558.3.3 Beskyttelsesinstruksen .................. 1558.3.4 Offentleglova ................................... 1568.4 Fremmed rett .................................. 1578.4.1 NATO .............................................. 1578.4.2 Sverige ............................................. 1598.4.3 Danmark ......................................... 1608.4.4 Storbritannia ................................... 1628.4.5 EU .................................................... 163

8.5 Utvalgte tema ................................. 1658.5.1 Informasjon som må beskyttes .... 1658.5.2 Informasjonssystemer som må

beskyttes ......................................... 1678.6 Utvalgets vurderinger og forslag .. 1678.6.1 Beskyttelse av sikkerhetsgradert

informasjon og tilhørende informasjonssystemer ................... 167

8.6.2 Beskyttelse av ugradert informasjon og ugraderte informasjonssystemer ................... 169

8.6.3 Informasjonssystemer og infrastruktur ................................... 170

8.6.4 Sikkerhetstiltak .............................. 1708.6.5 Forholdet til NIS-direktivet ........... 1728.6.6 Harmonisering av sektorregelverk 1728.6.7 Beskyttelsesinstruksen ................. 1728.6.8 Forholdet til offentlighetsloven .... 173

9 Objekt- og infrastruktursikkerhet ............... 174


regulering ....................................... 1759.2.1 Utpeking av skjermingsverdige

objekter etter sikkerhetsloven ..... 1769.2.2 Klassifisering av

skjermingsverdige objekter etter sikkerhetsloven ..................... 177

9.2.3 Plikt til å beskytte skjermingsverdige objekter etter sikkerhetsloven ..................... 177

9.3 Annet relevant regelverk ............... 1789.3.1 Sektorregelverk ............................. 1799.3.2 Identifisering av kritisk infra-

struktur i henhold til KIKS ........... 1799.3.3 Sivilbeskyttelsesloven og EPCIP .. 1819.3.4 Instruks om sikring og beskyttelse

av objekter ved bruk av sikringsstyrker ............................... 183

9.4 Fremmed rett ................................. 1849.4.1 Beskyttelse av kritisk

infrastruktur i EU .......................... 1849.4.2 Beskyttelse av kritisk

infrastruktur i NATO ..................... 1849.4.3 Danmark ......................................... 1869.4.4 Sverige ............................................ 1869.4.5 Storbritannia ................................... 1889.5 Utvalgets vurderinger og forslag .. 1889.5.1 Objekt- og infrastruktursikkerhet 1889.5.2 Fordeling av ansvar og myndighet 1899.5.3 Utpeking og klassifisering av

skjermingsverdige objekter og infrastruktur ................................... 190

9.5.4 Gjennomføring av sikringstiltak ... 191

10 Personellsikkerhet ..................... 19210.1 Innledning ....................................... 19210.2 Gjeldende sikkerhetslovs

regulering ........................................ 19310.2.1 Tidligere revisjoner av personell-

sikkerhet ......................................... 19310.2.2 Tilgang til sikkerhetsgradert

informasjon ..................................... 19310.2.3 Tilgang til skjermingsverdige

objekter ........................................... 19410.2.4 Gjennomføringen av

personkontroll ................................ 19510.2.5 Vurderingsgrunnlaget for

sikkerhetsklarering ........................ 19610.2.6 Sikkerhetsklarering av utenlandske

statsborgere .................................... 19810.2.7 Klareringsmyndighet og

autorisasjonsansvarlig ................... 19810.2.8 Bortfall, tilbakekall, nedsettelse

og suspensjon av sikkerhets-klarering og autorisasjon ............... 199

10.2.9 Saksbehandlingsregler .................. 20110.3 Sektorregelverk .............................. 20210.3.1 Luftfartsloven .................................. 20210.3.2 Skipssikkerhetsloven med

forskrifter ........................................ 20310.3.3 Jernbaneloven ................................. 20310.4 Fremmed rett .................................. 20410.4.1 NATO .............................................. 20410.4.2 Sverige ............................................. 20410.4.3 Danmark ......................................... 20510.4.4 Storbritannia ................................... 20610.5 Utvalgte tema .................................. 20710.5.1 Innledning ....................................... 20710.5.2 Utenlandsk statsborgerskap og

tilknytning til andre nasjoner ........ 20810.5.3 Mangelfull personhistorikk ........... 20810.5.4 Tverrsektoriell hjemmel for

bakgrunnskontroll .......................... 20910.5.5 Digitalisert overføring av

registeropplysninger ...................... 21010.5.6 Personkontroll ................................ 21110.5.7 Informasjonsdeling ........................ 21210.6 Utvalgets vurderinger .................... 21310.6.1 Generelle betraktninger ................ 21310.6.2 Utenlandske statsborgere og

tilknytning til andre nasjoner ........ 21410.6.3 Mangelfull personhistorikk ........... 21510.6.4 Tverrsektoriell hjemmel for

bakgrunnskontroll .......................... 21510.6.5 Digitalisert overføring av register-

opplysninger ................................... 21710.6.6 Personkontroll ................................ 21710.6.7 Informasjonsdeling ........................ 218

11 Sikkerhetsgraderte anskaffelser .................................. 221


regulering ....................................... 22111.2.1 Sikkerhetsavtale ............................. 22111.2.2 Leverandørklarering ...................... 22211.2.3 Varighet av leverandørklarering .. 22211.2.4 Anskaffelser til kritisk

infrastruktur ................................... 22211.3 Annet relevant regelverk ............... 22311.3.1 Lov om offentlige anskaffelser ...... 22311.3.2 Sektorspesifikt anskaffelses-

regelverk ......................................... 22411.4 Utvalgets vurderinger ................... 224

12 Eierskapskontroll ....................... 22512.1 Innledning ...................................... 22512.2 Gjeldende rett ................................. 22512.2.1 Tidligere lov om erverv av

næringsvirksomhet ........................ 22612.3 Fremmed rett ................................. 22912.3.1 Innledning ...................................... 22912.3.2 USA ................................................. 22912.3.3 Storbritannia ................................... 23212.3.4 Canada ............................................ 23312.3.5 Frankrike ........................................ 23412.3.6 Finland ............................................ 23612.3.7 Sverige og Danmark ...................... 23712.4 EØS-rettslige forpliktelser ............ 23712.4.1 EØS-avtalen artikkel 123 ............... 23712.4.2 EØS-avtalen artikkel 32 og 39 ....... 239

12.4.3 EØS-avtalen artikkel 33 ................. 24012.4.4 Rettighetshavere etter

EØS-avtalen – forholdet til eiere fra tredjeland ................................... 240

12.4.5 Krav til utforming av lovgivningen 24112.5 Eierskapsmeldingen ...................... 24112.5.1 Innledning ....................................... 24112.5.2 Privat eierskap som hovedregel ... 24112.5.3 Begrunnelser for statlig eierskap .. 24212.5.4 Kategorisering av selskapene

i det direkte eierskapet .................. 24312.6 Nasjonal forsvarsindustriell

strategi ............................................. 24312.7 Sentrale eierandelsgrenser

i aksjelovgivningen ......................... 24412.7.1 Innledning ....................................... 24412.7.2 Eierandelsgrenser .......................... 24512.8 Utvalgets vurderinger .................... 246

Del IV Særlige merknader og lovforslag ....................................... 249

13 Merknader til de enkelte bestemmelsene ............................ 251

14 Lovforslag ...................................... 275

Del V Vedlegg ........................................... 2891 Begreper ......................................... 2912 Utvalgets møter .............................. 2933 Utvalgets informasjonsgrunnlag ... 2954 Utvalgets referansegruppe ............ 297

Digitale vedleggElektronisk vedlegg 1 Kartlegging av sektorlovgivning om sikring mot tilsiktede uønskede hendelser

(Høgskolen i Oslo og Akershus)Elektronisk vedlegg 2 Myndighetskontroll med utenlandsk eierskap (Wikborg, Rein & Co)Elektronisk vedlegg 3 Vurdering av forebyggende sikkerhet innenfor kraft, petroleum og luftfart

(Forsvarets Forskningsinstitutt)

Del IInnledning

NOU 2016: 19 11Samhandling for sikkerhet Kapittel 1

Kapittel 1

Oppnevning, mandat og utvalgets arbeid

1.1 Utvalgets sammensetning

Sikkerhetsutvalget ble oppnevnt ved kgl. resolu-sjon av 27. mars 2015. Utvalget fikk denne sam-mensetningen:

– Ambassadør Kim Traavik, leder– Lagmann Espen Bergh– Administrerende direktør Brian Bjordal– Styreleder Olav Fjell– Generalløytnant (p) Torgeir Hagen– Seksjonsleder Gry Dyregrov Hamarsland– Konserndirektør Kristin Lian– Direktør Hanne Løvstad– Professor dr. juris Dag Wiese Schartum– Professor Siri Wiig

Utvalgsmedlem Espen Bergh fratrådte utvalgetmed virkning fra 1. august 2016, grunnet tiltre-delse i stilling som høyesterettsdommer.

Utvalgets sekretariat har vært ledet av senior-rådgiver Fredrik Irgens, og har for øvrig beståttav sjefsforsker Kjetil Longva, seniorforskerAnders Romarheim, seniorrådgiver Christian F.Mathiessen og rådgiver Seline Høiseth.

1.2 Utvalgets mandat

Utvalget ble gitt følgende mandat:

1. Innledning og bakgrunnSikkerhetsloven trådte i kraft 1. juli 2001. For-målet var å utvikle et nasjonalt lovgrunnlag forsikkerhetstjenestens virksomhet, for derigjen-nom å motvirke trusler mot rikets selvstendig-het og sikkerhet. Virkelighetsbildet har endretseg siden 2001, og risiko- og trusselbildet sam-funnet står overfor er bredt og sammensatt.Markante enkelthendelser og mer overord-nede tendenser har påvirket utviklingen. Deter behov for en helhetlig vurdering og nyten-king med hensyn til lovregulering av forebyg-

gende nasjonal sikkerhet i tråd med de tekno-logiske, demografiske og sikkerhetsmessigeendringene som har funnet sted siden sikker-hetsloven trådte i kraft.

Erfaringer fra hendelser de senere år illus-trerer bredden og kompleksiteten i samfunns-sikkerhetsarbeidet, og det har blitt vanskeli-gere å holde oversikt over de avhengighetersom gjør seg gjeldende på tvers av sektorer,virksomheter og infrastrukturer. Den teknolo-giske utviklingen utfordrer sikkerhetsarbeidetblant annet gjennom nye måter å produsere,dele og lagre samfunnsviktig informasjon på.Den økte risikoen ved, og vår avhengighet av,IKT-baserte informasjonssystemer, stiller kravom tidsriktige og dynamiske verktøy forbeskyttelse mot trusler i det digitale rom. I til-legg gjør utviklingen det mulig å installereelektroniske innretninger eller utøve frittstå-ende høyteknologisk virksomhet som kanvære en trussel mot grunnleggende nasjonalesikkerhetsinteresser.

2. Nærmere om utvalgets mandatUtvalget skal vurdere hva som bør reguleres ilov for å sikre nasjonal sikkerhet. Formåletmed nytt lovgrunnlag skal være å beskytte kri-tisk infrastruktur, kritiske samfunnsfunksjonerog sensitiv informasjon mot tilsiktede, uøn-skede hendelser. Utvalget skal sikre et helhet-lig forebyggende lovgrunnlag innen både denmilitære og sivile sektoren som er relevant ogrobust med hensyn til dagens og fremtidensrisiko- og trusselbilde. Forslaget skal sikre enkostnadseffektiv regulering, som sikrerbalanse mellom akseptabel restrisiko, og kost-naden for sikkerhetsnivået. Samfunnsøkono-misk lønnsomhet skal være en grunnleggendeforutsetning, det vil si at aktuelle sikringstiltakmå ha en samfunnsøkonomisk nytte som sam-let overstiger kostnadene.

Forhold utvalget særskilt skal vurdere:

12 NOU 2016: 19Kapittel 1 Samhandling for sikkerhet

Struktur, virkeområde og ansvarsforholdet forlovenUtvalget må vurdere hva som er den mest hen-siktsmessige oppbyggingen av lovgivningen.Det må vurderes hvorvidt krav til militær ogsivil sektor skal reguleres i samme lov eller omlovgrunnlaget skal deles. Utvalget skal videreforeta en vurdering av hvorvidt myndighetenes(herunder NSMs) oppgaver og ansvar skalreguleres i lovgrunnlaget/lovgrunnlagene, ogpå hvilken måte dette eventuelt skal gjøres.Utvalget kan vurdere å utarbeide en rammelovhvor nærmere krav angis i forskrift. Avhengigav lovens innhold og oppbygging må utvalgetvurdere hvem som skal ha ansvar for den frem-tidige forvaltning av loven(e) og dens forskrif-ter.

Kritisk infrastruktur og kritiske samfunnsfunk-sjonerDet er et behov for å sikre kritisk infrastrukturog kritiske samfunnsfunksjoner. Utvalget besom å vurdere hvorvidt en overordnet lovregu-lering på området kan bidra til bedre forebyg-gende sikkerhet. Utvalget skal foreta en gjen-nomgang av relevante sektorregelverk somregulerer beskyttelse av objekter og infrastruk-tur. Det skal vurderes hvorvidt sektorregelver-ket er tilstrekkelig for god sikring på det aktu-elle området, eventuelt om enkelte forhold børreguleres i lovgrunnlaget/lovgrunnlagene omforebyggende nasjonal sikkerhet. Utvalgtesamfunns- og risikoområder, der tilsiktede uøn-skede hendelser vil ha store konsekvenser påtvers av fag- og ansvarsområder kan værehelse, vann, mat, energi, finansielle tjenesterog kommunikasjon.

InformasjonssikkerhetDet er et økende trusselnivå mot norske IKT-baserte informasjonssystemer, og det avdek-kes jevnlig flere sårbarheter. Systemene utset-tes for stadig mer avanserte angripere som job-ber målbevisst og langsiktig med det formål åfå innpass i disse systemene. Dette stiller kravom tidsriktige og dynamiske verktøy forbeskyttelse mot IKT-trusler. Sikkerhetslovengir bestemmelser for håndtering av informa-sjon som er sikkerhetsgradert, og som skalbeskyttes av hensyn til rikets sikkerhet ogandre vitale nasjonale sikkerhetsinteresser.Imidlertid finnes det også i våre ugradertesystemer svært mye informasjon som kanvære sensitiv og samfunnsviktig. I tillegg kande ugraderte IKT-systemene i seg selv være

viktige for samfunnets funksjonsdyktighet.Utvalget må ta stilling til i hvilken grad det erbehov for å beskytte også denne type informa-sjon og IKT-systemer, herunder hva slags retts-subjekter som eventuelt bør underlegges krav.Utvalget må foreslå eventuell hensiktsmessigregulering.

Utvalget skal se hen til EU-kommisjonensforslag av 7. februar 2013 til direktiv om tiltakfor å sikre et høyt felles nivå for nettverk- oginformasjonssikkerhet i EU. Gjennom direkti-vet etableres sektorovergripende minimums-standarder for nettverks- og informasjonssik-kerhet. Direktivets anvendelsesområde omfat-ter offentlig forvaltning, tilbydere avinformasjonssamfunnstjenester, samt eiere ogdriftere av samfunnskritisk IKT-infrastruktur.En eventuell implementering av direktivet inorsk rett vil forutsette at det etableres en lov-hjemmel for de krav direktivet oppstiller.

I tillegg til sikkerhetsloven foreligger det idag mange ulike lover og forskrifter som stillerkrav til informasjonssikkerhet. Noen er sektor-spesifikke mens andre er sektorovergripende.Utvalget skal identifisere eventuelle behov foren harmonisering av lovreguleringen på områ-det.

Utvalget skal foreslå en modernisering avInstruks 17. mars 1972 for behandling av doku-menter som trenger beskyttelse av andre grun-ner enn nevnt i sikkerhetsloven med forskrifter(beskyttelsesinstruksen). Det skal også vur-dere om det er hensiktsmessig å implementerereglene i ny lovgivning.

TilsynUtvalget skal vurdere hvordan det skal føres til-syn med etterlevelsen av ny lovgivning. Utval-get skal også vurdere hvorvidt det er hensikts-messig å skille mellom tilsynsoppgaver og rollesom forvaltningsorgan.

Kontroll med selskaperUtvalget skal vurdere behov for regulering/kontroll overfor selskaper som håndterer infor-masjon, teknologi og/eller fysiske aktiva avbetydning for samfunnets sikkerhet, herunderhåndtering av endringer i statens eller andreseierskap i slike selskaper. Dette kan være sel-skaper innen forsvarssektoren eller sivil sek-tor.

AnnetUt over de forhold som er nevnt ovenfor stårutvalget fritt til også å vurdere andre områder


som bør reguleres i ny lovgivning for å sikre ethelhetlig lovgrunnlag og for å ivareta deutviklingstrekk som er beskrevet innlednings-vis.

Dersom utvalget ser behov for å gjøreendringer i mandatet skal dette tas opp medForsvarsdepartementet og Justis- og bered-skapsdepartementet.

3. GenereltUtvalget skal basere seg på eksisterende kunn-skapsgrunnlag og de sikkerhetsutfordringersom dagens moderne, teknologiske og globali-serte samfunn stiller oss overfor når det gjel-der tilsiktede uønskede handlinger. Utvalgetkan be om særskilte orienteringer og/ellerutredninger fra eksperter/ekspertgrupper påenkeltområder. Som en del av vurderingen måutvalget se hen til rapporten fra det digitale sår-barhetsutvalget som leveres 1. september2015.

Utvalget skal i sitt arbeid sikre at relevanteinnspill fra berørte aktører blir ivaretatt på enhensiktsmessig måte. Blant annet skal Nasjo-nal sikkerhetsmyndighets sikkerhetsfagligeråd tas med i vurderingen. Utvalget skal viderei sitt arbeid ta i betraktning relevant internasjo-nal lovgivning, herunder nordiske lands lovgiv-ning, gjeldende EU-direktiver, NATOs standar-der, samt Norges folkerettslige forpliktelser påhandels- og investeringsområdet.

Utvalget skal i samsvar med utredningsin-struksen redegjøre for økonomiske, adminis-trative og andre vesentlige konsekvenser avsine forslag. Minst ett av forslagene skal base-res på uendret ressursbruk.

Utvalget skal innen halvannet år etter opp-nevningen legge fram en utredning i form av enNOU til Forsvarsdepartementet med forslag tilnytt lovgrunnlag for forebyggende nasjonalsikkerhet. Utredningen skal utarbeides i enform som egner seg til å bli sendt på en offent-lig høring. De delene av utvalgets arbeid somomfatter gradert informasjon, kan kun behand-les av medlemmer som er sikkerhetsklarert fordet aktuelle graderingsnivået. Materiale somer gradert utarbeides i separate vedlegg.

1.3 Utvalgets forståelse av mandatet

Utvalget forstår mandatet dit hen at det overord-nede samfunnsmålet med et nytt lovgrunnlag forforebyggende nasjonal sikkerhet skal være ålegge til rette for en tilfredsstillende sikkerhet

rundt funksjonaliteten i kritiske samfunnsfunksjo-ner. I mandatet vises det til at «utvalgte samfunns-og risikoområder, der tilsiktede uønskede hendel-ser vil ha store konsekvenser på tvers av fag- ogansvarsområder kan være helse, vann, mat,energi, finansielle tjenester og kommunikasjon».Utvalget forstår kritiske samfunnsfunksjoner somnødvendige funksjoner for å holde nevnte tjenes-ter på et nivå som sikrer forsvarlig utøvelse avmyndighet og grunnleggende trygghet for befolk-ningen.

En ny sikkerhetslov med forskrifter skal bidratil å sikre disse samfunnsfunksjonene. For åoppnå dette, er det særlig aktuelt å sikre utvalgteinformasjonssystemer, infrastrukturer og pålite-lig personell, men loven kan også rette seg motandre forhold som er nødvendig for sikre forsvar-lig utøvelse av myndighet og grunnleggendetrygghet for befolkningen.

Dagens sikkerhetslov har som formål å leggeforholdende til rette for effektivt å kunne motvirketrusler mot «rikets selvstendighet og sikkerhet ogandre vitale nasjonale sikkerhetsinteresser», jf.sikkerhetsloven § 1 første ledd bokstav a), ogomhandler i hovedsak beskyttelse av skjermings-verdig informasjon og skjermingsverdige objek-ter. Mandatets ordlyd innebærer, slik utvalget for-står det, en bredere tilnærming til lovens virkeom-råde enn det gjeldende sikkerhetslov har.

Utvalget forstår mandatets angivelse av hvasom skal beskyttes som styrende for det nye lov-grunnlagets virkeområde. Kritisk infrastruktur ogsensitiv informasjon eies og/eller forvaltes i dag istor utstrekning av selvstendige rettssubjekter.Det vil i denne sammenheng også være naturligfor utvalget å vurdere hvorvidt det er hensikts-messig å videreføre virkeområdet for dagens sik-kerhetslov. Utvalgets vurdering av hvorvidt eksis-terende sektorregelverk gir en tilstrekkelig godsikring, både innad og på tvers av samfunnssekto-rene, vil også være styrende for virkeområdet foren ny sikkerhetslov.

Med mandatets presisering av tilsiktede uøn-skede hendelser har utvalget lagt til grunn at en nylov skal rette seg mot tilsiktede uønskede hendel-ser, og at andre sikkerhetstrusler i utgangspunk-tet ikke skal omfattes (jf. safety-perspektivet).Dette er i samsvar med dagens lov, som er avgren-set til sikkerhetstruende virksomhet (spionasje,sabotasje eller terrorhandlinger, jf. lovens § 3 før-ste ledd nr. 2). Slik utvalget ser det, innebærerikke dette at sikkerhetsarbeidet for henholdsvistilsiktede og utilsiktede hendelser bør forstås somadskilte størrelser ved operasjonalisering avregelverket. For den enkelte virksomhet vil det


både være nødvendig og hensiktsmessig å kunnese arbeidet med forebyggende sikkerhet underett, uavhengig av hvilke typer trusler det tas siktepå å beskytte seg mot. I motsatt fall risikerer manå utvikle suboptimale og lite kostnadseffektive løs-ninger.

Utvalget anser seg ikke bundet av definisjonenav sikkerhetstruende virksomhet i dagens sikker-hetslov. Definisjonen angir imidlertid noen typertrusler som det med en ny lov vil være særlig vik-tig å beskytte seg mot.

Utvalget vil gjøre ytterligere presiseringer ogavgrensinger når det gjelder den begrepsbruksom er lagt til grunn i mandatet, herunder begre-pene kritisk infrastruktur, kritiske samfunnsfunk-sjoner og sensitiv og samfunnsviktig informasjon.

Det fremgår også av mandatet at utvalget isamsvar med utredningsinstruksen skal rede-gjøre for økonomiske, administrative og andrevesentlige konsekvenser av sine forslag. 1. mars2016 trådte en ny utredningsinstruks i kraft. Utval-get vil legge den nye utredningsinstruksen tilgrunn for sitt arbeid. Den nye instruksens hoved-formål er å legge et godt grunnlag for beslutnin-ger om statlige tiltak gjennom å identifisere alter-native tiltak og å utrede og vurdere virkningen avtiltak. Når en utredning vurderer tiltak som for-ventes å ha vesentlige nytte- eller kostnadsvirknin-ger, herunder vesentlige budsjettmessige virknin-ger for staten, skal det gjennomføres samfunns-økonomiske analyser. Analysen skal legge grunn-laget for å identifisere og prioritere de beste tilta-kene for å legge til rette for en tilfredsstillendesikkerhet for funksjonaliteten i kritiske samfunns-funksjoner.

Utvalget har lagt til grunn at hensynene til per-sonvern og den enkeltes rettssikkerhet gjennom-gående vil være et sentralt vurderingstema.Denne forståelsen av mandatet er også bekreftetav oppdragsgiver. Den nye utredningsinstruksenstiller krav om at i den grad de tiltak som vurderesberører prinsipielle spørsmål, skal utredningendrøfte disse på en balansert, systematisk og hel-hetlig måte. Et prinsipielt spørsmål, som detteutvalget særlig vil drøfte, er hvordan en på enbalansert måte kan ivareta både nasjonal sikker-het, rettssikkerhet og personvern. Utvalget vil idenne sammenheng understreke at en ny sikker-hetslov ikke må få virkninger som setter i fare deverdier som loven skal beskytte.

Utvalget legger til grunn for sitt arbeid atgrunnleggende rettigheter og Norges folkeretts-lige forpliktelser, jf. Grunnloven og menneskeret-tighetsloven, utgjør rammen for en ny lov og forpraktiseringen av den.

I henhold til ny utredningsinstruks skal utval-get også vurdere forutsetningene for en vellykketgjennomføring. Staten har et bredt spekter av vir-kemidler som kan benyttes for å sikre at sam-funnsutviklingen går i ønsket retning. Utvalgetsmandat er i utgangspunktet avgrenset til å vur-dere ett av disse virkemidlene – påvirkning gjen-nom bruk av juridiske virkemidler i form av en nylov om forebyggende nasjonal sikkerhet. Utvalgetser seg imidlertid ikke bundet av kun å se påloven, men også peke på andre tiltak som statenhar i sin virkemiddelportefølje i den utstrekningdette anses nødvendig for å sikre at loven vil virkeetter intensjonen.

1.4 Prosesser med innvirkning på utvalgets arbeid

Parallelt med utvalgets arbeid har det også pågåtten rekke andre utredningsarbeider og prosessermed direkte eller indirekte innvirkning på temaog problemstillinger av relevans for arbeidet.Under følger en kort oversikt av noen av de viktig-ste utredningsarbeidene. Listen er ikke uttøm-mende.

– Den 28. april 2015 overleverte en uavhengigekspertgruppe sin rapport Ekspertgruppen forForsvaret av Norge – Et felles løft, til forsvars-minister Ine Eriksen Søreide. Ekspertgruppenhadde som mandat å utarbeide en rapport omForsvarets forutsetninger for å kunne løse sinemest krevende oppgaver.

– Den 10. september 2015 overleverte Nasjonalsikkerhetsmyndighet (NSM) sitt sikkerhets-faglige råd til Forsvarsdepartementet og Justis-og beredskapsdepartementet. NSM ble gitt ioppdrag å komme med en vurdering av hvor-dan samfunnet bør innrette arbeidet med fore-byggende sikkerhet i perioden frem mot 2020og hvordan Norge bør møte de økte sikker-hetstruslene.

– Den 30. november 2015 overleverte det digitalesårbarhetsutvalget (Lysne-utvalget) sin utred-ning til justis- og beredskapsministeren. Lysne-utvalget har kartlagt samfunnets digitale sår-barhet, og foreslått tiltak for å styrke beredska-pen og redusere den digitale sårbarheten isamfunnet.

– Den 15. april 2016 godkjente regjeringen Sol-berg Prop. 97 L (2015–2016) Endringer i sik-kerhetsloven (reduksjon av antall klarerings-myndigheter mv.). I proposisjonen ble det fore-slått endringer i gjeldende sikkerhetslov som


det var behov for å få på plass raskt. I forbin-delse med behandlingen av Innst. 352 L (2015–2016) til Prop. 97 L (2015–2016) om endringeri sikkerhetsloven, vedtok Stortinget regjerin-gens forslag den 8. juni 2016.1

– Den 17. juni 2016 fremmet regjeringen SolbergProp. 151 S (2015–2016) Kampkraft og bære-kraft – Langtidsplan for forsvarssektoren. I pro-posisjonen la regjeringen frem en rekke anbe-falinger for å øke forsvarsevnen og tilpasse For-svaret til den sikkerhetspolitiske situasjonen.Langtidsplanen er blant annet basert på for-svarssjefens fagmilitære råd (FMR) Et forsvar iendring. FMR er et uavhengig fagmilitært råd,hvor forsvarssjefen er gitt i oppdrag å vurderehvordan Forsvaret på en best mulig måte kanivareta sine dimensjonerende oppgaver ogambisjon, samt sikre at Forsvaret forblir rele-vant og troverdig også i fremtiden.

– Den 26. august 2016 overleverte Lysne II-utval-get sin utredning Digitalt grenseforsvar (DGF)til Forsvarsdepartementet. Lysne II-utvalgetble nedsatt for å utrede problemstillinger knyt-tet til Etterretningstjenestens mulig tilgang tilelektronisk informasjon som kommuniseres ifiberoptiske kabler inn og ut av Norge.

Alle de nevnte utredningsarbeidene og proses-sene behandler ulike aspekter ved forebyggendesikkerhet. Utvalgets utredning er et selvstendigbidrag, men må sees mot dette bakteppe.

1.5 Utvalgets arbeid

Utvalget har hatt 15 møter, fordelt på 27 møteda-ger.

Utvalget har i tillegg gjennomført studiebesøktil Brussel, Stockholm, København og London. IStockholm møtte utvalget representanter fra dennorske, britiske og nederlandske EU-delegasjon,representanter fra noen av EUs generaldirektora-ter, samt private aktører. I tillegg møte utvalget enrekke representanter fra ulike deler av NATOsorganisasjon. I Stockholm møtte utvalget repre-sentanter fra Justitiedepartementet, Myndighe-ten för samhällsskydd och beredskap og Säker-hetspolisen. I Danmark ble det gjennomført møtermed representanter fra Forsvarsministeriet, Jus-tisministeriets, Forsvarets Efterretningstjeneste,Beredskapbsstyrelsen, Politiets Efterretningstje-neste, samt Danish Institute for International Stu-dies. I London møtte utvalget representanter fra

Cabinet Office, Royal United Services Institute,Home Affairs Select Committee, Home Office,MI5’s Centre for the Protection of National Infra-structure, samt private aktører.

Utvalgets arbeid er basert på ulike metoder ogfaktiske grunnlag:

– Eksisterende utredninger og analyser.– Skriftlige innspill og møter med en rekke sen-

trale aktører innen forebyggende sikkerhet,både offentlige og private virksomheter.

– Utredninger som er gjennomført av offentligeog private virksomheter på oppdrag fra utval-get.

Utvalget, og dets sekretariat, har i tillegg hatt enløpende dialog med en rekke virksomheter iutvalgsperioden, dels for å få utdypet og konkreti-sert ulike tema og problemstillinger og dels for åkvalitetssikre informasjon utvalget har innhentetog bearbeidet.

Utvalget har også gjennomført en halvdags-konferanse for å få belyst problemstillinger knyt-tet til sikkerhet og personvern i en digital tidsal-der.

For en fullstendig oversikt over de aktøreneutvalget har gjennomført møter med, og mottattskriftlige innspill fra, vises det til vedlegg 2 og 3.

1.6 Struktur og innhold

Utredningen er delt inn i fire deler.Del I gir en redegjørelse for utvalgets sam-

mensetning og mandat, samt en beskrivelse avutvalgets mandatforståelse. I tillegg inneholderdel I oppsummeringen av utvalgets konklusjonerog anbefalinger.

Del II redegjør for bakteppet som dannergrunnlaget for utvalgets vurderinger og anbefalin-ger. Først gjennomgås sentrale begreper innenforebyggende sikkerhet og beredskap, samt rela-sjonen mellom de ulike begrepene. Deretter gisdet en redegjørelse for hvordan det forebyggendesikkerhetsarbeidet i Norge er organisert, samt enoverordnet beskrivelse av noen av de mest sen-trale aktørene innen sikkerhetsarbeidet.

I tillegg gis det en gjennomgang av dagens sik-kerhetsutfordringer. Først gis det en omtale avrisikostyring i staten som grunnlag for å oppnånasjonal sikkerhet og omtale av risikovurde-ringsmetodikk. Videre er beskrives hvilke verdiersom må vernes, hvilke trusler som kan rammeverdiene og hvilke sårbarheter i samfunnet somtrusselaktører kan utnytte. Avslutningsvis gjen-1 Lovvedtak 91, (2015–2016).


nomgås noen av de virkemidlene staten har tilrådighet for å styre samfunnsutviklingen i enønsket retning. Del II avsluttes med en beskri-velse av forholdet mellom forebyggende sikker-het, rettssikkerhetsgarantier og personvern.

Del III er hoveddelen av utvalgets utredning.Her gis det en tematisk gjennomgang av utvalgetsvurderinger og anbefalinger, samt de faktuelle

beskrivelsene utvalget har lagt til grunn for vurde-ringene. Gjennomgangen er i stor grad basert pågjeldende sikkerhetslovs tematiske kapittelinnde-ling. Enkelte særlige temaer er også omtalt i egnekapitler.

Del IV består av utvalgets lovforslag og særligemerknader til de enkelte bestemmelsene.


Kapittel 2

Oppsummering

Norge er et grunnleggende trygt samfunn. Utred-ninger som avdekker sårbarheter og foreslår for-bedringer i den forebyggende sikkerheten rokkerikke ved det. Samtidig er verden rundt oss, trus-selbildet, og samfunnet som skal beskyttes, merkomplekst enn før. Staten må ha tilstrekkelige vir-kemidler i møte med disse utfordringene på bor-gernes vegne.

Statens aller viktigste oppgave er nettopp åbeskytte landets borgere og samfunnet de er endel av. En stat som ikke evner å sikre sin egen ogborgernes overlevelse misligholder samfunnskon-trakten mellom stat og borger. For å ivareta denneoppgaven og overholde samfunnskontrakten erdet helt avgjørende at staten makter å opprett-holde samfunnets grunnleggende funksjoner uav-hengig av hvilken ekstern påvirkning de utsettesfor.

Sikkerhetsutvalget ble oppnevnt blant annetfordi anvendelsen av gjeldende sikkerhetslovavdekket grunnleggende uenigheter knyttet tillovens nedslagsfelt. Sammen med en negativ end-ring i risiko- og sårbarhetsbildet medførte dette etbehov for en helhetlig gjennomgang ognytenkning av forebyggende nasjonal sikkerhet.

Utvalget har i sitt arbeid stått overfor en rekkegrunnleggende avveininger, som har hatt direkteinnvirkning på hvordan en ny lov kan og bør inn-rettes.

Et helt sentralt og gjennomgående tema harvært avveiningen mellom behovet for en helhetligog sektorovergripende tilnærming til forebyg-gende sikkerhet på den ene siden, og ivaretakel-sen av den enkeltes samfunnssektors særegen-heter på den andre. Dette har betydning både forhvilket nedslagsfelt en ny lov bør ha, og for hvor-dan ansvars- og myndighetsfordelingen etterloven bør være. Denne avveiningen har ogsåbetydning for hvordan lovens krav bør innrettes.

Videre har en balansert avveining mellomforebyggende sikkerhet, rettssikkerhet og per-sonvern, stått sentralt i utvalgets arbeid. En slikavveining er viktig for å hindre at sikkerhetstiltak

som isolert sett er effektive, i et videre perspektivundergraver de verdier som skal beskyttes. Ennedtoning av rettssikkerheten vil derfor på siktogså svekke stats- og samfunnssikkerheten.

I tillegg har avveiningen mellom samfunnsøko-nomisk og bedriftsøkonomisk lønnsomhet vært etviktig vurderingstema for utvalget. Sikkerhet haren kostnadsside som det ikke er mulig å kommeutenom. I et samfunnsperspektiv vil de sikkerhet-smessige gevinstene samtidig kunne overstige dekostnadsmessige ulempene som enkeltvirksom-heter påføres. Et grunnleggende premiss forutvalget er at kostnader som følger av loven, skalstå i et rimelig forhold til de nyttevirkningene somfaktisk oppnås ved tiltaket.

Utvalget anbefaler i sitt lovforslag følgende:

– Lovens formål bør være å beskytte grunnleg-gende samfunnsfunksjoner. Det er disse funk-sjonene en trusselaktør vil forsøke å ta ut ved etanslag som rammer Norges mest grunnleg-gende interesser.

– Lovens virkeområde bør utvides og samtidigvære mer målrettet. Virksomheter som er avkritisk betydning for at grunnleggende sam-funnsfunksjoner skal kunne opprettholdes, børunderlegges loven uavhengig av eierskap ellerorganisasjonsform. En forutsetning for en slikutvidelse er at lovens krav har en funksjonellinnretning som kan tilpasses den enkelte sam-funnssektor.

– De generelle prinsippene for krisehåndteringog beredskap bør ligge fast, samtidig sombehovet for en helhetlig og sektorovergripendetilnærming til forebyggende sikkerhet ivare-tas. Dette bør gjenspeiles både i hvordanansvar og myndighet fordeles, og i hvordan til-syn med virksomheter som er underlagt lovenskal innrettes.

– Loven bør pålegge norske myndigheter en råd-givningsplikt overfor virksomheter som omfat-tes av loven, og en plikt til å legge til rette for atsikkerhetsrelevant informasjon deles medberørte aktører.


– Alle informasjonssystemer som er av kritiskbetydning for grunnleggende samfunnsfunk-sjoner, bør omfattes av loven. Dette gjelderinformasjonssystemer som behandler sikker-hetsgradert informasjon, og andre systemersom er av kritisk betydning for opprettholdelseav samfunnsfunksjonene.

– Loven bør ha et systemfokus som også omfat-ter beskyttelse av infrastruktur som er av kri-tisk betydning for samfunnsfunksjonene.

– Loven må legge til rette for effektiv forebyg-ging og avdekking av at utro tjenere får tilgangtil informasjon eller områder hvor skadepoten-sialet er stort.

– Det bør etableres en mekanisme for å kontrol-lere og i ytterste konsekvens stanse utenland-ske oppkjøp av selskaper som er av kritiskbetydning for grunnleggende samfunnsfunk-sjoner.

Samfunnsutviklingen i stort har aktualisert og for-sterket behovet for en mer helhetlig tilnærming tilarbeidet med forebyggende nasjonal sikkerhet.En økende grad av digitalisering har resultert iøkte gjensidige avhengigheter på tvers av tradisjo-nelle skillelinjer mellom samfunnssektorer, mel-lom privat og offentlig virksomhet, og mellomsivile samfunnssektorer og landets militære for-svar og forsvarssektoren for øvrig. Samtidig harfremveksten av et nettverksbasert samfunn ført tilat de samme skillelinjene er blitt mindre mar-kante. Denne utviklingen har vært positiv og gittet avansert samfunn som kan håndtere store opp-gaver, men har også skapt nye sårbarheter.

For å møte gamle og nye utfordringer menerutvalget at en ny lov på en balansert måte må iva-reta både hensynet til den enkelte sektors sær-egenheter og behovet for sektorovergripende oghelhetlig styring av den samlede nasjonale sikker-heten. På denne måten kan det bygges bro overde motsetningene som har gjort det vanskelig åanvende dagens sikkerhetslov. Dette fordrer enfunksjonell innretning på loven, med sektortilpas-ninger som ansvarliggjør både den enkelte sam-funnssektor og den enkelte virksomhet. Videre erdet avgjørende at tiltak som skal redusere sårbar-heter eller forebygge uønskede hendelser også ersamfunnsøkonomisk lønnsomme. Kostnader sompåløper i forbindelse med lovpålagte sikkerhetstil-tak må stå i et rimelig forhold til den sikkerhets-messige gevinsten som oppnås ved tiltaket. Det erher viktig å ha for øye at det kan være svært storekostnader ved å rammes av terrorisme, sabotasjeog spionasje, både materielt og i form av taptemenneskeliv. Utvalget mener at de kostnadene

som påføres virksomheter som følge av de kravsom oppstilles i loven både er nødvendige og rik-tige sett i lys av dagens trusselbilde.

Forebyggende nasjonalt sikkerhetsarbeid eret felles anliggende. Fra virksomhets- til regje-ringsnivå gjelder samme logikk: Nasjonen Norgeer ikke sterkere enn det svakeste ledd, og reellsamhandling for sikkerhet er den viktigste forut-setningen for å lykkes i å forbedre Norges sikker-het – skritt for skritt.

2.1 Lovens virkeområde

Utvalget anbefaler at forebyggende nasjonal sik-kerhet fortsatt reguleres i én lov som gjelder påtvers av sektorer og andre skillelinjer. Felles utfor-dringer krever felles løsninger, og én felles lovlegger best til rette for tverrsektoriell samhand-ling og harmonisering av sikkerhetsnivået i sam-funnet. Et felles rammeverk gir også de beste for-utsetningene for god ledelse, styring, koordine-ring og ressursutnyttelse.

Utvalget mener at den nye sikkerhetslovenbør ha som formål å beskytte de funksjonene somer helt avgjørende for å ivareta de verdiene sikker-hetsloven skal hegne om. I ytterste konsekvens erdet nettopp disse funksjonene en trusselaktør vilforsøke å ta ut ved et anslag mot Norge og detsmest grunnleggende interesser og verdier. En slikfunksjonstilnærming vil også være i tråd med denøvrige metodikken i arbeidet med samfunnssik-kerhet og beredskap. Utvalget har derfor valgt åbenytte begrepet grunnleggende nasjonale funksjo-ner for å angi lovens virkeområde.

Selve grunnlaget for å beslutte hva som utgjørgrunnleggende nasjonale funksjoner, er statens sik-kerhetspolitiske ansvar for å ivareta Norges suve-renitet, territorielle integritet og demokratiskestyreform. En funksjon er å anse som grunnleg-gende for Norge dersom bortfall av denne får kon-sekvenser som truer disse overordnede interes-sene.

Utvalgets lovforslag innebærer en begrenset,men nødvendig utvidelse av virkeområdet sam-menliknet med gjeldende sikkerhetslov. Loven vilikke være en bred samfunnssikkerhetslov, menskal samtidig heller ikke være en ren statssikker-hetslov. Fra utvalgets side er utvidelsen av lovensvirkeområde ment å reflektere den generelle sam-funnsutviklingen som har funnet sted siden gjel-dende sikkerhetslov trådte i kraft for 15 år siden.

Utvalget anbefaler at lovens virkeområde inn-rettes slik at enhver virksomhet, offentlig eller pri-vat, som har råderett over informasjon, informa-


sjonssystemer, objekter eller infrastruktur, eller somdriver aktivitet, som er av kritisk betydning forgrunnleggende nasjonale funksjoner, omfattes avloven.

Den nærmere avgrensningen av hva som vilutgjøre grunnleggende nasjonale funksjoner imedhold av den nye sikkerhetsloven, vil slik utval-get ser det måtte avgjøres konkret basert på enhelhetlig vurdering der både sektorovergripendeog sektorspesifikke perspektiver ivaretas. For atloven skal få den ønskede effekt vil det væreavgjørende å etablere et system for å identifiseregrunnleggende nasjonale funksjoner og hvilkevirksomheter som er av kritisk betydning fordisse.

2.2 Ansvars- og myndighetsfordelingen

I dag utføres det mye godt og grundig sikker-hetsarbeid i de ulike sektorene og på tvers avdem. Praktiseringen av dagens sikkerhetslov harimidlertid vist seg utfordrende og tidvis trekkerulike gode krefter i forskjellige retninger. Dettefører ikke til god sikkerhet og er ikke god res-sursutnyttelse.

En mer hensiktsmessig ansvars- og myndig-hetsfordeling innenfor forebyggende sikkerhetetter loven, har stått sentralt i utvalgets arbeid. Etutgangspunkt for utvalgets arbeid har vært at degenerelle prinsippene for krisehåndtering ogberedskap ligger fast, og at de også bør gjelde forinnretningen på en ny sektorovergripende lov omforebyggende nasjonal sikkerhet.

Utvalgets målsetting med den foreslåtte forde-lingen av ansvar og myndighet etter loven er ålegge til rette for en god samhandling mellom desentrale aktørene innenfor forebyggende sikker-het, på tvers av samfunnssektorene. Slik utvalgetser det, er en slik samhandling helt avgjørende forat det forebyggende sikkerhetsarbeidet i Norgeskal få full effekt. God samhandling oppnås førstog fremst ved en balansert tilnærming tilansvarsprinsippet og samvirkeprinsippet.

I tråd med ansvarsprinsippet bør det primæreansvaret for forebyggende sikkerhet i de ulikesamfunnssektorene ligge i det enkelte fagdeparte-ment. Det er det enkelte departement som kjen-ner sin sektor best og har de beste forutsetnin-gene for å kunne identifisere grunnleggendenasjonale funksjoner og virksomheter av kritiskbetydning for disse, samt gjøre nødvendige sam-funnsøkonomiske prioriteringer innad i sektoren.Utvalget anbefaler at det lovfestes en systematikk

for hvordan de ulike departementene skal identifi-sere grunnleggende nasjonale funksjoner innen-for eget myndighetsområde, samt de virksomhe-ter som har en kritisk rolle i understøttelsen avslike funksjoner. Som grunnlag for en slik identifi-sering, bør det utarbeides tverrsektorielle scena-rier.

For å ivareta samvirkeprinsippet vil utvalgetsamtidig understreke at også det helhetlige ogsektorovergripende perspektivet må ivaretas.Dette både for å kunne fange opp sektorovergri-pende avhengigheter som det enkelte fagdeparte-ment ikke nødvendigvis har forutsetning for åidentifisere, og for å bidra med faglig bistand ogkvalitetssikring innenfor de ulike samfunnssekto-rene. Trusselbildet de enkelte virksomhetene ståroverfor, særlig innenfor cyber-domenet, er imange tilfeller av sektorovergripende karakter.

Utvalget anbefaler at det sektorovergripendeansvaret fortsatt skal ivaretas av Nasjonal sikker-hetsmyndighet. Det bør imidlertid legges bedretil rette for at Nasjonal sikkerhetsmyndighet reeltsett skal kunne ivareta dette ansvaret. Utvalgetmener at Nasjonal sikkerhetsmyndighet bør haansvaret for å utvikle og vedlikeholde en sektor-overgripende nasjonal oversikt over departemen-tenes identifisering av grunnleggende nasjonalefunksjoner og hvilke virksomheter som omfattesav sikkerhetsloven ved enkeltvedtak. Nasjonal sik-kerhetsmyndighet bør også ha ansvaret for å iden-tifisere virksomheter som ikke naturlig faller innunder et departements myndighetsområde.

En slik ansvarsfordeling bør etableres også fortilsyn. Utvalget anbefaler en tilsynsmodell somivaretar målsettingen om en helhetlig og tverrsek-toriell tilnærming til forebyggende sikkerhet,samtidig som den ivaretar hensynet til denenkelte samfunnssektors særegenheter. I sam-funnssektorer hvor det eksisterer sektormyndig-heter med tilsynsansvar for forebyggende sikker-hetsarbeid, bør disse myndighetene også gjen-nomføre tilsyn med virksomheter som omfattes avden nye loven. Samtidig må Nasjonal sikkerhet-smyndighet ha en sentral rolle overfor de enkeltesektormyndigheter for å sikre en helhetlig tilnær-ming til det forebyggende sikkerhetsarbeidet.

Utvalget anbefaler at det opprettes et tvisteor-gan for å avgjøre uenigheter mellom virksomhetersom omfattes av loven og myndigheter, ogmyndigheter imellom. Et slikt tvisteorgan er vik-tig for å ivareta rettssikkerheten til virksomhetersom gjennom enkeltvedtak blir underlagt loven,og for å sikre samfunnsøkonomisk lønnsommeprioriteringer. For virksomhetene vil tvisteorganettjene som en rettssikkerhetsgaranti. Ved uenighet


mellom myndigheter skal tvisteorganet sørge foren rask og uavhengig avgjørelse.

Forvaltningsansvaret for sikkerhetsloven børetter utvalgets syn fortsatt tilligge Forsvarsdepar-tementet. Imidlertid er det også ved utøvelsen avdenne myndigheten helt avgjørende med godsamhandling mellom de berørte aktørene. Ikkeminst forutsettes det et godt samarbeid med Jus-tis- og beredskapsdepartementet, som har detoverordnede og koordinerende ansvaret for fore-byggende sikkerhet i de sivile samfunnssekto-rene.

2.3 Rådgivning og informasjonsdeling

Innsikt i det aktuelle trusselbildet er en forutset-ning for at den enkelte virksomhet skal være istand til å kunne gjøre gode risikovurderinger ogiverksette de riktige sikkerhetstiltakene. Flereaktører utvalget har vært i kontakt med haruttrykt et klart behov for mer og oppdatert infor-masjon om trusselbildet.

For å kunne motta tilstrekkelig informasjonom trusselbildet, må virksomheten omfattes avsikkerhetsloven slik at den er i stand til å motta ogbehandle sikkerhetsgradert informasjon. Et rele-vant og tilstrekkelig informasjonsgrunnlag om detaktuelle trusselbildet, må gjøres tilgjengelig i enform som er tilpasset og anvendbar for de virk-somhetene som omfattes av loven.

Utvalget foreslår en tydeliggjøring og fremhe-ving av sikkerhetsmyndighetens rådgivningspliktoverfor virksomheter som omfattes av loven.Nasjonal sikkerhetsmyndighet bør ha en frem-overlent og aktiv rolle overfor virksomhetene ogvære på tilbudssiden i sin rådgivningsvirksomhet.En slik rådgivning vil blant annet kunne bidra tiløkt forståelse hos virksomhetene om hvordan detforebyggende sikkerhetsarbeidet bør innrettes forå få størst mulig effekt.

Utvalget foreslår å lovfeste en plikt for Nasjo-nal sikkerhetsmyndighet til å legge til rette for ogkoordinere at nødvendig informasjon gjøres til-gjengelig for virksomheter og myndigheter somomfattes av loven. Andre myndighetsaktører somEtterretningstjenesten og Politiets sikkerhetstje-neste, har en sentral rolle i utarbeidelsen av trus-selvurderinger. Sikkerhetsmyndighetens tilrette-leggings- og koordineringsplikt fordrer således entett og god samhandling med andre relevantemyndighetsaktører.

For å kunne ha en god og oppdatert oversiktover sikkerhetstilstanden, er det nødvendig atNasjonal sikkerhetsmyndighet mottar relevant

informasjon om sikkerhetsrelaterte hendelser.Utvalget foreslår derfor en plikt til å rapportereslike hendelser for virksomheter som er under-lagt loven. Dette vil også sette myndighetenebedre i stand til å forstå trusselbildet og iverksettenødvendige tiltak for å forebygge, samt bidra til ådele informasjon med andre utsatte samfunnssek-torer og virksomheter.

I tillegg til generell informasjon om trusselbil-det vil virksomheter underlagt loven kunne fåkonkret råd og veiledning fra sikkerhetsmyndig-hetene om hvordan det forebyggende sikker-hetsarbeidet bør innrettes for å få størst muligeffekt.

2.4 Beskyttelse av informasjonssystemer

Digitaliseringen av samfunnet har bidratt til øktIKT-avhengighet for virksomheter som understøt-ter grunnleggende nasjonale funksjoner. Digitaleangrep utgjør en alvorlig og økende trussel motnorske verdier, og det oppdages stadig nye sårbar-heter i IKT-systemene.

Utfordringene begrenser seg ikke til informa-sjonssystemer som behandler sikkerhetsgradertinformasjon. Utvalget anbefaler derfor at alleinformasjonssystemer som er av kritisk betydningfor grunnleggende nasjonale funksjoner, omfattesav loven. Det vil omfatte alt fra tradisjonelle infor-masjons- og kommunikasjonssystemer til kon-troll- og styringssystemer. Avgjørende for ominformasjonssystemet skal beskyttes etter loven,er hvilken rolle systemet har i virksomhetensunderstøttelse av en grunnleggende nasjonalfunksjon.

2.5 Beskyttelse av infrastruktur

Beskyttelse av objekter og infrastruktur av kritiskbetydning for grunnleggende nasjonale funksjo-ner er ett av hovedelementene i forebyggendenasjonal sikkerhet. Det er særlig tre forhold sommå være på plass for å oppnå et forsvarlig sikker-hetsnivå på dette området.

For det første må det gå klart frem av loven atdet ikke er hensiktsmessig bare å vurdere beskyt-telsesbehovet for hvert enkelt objekt isolert. Gjen-sidige avhengigheter i og mellom sektorer gjørdet helt nødvendig å se på objektene i desystemene de er en del av. Utvalget mener det erviktig å ha et slikt systemfokus i forebyggendesikkerhet, og har derfor foreslått at dette gjenspei-


les i loven gjennom å lovregulere også skjermings-verdig infrastruktur.

Utvalget foreslår en videreføring av dagenssystematikk, der ansvarlig departement for denenkelte samfunnssektor har det primære ansvaretfor å utpeke, klassifisere og holde oversikt overskjermingsverdige objekter og infrastruktur.

Utvidelsen av lovens virkeområde gjør detogså nødvendig med en mer funksjonell tilnær-ming til beskyttelse av slike objekter og infra-struktur. Det primære ansvaret for å sikre atobjektene og infrastrukturen har et forsvarlig sik-kerhetsnivå, tilligger den enkelte virksomhet.Også på dette området må det være en forutset-ning at tiltakenes kostnader står i et rimelig for-hold for til den sikkerhetsmessige effekten somoppnås. Ved vurderingen av hva som er forsvarlig,vil virksomhetene også måtte se hen til gjensidigeavhengigheter og deres rolle i understøttelsen aven grunnleggende nasjonal funksjon.

2.6 Personellsikkerhet

Personellsikkerhet er et sentralt virkemiddel for åforebygge og avdekke at utro tjenere får tilgang tilinformasjon eller områder hvor skadepotensialeter stort. Dette er samtidig et område som måvære strengt regulert, særlig av hensyn til de kravlegalitetsprinsippet stiller til klare hjemmels-grunnlag og kravene til tilfredsstillende rettssik-kerhetsgarantier ved inngrep i personvernet.

Utvalget mener at dagens regelverk for perso-nellsikkerhet i hovedsak har en hensiktsmessigtilnærming. Utvalget anbefaler imidlertid enkeltejusteringer i loven, dels for å legge til rette for enmer effektiv behandling av klareringssaker ogdels for å gjøre regelverket mer fleksibelt for indi-viduelle tilpasninger.

Utvalget foreslår at det gis hjemmel for åforeta adgangsklarering for tilgang til skjermings-verdige objekter eller infrastruktur. Enadgangsklarering vil innebære en mindre omfat-tende prosess enn en sikkerhetsklarering, samti-dig vil den gi et bredere informasjonstilfang ennen ordinær vandelskontroll på grunnlag av enpolitiattest. Det overlates til det enkelte fagdepar-tement å treffe vedtak om krav til slikeadgangsklareringer for konkrete objekter ellerinfrastruktur som utpekes i medhold av loven.

Utvalget mener det i større grad bør tas høydefor at forhold av betydning for en klarering kanendre seg innenfor en klarerings gyldighetstid.Utvalget foreslår derfor at klareringsmyndighetenskal få adgang til å anmode om fornyet person-

kontroll ved mistanke om nye forhold og som leddi den sikkerhetsmessige oppfølgingen av vedkom-mende.

I tillegg foreslår utvalget en hjemmel for åkunne dele nærmere angitt informasjon med Poli-tiets sikkerhetstjeneste der dette er nødvendig forat tjenesten skal kunne ivareta sitt samfunnsopp-drag, særlig knyttet til forebygging av overtredel-ser av straffelovens kapittel 17. Slik informasjons-deling vil være avgrenset til opplysninger knyttettil aktuelle personers klareringsstatus, tjeneste-sted og tilknytning til andre stater.

2.7 Eierskapskontroll

Utvalget har vurdert hvorvidt eksisterende regel-verk gir tilstrekkelige virkemidler for å kunne hakontroll med virksomheter som håndterer infor-masjon, teknologi og/eller fysiske aktiva av betyd-ning for grunnleggende nasjonale funksjoner.Utvalget mener at det eksisterende regelverketalene ikke kan hindre at nasjonal sikkerhet blirskadelidende ved at strategisk viktige selskaperhelt eller delvis blir kjøpt opp av utenlandske aktø-rer. Særlig gjelder dette hensynet til forsynings-sikkerhet og beredskap, samt behovet for åbeholde nasjonal kontroll på nøkkelkompetanse.Utvalget anbefaler derfor en lovhjemmel som vilgjøre det mulig å kontrollere og i ytterste konse-kvens stanse oppkjøp som vurderes å kunne haskadevirkninger for nasjonal sikkerhet. Bestem-melsen er ment å skulle være en sikkerhetsventilfor de tilfeller det vil være uforsvarlig ikke å gripeinn.

2.8 Avslutning

Med forslaget til ny lov om forebyggende nasjonalsikkerhet har utvalget lagt frem et helhetlig sys-tem for hvordan forebyggende sikkerhet knyttettil samfunnets mest grunnleggende funksjonerbør ivaretas. Forslaget er ambisiøst, men reflekte-rer med det også de betydelige utfordringene isikkerhetsarbeidet som er avdekket i utvalgetsarbeid.

Utvalget erkjenner samtidig at en ny sikker-hetslov ikke vil løse alle problemer Norge har idet forebyggende sikkerhetsarbeidet. Utvalgetmener likevel at den nye loven vil være et bidragtil å kunne iverksette treffsikre og samfunnsøko-nomisk lønnsomme sikkerhetstiltak.

Den foreslåtte nye loven er innrettet slik atden skal kunne stå seg over tid, tåle større sam-


funnsmessige endringer og teknologisk utvikling,samt dekke fred, krise og krig. Forebyggende sik-kerhet må ses i et langsiktig strategisk perspektiv,hvor alle samfunnets tilgjengelige ressurser måtrekke i samme retning for å løse de utfordringernasjonen står overfor. Det vil derfor alltid være enutfordring – men samtidig påkrevet – å heve blik-ket og vurdere de langsiktige implikasjonene i detdaglige forebyggende sikkerhetsarbeidet.

Utvalgets forslag til innretning på den nyeloven legger et stort ansvar på de enkelte fagde-partementene, og forutsetter at de ulike sam-funnssektorene ivaretar dette ansvaret. Nøkkelbe-greper i denne sammenheng er tilstrekkelig kom-petanse, samt evne og vilje til samhandling ogsamarbeid.

Samtidig påligger det regjeringen som kollek-tiv et særlig ansvar for å påse at forebyggende sik-kerhetsarbeid følges opp på en helhetlig og for-svarlig måte.

God samhandling mellom sektormyndigheterog nasjonale myndigheter er essensielt for åoppnå et forsvarlig sikkerhetsnivå. Mange vilhuske Gjørv-kommisjonens utsagn om at 22. juli-angrepene er historien om ressursene som ikkefant hverandre, da det gjaldt som mest. Utvalgetsarbeid har avdekket at mangelfull samhandlinghar vært og er et problem også i forbindelse medanvendelsen av den nåværende sikkerhetsloven.Utvalgets viktigste tilbakemelding til samfunneter derfor en sterk oppfordring til styrket samhand-ling for sikkerhet.

Del IIBakteppe


Kapittel 3

Forebyggende sikkerhet

3.1 Innledning

For at den videre utredningen skal gi god meninger det viktig å redegjøre for utvalgets forståelse aven del grunnleggende begreper. Dette gjelderfremfor alt forebyggende sikkerhet, men også en delrelaterte begreper som beredskap og krisehåndte-ring. Hva er forskjellen mellom forebyggende sik-kerhet og beredskap? Og hva er sammenhengenmellom sikkerhetsarbeidet før, under og etternasjonale kriser og hendelser? Selv om forebyg-gende sikkerhet per definisjon alltid foregår i tids-perioden forut for kriser og hendelser må man sehelhetlig – også tidsmessig – på hvordan man bestbeskytter samfunnet mot tilsiktede uønskede hen-delser.

Dette kapittelet fokuserer på faktabeskrivel-ser, men reiser også noen sentrale problemstillin-ger og utfordringer rundt forebyggende sikkerheti Norge. Utvalget er i dette kapittelet mer opptattav å reise problemstillinger enn å fremme forslagtil løsninger og konkludere. Mange av problem-stillingene utvalget har kommet over i sitt arbeider det andre som må løse. Dette rokker ikke vedat utvalget kan bidra konstruktivt ved å rette opp-merksomhet mot konkrete forbedringspunkter.

Dette kapittelet vil kort skissere hvordan sen-tralforvaltningens sikkerhetsarbeid fungerer idag, og hvordan Norges sikkerhetsapparat er byg-get opp. Dette inkluderer en oversikt over hvemsom har ansvar for sikkerhet på ulike nivåer i for-valtningen. En sentral problemstilling for sikker-hetsarbeidet ligger i spenningen mellom sek-torprinsippet og samvirkeprinsippet. Førstnevnteforeskriver at hver statsråd styrer sin sektor oghar konstitusjonelt ansvar og kompetanse innen-for sitt myndighetsområde. Samvirkeprinsippetsetter derimot krav til nettopp samvirke på tversav de tradisjonelle sektorlinjene. Disse to prinsip-per er tidvis krevende å ivareta samtidig.

Norge opererer med et totalforsvarskonseptder sivil og militær sektor gjensidig skal kunneunderstøtte hverandre i fred, krise og krig. Sam-funnssikkerheten har blitt viktigere for statens

sikkerhetsarbeid. Det har også revitalisert inter-essen for totalforsvaret fra både den sittende ogden forrige regjering. Dette er noe av bakgrunnenfor at regjeringen i 2015 reviderte dokumentetStøtte og Samarbeid: en beskrivelse av totalforsva-ret i dag.1 Publikasjonen er et oppslagsverk somerstatter og bygger videre på et tilsvarende doku-ment utgitt i 2007.

Dette kapittelet avsluttes med en kort beskri-velse av Norges EOS-tjenester, samt EOS-utvalgetog Direktoratet for samfunnssikkerhet og bered-skap (DSB). Disse organisasjonene har nøkkelrol-ler innen forebyggende sikkerhet, og i EOS-utval-gets tilfelle, demokratisk kontroll med de som iva-retar rikets sikkerhet.

3.2 Forholdet mellom forebyggende sikkerhet og beredskap

Sikkerhet er et bredt begrep som beskriver en til-stand, og som favner mange forskjellige proses-ser. Store endringsprosesser i det internasjonalesamfunn over de senere år, medfører at dagenssikkerhetsbegrep er bredere enn noen gang ogomfatter blant annet territoriell, økonomisk, sosialog politisk sikkerhet. Nasjonal sikkerhet skal iva-retas gjennom hele krisespekteret – fra fred viasikkerhetspolitiske kriser til krig/væpnet konflikt.Begrepet nasjonal sikkerhet er nærmere omtaltunder kapittel 3.3.

Forebyggende sikkerhet er i rapporten Terror-sikring – en veiledning i sikrings- og bered-skapstiltak, utgitt av Politidirektoratet, Politietssikkerhetstjeneste og Nasjonal sikkerhetsmyndig-het i 2015, definert som:

Tiltak som skal hindre eller redusere effektenav den uønskede handlingen. Disse gjennomfø-res før en uønsket handling finner sted, ideelt

1 Forsvarsdepartementet og Justis- og beredskapsdeparte-mentet, Støtte og Samarbeid: en beskrivelse av totalforsvareti dag (Oslo: Forsvarsdepartementet, 2015).


for å unngå handlingen i utgangspunktet. Detteer både menneskelige, teknologiske og organi-satoriske tiltak.2

I sikkerhetsloven § 3 nr. 1 er forebyggende sikker-hetstjeneste definert som:

Planlegging, tilrettelegging, gjennomføring ogkontroll av forebyggende sikkerhetstiltak somsøker å fjerne eller redusere risiko som følgeav sikkerhetstruende virksomhet (spionasje,sabotasje og terrorhandlinger).3

Forebyggende sikkerhet deles tradisjonelt inn iorganisatorisk sikkerhet, informasjonssikkerhet,objektsikkerhet og personellsikkerhet. De tre sist-nevnte formene for sikkerhet korrespondererhenholdsvis med sikkerhetsgradering av informa-sjon, fysisk sikring av objekter og sikkerhetsklare-ring av personell. I tillegg brukes ofte organisato-risk sikkerhet om sikkerhetsstyringen og ruti-nene internt i en virksomhet. Sikkerhetslovenregulerer alle disse aspektene ved forebyggendesikkerhet.

Enkelte regelverk som regulerer forebyg-gende sikkerhet er av sektorovergripende karak-ter. Den viktigste av disse er sikkerhetsloven.Loven gjelder i utgangspunktet for alle forvalt-ningsorganer, uavhengig av hvilken samfunnssek-tor de tilhører. Krav til forebyggende sikkerhet erogså regulert i særlovgivning. I kraftsektoren erenergiloven og beredskapsforskriften eksemplerpå sektorspesifikke regelverk.

Forebyggende sikkerhet må ses i sammen-heng med samfunnets og den enkelte virksom-hets beredskap. Beredskap er i Terrorsikring – enveiledning i sikrings- og beredskapstiltak definertsom:

Forberedt evne til på kort varsel å kunne økesikkerhetsnivå, håndtere en uønsket hendelseeller tilstand, eller evne til å gjenopprette til-fredsstillende tilstand etter en uønsket hen-delse. Beredskap forebygger ikke at en uøn-sket hendelse finner sted, men er en forbere-delse til krisehåndtering.4

Forebyggende sikkerhet omfatter altså både tiltaksom reduserer sannsynligheten for at en uønskethendelse inntreffer og tiltak som reduserer skade-virkningene ved en slik hendelse. Beredskapomhandler på sin side, både planleggingen i for-kant av en hendelse og selve håndteringen når enhendelse inntreffer eller er nært forestående.Beredskap omfatter også håndteringen av detetterfølgende gjenopprettingsarbeidet.

Forebyggende sikkerhet må videre avgrensesmot politiets ansvar for å forebygge kriminalitetog andre krenkelser av den offentlige orden ogsikkerhet, jf. politiloven5 § 2 nr. 2 og politiinstruk-sen6 § 2-2 nr. 1. Denne type hendelser kan værealvorlige, men vil som hovedregel ikke true dennasjonale sikkerheten. Utover de defensive tilta-kene er det Politiets sikkerhetstjeneste (PST) somhar ansvaret for offensiv forebygging på norsk ter-ritorium.

Med offensiv forebygging menes blant annetPSTs særskilte ansvar for å forebygge og etterfor-ske overtredelser av straffeloven kap. 17 om Vernav Norges selvstendighet og andre grunnleg-gende nasjonale interesser, overtredelser av sik-kerhetsloven og ulovlig etterretningsvirksomhet,jf. politiloven § 17 b første ledd nr. 1 og 2. I med-hold av politiloven § 17 d kan PST få tillatelse til åbenytte nærmere angitte tvangsmidler, eksempel-vis hemmelig ransaking og overvåkning, somledd i sin forebyggende virksomhet.

I en normalsituasjon, altså før en hendelse inn-treffer, vil forebyggende sikkerhet og beredskap, inoen grad overlappe hverandre. Eksempelvis vildet å øke sikkerhetsnivået, avhengig av det kon-krete trusselnivået, inneha elementer av bådeforebyggende sikkerhet og beredskap. Et godtberedskapssystem er et viktig forebyggende sik-kerhetstiltak. Beslutningen om å etablere et sliktsystem, eksempelvis gjennom en beredskapsplan,vil falle inn under begrepet forebyggende sikker-het, mens den konkrete innretningen på systemetvil være en del av beredskapsarbeidet.

Grunnsikringstiltak iverksettes i en normalsi-tuasjon for å oppnå et tilfredsstillende sikkerhets-nivå. De omfatter blant annet en kombinasjon avtiltak for å unngå at uønskede hendelser inntreffer(sannsynlighetsreduserende tiltak) og tiltak for åbegrense skadeomfanget dersom hendelsen like-vel skulle inntreffe (skadereduserende tiltak).Dette vil typisk være tiltak som er av en slik art atmyndighetene ikke kan vente med å iverksettedem til det foreligger mer konkrete opplysninger

2 Nasjonal sikkerhetsmyndighet, Politidirektoratet og Politi-ets sikkerhetstjeneste, Terrorsikring – En veiledning i sik-rings- og beredskapstiltak mot tilsiktede uønskede handlinger(2015), 9.

3 Lov 20. mars 1998 nr. 10 om forebyggende sikkerhetstje-neste (sikkerhetsloven).

4 NSM, POD og PST, Terrorsikring – En veiledning i sikrings-og beredskapstiltak mot tilsiktede uønskede handlinger(2015), 9.

5 Lov 4. august 1995 nr. 53 om politiet (politiloven). 6 Instruks 22. juni 1990 nr. 3963 (politiinstruksen).


om at en trussel er overhengende. Andre tiltakkan følge på et senere tidspunkt. Dette kan karak-teriseres som påbygningstiltak, som av forskjel-lige årsaker bør reserveres til taktisk tilpasningsom ledd i et beredskapssystem.

Et eksempel på en slik taktisk tilpasning erregjeringens planverk og krisehåndteringsverk-tøy Nasjonalt beredskapssystem (NBS), somangir konkrete forhåndsplanlagte tiltak og handle-måter som kan iverksettes ved kongelig resolu-sjon, eller av den ansvarlige statsråd innen detaktuelle området. Formålet er å forebygge ellerredusere skadeomfanget ved kriser. NBS ble inn-ført i 2005 og er harmonisert med NATOs CrisisResponse System (NCRS). NBS består av Siviltberedskapssystem (SBS) og Beredskapssystemetfor Forsvaret (BFF), som begge er hjemlet iberedskapsloven § 18, jf. § 3. (Se nærmere omberedskapsloven i kapittel 3.2.1). I tillegg kommerPolitiets beredskapssystem (PBS), da politiet haren nøkkelrolle i sivil krisehåndtering.

At systemene er bygget opp over samme lest,og harmonisert med NATOs beredskapssystem,sikrer god kommunikasjon mellom sivil og mili-tær side av Norges totalforsvar, og mellom Norgeog NATO ved iverksetting av beredskapstiltak.

Noe av det viktigste forebyggende arbeidetstaten gjør er å forhindre kriser fra å oppstå, eller

begrense omfanget hvis krisen skulle inntreffe.Det forebyggende sikkerhets- og beredskapsar-beidet legger grunnlaget og føringer for Norgespraktiske krisehåndtering. Det er helt avgjørendeat det er god flyt mellom det som foregår før ogetter en uønsket hendelse. Responsen må optima-liseres og læringspunktene fra evalueringen måinkorporeres i system og rutiner for å bedreberedskap og grunnsikring forut for neste hen-delse. Figur 3.1 illustrerer noe av denne flyten,samt forholdet mellom forebyggende sikkerhet,krisehåndtering og beredskap.

Både forebyggende sikkerhet og beredskap,forutsetter kartlegging av verdier som skalbeskyttes, aktuelle sårbarheter og hvilke trusler/uønskede hendelser som kan påvirke disse verdi-ene i negativ retning. Forut for en konkret hen-delse vil det således være stor grad av overlappmellom disse begrepene. Det må jobbes aktivtlangs to spor der risikoen og sannsynligheten forat en uønsket hendelse inntreffer reduseres, sam-tidig som den beredskapen som søker å reduserekonsekvensene i de tilfeller der uønskede hendel-ser inntreffer optimaliseres. Dette arbeidet styresbåde av beredskapslovgivning og sikkerhetslov-givning.

Figur 3.1 Samfunnssikkerhet og beredskap.

Sentrale begreper plassert i tid relativt i forhold til tidspunktet for en uønsket hendelse.

Uønsket hendelse inntreffer

Tid

Beredskap Forberede og gjennomføre konsekvensreduserende tiltak

Før hendelse: beredskapsplanlegging, og gjennomføring (resiliens-og redundansfremmende tiltak)

Krisestyring

forberedelse respondere

Hendelseshåndtering (konsekvensreduserende tiltak)

Forebyggende sikkerheta) Forebygge hendelser (gjennomføre sannsynlighetsreduserende tiltak)b) Skadebegrensende tiltak (forberede og planlegge konsekvensreduserende (resiliens- og redundansfremmende) tiltak)

Etter hendelse har inntruffet: konsekvensreduserende tiltak (hendelseshåndtering, aktivering av kriseressurser og normalisering)


3.2.1 Beredskapslovgivningen

Beredskapslovgivning er vedtatt eller forberedtregelverk som grovt sagt trer i kraft dersom ensikkerhetspolitisk krise inntreffer, eller dersomNorge er i krig eller krig truer. Forebyggende sik-kerhetstiltak, som beskrives i sikkerhetslovenmed forskrifter og i annet relevant sektorovergri-pende eller sektorspesifikt regelverk, kan beteg-nes som defensive forebyggende tiltak eller sår-barhetsreduserende tiltak.

De ulike beredskapssystemene (SBS, BFF ogPBS) er manualer som fordeler roller, ansvar ogoppgaver. Disse systemene er ikke tilgjengeligefor offentligheten i detalj, og deler av dem er sik-kerhetsgradert. En nærmere omtale av dem herer følgelig verken mulig eller formålstjenlig.Beredskapslovutvalget definerte beredskapslov-givningen som:

Vedtatt eller forberedt regelverk av lovgiv-ningsmessig innhold, hvis iverksettelse erbetinget av at riket er i krig, at krig truer riket,at rikets selvstendighet eller sikkerhet er i fare,eller at det foreligger en annen ekstraordinærkrisesituasjon av militær art som truer vesent-lige norske interesser.7

Definisjonen avgrenser både mot regelverk somgjelder beredskapsplanlegging i fredstid og motregelverk som regulerer andre typer kriser ennsikkerhetspolitiske kriser. Ut fra ovennevnte defi-nisjon identifiserte beredskapslovutvalget føl-gende beredskapslover:

– Drivstoffanleggloven8

– Beredskapsloven9

– Rekvisisjonsloven10

– Skipsrekvisisjonsloven11

– Forsyningsloven12 (Opphevet)

I rapporten Støtte og samarbeid – en beskrivelseav totalforsvaret i dag13 omtales, i tillegg til de

lovene beredskapslovutvalget identifiserte, føl-gende lover som beredskapslover:

– Næringsberedskapsloven14

– Vernepliktsloven15

– Lov om beredskapslagring av petroleumsprodukt16

– Helseberedskapsloven17

– Sivilbeskyttelsesloven18

De sistnevnte lovene omhandler også beredskaps-planlegging i fredstid, og oppfyller således ikkeberedskapslovsutvalget av 1995 sin definisjon avberedskapslover. Enkelte av lovene har fullmakts-bestemmelser, som først trer i kraft ved sikker-hetspolitisk krise eller krig. For denne utrednin-gen er delene av lovene som omhandler normalsi-tuasjonen forut for kriser mest relevant. Det er daforebyggende sikkerhetsarbeid nødvendigvis måfinne sted.

3.3 Forebyggende nasjonal sikkerhet

Utvalgets mandat er å foreslå et nytt lovgrunnlagfor «forebyggende nasjonal sikkerhet». Forebyg-gende nasjonal sikkerhet er ikke et legaldefinertbegrep, og gjenfinnes heller ikke i gjeldende sik-kerhetslov. Tradisjonelt har det vært et mer ellermindre skarpt skille mellom begrepene statssik-kerhet og samfunnssikkerhet. Med statssikkerhet isnever forstand forstås gjerne ivaretakelse av sta-tens eksistens, suverenitet og territorielle integri-tet:

Statssikkerheten kan utfordres gjennom væp-net angrep, politisk og militært press mot poli-tiske myndigheter og alvorlige anslag mot nor-ske interesser fra statlige eller ikke-statligeaktører. Trusler mot statssikkerheten kan legi-timere innsats av alle militære og andre ressur-ser.19

7 NOU 1995: 31, Beredskapslovgivningen i lys av endrede for-svars- og sikkerhetspolitiske rammebetingelser.

8 Lov 31. mars 1949 nr. 3 om bygging og sikring av drivstof-fanlegg.

9 Lov 15. desember 1950 nr. 7 om særlige rådgjerder underkrig, krigsfare og liknende forhold.

10 Lov 29. juni 1951 nr. 19 om militære rekvisisjoner.11 Lov 19. desember 1952 nr. 2 om adgang til rekvisisjon av

skip m.v. under krig eller kriseforhold.12 Lov 14. desember 1956 nr. 7 om forsynings- og bered-

skapstiltak.

13 FD og JD Støtte og samarbeid: en beskrivelse av totalforsva-ret i dag, (2015).

14 Lov 16. desember 2011 nr. 65 om næringsberedskap.15 Lov 17. juli 1953 nr. 29 om verneplikt.16 Lov 18. august 2006 nr. 61 om beredskapslagring av petro-

leumsprodukt.17 Lov 23. juni 2000 nr. 56 om helsemessig og sosial bered-

skap.18 Lov 25. juni 2010 nr. 45 om kommunal beredskapsplikt,

sivile beskyttelsestiltak og Sivilforsvaret (sivilbeskyttelses-loven).

19 Ekspertgruppen for Forsvaret av Norge, Et felles løft (Oslo:Forsvarsdepartementet, 2015), 7.


Begrepet samfunnssikkerhet er blant annet defi-nert i Meld. St. 29 (2011–2012) Samfunnssikker-het som:

vern av samfunnet mot hendelser som truergrunnleggende verdier og funksjoner og setterliv og helse i fare. Slike hendelser kan væreutløst av naturen, være et utslag av tekniskeeller menneskelige feil eller av bevisstehandlinger.20

I NSMs sikkerhetsfaglige råd beskrives sam-funnssikkerhet som ivaretakelse av befolkningensliv, helse og trygghet, og sikring av sentrale sam-funnsfunksjoner og viktig infrastruktur, og andresamfunnsmessige interesser mot skade.21

Figur 3.2 illustrerer at sikkerhet er viktig påfire ulike nivåer – stats-, samfunns-, virksomhets-og individsikkerhet, med gråsoner og overlap-pende områder mellom de enkelte kategoriene.

Utvalget anerkjenner og legger til grunn atbegrepet forebyggende nasjonal sikkerhet, og de ver-diene som skal beskyttes etter det nye lovgrunnlaget,innbefatter noe mer enn klassisk statssikkerhet. Enendring av lovverket må reflektere at samfunnssik-kerheten i økende grad er en viktig del av den fore-byggende sikkerhet.

3.4 Ansvar, myndighet og krisehåndtering

Norges sikkerhetsorganisering er et resultat avpolitiske tradisjoner og en lang historisk utvikling.Den inkluderer noen av det norske samfunnetseldste institusjoner slik som fylkesmannsembe-tene og lensmannsetaten med røtter tilbake til1100-tallet. Dette innebærer at organisasjonen ogmåten arbeidet er organisert på ikke alltid er etresultat av politiske valg som er tatt ut fra dagenskontekst. Strukturene og praksis oppstår ogsåunderveis, og ikke bare gjennom vedtatte refor-mer.

Sektorprinsippet er muligens det mest sen-trale trekk ved den norske styringsmodellen, ogsåinnen sikkerhetsfeltet. Eivind Smith påpeker atsektorprinsippet med sitt ministerstyre ikke er enkonstitusjonelt påkrevet styringsform, men sna-rere en sterk normativ føring for hvordan norskeregjeringer velger å fordele kompetanse ogarbeidsoppgaver.22 Tydelige ansvarslinjer og tettkontakt til bakkenivået er andre sentrale trekkved Norges sikkerhetsarkitektur. Dette kan seessom en form for villet desentralisering.

Sektorinndelingen forsterkes av den parla-mentariske sedvane der statsråder svarer til Stor-tinget på vegne av sitt departement. Uttrykket«Stortinget kjenner bare statsråden» målbærer enmarkant sektorinndelt parlamentarisk praksis.Dette innebærer «at det er den enkelte statsrådalene, ikke regjeringskollegiet, som har ansvaretnår noe går galt.»23 Et annet viktig moment i denforbindelse er at Justis- og beredskapsdeparte-mentet innehar en samordnende pådriverrolle foralt sikkerhetsarbeid som utøves i sivil sektor.

Blant fordelene med denne styringsformen erat den etablerer tydelige ansvarslinjer fordi det ide langt fleste saker vil fremkomme enighet omhvem som er den ansvarlige statsråd. Ulempenmed systemet er at det hemmer overordnet tverr-sektoriell tenkning og samordnende styring. Tidli-gere offentlige utredninger har ført til tiltak nett-opp for å motvirke manglende samordning. IMeld. St. 29 (2011–2012) Samfunnssikkerhet blesamvirke lagt til som det fjerde prinsipp for krise-håndtering. De øvrige tre prinsippene for bered-skap og krisehåndtering er som kjent nærhet-, lik-het- og ansvarsprinsippet som beskrevet i boks 3.1.

20 Meld. St. 29 (2011–2012), Samfunnssikkerhet, 9. 21 Nasjonal sikkerhetsmyndighet, Sikkerhetsfaglig råd, 2015.

Figur 3.2 Nivåer av sikkerhet.

Kilde: NSM, Sikkerhetsfaglig råd, 2015.

Individ

Virksomhet

Samfunn

Gjensidige

avhengigheter

Stat

22 Eivind Smith, «‘Ministerstyre’ - et hinder for samordning?»,Nytt Norsk Tidsskrift 3 (2015).

23 Ibid., 261.


Prinsippene for beredskap og krisehåndteringlegger føringer for hvordan sikkerhetsarbeidetutføres i Norge både i fred, krise og krig. Spesieltnærhetsprinsippet bidrar til en lav-nivå og desen-tralisert tilnærming innen norsk beredskap og kri-sehåndtering. Tankegangen i nærhetsprinsippetforsterkes også i det forebyggende sikkerhetsar-beidet gjennom ansvarsprinsippet og likhetsprin-sippet. Det førstnevnte fastslår at den som haransvaret for et felt i det daglige også har ansvaretnår krisen inntreffer. Ansvarsprinsippet inne-bærer at alle grunnleggende samfunnsfunksjonerskal fortsette å operere som normalt og ha så likdrift og organisasjon som mulig i en krisesitua-sjon. Det vil imidlertid kunne være en rekke unn-tak fra disse prinsippene, for eksempel når et poli-tidistrikt setter krisestab. Dette skal alltid væretestet ut i øvelser før det settes ut i livet ved reellehendelser.

Et annet viktig moment er at kriseressurserikke må være bundet opp i daglig drift. Kriseres-surser må nødvendigvis være tilgjengelige oggripbare i en krisesituasjon, uten at dette går påbekostning av andre kritiske samfunnsfunksjonersom er nødvendig for mest effektivt å løse krisen.

Sykehusenes strømaggregater er et eksempel påen slik kriseressurs som ikke benyttes daglig,men kan være helt avgjørende for videre drift i enkrisesituasjon med strømbrudd. Et illustrerendeeksempel på feilbruk av kriseressurser ville væreat brannbiler blir forringet som kriseressurs der-som de fjernes fra sentralt plasserte brannstasjo-ner og benyttes som lift-kapasitet andre steder.

Instruks for departementenes arbeid medsamfunnssikkerhet og beredskap, Justis- ogberedskapsdepartementets samordningsrolle, til-synsfunksjon og sentral krisehåndtering (samord-ningsresolusjonen), gir nærmere regler for depar-tementenes forebyggende sikkerhetsarbeid.24

Instruksen slår fast at det enkelte fagdeparte-ment har ansvar for samfunnssikkerhet og bered-skap innenfor egen sektor. Departementene haret ansvar for å samordne samfunnssikkerhets- ogberedskapsarbeidet i egen sektor med det arbei-det som gjøres i andre departementer. Arbeidetmed samfunnssikkerhet og beredskap skal væremålrettet, systematisk og sporbart og være inte-grert i departementets planverk, styrings-systemer og i styringsdialogen med underlig-gende virksomheter.

Hvert enkelt departement skal blant annet vur-dere risiko, sårbarhet og robusthet i kritiske sam-funnsfunksjoner i egen sektor som grunnlag forkontinuitets- og beredskapsplanlegging og hen-siktsmessige øvelser. Det skal arbeides systema-tisk for å utvikle og vedlikeholde oversikten.Departementene skal videre vurdere og iverk-sette forebyggende og beredskapsmessige tiltak,og være forberedt på å håndtere alle typer kriser iegen sektor, samt yte bistand til andre departe-menter i kriser som involverer flere sektorer.Departementene skal også være forberedt på åkunne være lederdepartement.

For de sivile samfunnssektorene har Justis- ogberedskapsdepartementet, i kraft av samord-ningsresolusjonen, en generell samordningsrollefor samfunnssikkerhet og beredskap. Departe-mentet skal gjennom sin samordningsrolle sikreet koordinert og helhetlig arbeid med samfunns-sikkerhet og beredskap på tvers av sektorgrenser.

Ordningen med lederdepartement ved krisergjenspeiler og er forankret i sektor- ogansvarsprinsippet. Om ikke annet bestemmes erJustis- og beredskapsdepartementet ansvarlig forkrisehåndteringen ved alle kriser innenlands i

Boks 3.1 Grunnleggende prinsipper for arbeidet med

samfunnssikkerhet og beredskap

Beredskapsarbeidet bygger på fire grunnleg-gende prinsipper:

– Ansvarsprinsippet som innebærer at denorganisasjon som har ansvar for et fagom-råde i en normalsituasjon, også har ansva-ret for nødvendige beredskapsforberedel-ser og for å håndtere ekstraordinære hen-delser på området.

– Likhetsprinsippet som betyr at den organi-sasjon man operer med under kriser iutgangspunktet skal være mest mulig likden organisasjonen man har til daglig.

– Nærhetsprinsippet som betyr at kriser orga-nisatorisk skal håndteres på lavest mulignivå.

– Samvirkeprinsippet som betyr at myndig-heter, virksomheter eller etater har et selv-stendig ansvar for å sikre et best muligsamvirke med relevante aktører og virk-somheter i arbeidet med forebygging,beredskap og krisehåndtering.

24 Instruks 16. juni 2012 nr. 535 om departementenes arbeidmed samfunnssikkerhet og beredskap, Justis- og bered-skapsdepartementets samordningsrolle, tilsynsfunksjon ogsentral krisehåndtering.


fredstid. Dette er noe av bakgrunnen for at Krise-støtteenheten (KSE) formelt er lagt under Justis-og beredskapsdepartementet, selv om KSE ogsåskal bistå andre departementer når Justis- ogberedskapsdepartementet ikke er lederdeparte-ment. Ved sikkerhetspolitiske kriser og væpnedekonflikter har Forsvarsdepartementet ansvar forkrisehåndteringen. Ved andre kriser enn de sik-kerhetspolitiske og krig avgjøres hvem som erlederdepartement vanligvis i Regjeringens krise-råd, eventuelt av Regjeringens Sikkerhetsutvalg(RSU) og statsministeren selv i siste instans.Utenriksdepartementet har ansvar for å håndterekriser som berører Norge utenlands og diploma-tiske kriser mellom Norge og andre land. Denfatale terroraksjonen i In Amenas i 2013 er eteksempel på en krise der Utenriksdepartementetvar lederdepartement.

I noen tilfeller vil sektorprinsippet og samvir-keprinsippet fremstå motstridende. Ett eksempelder sektorprinsipp og samvirke aktivt utfordres erved såkalte hybridscenarier. Slike scenarier vilbeskrives nærmere i kapittel 4.3.1 og er per defini-sjon designet for å vanskeliggjøre responsen, somdelvis vil tilligge sivile sektorer og delvis militærsektor. Andre elementer av hybridkrig vil ikkenødvendigvis fordre noen respons, men være renvilleding og provokasjon. Ekspertgruppen for For-svaret i 2015 konkluderte som følger:

En ubestemmelig krise i gråsonen mellom krigog fred vil stille beslutningssystemet på alvor-lige prøver. […] Ekspertgruppen vil fremhevebehovet for å styrke samvirket med allierte ikrise og krig og sette statsministeren og regje-ringen bedre i stand til å lede krisearbeidetgjennom etableringen av en tilpasset enhet vedStatsministeren kontor.25

Statsministerens kontor (SMK) har hatt en tilba-ketrukket rolle med tanke på krisehåndtering ogsikkerhetsarbeidet sammenlignet med land det ernaturlig å sammenligne Norge med, eksempelvisDet hvite hus i USA, det danske Statsministerietog Storbritannias Cabinet Office. Embetsverketved SMKs kanskje viktigste funksjon innen krise-håndtering er at regjeringsråden leder Regjerin-gens kriseråd. Videre huser SMK Regjeringenssikkerhetsutvalgs nyopprettede permanentesekretariat, som i noen grad kan betraktes som etkonkret tiltak for å løse det beslutningsproblemetEkspertgruppen for Forsvaret påpekte.

Uavhengig av hvilke tilpasninger som gjøresved SMK, vil departementene med sine statsråderinneha et eksplisitt ansvar for det forebyggendesikkerhetsarbeidet innenfor sin sektor. Departe-mentene og statsrådene med alle sine underlig-gende organer utgjør dermed bærebjelken i dennorske sikkerhetsarkitekturen. Departementenehar ansvar for å påse at det implementeres ade-kvate sikkerhetstiltak innenfor hele sin egen for-valtningssektor.

For å forstå det forebyggende sikkerhetsarbei-det i Norge må man derfor først ha innsikt i hvor-dan departementene styrer sine sektorer i trådmed sektorprinsippet. Skal man forstå samvirke-problemene Norge opplever i sikkerhetsarbeideter den sterke sektorstyringen en helt vesentligfaktor. Samtidig må man anerkjenne den tydeligevertikale styringslinjen sektorprinsippet etablerer.Figur 3.3 gir en generisk fremstilling av de verti-kale styringslinjer fra storting til regjering ogvidere ned i det enkelte departement som igjenstyrer underliggende direktorater og etater.

Stortinget er øverste lovgivende og bevilgendemyndighet. De vedtar landets lover og statsbud-sjettet. Den utøvende makt (regjeringen) og dendømmende makt (domstolene) må styre ogdømme etter disse lovene.

Mye av arbeidet i Stortinget gjøres i komite-ene. I komiteene kan partiene inngå forlik og til-kjennegi hvilke forslag og løsninger de ønsker åstemme for og imot. Dersom komitébehandlingenav en sak har vært god og konstruktiv vil ofte ple-numsbehandlingen og utfallet av stemmegivnin-gen nærmest være avklart på forhånd. Ett rele-vant og ferskt eksempel på dette er lovendringenav sikkerhetsloven i juni 2016. Etter forutgåendebehandling av i Utenriks- og forsvarskomiteenvedtok et enstemmig storting Innstilling 352 L(2015–2016).26 Tilsvarende vil denne lovutrednin-gen trolig etterfølges av et lovforslag som regje-ringen ved Forsvarsdepartementet oversenderStortingets utenriks- og forsvarskomite.

Det går et markant skille mellom Stortinget ogregjeringen. Regjeringen utgjør toppnivået i denutøvende sentralforvaltningen, og den styrer lan-det i det daglige. Ved maktskifter etter stortings-valg ber Kongen statsministerkandidaten fra val-gets vinnere om å danne en regjering. I statsrådvedtar regjeringen instrukser, kongelige resolu-sjoner og forskrifter. Disse er tilpasninger til lov-verket vedtatt av Stortinget og styringsverktøy for

25 Ekspertgruppen for Forsvaret av Norge, Et felles løft, 2015,75.

26 Innstilling 352 L (2015–2016), Innstilling fra utenriks- og for-svarskomiteen om Endringer i sikkerhetsloven (reduksjon avantall klareringsmyndigheter mv.)


regjeringen. I tillegg utpekes departementenespolitiske ledelse og embetsmenn i statsråd.

SMK er regjeringens sekretariat og organise-rer statsråd. De tilrettelegger også for regjerings-konferanser, som er regjeringens øverste internemøter. Det er helt sentralt å få med seg at de kon-stitusjonelle styringslinjene ikke går via SMK. Deter den enkelte statsråd som har det konstitusjo-nelle ansvaret for sin sektor, og svarer for detteoverfor regjeringskollegiet, statsministeren ogikke minst overfor Stortinget. Eivind Smith påpe-ker at dette er en valgt arbeidsform, og ikke etkonstitusjonelt krav.27

Den enkelte statsråd styrer sitt departementved hjelp av sin politiske ledelse og embetsverket.Den øverste leder for embetsverket er departe-mentsråden som har det administrative ansvarinternt i sitt departement. Under departements-

råden finner man ekspedisjonssjefene som lederde ulike avdelingene i departementet med ulikefaglige porteføljer. Ekspedisjonssjefene er imange tilfeller etatsstyrere videre ut i forvaltnin-gen mot underliggende direktorater. For eksem-pel går styringslinjen til Direktoratet for Sam-funnssikkerhet og beredskap (DSB) gjennomsamfunnssikkerhetsavdelingen i Justis- og bered-skapsdepartementet, og styringen av politietatengår gjennom politiavdelingen. Det bør også nev-nes at i vid forstand er hele departementet, fratopp til bunn, å regne som sekretariat for sin stats-råd, og dermed en yttergrense for hva som kanbenevnes som regjeringsapparatet.

Myndighet til å iverksette sikkerhetstiltak kandelegeres til underliggende etater, men ansvaretfor å ivareta sikkerheten i egen sektor kan ikke etdepartement delegere seg bort ifra. Som eksem-pel har Justis- og beredskapsdepartementet dele-gert ansvar for implementering av forebyggendesikkerhet og samordning i sivil sektor til DSB i

27 Eivind Smith, «‘Ministerstyre’ – et hinder for samord-ning?», 2015.

Figur 3.3 De vertikale styringslinjer fra storting til regjering, departement og direktorat.

Nivåer Enheter og funksjoner Møteform og arbeidsform

Parlamentsnivå

Stortinget Plenumsdebatter, redegjørelser, vedtak spørretimer og votering

Stortingskomite Komitemøter, høringer, innstillinger og forarbeider

Den utøvende sentralforvaltningen

Regjeringsnivå

Regjeringen Statsråd på slottet ogRegjeringskonferanser

Statsminister Regjeringssjef. Utpeker ministre i statsråd

Statsministerens kontor Organiserer og gjennomfører statsråd og regjeringskonferanser

DepartementsnivåPolitisk

Statsråder (ministre)Styrer departementene. Svarer i Stortinget på vegne av regjeringen og sitt departement.

Politisk ledelseStatsråden pluss statssekretærer og politiske rådgivere

EmbetsnivåAdministrativt

Departementsråd Embetsverkets øverste leder i departementene

Ekspedisjonssjefer Leder avdelingene i departementene

Direktoratsnivå Styres av direktører Yter faglig støtte til departementene. Direktørene er også embetsmenn.


Tønsberg. Delegeringen fra Justis- og beredskaps-departementet til DSB innebærer ikke at departe-mentet har mindre ansvar, kun at de bemyndigerDSB til å utføre et sett av departementets plikter isitt sted, mens de opprettholder styringslinjenbåde administrativt og operativt gjennom sam-funnssikkerhetsavdelingen i departementet. Etdirektorat er normalt faglig rådgiver for sitt depar-tement samtidig som det skal ivareta styringen avsitt fagområde på vegne av departementet.

Beveger vi oss fra den generelle styringen avsentralforvaltningen og til hvordan forebyggendesikkerhet faktisk utøves, blir bildet straks merkomplisert. En fullstendig skjematisk fremstillingav styrings- og ansvarslinjene, og de ulike etatene,på sikkerhetsfeltet i Norge er svært krevende åskissere. Figur 3.4 fanger opp mange sentraleaspekter ved styringen og sikkerhetsarbeidet iNorge på ulike nivåer.

Det er viktig å ikke glemme de vertikale sty-ringslinjene gjennom departementene som erbeskrevet i figur 3.3. Figur 3.4 er kompleks, menrealiteten den beskriver og forenkler er som alltidenda mer kompleks. Det ligger blant annet store

underliggende strukturer bak firkantene somsymboliserer 11 HV-distrikter, 12 politidistrikter,11 andre departementer og de 18 fylkesmannsem-betene.

Figuren illustrerer hvor smalt toppnivået er oghvor bredt departementene favner. Den synliggjørogså sektorprinsippet der styringslinjen ut til allefaglige og operative etater i figuren går gjennomdepartementene. Det er imidlertid ingen tvil om atdet er på bakkenivå de fleste kriser håndteres ogsikkerhetstiltak implementeres. Kommunene ogfylkesmennene har sentrale roller i lokal krise-håndtering og grunnsikring av objekter. I tilleggfinner man politidistriktene, sivilforsvarsdistrik-tene, helseregionene og hovedredningssentralenerundt dette nivået. Disse utgjør nøkkelkapasiteter inorsk beredskap. Det samme gjelder heimeverns-distriktene og Forsvarets operative avdelinger.Alle disse etatene hører hjemme i vertikale sekto-rer og styres av (minst) et departement.

Fylkesmannen står i den forbindelse i en sær-stilling, og utgjør et mellomnivå mellom kom-mune og stat. Embetet er et styringsmessig binde-ledd mellom kommunene og sentrale statlige

Figur 3.4 Norske offentlige sikkerhetsinstitusjoner.

Illustrasjon: Anders Grønli, spesialrådgiver Norges Bank, 2016.

Norske offentlige sikkerhetsinstitusjoner («Hvem er hvem»)

Strategisk nivå Statsministerens

kontor

Forsvars-

departementet

Justis- og beredskaps-

departementet

Utenriks-

departementet

Kommunal- og

moderniserings-

departementet

11 andre

departementer

Kriserådet

Nasjonal krisekoordinering. Varierendelederdepartement avhengig av krise.

FD V 3

Forebyggendesikkerhetslovgivning

HV-distrikt

x 11

FD II

Militær beredskap

Situasjonssenter

(SITSEN)

Koordineringsutvalget for

etterretnings- og

sikkerhetstjenestene (KRU)

Avdeling for

samfunnssikkerhet

Sivilt

situasjonssenter

Felles

kontraterror-

senter

Hovedredningssentralene i

Nord-Norge og Sør-Norge

Direktoratet for

nødkommunikasjon

Etterretningstjenesten

Utenlandsetterretning

Forsvarets operative

hovedkvarter

Forvarets

sikkerhetsavdeling (FSA)

Intern sikkerhet

Nasjonal

sikkerhetsmyndighet

Forebyggende sikkerhet

Forsvarsbygg

Eiendomsforvaltning

Nasjonalt kompetansesenter

for sikring av bygg

Forsvarets

forskningsinstitutt (FFI)

FoU & rådgivning

Norsk senter for

informasjonssikring (NorSIS)

Rådgivning ominformasjonssikkerhet for offentlige

og private virksomheter

Cyberforsvaret

Offens./defens. info.sik.

Politidistrikt

x 12

Sivilforsvardistrikt

x 18

Sikkerhetstjeneste-

avdelingen

Teknisk

sikring

Vakt-

tjenesten

Direktoratet for samfunnssikkerhet og

beredskap (DSB)

Sivilforsvar, nasjonal beredskap

Kripos

Økokrim

Politiets utlendingsenhet

Grensekommissæren

PolitihøgskolenRegjeringskvartalet

utredningsprosjekt

Departementenes

sikkerhets- og

serviceorganisasjon (DSS)

Fellestjenester

Statsbygg

Politidirektoratet

Politiets

sikkerhetstjeneste (PST)

Innenriks sikkerhet

Krisestøtteenheten

Støtte Kriserådet oglederdepartementet i deres

koordineringsfunksjoner

Seksjon for sikkerhet og

beredskap

Utenriks krisehåndtering

Direktoratet for

forvaltning og IKT (DIFI)

Statlige informasjons-sikkerhetsstandarderFylkesmanns-

embetene

Regionalberedskap

Politi-

avdelingen

Avdeling for bygg,

sikkerhet og

tjenester

Statsforvaltnings-

avdelingen

Avdeling for

IKT og fornying

Sikkerhetsledere

Alle sikkerhets-spørsmål i

departementet

Forsvaret

Regjeringens sikkerhetsutvalg

Statsministeren, utenriksministeren, statsrådene iForsvarsdep., Justisdep. og Finansdep.

Dette er en forenklet modell med utvalgte offentlige sikkerhetsorganer, basert på åpne kilder.Av visuelle hennsyn er ikke alle forbindelseslinjene eller nivåer eksakte.


myndigheter, med regionalt ansvar for at dennasjonale politikken gjennomføres. Fylkesman-nen hører følgelig ikke hjemme i en enkelt sektor,men har et helhetlig ansvar på tvers av de ulikesektorer.

Fylkesmannsembetenes ansvarsområde påsikkerhets- og beredskapsfeltet, er forankret iInstruks for Fylkesmannens beredskapsarbeid.28

Fylkesmannen skal samordne samfunnssikker-hets- og beredskapsarbeidet i fylket og ivareta enrolle som pådriver og veileder i arbeidet med sam-funnssikkerhet og beredskap. I dette ansvaret lig-ger blant annet en plikt til å ha oversikt overrisiko- og sårbarhet i fylket, holde sentralemyndigheter og regionale samarbeidende etaterorientert om situasjonen i fylket, samt samordneden fylkesvise planleggingen og kontakten innen-for totalforsvaret. Totalforsvaret er nærmerebeskrevet i kapittel 3.5. Videre har fylkesmannenogså et samordnende ansvar for regional krise-håndtering. Ansvaret strekker seg helt ned påkommunenivå, ettersom Fylkesmannen skal føretilsyn med kommunenes beredskapsarbeid, jf. for-skrift om kommunal beredskapsplikt § 10.29

Forsvaret styres av forsvarssjefen som hardelegert myndighet fra forsvarsministeren. Sivilkontroll med det militære er et nøkkelprinsipp forliberale demokratier, og er en forutsetning forNATO-medlemskap. Forsvarssjefen styrer Forsva-ret via forsvarsstaben. Videre har forsvarssjefenen ledergruppe med lederne for 21 driftsenheter.Blant de viktigste og mest relevante for vårt for-mål, er grensjefene for Luftforsvaret, Sjøforsvaretog Hæren, samt sjefene for Heimevernet, E-tje-nesten og Forsvarets spesialstyrker.

Alle militære operasjoner styres av Forsvaretsoperative hovedkvarter lokalisert på Reitan vedBodø. I den grad Forsvarsdepartementet skalinvolveres i avgjørelser om pågående militære ope-rasjoner fasiliteres dette gjennom Forsvarsdepar-tementets situasjonssenter (SITSEN). Ved situa-sjoner i hele krisespekteret til sjøs, vil Kystvakteninvolveres. Fremfor alt er deres rolle i søk og red-ning en kritisk kapasitet i Norges beredskap.

Der Forsvaret er strengt hierarkisk og sentra-lisert, er styringen av norsk politi mer desentrali-sert. Det er liten tvil om at Justis- og beredskaps-departementet har sektoransvaret og kan instru-ere hele politi-Norge. Politiavdelingen er deres

viktigste instrument for styring av politietaten.Imidlertid har politimestrene i Norge større gradav autonomi enn sjefene i Forsvaret. Der militær-makten alltid må være under streng politisk kon-troll, både militært og politisk, står politidistrik-tene mer fritt til å løse de mange daglige oppdragsom tilkommer dem. Det finnes også en mulighetfor at Politidirektoratet (POD) overtar en pågå-ende politioperasjon fra et politidistrikt, men detteer foreløpig nærmest uprøvd terreng i praksis.Imidlertid er POD involvert når man flytter politi-oppdrag fra ett politidistrikt til et annet.

En utfordring siden opprettelsen i 2001 harvært PODs rolle opp mot Justis- og beredskapsde-partementets politiske departementsstyring ogpolitimestrenes fullmakter til å gjennomføre dendaglige tjeneste. POD representerer et samord-nende ledd i sentralforvaltningen og dette har tid-vis utfordret nærhetsprinsippet ned mot de lokalepolitidistriktene. POD har utvilsomt en viktig rolleinnenfor akutt terrorbekjempelse på nasjonaltnivå, noe som ble tydelig illustrert under det somofte kalles Operasjon sommer, da etterretnings-rapporter i juli 2014 indikerte at ISIL-krigere varpå vei til Norge for å gjennomføre et terrorangrep.

POD har også en sentral rolle i de tilfeller poli-tiet fremmer bistandsanmodninger til Forsvaret.Det er etablert en omstendelig beslutningssløyfeder en anmodning til Forsvaret om bistand går frapolitimesteren som ber om bistand via POD tilJustis- og beredskapsdepartementet, før den gårvidere til Forsvarsdepartementet og Forsvaretsledelse. Selv om det ble innført nye hurtigprose-dyrer med ny bistandsinstruks i 2012 (revidert i2015), innebærer denne prosedyren fremdeleshele seks til åtte beslutningspunkter. I januar 2016nedsatte regjeringen en egen arbeidsgruppe for åforeta en full gjennomgang av hele bistandsspørs-målet i lys av det nye lovgrunnlaget for militærbistand i fredstid som ble tatt inn i politiloven§ 27 a i 2015. Denne gruppen anbefaler en kraftigforenkling og avbyråkratisering, blant annet gjen-nom å gi et langt større handlingsrom til de opera-tive delene av politi og forsvar. Som en del av detteer prosedyren for anmodning om bistand anbefaltredusert til kun to beslutningspunkter: den anmo-dende politimesteren og Forsvarets operativehovedkvarter, men da innenfor rammen av § 27 aved at politimesteren har en varslingsplikt til høy-ere myndigheter ved igangsetting av en bistands-operasjon, slik at høyere myndigheter kan stanseoperasjonen hvis de finner grunn til det.3028 Instruks 18. april 2008 nr. 388 for samfunnssikkerhets- og

beredskapsarbeidet til Fylkesmannen og Sysselmannen påSvalbard.

29 Forskrift 22. august 2011 nr. 894 om kommunal bered-skapsplikt.

30 Rapport fra arbeidsgruppen for utarbeiding av forslag til nyinstruks for Forsvarets bistand til politiet, 2016, 51–53.


3.5 Totalforsvaret

Dagens totalforsvar omfatter samfunnets støtte tilForsvaret og Forsvarets støtte til det sivile sam-funn. Totalforsvarstanken stammer fra den norskeeksilregjeringen i London under andre verdens-krig, med invasjonstrusselen som bakteppe. For-svarskommisjonen slo i 1949 fast at Forsvaretmåtte styrkes ved å stille samfunnets ressurser ifredstid til disposisjon for Forsvarets håndteringav sikkerhetsutfordringer.31 Tanken var at sam-funnets samlede ressurser, inkludert private res-surser, skulle kunne settes inn for å støtte forsva-ret av Norge.

Totalforsvarskonseptet har siden den tid blittvidereutviklet for å møte nye utfordringer og trus-ler. En naturlig konsekvens av det modernisertetotalforsvarskonseptet er økt fokus på Forsvaretsrolle som bidragsyter til det sivile samfunn i hånd-tering av samfunnssikkerhetsutfordringer, i til-legg til det siviles forpliktelse til å støtte Forsvareti krisesituasjoner.32 Dette er avgjørende både forsamfunns- og statssikkerheten.

I Langtidsplanen for forsvarsektoren beskrivesdet moderne totalforsvaret som et konsept medfleksibilitet og som optimaliserer sikkerhets- ogberedskapseffekten av samfunnets samlede res-surser.

Totalforsvarskonseptet gir vide rammer for detsivil-militære samarbeidet. Det gir nødvendigfleksibilitet ved at sivile og militære ressurserkan nyttes for å løse utfordringer både motsamfunns- og statssikkerhet.33

Dette skiller seg fra det tradisjonelle totalforsvars-konseptet som var ensidig innrettet mot å kraft-samle samfunnets ressurser for å stå imot en inva-sjonstrussel.

Figur 3.5 viser at det sivil-militære samarbei-det omfatter mer enn totalforsvarskonseptet. Denviser relasjonen mellom Forsvarets bistand til detsivile samfunn og det sivile samfunns støtte tilForsvaret gjennom hele spekteret, fra fred via sik-kerhetspolitisk krise til væpnet konflikt.

Privatisering og samfunnets raske teknolo-giske utvikling har ført til at skillelinjene mellomForsvaret og det sivile samfunn blir stadig mindre,og at den gjensidige avhengigheten øker. Kom-plekse systemer og eierskapsforhold fører medseg nye sårbarheter, og aktualiserer behovet forsamarbeid i totalforsvaret i tiden fremover.Dagens forsvar er avhengig av sivil understøttelsei form av kompetanse, varer, logistikk, tjenesterog infrastruktur for å opprettholde forsvarsevneog kunne ta imot alliert støtte. Strømforsyning,elektronisk kommunikasjon og satellittbaserte tje-nester er innsatsfaktorer som kan være av kritiskbetydning for Forsvarets operative evne.

31 Forsvarskommisjonen av 1949, del 1, 64. 32 FD/JD, Støtte og samarbeid, 2015, 12.

33 Prop. 151 S (2015–2016), Kampkraft og bærekraft. Lang-tidsplan for forsvarssektoren, 45.

Figur 3.5 Sivilt-militært samarbeid og totalforsvaret.

Kilde: Sjef Forsvarsstaben, generalløytnant Erik Gustavson, presentasjon under Nødnettdagene i Trondheim, «Sivil-militært samar-beid», 19.04.2016, http://www.dinkom.no/PageFiles/14686/02_Erik_Gustavson.pdf

Fred

Sivilt-militært samarbeid (alt samarbeid på alle nivå, svært bredt felt og ulike aktører)

Totalforsvaret (knyttet til kriser)

Forsvarets bistand til det sivile samfunn

Det sivile samfunns støtte til Forsvaret• Hovedprinsippet er komersielle ordninger og samarbeid med sivil beredskap gjennom leveranse- og beredskapsavtaler• Beredskapslovgivningen kan anvendes, men er ingen forutsetnings for sivil støtte• Med bakgrunn i operativt planverk skal Forsvaret konkretisere sine beredskapsbehov overfor det sivile samfunn

Sikkerhetspolitiske kriser Væpnet konflikt


Et hovedmoment i det moderniserte totalfor-svarskonseptet er å sikre best mulig utnyttelse avde begrensede ressurser samfunnet besitter. Densivile støtte til Forsvaret er blant annet hjemlet irekvisisjonsloven som slår fast de militæremyndigheters mulighet til å «rekvirere alt som ernødvendig for krigsmakten og institusjoner somer knyttet til den», med unntak av eiendomsrett tilfast eiendom.34 Loven kan benyttes i krigstid, og ifredstid når krigsmakten bistår i beredskapssitua-sjoner og når det er nødvendig å iverksette bered-skapstiltak (for eksempel under større øvelser).

Som et supplement til rekvisisjonsmulighetenhar Forsvaret tegnet en rekke avtaler med direk-torater, etater og kommersielle virksomheter. Detble i 2015 utarbeidet retningslinjer for Forsvaretsovertakelse av en rekke sivile tjenester i krise ogkrig, blant annet redningstjenesten, lostjenesterog metrologiske tjenester. Av kommersielle avta-ler er særlig avtalen mellom Wilhelmsen-gruppenog Forsvaret fra 2015 viktig. Avtalen forplikterrederiet til transport av materiell og personell i enpotensiell krisesituasjon. Også Telenor har ensamarbeidsavtale med Cyberforsvaret om utvik-ling av kompetanse, deling av informasjon omuønskede hendelser og felles trening.

Endringer i trussel- og risikobildet har ogsåbidratt til å endre relasjonen mellom det sivile ogdet militæret. Terrorhandlingene 22. juli 2011 syn-liggjorde i all sin grusomhet behovet for å ha etforsvar som er klar til å yte bistand til det sivile påkort varsel. Blant de viktigste forebyggende sik-kerhetskapasiteter Forsvaret kan tilby er utplasse-ring av sikringsstyrker, blant annet fra Heimever-net og HMK Garden.35

Innsatsstyrke Derby fra HV-02 besørget vakt-hold rundt nøkkelobjekter som Stortinget itimene og dagene etter 22. juli. HMK Gardenkalte også inn alt av tilgjengelige mannskaper ogvar blant de tidligst gripbare sikringsstyrkeneetter 22. juli-angrepene, samt bidro med forsterketvakthold 23. juli. Garden var i tillegg de første somformelt varslet internt i Forsvaret om at en eksplo-sjon hadde funnet sted.36

Denne typen militær bistand rokker ikke vedarbeidsdelingen der Forsvarets primæroppgaveer å hevde Norges suverenitet, mens de sivilemyndigheter ivaretar samfunnssikkerheten. For-

svarets bistand til det sivile samfunn skal være etsupplement til den sivile krisehåndteringen, i desituasjoner der det sivile samfunn mangler ressur-ser som Forsvaret besitter, og i den grad støtte erforenlig med Forsvarets primæroppgaver.37 For-svarets spesialstyrker bestående av Forsvaretsspesialkommando (FSK) på Østlandet og Marine-jegerkommandoen (MJK) i Nord-Norge og Ber-gen er spesielt relevante for bistand i tilfelle ter-roranslag.

Forsvarets helikoptre på Rygge og Bardufosser også i konstant beredskap for å kunne biståpolitiet. FSK, MJK og Forsvarets helikopter haralle dedikerte beredskapsoppgaver som gjør atorganiseringen av disse ressursene delvis er til-passet politiets behov for bistand.38 Forsvaret kanogså bistå politiet i objektsikring. Forsvaretsbistand til politiet er hjemlet i Instruks om Forsva-rets bistand til politiet (bistandsinstruksen).39 Ikjølvannet av 22. juli utga regjeringen en nybistandsinstruks med raskere prosedyrer, se forøvrig kapittel 3.4.

Bistandsinstruksen fastslår i hvilke situasjonerpolitiet kan anmode Forsvaret om bistand, og girretningslinjer for utøvelsen av bistanden. I en situ-asjon der Forsvaret skal yte bistand til politiet erdet politimesteren i det aktuelle politidistriktetsom er ansvarlig for ledelsen av operasjonen, ogpolitiets og Forsvarets enheter blandes ikkeunder operasjonen. Forsvaret kan naturligvis ogsåbistå ved rent sivile nasjonale kriser og katastroferi fredstid, slik som under storflommen på Østlan-det i 1995.

Det finnes to ulike typer bistand; håndhevel-sesbistand og alminnelig bistand. Håndhevelses-bistand gjelder bistand knyttet til ettersøking ogpågripelse av farlige personer, hvor liv og helsestår på spill og i tilfeller der det er fare for omfat-tende anslag mot sentrale samfunnsinteresser,samt forebyggelse og bekjempelse av slike.Anmodning om håndhevelsesbistand krever poli-tisk klarering. Den aktuelle politimesteren mårette anmodningen om behov for bistand fra For-svaret via Politidirektoratet til Justis og bered-skapsdepartementet, som eventuelt senderanmodning til Forsvarsdepartementet for avkla-ring.

Alminnelig bistand gjelder bistand i forbin-delse med ulykker, naturkatastrofer eller lignendesituasjoner. Også bruk av tilgjengelige ressurser

34 Lov 29. juni 1951 nr. 19 om militære rekvisisjoner.35 FD/JD, Støtte og samarbeid, 2015, 51.36 André Berg Thomstad, Arbeidet mellom Forsvaret og politiet

lokalt i Oslo er blitt bedre etter terrorangrepet på Oslo 22.juli. Oslo Files on Defence and Security, nr. 1 (Oslo: Insti-tutt for forsvarsstudier, 2016), 19–27.

37 FD/JD, Støtte og samarbeid 2015, 15.38 Ibid., 6, 51. 39 Instruks 22. juni 2012 om Forsvarets bistand til politiet

(bistandsinstruksen).


som materiell, transport, innkvartering i Forsva-rets militærleirer og personell, som ikke direkteinvolveres i den operative politiaksjonen, regnessom alminnelig bistand. I slike situasjoner hen-vender vedkommende politimester seg direkte tilForsvarets operative hovedkvarter. I tilfeller deralminnelig bistand er svært omfattende, setter sik-kerheten til Forsvarets ansatte i fare, eller førermed seg politiske eller prinsipielle problemstillin-ger trengs politisk klarering. I disse tilfeller benyt-tes prosedyren for håndhevelsesbistand. Bådesivil og militær side er forpliktet til å opprette kon-takt så fort som mulig i situasjoner der det kan blibehov for bistand for å sikre at responstiden blirså kort som mulig.

3.6 EOS-tjenestene, EOS-utvalget og DSB

Etterretnings-, overvåkings- og sikkerhetstje-nestene (EOS-tjenestene) består av Etterretnings-tjenesten (E-tjenesten), Politiets sikkerhetstje-neste (PST), Nasjonal sikkerhetsmyndighet(NSM) og Forsvarets sikkerhetsavdeling (FSA).EOS-tjenestene skal ivareta nasjonale sikkerhets-interesser, og er underlagt tilsyn av EOS-utvalgetsom skal påse at borgernes rettigheter ivaretas idisse tjenestenes svært viktige sikkerhetsarbeid.E-tjenesten, PST og NSM omtales som de «hem-melige tjenester» grunnet deres eksklusive myn-dighet og oppgaver. FSA regnes ikke blant de«hemmelige tjenestene» men benevnes som enEOS-tjeneste underlagt tilsyn fra EOS-utvalget, pålik linje med E-tjenesten, PST og NSM. Direktora-tet for samfunnssikkerhet og beredskap (DSB)beskrives også i dette underkapittelet. DSB har ennøkkelrolle innenfor samfunnssikkerhet, spesielthva angår uønskede hendelser som ikke er inten-dert, og fremfor alt storulykker.

Mange av de forutgående strukturene forEOS-tjenestene vokste fram etter andre verdens-krig, og rundt opprettelsen av NATO. Norgehadde et økende behov for hemmelighold ogutveksling av gradert informasjon internt og medNATO-land i denne perioden. Med utgangspunkt imilitær sektor ble systemer for grunnleggendeforebyggende sikkerhet, og organisering av arbei-det, utviklet i denne perioden.

Det stigende behovet for hemmelighold ogegensikring økte altså i takt med utvidelsene avforsvarssektoren, noe som måtte få organisato-riske følger. Ved alle militære enheter skulleledelsen i fred som i krig støtte seg på egne sik-

kerhetsoffiserer for å samordne tiltakene motspionasje, sabotasje og illojale menige ellerbefal.40

Blant strukturene som begynte å ta form og finnesin funksjon etter krigen var Politiets overvåk-ningstjeneste (forløper til PST) og sikkerhetsav-delingen ved Forsvarets Overkommando. Sist-nevnte var en forløper til Sikkerhetsstaben (FO/S), som senere ble etterfulgt av FSA og NSM. E-tjenestens forløpere befant seg i FO II, Etterret-ningskontoret.41

E-tjenesten er i dag Norges militære og sivileutenlands-etterretningstjeneste. E-tjenesten er endel av Forsvaret, underlagt forsvarsjefen, menløser oppgaver for hele myndighetsapparatet.Oppdrag utenfor forsvarssektoren formidles viaForsvarsdepartementet. E-tjenestens arbeidsopp-gaver er hjemlet i etterretningstjenesteloven oginkluderer å innhente, bearbeide og analysereinformasjon som angår norske interesser, sett iforhold til fremmede stater, organisasjoner ellerindivider.42 Russland og nordområdene står sen-tralt i tjenestens arbeid, i tillegg til utviklingen idet internasjonale trusselbildet. Disse temaenevies stor oppmerksomhet også i E-tjenestensårlige åpne trusselvurderinger.

Gjennom innhenting av informasjon og pro-duksjon av trusselanalyser legger E-tjenesten tilrette for at myndighetene skal ha et best muligbeslutningsgrunnlag vedrørende utenriks-, sik-kerhets- og forsvarspolitiske forhold. E-tjenestenskal også bistå Forsvaret i operasjoner internasjo-nalt og nasjonalt, og har et koordinerende og råd-givende ansvar for etterretningsvirksomhet i For-svaret. I tillegg står støtte til bekjempelse av terro-risme og arbeid mot spredning av masseødeleg-gelsesvåpen sentralt.

E-tjenesten innhenter informasjon fra kilderbåde ved hjelp av tekniske og menneskebasertemetoder. Tjenesten skal varsle om forhold somkan true Norge og norske interesser. Denne opp-gaven blir stadig mer krevende i en tid der etøkende antall utfordringer er grenseoverskri-dende, for eksempel trusler i det i digitale rom oginternasjonal terrorisme. Interessebegrepet somlegges til grunn er ikke statisk, og Evalueringsut-valget for EOS-utvalget henviser til E-instruksens§ 7 og slår fast at «hva som anses som “viktige

40 Synstnes, Hans Morten, Den innerste sirkel: Den militæresikkerhetstjenesten 1945–2002 (Oslo: Universitetet i Oslo,2015) 69–70.

41 Ibid. 42 Lov 20. mars 1998 om Etterretningstjenesten.


nasjonale interesser” avhenger av hvilke sikker-hetsutfordringer Norge til enhver tid står over-for».43

PST er den nasjonale sikkerhetstjenesten,organisert som et særskilt organ direkte under-lagt Justis- og beredskapsdepartementet. PSTsoppgaver er hjemlet i politiloven.44 Der gis PST etspesifikt ansvar for å beskytte mot de tre overord-nede aktivitetene sikkerhetsloven skal motvirke:ulovlig etterretning, sabotasje og politisk motivertvold, slik som terrorisme. PST er organisert medDen sentrale enhet (DSE) lokalisert i Nydalen iOslo. I tillegg er det mindre desentraliserte enhe-ter ute i politidistriktene, med unntak av Oslo somivaretas av DSE.45

Kjerneoppgaven til PST er å forebygge ogetterforske lovbrudd av relevans for nasjonenssikkerhet og selvstendighet. Herunder liggeransvar for å innhente informasjon om, forebyggeog etterforske terrorhandlinger og annen ekstre-misme, ulovlig etterretningsvirksomhet motNorge og norske interesser, ulovlig teknologiover-føring, spredning av masseødeleggelsesvåpen,sabotasje og politisk motivert vold. PST har ogsåansvar for å forebygge og etterforske trusler motstatsledelsen og andre myndighetspersoner, samtutføre livvakttjeneste. Innsamling av informasjon,om personer og grupper som kan utgjøre en trus-sel, står sentralt i PSTs arbeid.

PST skal utarbeide periodiske trusselvurderin-ger, og vil også kunne gi oppdaterte trusselvurde-ringer rundt skjellsettende enkelthendelser, foreksempel ved raske endringer i trusselbildet. PSThar også i spesielle tilfeller anledning til å benytteskjulte tvangsmidler til informasjonsinnhenting.Dette innebærer blant annet ransakinger, avlyt-ting og skjult fjernsynsovervåking.46

Skillet mellom PSTs ansvar for rikets sikker-het innenfor landets grenser, og Etterretningstje-nesten tilsvarende ansvar utenfor Norges grenserer mindre klart i dag hvor trusselbildet i økendegrad er grenseoverskridende. En ny samarbeids-instruks for E-tjenesten og PST ble vedtatt i 2006med det formål å fremme samarbeidet mellom tje-nestene på områder av felles interesse.47

Terrorisme, spredning av masseødeleggelses-våpen og fremmed etterretningsvirksomhet erområder der det er særlig viktig å samarbeide

gjennom informasjonsutveksling og samhandling.Samarbeidet mellom PST og E-tjenesten følgerfastlagte rutiner, og er underlagt tilsyn. Blant deviktigste institusjonene og tiltakene for å ivareta etgodt mellomtjenstlig samarbeid er Felles kontra-terrorsenter (FKTS) lokalisert ved DSE i Nydalenmed ansatte fra begge tjenester. Senteret er envidereutvikling av Felles analyseenhet som bleopprettet i 2007, og var et konkret tiltak for åbedre kontraterror og beredskapen etter 22.juli.48

I Kronprinsregent resolusjon av 4. juli 2003står det at Nasjonal sikkerhetsmyndighet (NSM)skal på Justisministerens og Forsvarsministerensvegne ivareta de utøvende funksjoner for den fore-byggende sikkerhetstjeneste.49 Videre er NSMNorges ekspertorgan for informasjons- og objekt-sikkerhet og fagmiljø for IKT-sikkerhet. NSM eret direktorat med tverrsektorielt mandat, adminis-trativt underlagt Forsvarsdepartementet. Justis-og beredskapsdepartementet har instruksjons-myndighet overfor NSM i saker innenfor departe-mentets ansvarsområde. NSMs oppgaver ogansvar er også regulert i en egen instruks av 2.desember 2014 fra Forsvarsdepartementet tildirektør NSM.50

Rådgiving står sentralt i NSMs rolle somekspertorgan og koordineringsinstans for sikker-hetstiltak. Samtidig har NSM en tilsynsrolle medansvar for å kontrollere sikkerhetstilstanden i devirksomheter som omfattes av sikkerhetsloven.NSM har fag- og kontrollansvar for personellsik-kerhetstjenesten etter sikkerhetsloven. De skalogså kontrollere og veilede kryptosikkerhetstje-nesten. Dette innebærer ansvar for forvaltning avbåde nasjonalt og NATO kryptomateriell. Kor-rumpering av kryptomateriell kan ha enorme ska-devirkninger.

En vesentlig del av NSMs arbeid omhandlersikkerhet i graderte informasjonssystemer. Direk-toratet har ansvar for å varsle om og legge til rettefor håndtering av alvorlige dataangrep mot Norge.Dette ivaretas hovedsakelig av NorCERT som eren del av NSM og fungerer som nasjonal vars-lings- og koordineringsinstans for alvorlige data-angrep og andre IKT-sikkerhetshendelser. Nor-CERT drifter også VDI (varslingssystem for digi-tal infrastruktur). Deltakelse i VDI er en tjeneste

43 Dokument 16, (2015–2016), 67. 44 Lov 4. august 2005 om politiet (politiloven), § 17 b. 45 Dokument 16, (2015–2016), 63. 46 Ibid. 47 Kgl. res 13. oktober 2006 om samarbeidet mellom Etterret-

ningstjenesten og Politiets sikkerhetstjeneste.

48 Dokument 16, (2015–2016), 76. 49 Kronprinsreg.res. 4. juli 2003, Fordeling av ansvar for fore-

byggende sikkerhetstjeneste og Nasjonal sikkerhetsmyn-dighet.

50 Dokument 16, (2015–2016), 72.


utvalgte og utsatte private virksomheter kan få til-bud om å kjøpe, noe de gjør i betydelig grad.

Som et relativt nyopprettet tverrsektorieltdirektorat utfordres NSMs rolle og status tidvis avandre aktører på sikkerhetsfeltet. Utpeking avskjermingsverdige objekter har vist seg å bli enkrevende prosess for NSM, og tjenesten fremstårikke tilfreds med resultatene av utpekingen. Slikutpeking styres i dag av det enkelte departement itråd med sektorprinsippet, selv om NSM er gittansvar for å ivareta helheten og holde oversiktover kritiske nøkkelpunkter. Stortinget anerkjen-ner utfordringene i utpekingsarbeidet og konklu-derer at «[i]nnenfor objektsikkerhetsområdet erdet også avdekket uenighet mellom ulike sektorerom hva reglene skal ta sikte på å beskytte mot, ogpå hvilken måte».51 Problemene rundt utpekingav objekter står i kontrast til den suksess NSMhar hatt med å utvikle NorCERT og VDI. For ennærmere omtale av NSMs oppgaver vises det tilkapittel 7.

Forsvaret har også en dedikert egen enhetsom skal ivareta forebyggende sikkerhetstjenestei Forsvaret. FSA er en del av forsvarsstrukturenog er administrativt direkte underlagt Forsvarssta-ben. Avdelingen skal være en sentral stabsfunk-sjon for forebyggende sikkerhetstjeneste i Forsva-ret. I tillegg sikkerhetsklarerer FSA tusenvis iForsvaret årlig, og er med dette Norges størsteklareringsorgan i omfang. FSA skal «motvirke sik-kerhetstruende virksomhet mot Forsvaret, foreksempel ulovlig etterretning, sabotasje og terror-handlinger».52

FSA skal kun operere innenfor Forsvaret, menhar ansvar for militær kontraetterretning ved ogpå militært område. I de tilfeller FSA avdekkermistanke om ulovlig etterretningsvirksomhet,sabotasje eller lignende, plikter FSA å informerePST.

FSA representerer forsvarssjefen internasjo-nalt overfor NATO og samarbeidende sikkerhets-tjenester, samt nasjonalt overfor PST og NSM.FSA skal også holde seg orientert om «det sikker-hetsmessige risikobilde som omgir Forsvaret ognorsk militær aktivitet både hjemme og ute».53

Blant FSAs viktigste styringsdokumenter erInstruks om sikkerhetstjeneste i Forsvaret av 29.april 2010. Det understrekes i instruksens § 1 at«[i]nstruksen medfører ingen endringer i forhol-det mellom NSM og Forsvarets virksomhet innenforebyggende sikkerhetstjeneste.»54

EOS-utvalget er et permanent kontrollutvalgunderlagt Stortinget med ansvar for å kontrollereetterretnings-, overvåkings- og sikkerhetstje-neste som har til formål å ivareta nasjonale sikker-hetsinteresser. Tjenestenes andre formål slik sompolitiets alminnelige kriminalitetsetterretningomfattes ikke av kontrollmandatet. EOS-tjenes-tene som EOS-utvalget per i dag fører jevnlig kon-troll med inkluderer E-tjenesten, PST, NSM ogFSA.

EOS-tjenestene skal beskytte borgere og sam-funnet fra trusler mot rikets sikkerhet, samtidigsom de skal sikre at borgernes personlige rettig-heter ivaretas i prosessen. EOS-utvalget er ansvar-lig for å kartlegge om og forebygge at det øvesurett, at tjenestene ikke benytter mer inngripendemidler enn det som er nødvendig etter forhol-dene, samt å påse at tjenestene respekterer men-neskerettighetene.55 EOS-utvalgets mandatomfatter ikke personer som ikke er bosatt i Norgeeller organisasjoner som ikke har tilhold i landet.Unntak gjøres også for utenlandske borgere somhar opphold knyttet til tjeneste for fremmede sta-ter, slik som diplomatisk personell.

EOS-utvalget består av syv medlemmer meden bredt sammensatt bakgrunn og blir valgt avStortinget i plenum etter innstilling fra Stortingetspresidentskap. Stortingsrepresentanter kan ikkesitte i utvalget samtidig som de sitter på Stortin-get. EOS-utvalget har ingen instruksjonsmyndig-het ovenfor tjenestene, men rapporterer og gir rådtil Stortinget gjennom årsmeldinger. EOS-utval-gets parlamentariske forankring anses som enstyrke, og har fått annerkjennelse internasjonalt.

Et evalueringsutvalg ble oppnevnt i mars 2015for å vurdere hvordan EOS-utvalget har ivaretattsine oppgaver, og hvordan dette bør gjøres videre.Evalueringsutvalget avla sin rapport 29. februar2016. Utredningsutvalget har påpekt at EOS-utval-get har gjort en god jobb og har oppfylt intensjo-nen som lå bak etableringen i 1996.56 Evaluerings-utvalget fant også at EOS-utvalget har opparbeidetseg både allmenn respekt og respekt og tillit hostjenestene. Blant de viktigste forslagene relaterttil sikkerhetsloven er at sikkerhetsklareringssa-ker foreslås tatt ut av EOS-utvalgets kontrollom-råde, og at Hærens Etterretningsbataljon og For-svarets spesialstyrker underlegges regelmessigog obligatorisk kontroll av EOS-utvalget.57

51 Innstilling 352 L (2015–2016).52 Dokument 16, (2015–2016), 74.53 Ibid.

54 Instruks 29. april 2010 om sikkerhetstjeneste i Forsvaret.55 Lov 3. februar 1995 om kontroll med etterretnings-, overvå-

kings- og sikkerhetstjeneste (EOS-kontrolloven), § 2. 56 Dokument 16 (2015–2016). 57 Ibid., 132–146.


Direktoratet for samfunnssikkerhet og bered-skap (DSB) understøtter Justis- og beredskapsde-partementets koordinerings- og samordningsrolleinnenfor samfunnssikkerhet og beredskap. DSBskoordinerende roller er fastsatt i en egeninstruks.58 I henhold til denne instruksen skalDSB blant annet:

– Ha oversikt over sårbarhets- og beredskapsut-viklingen i samfunnet og ta initiativ for å fore-bygge hendelser med sikte på å hindre tap avliv, helse, miljø, viktige samfunnsfunksjoner ogstore materielle verdier.

– Ha et sektorovergripende perspektiv med vektpå store ulykker og ekstraordinære situasjo-ner.

– Bistå Justis- og beredskapsdepartementet idets systemrettede tilsyn med det sivile bered-skapsarbeidet i departementene.

DSB driver som navnet tilsier ikke primært medstatssikkerhet. DSB har imidlertid en helt sentralplass i den sivile beredskap og anvender i storgrad andre lovhjemler enn sikkerhetsloven, og erden viktigste aktør på safety-feltet som i hovedsakomhandler ikke-intenderte ulykker. Samtidig erDSB opptatt av en helhetlig forebyggende sikker-hetstenkning på tvers av trussel- og risikospekte-ret. Dette fremheves særlig tydelig gjennom kon-septet all hazards-tilnærming, som søker å kombi-nere safety- og security-aspektene. DSB skal ha etsektorovergripende perspektiv med vekt på storeulykker og ekstraordinære situasjoner, og de opp-trer som etatstyrer overfor sivilforsvaret, medsine 18 sivilforsvarsdistrikt. DSB har i tilleggembetsstyringsansvaret for fylkesmannsembe-tene på samfunnssikkerhet og beredskapsfeltet.59

58 Kgl.res. 24. juni 2005 nr. 688, Instruks for Direktoratet forsamfunnssikkerhet og beredskaps koordinerende roller. 59 FD/JD, Støtte og Samarbeid, 2015, 22.


Kapittel 4

Dagens sikkerhetsutfordringer

Forebyggende sikkerhet er en viktig del av arbei-det med nasjonal sikkerhet. Å oppnå sikkerhethar opptatt stater og nasjoner til alle tider, og defi-nisjonene av sikkerhet er mange og ulike. På etgrunnleggende plan kan sikkerhet defineres som«evnen til å unngå skader og tap som følge av uøn-skede hendelser enten disse er bevisste eller tilfel-dige handlinger».1 Risikobegrepet er derfor sen-tralt i diskusjonene om forebyggende nasjonal sik-kerhet. Risiko kan fremstilles som et produkt avsannsynligheten for at en hendelse inntreffer ogkonsekvensen dersom den inntreffer. Det vil væreknyttet usikkerhet til både sannsynligheten ogvurderingen av mulig konsekvens.2

I den videre gjennomgangen av dagens sikker-hetsutfordringer er det innledningsvis en omtaleav risikostyring i staten som grunnlag for å oppnånasjonal sikkerhet og en omtale av risikovurde-ringsmetodikk. Videre beskrives hvilke verdiersom må vernes, hvilke trusler som kan rammeverdiene og hvilke sårbarheter i samfunnet somtrusselaktører kan utnytte. Dette er forhold sompåvirker samfunnets risiko – og altså sikkerhet.Avslutningsvis gjennomgås noen av de virkemid-lene staten har til rådighet for å styre samfunnsut-viklingen i en ønsket retning, med sikte på å redu-sere risiko.

4.1 Risikohåndtering og forebyggende nasjonal sikkerhet

4.1.1 Risikostyring

Risikostyring er grunnlaget for systematisk sik-kerhetsarbeid. Det innbefatter alle tiltak og aktivi-teter som gjøres for å styre risiko.3 Nasjonal sik-kerhet påvirkes negativt av ulike typer risiko, ogpositivt av risikoreduserende tiltak. Den negative

påvirkningen på nasjonal sikkerhet knyttes tilrisiko for et bredt spekter av uønskede hendelser.Uønskede hendelser kan deles inn i tre kategoriera) tilsiktede uønskede hendelser, som spionasje,sabotasje og terrorisme, samt annen kriminalitet,og utilsiktede uønskede hendelser forbundet medb) store menneskeskapte ulykker og c) naturhen-delser. Staten, virksomheter og enkeltpersonerforetar valg om hvordan de vil forholde seg tilulike former for risiko. Valgene kan være foretattbevisst eller ubevisst. Dersom man er kjent medat det knytter seg risiko til et bestemt forhold, kanman velge å forholde seg til høy grad av usikker-het om hvor høy risikoen er. Dette innebærer atrisikonivået er ukjent. Ved å identifisere og vur-dere risiko vil man kunne fastsette risikonivået.Dersom risikonivået er kjent vil en kunne velge åforeta risikoreduserende tiltak, eller akseptererisikoen (risikoaksept). Risikoaksept vil væreaktuelt dersom risikonivået er tilstrekkelig lavteller at det fører med seg uforholdsmessig storeulemper (for eksempel kostnader) å gjennomførerisikoreduserende tiltak. Risiko vil også kunneomfatte forhold som ikke er identifisert og somman ikke har kjennskap til at eksisterer.4 I forbin-delse med vurdering av risiko vil informasjonstil-gang og kunnskapsnivå ha stor innvirkning påusikkerhet i resultatet. Dette og andre forholdsom medfører sårbarheter ved risikostyring ernærmere omtalt i kapittel 4.4.4. Risikoaksept ogrisikoreduksjon på samfunnsnivå er nærmereomtalt i kapittel 4.5.

Risikoreduserende tiltak som rettes inn motuønskede hendelser vil i mange sammenhengervære effektive uavhengig av om det er risiko fortilsiktede eller utilsiktede hendelser man utsettesfor eller ønsker å verne seg mot. I andre sammen-henger er tiltakene rettet mot risiko for en spesi-fikk hendelse og har ingen generell risikoreduse-rende effekt. Reduksjon av risiko i samfunnetskjer enten ved å minske sannsynligheten for athendelser inntreffer eller gjennom å forberede

1 Terje Aven, Pålitelighets- og risikoanalyse (Oslo: Universi-tetsforlaget, 1998), 11.

2 Terje Aven, Willy Røed og Herman S. Wiencke, Risikoana-lyse (Oslo: Universitetsforlaget, 2008), 27-32

3 Terje Aven, «Risiko», Store norske leksikon, https://snl.no/risiko 4 Terje Aven et. al, Risikoanalyse 2008.


samfunnet på å håndtere de hendelser som inn-treffer, eller på annen måte sikre at konsekven-sene av hendelser blir så små som mulig.

Risikostyring og risikoreduksjon vil være avegeninteresse for de fleste virksomheter, og detvil derfor være vanlig å ha en eller annen form forsystematikk rundt dette. Graden av systematikkog hvilken metodisk tilnærming som benyttes vilimidlertid variere. Hvilken type risiko som er ifokus vil også variere. Staten stiller krav til offent-lig virksomhet om at virksomheten skal styresetter visse prinsipper. Dette gjelder også hvordanvirksomheter skal forholde seg til risiko. Et sen-tralt eksempel på dette området er Statens økono-mireglement (blant annet § 4 Grunnleggende sty-ringsprinsipper). I noen sammenhenger er detspesifikke krav til metodisk tilnærming til risiko. Ie-forvaltningsforskriften § 15 stilles det krav til atalle offentlige virksomheter skal ha internkontrollpå informasjonssikkerhetsområdet basert påanerkjente standarder. Et eksempel kan væreISO/IEC 27001 for sikkerhetsstyring. Slike for-melle krav til risikostyring kan også finnes i sek-torregelverk, og således gjelde selvstendige retts-subjekter, eventuelt i virksomhetenes egne ret-ningslinjer. NS-ISO 31000 er en generell standardfor risikostyring, og et eksempel på standard sommange virksomheter benytter.

4.1.2 Tilsiktede hendelser versus utilsiktede hendelser – konsekvenser for sikkerhetsarbeidet

Forebygging av uønskede hendelser har en rekkelikheter uavhengig av om det er snakk om tilsik-tede eller utilsiktede hendelser. Tilsiktede uøn-skede hendelser har imidlertid særegenheter somgjør forebygging prinsipielt forskjellig fra forebyg-ging av utilsiktede hendelser. Tilsiktede uønskedehendelser betyr at noen har en intensjon om åpåføre en eller annen form for skade. I forbindelsemed nasjonal sikkerhet og samfunnssikkerhetinnebærer dette at noen har til hensikt å påføresamfunnet betydelig skade. I praksis betyr detteat den eller de som utfører eller planlegger åutføre handlingen vil kunne tilpasse handlingen tilde sikkerhets- og beredskapstiltak som de harkjennskap til, eller som de forventer skal finnes.Dette fører til et behov for å ha et bevisst forholdtil hvordan informasjon om risikoreduserende til-tak skal distribueres. Behovet for skjerming avslik informasjon er åpenbar. Samtidig er dette etforhold som det spilles aktivt på i sikkerhetssam-menheng. Effektiv avskrekking oppnås gjennomden informasjon, forestilling og kunnskap en trus-

selaktør har om sikringstiltakene, og ikke nødven-digvis av det reelle sikringsnivået. Det er derforen god strategi å synliggjøre at sikkerheten ergod, samtidig som man skjermer informasjon påen måte som gjør det vanskelig å fullt ut forstå ogramme sikkerhets- og beredskapssystemene.

Videre er det en annen form for dynamikk for-bundet med tilsiktede hendelser sammenlignetmed utilsiktede. Ved tilsiktede hendelser er det enaktør som foretar valg om strategi og taktikk,samt utvelgelse av mål for handlingen(e). Somregel vil trusselaktører ønske å påføre samfunneten bestemt type skade eller mest mulig skademed så lav operasjonell risiko som mulig. Opera-sjonell risiko ved væpnede aksjoner/operasjonerinkluderer alle forhold som reduserer sannsynlig-heten for at operasjonen lykkes. Dette vil ofteinkludere den personlige risikoen for de som del-tar. Hensynet til operasjonell risiko kan lede til enform for opportunisme som fører til at dersom detgjennomføres betydelige risikoreduserende tiltakpå enkelte områder vil risikoen øke på områderder det ikke er gjennomført risikoreduserende til-tak. Dette kalles ofte «innbruddsalarm-problema-

Figur 4.1 Risikostyring.

Prinsippet for risikostyring bygger på at det foretas enrisikovurdering for en bestemt problemstilling. Med bakgrunni risikovurderingen vil risikoreduserende tiltak gjennomføresder risikoen oppfattes som uakseptabel.Kilde: NS-ISO 31000:2009, Risikostyring, prinsipper og retnings-linjer, utdrag fra figur 1.1

1 Forholdet mellom prinsippene, rammeverket og prosessenfor risikostyring fra NS-ISO 31000:2009 er gjengitt av For-svarsdepartementet med tillatelse fra Standard Online AS09/2016. Standard Online er ikke ansvarlig for eventuellefeil i gjengitt materiale. Se www.standard.no.

Bestemmelse av kontekst

Risikoidentifisering

Risikoanalyse

Risikoevaluering

Risikohåndtering

Overvåkning og gjennom

gåelse

Risikovurdering


tikken». Har alle dine naboer installert inn-bruddsalarm, men ikke du, er ditt hus mer utsatt.Det er derfor av stor betydning med koordinertog samordnet risikohåndtering på tvers av virk-somheter og sektorer.

4.1.3 Tilnærminger til risikovurdering

Risikovurderinger er grunnlaget for prioriteringav risikoreduserende tiltak i de fleste virksomhe-ter. Det finnes ulike tilnærminger til risikovurde-ringer. Tradisjonelt har risiko blitt definert som enfunksjon av sannsynlighet for og konsekvens aven hendelse, eller et sett med hendelser (figur4.2). Det er denne tilnærmingen som beskrives iNorsk standard 5814:2008, Krav til risikovurderin-ger, som er en standard for risikovurderinger forbåde tilsiktede og utilsiktede uønskede hendelser.Det er flere måter å foreta vurdering av sannsyn-lighet og konsekvens på. Sannsynlighet kan vur-deres ved hjelp av statistiske metoder om relevantstatistikk er tilgjengelig, eller som en ikke-statis-tisk kunnskapsbasert vurdering dersom det ikkefinnes egnet statistisk grunnlag. Kombinasjon avstatistisk og ikke-statistisk tilnærming kan ogsåbenyttes.

I sikkerhetsmiljøene som arbeider med risiko-håndtering av tilsiktede uønskede hendelser, erdet vanlig å foreta vurderinger av risiko ut i fra detsom omtales som tre-faktormodellen (figur 4.3),og som er innarbeidet i Norsk Standard5832:2014, Samfunnssikkerhet, Beskyttelse mottilsiktede uønskede handlinger, Krav til sikringsri-sikoanalyse. I denne modellen foretas det en kart-legging av hvilke verdier som skal sikres, hvilketrusler som potensielt kan ramme verdiene, samthvilke sårbarheter som bidrar til at verdiene kanrammes av de aktuelle truslene.

Forsvarets forskningsinstitutt (FFI) har utgitten rapport der de to standardene for risikovurde-ring sammenlignes.5 FFI konkluderer i sin rap-port med at tilnærmingene har mange likhets-trekk, og at forskjellen hovedsakelig ligger i hvor-vidt sannsynlighetsvurderingen er eksplisitt ellerimplisitt. I rapporten skriver de at begge model-lene har svakheter knyttet til hvordan de kommu-niserer usikkerheten knyttet til risikoen, og at detverken nasjonalt eller internasjonalt eksisterer en

5 Odd Busmundrud, Maren Maal, Jo H. Kiran og MonicaEndregard, «Tilnærminger til risikovurderinger for tilsik-tede uønskede handlinger», FFI-rapport 00923 (Kjeller:FFI, 2015).

Figur 4.2 Risikomatrise.

Den vanligste måten å vurdere risiko på er som en funksjon av sannsynlighet og konsekvens for at ulike hendelser inntreffer.

Sværtsannsynlig

5

Sannsynlig4

MindreSannsynlig

3

LiteSannsynlig

2

Liten/Ubetydelig

1

Mindre alvorlig

2

Betydelig

KONSEKVENS

SAN

NSY

NLI

GH

ET

3

Alvorlig

4

Svært alvorlig

5

Usannsynlig1


beste fremgangsmåte for å vurdere tilsiktede uøn-skede hendelser.

4.2 Verdier av betydning for nasjonal sikkerhet

Formålet med forebyggende sikkerhet er å verneverdier. Verdi kan betraktes som kvaliteten vednoe, eller det som er godt ved noe. Verdi siesgjerne å bestemme en tings viktighet med hensyntil hvordan vi bør gjøre våre vurderinger ogbeslutninger.6 Verdi kan i utgangspunktet tilleg-ges alle ting (personer, objekter, handlinger, til-stander), og en ting blir gjerne sagt å ha en størreeller mindre grad av verdi.

Det kan gjøres et skille mellom ulike typerverdi og ulike måter ting kan være verdifulle på.Særlig viktig er skillet mellom egenverdi oginstrumentell verdi. Skillet går i korte trekk ut påat det som har egenverdi er verdifullt i kraft av åvære det det er, mens det som har instrumentellverdi er verdifullt bare i kraft av å være et middeleller årsak til å realisere noe med egenverdi.

En verdi kan defineres som en «ressurs somhvis den blir utsatt for en uønsket påvirkning vilmedføre en negativ konsekvens for den som eier,forvalter eller drar fordel av ressursen».7 Det kanvære verdier av materiell og ikke materiell art.

Som utgangspunkt for en gjennomgang av ver-dier som er av betydning for nasjonal sikkerhet erdet sett hen til grunnlovens bestemmelseromkring grunnleggende verdier i vårt demokra-tiske samfunn; begrepet kritiske samfunnsfunk-sjoner som danner utgangspunktet for samfunns-sikkerhetsarbeidet i staten; begrepene rikets sik-kerhet og vitale nasjonale sikkerhetsinteresserslik disse benyttes i dagens sikkerhetslov, samtgrunnleggende nasjonale interesser som regule-res i straffeloven og utlendingsloven.

I kapittel 6 fremkommer utvalgets vurderingerav hva som skal reguleres i et nytt lovgrunnlag forforebyggende nasjonal sikkerhet, sett i lys av ver-diene og begrepene omtalt i dette kapittelet.

4.2.1 Grunnleggende verdier i vårt demokratiske samfunn

Det følger av utvalgets mandat at det «skal vur-dere hva som bør reguleres i lov for å sikre nasjo-nal sikkerhet. Formålet med nytt lovgrunnlag skalvære å beskytte kritisk infrastruktur, kritiske sam-funnsfunksjoner og sensitiv informasjon mot til-siktede, uønskede hendelser».

Det som i henhold til mandatet skal beskytteser altså nasjonal sikkerhet – som oppnås gjennomå blant annet sikre kritisk infrastruktur, kritiskesamfunnsfunksjoner og sensitiv informasjon.

Det er naturlig å se hen til Grunnloven somutgangspunkt for hvilke underliggende verdiersom må sikres for å ivareta nasjonal sikkerhet.

6 «Verdi», Store norske leksikon, https://snl.no/verdi. 7 Norsk Standard 5830:2012, Samfunnssikkerhet: Beskyttelse

mot tilsiktede uønskede handlinger, Terminologi.

Figur 4.3 Risiko – trefaktormodellen.

Risiko kan betraktes som forholdet mellom verdier (som vi ønsker å verne), trusler som kan ramme disse verdiene og sårbarhetenverdiene har i forhold til de aktuelle truslene. Risiko kan redusere gjennom å redusere trusler eller sårbarhet (gitt at verdiene skalvernes).Kilde: NSM, Sikkerhetsfaglig råd, 2015.

Trussel Sårbarhet Trussel Sårbarhet

Verdi

RISIKO

Verdi

RISIKO


Grunntanken fra naturretten om at mennes-kene er født frie og like og med det samme men-neskeverd, ligger til grunn for både Norgesgrunnlov og Verdenserklæringen om menneske-rettigheter fra 1948. Grunnloven danner et fellesrettslig og politisk fundament, i tillegg til at den eret samlende symbol for nasjonen.

Det følger av Grunnloven § 1 at «KongeriketNorge er et fritt, selvstendig, udelelig og uavhen-delig rike. Dets regjeringsform er innskrenket ogarvelig monarkisk.» Da bestemmelsen ble gitt i1814, ble den ansett som Norges selvstendighets-og uavhengighetserklæring.8 At Norge er og skalvære en suveren stat er dermed en grunnleg-gende verdi. Et sentralt element i suverenitetsbe-grepet er statens selvbestemmelsesrett innenforet nærmere angitt territorium.

Det følger videre av Grunnloven § 2 at «Verdi-grunnlaget forblir vår kristne og humanistiskearv. Denne Grunnlov skal sikre demokratiet, retts-staten og menneskerettighetene.» Paragrafenuttrykker «sentrale og grunnleggende verdier isamfunnet og for staten, som konstitusjonen byg-ger på og bidrar til å bevare og fremme.»9 Depar-tementet uttrykte også at «[d]e grunnleggendeprinsippene og verdiene vil bli operasjonalisertgjennom andre bestemmelser i Grunnloven som istørre utstrekning direkte gir rettigheter og plik-ter», at bestemmelsen måtte utformes innen ram-mene av internasjonale forpliktelser, og at utfor-mingen måtte balansere en rekke ulike hensyn,inkludert religionsfrihet.

Om bestemmelsens første punktum uttalteGjønnes-utvalget10 blant annet at «[g]runnlovener det dokumentet som konstituerer statsdannel-sen Norge som et politisk og rettslig fellesskap,men dette bygger igjen på et grunnleggendenasjonalt fellesskap. Dersom man ønsker å frem-heve dette nasjonale fellesskapet (etos) er detmest nærliggende med en verdiparagraf somviser til felles historie, kulturtradisjoner og sam-funnsverdier.»

De tre grunnverdiene henviser til henholdsvisfolkestyret, en uavhengig og upartisk domstol ogtil menneskerettighetene, jf. Grunnloven § 92. Detfølger av sistnevnte en forpliktelse ikke bare over-for befolkningen, men også folkerettslig ved at«Statens myndigheter skal respektere og sikremenneskerettighetene slik de er nedfelt i denne

grunnlov og i for Norge bindende traktater ommenneskerettigheter».

At menneskerettighetene skal respekteres,innebærer at alle statsmakter må ta dem i betrakt-ning, og følge dem. Avhengig av rettighetenesnærmere innhold og formål, danner de i utgangs-punktet konstitusjonelle grenser for det ordinæreflertalls politikk, og de skal være en normdan-nende rettesnor for alle statens myndigheter ideres maktutøvelse.

Det nærmere innholdet i begrepene «respek-tere» og «sikre» kan beskrives slik:

At menneskerettighetene skal respekteres,innebærer at alle statsmakter må ta dem ibetraktning, og følge dem. Avhengig av rettig-hetenes nærmere innhold og formål, danner dei utgangspunktet konstitusjonelle grenser forde ordinære flertalls politikk, og de skal væreen normdannende rettesnor for alle statensmyndigheter i deres maktutøvelse.

At rettighetene skal sikres påleggerstatsmaktene en aktivitetsplikt for ivaretagelseav rettighetene. For regjeringen og Stortingetligger det i dette en aktivitetsplikt – de kan ikkeunnlate å sikre menneskerettigheter de er klarover blir utfordret under gjeldende regulerin-ger. For domstolene innebærer sikringspliktenat de må håndheve ikke bare de menneskeret-tighetene som er nedfelt i Grunnloven, menogså de for Norge bindende menneskerettig-hetsforpliktelser, og sørge for at eventuellemenneskerettighetsbrudd foretatt av andremyndigheter blir reparert, jf. Rt. 2014 s. 1105,Rt. 2014 s. 1292 og Rt. 2015 s. 93. 11

Samlet utrykker Grunnloven §§ 1 og 2 nasjonensviktigste og mest beskyttelsesverdige verdier, sta-tens suverenitet, demokratiet, rettsstaten og men-neskerettighetene. Disse verdiene danner etterutvalgets syn et godt utgangspunkt for den videreutarbeidelsen av et nytt lovgrunnlag for nasjonalsikkerhet.

Her oppstår imidlertid et grunnleggendedilemma. Statens selvstendighet, suverenitet oghandlefrihet er avgjørende for opprettholdelse avde mest grunnleggende verdiene i rettsstaten og iet demokratisk samfunn. Samtidig kan de sikker-hetstiltak som iverksettes for å forebygge truslermot nasjonal sikkerhet, sette de grunnleggendesamfunnsverdiene under press. Skal staten gjøreinngrep i grunnleggende rettigheter, for eksem-8 Arne Fliflet, Rettsdata.no, Grunnloven § 1, note (2), sist

hovedrevidert 27.04.2014. 9 St.meld. nr. 17 (2007–2008) Staten og Den norske kirke, 71.10 Ibid.

11 Anine Kierulf, Rettsdata.no, Grunnloven § 92, note(197A3), sist hovedrevidert 17.06.2015


pel personvern og rettssikkerhet, må det begrun-nes som legitimt og forholdsmessig for å beskytteandre grunnleggende rettigheter og hensyn. Slikeformål kan være andre menneskerettigheter, menogså hensynet til nasjonal sikkerhet, jf. Den euro-peiske menneskerettighetskonvensjonen art.8(2). Vernet av den enkeltes personlige integritetog autonomi er i Norge en grunnlovsfestet rettig-het, jf. Grunnloven § 102. En balansert avveiningmellom nasjonal sikkerhet, menneskerettighe-tene og andre grunnleggende interesser, står sen-tralt i utvalgets arbeid.

En målsetting for utvalget vil være å fremme etlovforslag som ikke vesentlig endrer forholdet mel-lom de overordnede samfunnsmessige verdiene. For-holdet mellom forebyggende sikkerhet og rettssikker-hetsgarantiene utdypes nærmere i kapittel 5.

4.2.2 Samfunnets grunnleggende behov og kritiske samfunnsfunksjoner

En av de viktigste oppgavene for staten er å iva-reta nasjonal sikkerhet. Dette omfatter ivare-tagelse av nasjonens ytre sikkerhet og samfunns-sikkerhet. Verdiene i samfunnet er knyttet tilhvilke behov befolkningen har og i hvilken gradmanglende oppfyllelse av behov har negative kon-sekvenser for individet.

Et spørsmål i denne sammenheng er hva somutgjør samfunnets grunnleggende behov. Dette kanogså formuleres som et verdispørsmål: Hvilkeverdier er det i et samfunnsmessig perspektiv heltgrunnleggende å beskytte?

Infrastrukturutvalget la i sin utredning tilgrunn at en mulig måte å identifisere samfunnetsgrunnleggende behov på, var å ta utgangspunkt iMaslows behovspyramide. De grunnleggendebehovene definisjonen peker på, kan knyttes til deto nederste trinnene i behovspyramiden – fysiolo-giske behov og trygghetsbehov (som også omfat-ter orden og stabilitet). Maslows teori var iutgangspunktet knyttet til menneskets psykolo-giske behov i en selvrealiseringsprosess. Teoriener imidlertid også blitt brukt i organisasjonsteoriog samfunnsfag.12

Etter å ha identifisert de grunnleggende beho-vene/grunnleggende verdiene som må beskyttes,vil det neste steg være å identifisere hvilke sam-funnsfunksjoner som er kritiske for å dekke dissebehovene. Disse funksjonene vil da utgjøre detsom omtales som kritiske samfunnsfunksjoner.Ulike kriterier kan legges til grunn for identifise-

ring av kritiske samfunnsfunksjoner. DSB har i sinrapport Samfunnets kritiske funksjoner (KIKS)avgrenset identifiseringen til de mest tidskritiskefunksjonene. Det vil si de som får umiddelbarenegative konsekvenser for befolkningen selv vedkortvarig svikt. DSB har lagt til grunn følgendeforutsetninger for operasjonaliseringen av begre-pet:13

– Avgrensning i tid: Begrepet kritisk samfunns-funksjon skal forbeholdes funksjoner som sam-funnet ikke kan klare seg uten i syv døgn utenat dette truer grunnleggende behov.

– Kontekstuelle forutsetninger: Vurderingen aven funksjons kritikalitet baseres på konsekven-ser om bortfall skjer på ugunstige tidspunkt, ogat det kan være et ugunstig sammenfall av hen-delser. Det forutsettes med andre ord at uøn-skede hendelser inntreffer.

DSB har, basert på disse kriteriene, sortert funk-sjonene i fire behovskategorier:

– Nasjonal styringsevne og suverenitet– (1) nasjonal styring, (2) forsvar

– Befolkningens sikkerhet– (3) lov og orden, (4) helse og omsorg, (5)

redningstjenester, (6) sikkerhet mot ekspo-nering av farlige stoffer, (7) informasjons-sikkerhet, (8) overvåkning av naturfarer

– Befolkningens velferd– (9) matforsyning, (10) vann og avløp, (11)

sosiale ytelser og tjenester, (12) finansielletjenester, (13) energiforsyning, (14) elek-tronisk kommunikasjon, (15) transport,(16) satellittbaserte tjenester

– Kultur og natur– (17) vern av kulturelle verdier, (18) vern

mot forurensning

Hvilke samfunnsfunksjoner som vil anses for kri-tiske, avhenger både av hvilke verdier/behov somlegges til grunn for vurderingen og hvilke krite-rier som legges til grunn for vurdering av kritikali-tet.

I KIKS-rammeverket er den funksjonsevnende ulike samfunnsfunksjonene må opprettholdebeskrevet som kapabiliteter. Kapabilitetene giruttrykk for hva ansvarlige virksomheter skal værei stand til for at samfunnsfunksjonen skal være iva-

12 Abraham Maslow, «A Theory of Human Motivation»,Psychological review 50:4 (1943), 370.

13 Direktoratet for samfunnssikkerhet og beredskap, Samfun-nets kritiske funksjoner: Hvilken funksjonsevne må samfun-net opprettholde til enhver tid?, Høringsutgave september2015, 20.


retatt. DSB skiller mellom tre ulike kapabilite-ter:14

– Kontinuitetskapabiliteter: Evne til å opprett-holde leveranser fra virksomheter med sam-funnskritisk betydning uansett hva som måtteinntreffe

– Sikkerhetskapabiliteter: Evne til å opprettholdeakseptabelt sikkerhetsnivå i virksomheter sompotensielt kan anrette skade på liv og helse,miljø eller tap av andre samfunnsmessige ver-dier

– Beredskapskapabiliteter: Evne til å iverksetteforhåndsplanlagte aktiviteter når det oppståren ekstraordinær situasjon

Befolkningens grunnleggende behov dannerutgangspunktet for å definere kritiske samfunns-funksjoner. Disse funksjonene kan igjen operasjo-naliseres i ulike kapabiliteter, henholdsvis konti-nuitets-, sikkerhets- eller beredskapskapabiliteter.

En ytterligere operasjonalisering vil i henholdtil DSBs rapport være å beskrive nødvendige leve-ranser eller innsatsfaktorer for at kapabiliteteneskal ivaretas. En slik kartlegging av verdikjedenbak hver kapabilitet med vurdering av sårbarhetog avhengigheter, er nødvendig for å ha tilstrek-

kelig oversikt og kontroll over samfunnsfunksjo-nene. Infrastruktur kan for eksempel være pro-duksjonsanlegg, transformatorer, kraftnett og lig-nende som trengs for å understøtte energiforsy-ning og kjernenett, transportnett og svitsjer forunderstøttelse av elektronisk kommunikasjon.Innsatsfaktorer kan være personell (arbeidskraft,kompetanse, etc), kapital, naturressurser o.l.

De innsatsfaktorer som en virksomhet medkritisk samfunnsfunksjon er avhengig av for åkunne dekke samfunnets grunnleggende behov,betegnes som kritiske innsatsfaktorer.

På samme måte vil infrastruktur som er nød-vendig for understøttelse av kritiske samfunns-funksjoner betegnes som kritisk infrastruktur.Infrastrukturutvalget definerer kritisk infrastruk-tur på følgende måte:

Kritisk infrastruktur er de anlegg og systemersom er helt nødvendige for å opprettholde sam-funnets kritiske funksjoner som igjen dekkersamfunnet grunnleggende behov og befolknin-gens trygghetsfølelse.15

Systematikk for kartlegging og identifisering avkritisk infrastruktur vil bli redegjort nærmere for ikapittel 7 og 9.

For å sikre ivaretakelse av samfunnets grunn-leggende behov og opprettholdelse av kritiskesamfunnsfunksjoner, er det nødvendig å iverk-sette visse sikkerhetstiltak. Dels er det nødvendigå sørge for en tilfredsstillende sikring av den infra-strukturen som er avgjørende for opprettholdelseav funksjonalitet. Dels må informasjon av avgjø-rende betydning for de samme funksjonene sikresogså av hensyn til konfidensialitet, integritet og til-gjengelighet.

4.2.3 Rikets sikkerhet og vitale nasjonale sikkerhetsinteresser

I dagens sikkerhetslov er verdibegrepet først ogfremst knyttet til i hvilken grad truslene kanskade rikets sikkerhet. Fokuset i dagens lov ermed andre ord hvilke skadefølger kompromitte-ring av skjermingsverdig informasjon vil få forNorges eller dets alliertes sikkerhet, forholdet tilfremmede makter eller andre vitale nasjonale sik-kerhetsinteresser, jf. sikkerhetsloven § 11.

Det samme gjelder for skjermingsverdigeobjekter, hvor verdien indirekte er beskrevet gjen-nom de skadefølger redusert funksjonalitet, ska-

14 Ibid., 21.

Figur 4.4 Kritiske samfunnsfunksjoner.

Befolkningens grunnleggende behov er utgangspunktet for ådefinere kritiske samfunnsfunksjoner, som kan operasjonalise-res i kapabiliteter. Disse er avhengige av infrastrukturer oginnsatsfaktorer for å fungere.Kilde: DSB, Samfunnets kritiske funksjoner – Hvilken funksjons-evne må samfunnet opprettholde til enhver tid? Høringsutgaveseptember 2015.

Befolkningens grunnleggende behov

Kritiske samfunnsfunksjoner

Kapabiliteter

Infrastrukturer Innsatsfaktorer

15 NOU 2006: 6, Når sikkerheten er viktigst: Beskyttelse av lan-dets kritiske infrastrukturer og kritiske samfunnsfunksjoner.


deverk, ødeleggelse eller rettsstridig overtakelse,vil kunne få for rikets selvstendighet og sikkerhetog for andre vitale nasjonale sikkerhetsinteresser,jf. sikkerhetsloven § 17a.

Dagens sikkerhetslov benytter i formålsbe-stemmelsen begrepsapparatet «rikets selvstendig-het og sikkerhet og andre vitale nasjonale sikker-hetsinteresser», jf. sikkerhetsloven § 1 første leddbokstav a. Begrepene er ikke nærmere definert iloven. Hva gjelder begrepet «rikets sikkerhet» føl-ger det av lovens forarbeider at:

Med «rikets... sikkerhet» siktes både til riketsindre og ytre sikkerhet. Begrepet er for øvrigen utpreget rettslig standard som kan forandreseg med samfunnsutviklingen. Departementetser ikke i lovforslaget her grunn til å søke å pre-sisere begrepet utover det som allerede erantatt på bakgrunn av andre rettskilder (juri-disk teori, domstolspraksis, forarbeider tilandre lover, forvaltningspraksis, mv).16

Forarbeidene beskriver «vitale nasjonale sikker-hetsinteresser» som et samlebegrep som dekkersamtlige felter innenfor rikets totale sikkerhetsbe-hov. Begrepet skal til enhver tid vurderes og defi-neres av overordnede politiske myndigheter. Ter-skelen for å anse noe for å true slike interesser imedhold av sikkerhetsloven vil være høy, og detunderstrekes at begrepet kan endres i pakt medsamfunnsutviklingen og de sikkerhetsmessigeutfordringer som Norge til enhver tid står overfor.

Infrastrukturutvalget la i sin utredning føl-gende forståelse av begrepene til grunn:

Det følger av ovennevnte at begrepene «riketssikkerhet» og «vitale nasjonale interesser» tilsammen skal dekke samfunnets totale sikker-hetsinteresser, slik de defineres på bakgrunnav de sikkerhetsutfordringene Norge tilenhver tid står overfor. Samtidig er det viktig atterskelen for å anse noe for å true «rikets sik-kerhet» og «vitale nasjonale interesser» skalvære høy.

[…] I denne utredningen favner begrepene«rikets sikkerhet» og «vitale nasjonale interes-ser» sikringen av landets kritiske infrastrukturog kritiske samfunnsfunksjoner.17

Til tross for at forarbeidene til sikkerhetslovenklart forutsetter at begrepene rikets sikkerhet og

vitale nasjonale sikkerhetsinteresser er rettsligestandarder, som vil kunne endres i takt med sam-funnsutviklingen, og at senere utredninger harlagt til grunn at begrepene omfatter noe mer ennstatssikkerhet i snever forstand, er det i dag for-skjellige oppfatninger av det nærmere innholdet idisse begrepene.

4.2.4 Grunnleggende nasjonale interesser

Straffelovens kapittel 17 omhandler vern av Nor-ges selvstendighet og andre grunnleggendenasjonale interesser. I Straffelovkommisjonensdelutredning VIII18 foreslo kommisjonen å samle iet nytt kapittel 17 alle straffebestemmelsene omrikets sikkerhet og grunnleggende nasjonaleinteresser, som tidligere fantes i 8de Kapitel, For-brydelser mod Statens Selvstændighed og Sikker-hed og 9de Kapitel, Forbrydelser mod NorgesStatsforfatning og Statsoverhoved. Det nye kapit-tel 17 ble foreslått å omfatte ni typer krenkelser:

1. Krenkelse av Norges selvstendighet og fred2. Krenkelse av Norges statsforfatning3. Angrep på de høyeste statsorganers virksom-

het4. Inngrep overfor andre samfunnsinstitusjoner5. Landssvik6. Ulovlig etterretningsvirksomhet7. Avsløring av statshemmelighet8. Avtale om krenkelse av Norges selvstendighet

og forfatning, freden og andre grunnleggendenasjonale interesser

9. Privat militær virksomhet

Kommisjonen viste i sin utredning til at straffebu-dene i 8de og 9de Kapitel relaterte seg til Grunn-lovens bestemmelser om statsforfatningen ogrikets selvstendighet og udelelighet. Fanebestem-melsene var § 83 som vernet Norges statsrettsligestilling og statsområde, og §§ 98 og 99 som vernetstatsforfatningen og de øverste statsmaktene. Deøvrige straffebudene i kapitlene kunne i storutstrekning ses i forlengelsen av disse bestemmel-sene, ved at de vernet freden eller mot særligetrusler i krig eller når krig truer, eller mot farersom ellers kunne true rikets indre eller ytre sik-kerhet.19

Under drøftelsen av hvilke interesser somburde vernes etter straffebestemmelsene i detnye kapittelet, konkluderte kommisjonen med atdet bare er de grunnleggende nasjonale interes-

16 Ot.prp. nr. 49 (1996–97) Om lov om forebyggende sikker-hetstjeneste (sikkerhetsloven).

17 NOU 2006: 6.

18 NOU 2003: 18, Rikets sikkerhet, 71.19 Ibid., 72–73.


ser som burde omfattes av straffelovens bestem-melser til vern om rikets sikkerhet i vid forstand:

Under enhver omstendighet finner utvalget atvernet mot innhenting og avsløring av hemme-lige opplysninger, ikke bør begrenses tilinteresser som gjelder rikets sikkerhet i tradi-sjonell forstand, men at også grunnleggendenasjonale interesser ellers bør omfattes. Vedsiden av forholdet til andre stater, herunder for-handlingsposisjoner, er det nærliggende åfremheve de interesser som er knyttet til infra-strukturen, energi-, mat- og vannforsyning,samferdsel og telekommunikasjon, helsebe-redskap, bank- og pengevesen og andre sam-funnsøkonomiske forhold, […]20

I Justis- og beredskapsdepartementets forarbei-der til ny straffelov sa departementet seg enigmed kommisjonen i at vernet mot ulovlig etterret-ningsvirksomhet burde utvides fra å gjelde riketssikkerhet til grunnleggende nasjonale interesser.21

Begrepet grunnleggende nasjonale interesserhar også erstattet rikets sikkerhet i utlendings-

loven.22 I forarbeidene til utlendingsloven hardepartementet gitt følgende begrunnelse forendringsforslaget:

Begrepet «grunnleggende nasjonale interes-ser» er et mer dekkende begrep som klarerereflekterer hvilke interesser man ønsker åbeskytte. Begrepet «rikets sikkerhet», i alle falltolket i snever eller tradisjonell forstand, er noeutdatert ut fra den senere tids utvikling, særligi forhold til terrorvirksomhet, der hensiktenikke alltid er å ramme rikets sikkerhet somsådan, men like mye å skape frykt i sivilbefolk-ningen, eller å inspirere eller motivere tilekstremistiske handlinger, uten at konkretehandlinger er begått. Begrepet «grunnleg-gende nasjonale interesser» må tolkes i lys avden generelle samfunnsutviklingen ogendringer i det internasjonale trusselbildet, oghar en dynamisk karakter.23

Evalueringsutvalget for Stortingets kontrollutvalgfor etterretnings-, overvåknings- og sikkerhetstje-neste, som overleverte sin rapport til Stortinget29. februar 2016, uttalte følgende om begrepetnasjonal sikkerhet:

Rikets eller nasjonens sikkerhet omfatter flerefelt. For det første nasjonal suverenitet og her-redømme over landets territorium til lands, tilsjøs og i luften. Et annet viktig felt er vern avdet politiske styresettet, altså Norges demokra-tiske system og institusjoner. I tillegg kommerbeskyttelse av andre viktige fysiske og digitalesamfunnsstrukturer. Disse beskyttelsesver-dige interessene er blant annet vernet gjennomstraffelovens bestemmelser om vern av Nor-ges selvstendighet og andre grunnleggendenasjonale interesser, samt bestemmelsene omstraff for terrorhandlinger og terrorrelatertehandlinger. 24

4.3 Trusler mot nasjonal sikkerhet

Nasjonal sikkerhet handler om å verne nasjonensverdier mot trusler. En trussel er en mulig uøn-sket handling som kan gi en negativ konsekvensfor en virksomhets sikkerhet.25 En trussel mot

20 Ibid.21 Ot.prp. nr. 8 (2007–2008), om lov om endringer i straffelo-

ven 20. mai 2005 nr. 28 mv. (skjerpende og formildendeomstendigheter, folkemord, rikets selvstendighet, terror-handlinger, ro, orden og sikkerhet, og offentlig myndig-het).

Boks 4.1 Grunnleggende nasjonale interesser

Grunnleggende nasjonale interesser er omtalti ny straffelov kapittel 17. I lovens § 121 ometterretningsvirksomhet mot statshemmelig-heter, er grunnleggende nasjonale interessernærmere beskrevet i bokstav a-f:

a. forsvars-, sikkerhets- og beredskapsmes-sige forhold,

b. de øverste statsorganenes virksomhet, sik-kerhet eller handlefrihet,

c. forholdet til andre stater, d. sikkerhetsopplegg for fremmede staters

representasjon og ved større nasjonale oginternasjonale arrangementer,

e. samfunnets infrastruktur, så som mat-,vann- og energiforsyning, samferdsel ogtelekommunikasjon, helseberedskap ellerbank- og pengevesen, eller

f. norske naturressurser.

22 Lov 15. mai 2008 nr. 35 om utlendingers adgang til riket ogderes opphold her (utlendingsloven).

23 Ot.prp. nr. 75 (2006–2007) om lov om utlendingers adgangtil riket og deres opphold her (utlendingsloven).

24 Dok. 16 (2015–2016), 33.


nasjonal sikkerhet vil kunne ha negativ konse-kvens for de grunnleggende nasjonale interesser.

Vern mot trusler oppnås gjennom entendirekte eller indirekte påvirkning. Direkte påvirk-ning av trusselen oppnås ved å håndtere, fjerneeller nøytralisere den. Dette kan gjøres ved brukav maktmidler, eller ved å påvirke holdninger ogstrategi gjennom økonomisk påvirkning, kommu-nikasjon og diplomati, eller en kombinasjon avslike faktorer. Indirekte påvirkning av trusselenkan gjøres ved å endre kost/nytte-vurderingenhos en potensiell trusselaktør. Dette kan innbe-fatte alle virkemidler som kan bidra til å sannsyn-liggjøre overfor potensielle trusselaktører at sik-ringsnivået er høyt nok til å forhindre at uønskedehandlinger kan utøves uten uforholdsmessig høyinnsats og risiko for å mislykkes.

I en trusselvurdering foretas en vurdering avtrusselaktørenes intensjoner og kapasiteter. Deter Etterretningstjenesten og Politiets sikkerhets-tjeneste (PST) som har ansvar for å foreta trus-selvurderinger for Norge og norske interesser iutlandet. Etterretningstjenesten har ansvar forutenlandsetterretning, mens PST har ansvar forinnlandsetterretning. Nasjonal sikkerhetsmyndig-het utgir også årlige vurderinger av sikkerhetstil-standen, inkludert rapporter med spesielt fokuspå trusler i det digitale domenet. Disse dokumen-tene utgjør grunnlaget for statens sikkerhetsar-beid, og gjennom de åpne trusselvurderingene vilhele samfunnet kunne nyttiggjøre seg vesentligedeler av denne informasjonen.

En trussel mot nasjonal sikkerhet kan kommei form av for eksempel ulovlig etterretningsvirk-somhet, sabotasje, svindel, vold, økonomiskpress, politisk press, annet press, menneskehan-del, annen kriminalitet, cyberangrep og militæreangrep i en eller annen form. Vi lever i et informa-sjonssamfunn som er i rask utvikling. Det er der-for knyttet spesiell spenning til hvordan trusler icyberdomenet vil arte seg og utvikles.

I tillegg til trusseltypene som er nevnt ovenfor,kan handlinger som skjer uten intensjon om å for-årsake negative konsekvenser for en annen partforårsake betydelig skade i samfunnet og ogsåfalle inn under definisjonen av en trussel. Dennetypen trusler faller imidlertid utenfor utvalgetsmandat som er avgrenset til tilsiktede uønskedehandlinger. Denne typen trusler kan imidlertidutnyttes av trusselaktører og blir således en sår-barhet for samfunnet. Dette er omtalt under kapit-tel 4.4.4.2.

4.3.1 Aktuelle trusler

4.3.1.1 Etterretningsvirksomhet og spionasje

Etterretning er en viktig kapabilitet for militæreog politiske formål. På strategisk nivå handleretterretning om å danne beslutningsgrunnlag forlandets øverste ledelse. Etterretning omfatter inn-samling, sammenstilling, analyse og tolkning avinformasjon. Etterretning for militære og sikker-hetspolitiske formål gjennomføres blant annet forå skaffe til veie informasjon om en motstandersstrategier og planer, militære kapasiteter, og for åkartlegge sårbarheter som kan utnyttes til egenfordel i en eventuell konflikt. Sårbarhetene kanvære av organisatorisk, teknisk eller menneskeligkarakter. Dette kan være informasjon om politiskeforhold, teknologi og vitenskap, økonomi, indus-tri, kommunikasjon, kraftforsyning, sosiale for-hold, enkeltpersoner og annet. Slik kunnskap eravgjørende for hvordan forløpet, og dermed ogsåutfallet, av en konflikt blir. Etterretning fra frem-mede stater er i så måte en indirekte trussel motet lands interesser, ved at innsamlingen dannergrunnlaget for en eventuell vellykket gjennomfø-ring av direkte trusler (slik som sabotasje) i enpotensiell konfliktsituasjon. I mange sammenhen-ger kan innsamling av slik informasjon væreavgjørende for å unngå at konflikter eskalerer.

Etterretning benyttes også for å få kunnskapog teknologi som kan benyttes for å videreutvikleegne kapabiliteter, enten i form av doktrine ellermateriell. Etterretning har både sikkerhetspoli-tiske og militære anvendelse, men benyttes ogsåfor rent sivile formål som kan bidra til økt økono-misk vekst, økt konkuranseevne på internasjonalemarkeder, eller på andre måter gi velstandsutvik-ling. Mye etterretning innhentes gjennom åpnekilder eller andre lovlige midler. Informasjon somen part vurderer å være skjermingsverdig vil somregel være underlagt en eller annen form forbeskyttelse/skjerming. For å få tak i slik informa-sjon vil etterretning baseres på fordekte og somregel ulovlige metoder. De fleste land innhenteretterretning utenlands, men bruken av kontrover-sielle eller ulovlige virkemidler vil variere fra stattil stat. Edvard Snowden vakte stor oppmerksom-het med sine lekkasjer til The Guardian og TheWashington Post i juni 2013 om amerikanskeNSAs (National Security Agency) innsamling avstore mengder data om egne borgere og en rekkeandre lands borgere og ledere, herunder allierte.

Avhengig av graden av beskyttelse vil en etter-retningsaktør benytte ulike virkemidler for å fåtak i informasjonen. Gjennom riktig verdivurde-ring av informasjon og dertil egnede sikkerhetstil-

25 NS 5830:2012, Samfunnssikkerhet: Beskyttelse mot tilsikteneunøskede hendelser, Terminologi.


tak, vil det kunne etableres en sammenheng mel-lom verdien av informasjon og ressursinnsatsensom en etterretningsaktør må benytte for å få tak iinformasjonen og risikoen forbundet med innhen-tingsmetoden. Dette vil påvirke kost-/nyttevurde-ringen til en etterretningsaktør for å klarlegge omdet vil være hensiktsmessig å gjøre forsøk på inn-henting eller ikke. Samtidig vil det ved manglendeverdivurdering oppstå risiko for at informasjonsom er avgjørende for en trusselaktør lett blir til-gjengelig. For at en verdivurdering skal bli riktig,er det nødvendig med forståelse for hvilken verdiulik informasjon har for ulike trusselaktører.

I Norge, som i alle andre land, er det ulovlig åbedrive etterretning mot statshemmeligheter ogmot hemmeligheter som har betydning for vårealliertes sikkerhet. Det er også ulovlig å driveetterretning mot sensitive personopplysninger ihenhold til straffeloven.

I dagens sikkerhetslov26 § 3 nr. 3 er ulovligetterretning omtalt som spionasje, og definertsom «innsamling av informasjon ved hjelp av for-dekte midler i etterretningsmessig hensikt».

Spionasje faller inn under fellesbetegnelsen«sikkerhetstruende virksomhet» som i dagenssikkerhetslov § 3 nr. 2 er definert som «forbere-delse til, forsøk på og gjennomføring av spionasje,sabotasje eller terrorhandlinger, samt med-virkning til slik virksomhet».

Det er også ulovlig å avsløre uautoriserte inn-samlede opplysninger (straffeloven27), og det stil-les krav til hvordan informasjon skal sikres og for-valtes for å unngå at slik informasjon kommer påavveie (sikkerhetsloven).

Ulovlig etterretningsvirksomhet kan være sik-kerhetspolitisk eller økonomisk motivert, og væreutført av stater, private aktører eller en kombina-sjon av disse. Teknologisk utvikling og økt digita-lisering av samfunnet gjør at digital industrispio-nasje er en økende utfordring. Internasjonalcyberspionasje truer verdiskapingspotensialet ogutgjør store økonomiske kostnader årlig. I 2013ble Telenor utsatt for omfattende og målrettetindustrispionasje. Datamaskiner ble tømt for alledata, inkludert e-post, passord og andre typer per-sonlige data. Nettangrepet tok også delvis styringover maskinene via fjernkontroll. Det er usikkerthvem som sto bak, men den avanserte programva-ren som ble benyttet tyder på høy kompetansehos trusselaktøren.28

PSTs vurderinger peker i retning av at uten-landske etterretningstjenester vil fortsette sittomfattende arbeid i og mot Norge også i tidenfremover. Deres mål er å få tilgang til sensitiv ogskjermingsverdig informasjon, påvirke politiske,økonomiske og forvaltningsmessige beslutningerog undersøke muligheter for å kunne saboterekritisk infrastruktur ved en eventuell fremtidigkonfliktsituasjon. PST mener flere staters etterret-ningstjenester vil fortsette å fokusere på norskpetroleumsvirksomhet, både private virksomheterog offentlige beslutningsinstitusjoner. Etterret-ningstrusselen mot Norge er særlig høy fra Russ-land, Kina og Iran som er mer utfyllende beskre-vet i kapittel 4.3.3.

Enkelte etterretningstjenester utfører informa-sjons-, påvirknings-, og propagandaoperasjoner iandre land for å svekke tilliten til myndigheteneeller skape motsetninger, særlig i perioder medpolitiske spenninger. PST påpeker at dette er noeNorge også må være forberedt på.

4.3.1.2 Sabotasje

Sabotasje er et begrep som oppsto i forbindelsemed de historiske arbeidskonfliktene i Frankrike.Det brukes om maktmiddel som er ment å setteproduksjonsapparat ut av spill eller på annen måtesette ned produksjonstempoet. I militær sammen-heng benyttes begrepet om lignende handlingersom motstandsgrupper utfører for å skade enokkupasjonsmakt eller kolonimakt, eller sommedløpere og spesielt utsendte sabotører foretar iforbindelse med et angrep mot et land.29

I dagens sikkerhetslov § 3 nr. 4 defineres sabo-tasje som:

tilsiktet ødeleggelse, lammelse eller drifts-stopp av utstyr, materiell, anlegg, eller aktivitet,eller tilsiktet uskadeliggjøring av personer,utført av eller for en fremmed stat, organisa-sjon eller gruppering

Forståelsen av sabotasje som legges til grunn idenne utredningen skiller seg noe fra definisjonenovenfor ved å ekskludere uskadeliggjøring av per-soner i form av drap og henrettelser. Uskadelig-gjøring av personell kan være ett virkemiddel for åoppnå ødeleggelse, lammelse eller driftsstopp avutstyr, materiell, anlegg eller aktivitet, men å

26 Lov 20. mars 1998 om forebyggende sikkerhetstjeneste(sikkerhetsloven)

27 Lov 20. mai 2005 nr. 28 om straff (straffeloven)

28 Per Anders Johansen, «Spionerte på Telenor-sjefer, tømteall e-post og datafiler», NRK, 17.03.2016.

29 «Sabotasje», Det store norske leksikon, https://snl.no/sabotasje


ramme mennesker er ikke primærhensikten medsabotasje. Her skiller sabotasje seg fra terrorismeog attentater. Utvalget legger derfor til grunn føl-gende definisjon av sabotasje:

Sabotasje er tilsiktet ødeleggelse, lammelseeller driftsstopp av utstyr, materiell, anlegg,eller funksjon, utført av eller for en fremmedstat, organisasjon, gruppering eller enkeltper-son

Lovlig og ulovlig etterretning vil ofte være avgjø-rende for en vellykket sabotasjeaksjon. Med godetterretning vil det være mulig å planlegge målret-tede aksjoner som vil påvirke motstanderen påønsket måte, uten andre utilsiktede konsekvenser.Muligheten for å gjennomføre en sabotasjeaksjonvil være avhengig av tilgangen til objektet ellerrelevant infrastruktur. Dette kan være fysisk til-gang eller fjernaksess.

Et nylig eksempel på en sabotasjeaksjon motkritisk infrastruktur er eksplosjonene mot strøm-forsyningslinjene til Krimhalvøya. I november2015 ble strømforsyningene til Krimhalvøya, som i2014 ble annektert av Russland, brutt som følge avat strømforsyningslinjene fra Ukraina til Krim bleødelagt av eksplosjoner. Russiske medier hevderat ukrainske patrioter sto bak sabotasjeaksjonensom førte til unntakstilstand og at nærmere to mil-lioner mennesker var uten strøm.30

Sabotasjeaksjoner mot infrastruktur og objek-ter kan også gjennomføres ved hjelp av digitalevirkemidler. Allerede så tidlig som i 1982 ble enrussisk gassledning i Sibir sprengt gjennom endigital sabotasjeaksjon. CIA hadde plantet datako-der i teknologiske komponenter i systemet somgjorde det mulig å overbelaste gassledningen tilden eksploderte. Sprengningen var en del av enstørre aksjon gjennomført av CIA og FBI på 1980-tallet hvor formålet var å sabotere software somskulle til Sovjetunionen for å hindre overføringenav teknologi.31 To dager før krigen mellom Russ-land og Georgia startet i 2008 ble rørledningersom frakter olje fra Det kaspiske hav, gjennom

Aserbajdsjan og Georgia til den tyrkiske middel-havskyst, rammet av en eksplosjon. Eksplosjonenfant sted ved Refahiye i det østlige Tyrkia. Dentyrkiske regjering hevdet først at eksplosjonenskyldtes teknisk feil. Kurdistans arbeiderparti –Partîya Karkeren Kurdîstan (PKK) tok også påseg skylden for å stå bak eksplosjonen. Senereetterforskning peker derimot på at eksplosjonenble utløst av et cyberangrep mot ledningenes kon-troll- og sikkerhetssystem. Før eksplosjonenhadde hackere slått av alarmer og kuttet kommu-nikasjonen. Dette gjorde at ingen detektorer fan-get opp at trykket i røret økte kraftig frem til rør-ledningen eksploderte. 60 timer med overvåk-ningsvideoer ble også slettet av hackere. Etter-forskningen viste at det var overvåkningskamera-ene selv som var inngangen til systemet somhackerne hadde benyttet. Statoil var med på åbygge rørledningen og har eierandeler i lednin-gen.32

Den kanskje mest avanserte og ødeleggendecybersabotasjeaksjonen kjent så langt er Stuxnet-viruset som rammet Irans atomprogram i 2010.Viruset angrep det digitale styringssystemet oggjorde at sentrifugene for anrikning av uran spantut av kontroll og ble ødelagt. Angrepet antas å hasatt Irans atomprogram to år tilbake i tid.33

4.3.1.3 Terrorhandlinger

Begrepet terror er videre og omfatter mer enn ter-rorisme. Terrorbegrepet har en glidende over-gang mot sabotasje som i sin reneste form hand-ler om å angripe installasjoner og objekter, sna-rere enn å drepe mennesker. Terrorhandlingerdefineres i dagens sikkerhetslov som «ulovligbruk av, eller trussel om bruk av, makt eller voldmot personer og eiendom, i et forsøk på å leggepress på landets myndigheter eller befolkningeller samfunnet for øvrig for å oppnå politiske,religiøse eller ideologiske mål.» Denne formule-ringen inkluderer både sabotasje brukt i terrorøy-emed og terrorisme.

Terrorhandlinger har en politisk dimensjonfordi de er innrettet mot å påvirke styresmakteneog befolkningen gjennom å skape frykt. Ikke-stat-lige aktører, som terrorgrupper, forholder segikke til konvensjoner på samme måte som stater,og deres maktbruk er preget av en høy grad av

30 Morten Jentoft, «Sprengte strømmaster – to millioner påKrim uten strøm», Urix, 22.11.2015.

31 Aksjonen ble iverksatt etter at CIA fikk informasjon av enKGB-avhopper om at Sovjetrusserne over tid hadde stjåletvestlig teknologi. Avhopperen ga fra seg en liste over tek-nologi som var på Sovjets ønskeliste. Teknologi ble solgt tilSovjet med endrede komponenter Aksjonen ble først kjent i1996 etter deklassifiseringen av de såkalte «Farewell Dos-sier» dokumentene, som var overlevert av en KGB-avhop-per. Kim Zetter, Countdown to zero Day. Stuxnet and thelaunch of the first digital weapon. (New York: Crown Publis-hers, 2014).

32 Jordan Robertson og Michael Riley, Bloomberg Techno-logy, «Mysterious ’08 Turkey Pipeline Blast Opened NewCyberwar», http://www.bloomberg.com/news/articles/2014-12-10/mysterious-08-turkey-pipeline-blast-opened-new-cyberwar (oppsøkt 03.04.2016).

33 Kim Zetter 2014.


asymmetri. Dette gjør at terrorhandlinger ofte ret-tes mot myke mål med lav beskyttelsesgrad, sliksom sivilbefolkningen. Potensielle mål kan værekollektivtransport, kultur og idrettsarrangemen-ter og andre store folkeansamlinger, representan-ter for staten, politi og beredskapspersonell ellerinfrastruktur med høy symbolverdi. Majoritetenav terrorangrep i 2013–2014 var rettet mot sivileog denne trenden ser ut til å øke. Etter sivile ogderes eiendom var de fleste angrep rettet motmilitæret, politiet, næringsliv, styresmakter ogreligiøse mål.34

De terrorhandlinger man har sett i Europa inyere tid skiller seg fra tidligere bølger av terror-angrep fra grupperinger som IRA, ETA og RAF,som hadde som mål å fremme politiske krav, mensamtidig begrense skadeomfanget for å beholdeen viss folkelig støtte. Tidligere var normen at ter-rorgrupper hadde en nasjonal eller regionalagenda. Nå er terrorisme oftere internasjonal ellerglobal i sitt utsyn, selv om regional terrorismevedvarer. Videre var den tradisjonelle terrorismensjeldnere opptatt av å gjennomføre massedrap påflest mulige sivile. Noe av endringen skyldes denallmenne tilgangen på informasjon om fremstil-ling av eksplosiver og bomber, kombinert medden økte muligheten internett og sosiale mediergir til kontrollert formidling av bilder, film ogannen informasjon fra terrorhandlinger. Dagensterrorister søker oftere større tap av liv, og simul-tane operasjoner for å gi inntrykk av stor slag-kraft.

Samtidig har man de senere år sett flereeksempler på mindre aksjoner eksempelvis angre-pene mot synagogen og Krudttønden i Køben-havn (2015), det jødiske museet i Brussel og iWoolwich i London. I tillegg var 22. juli-angrepenei Norge tidenes mest brutale soloterroraksjon dadet skjedde. Sett under ett ble disse gjennomførtav små grupper eller enkeltpersoner som er inspi-rert av ulike ideologiske retninger som høyreek-stremisme eller voldelig jihad. Aksjonene ble gjen-nomført i en tid da flere større terroraksjoner varblitt avverget av sikkerhetsmyndighetene. Det harvært en økt innsats i etterretning og mottiltak motslike angrep, noe som også sannsynligvis har hatten viss avskrekkende effekt. Samtidig har det iterrornettverk blitt oppfordret til soloterrorismefor å unngå å bli avslørt av etterretningsmiljøer.Effekten av terrorhandlinger går langt utover

tapene av menneskeliv og materielle skader ved athandlingene skaper allmenn frykt i befolkningenog kan gjøre at styresmakter handler annerledesenn de ellers ville ha gjort.

4.3.1.4 Trusler i det digitale rom

Samfunnets økte avhengighet av IKT-baserteinformasjonssystemer fører med seg alvorlige sår-barheter mot trusler i det digitale rom. Den økteavhengigheten av internett gjør at nettverksba-serte angrep kan ha omfattende skadevirkningerog har potensiale til å nå hele spekteret av norskeinteresser. Trusselaktører i det digitale rom inklu-derer fremmede stater og ikke-statlige aktørersom utfører nettverksbaserte etterretningsopera-sjoner, organiserte kriminelle, hacktivister og ter-rorister. Metodene som benyttes blir stadig meravanserte og målrettede.35 I NATO benyttesComputer Network Operations (CNO) som ensamlebetegnelse for Computer Network Attack(CNA), Computer Network Exploitation (CNE)og Computer Network Defence (CND). I Norgeoversettes CNO med datanettverksoperasjoner,eller operasjoner i det digitale rom. Regjeringenavgjør om et cyberangrep mot Norge eller norskeinteresser skal anses som et væpnet angrep. Slikehendelser skal ifølge Forsvarsdepartementetscyber-retningslinjer håndteres av departementet.Forsvaret kan for øvrig gi bistand til sivile myndig-heter etter anmodning i henhold til Instruks forForsvarets bistand til politiet.

Truslene i det digitale rom handler i stor gradom informasjon: stjele informasjon, endre infor-masjon eller plante informasjon, eller forhindreoverføring av informasjon/kommunikasjon. Trus-lene kan blant annet ramme store informasjons-systemer som inneholder sensitive opplysninger,kommando og kontrollsystemer for krisehåndte-ring og beredskap, styrings- kontrollsystemer forsamfunnsviktige funksjoner og finansiellesystemer. Trusselen er generell og alle digitalesystemer er utsatt, men trusselen kan også rettesmot enkeltindivider eller spesifikke funksjoner/objekter.

Nettverksbaserte etterretningsoperasjoner frafremmede stater mot offentlige myndigheter ogvirksomheter skjer løpende og representerer enalvorlig trussel mot viktige nasjonale sikkerhets-interesser. Slike nettbaserte etterretningsopera-sjoner kan være et kostnadseffektivt alternativ tiltradisjonell spionasje. Særlig Russland og Kina er

34 Institute for Economics & Peace, Global terrorism index2015: Measuring and understanding the impact of terrorism,IEP report 36 (New York: Institute for Economics & Peace,2015), 35.

35 Nasjonal sikkerhetsmyndighet, Helhetlig IKT-risikobilde2015, 28–30.


stater med stor offensiv kapasitet i det digitaledomenet. Flere forsøk på nettverksbaserte etter-retningsoperasjoner mot Norge og norske interes-ser har de siste årene blitt avdekket. Sommeren2014 ble norsk olje- og energisektor utsatt foromfattende spionasjeangrep. Det er også grunn tilå tro at angrep foregår uten å bli oppdaget.

Datanettverksoperasjoner er en forholdvis nykapabilitet som kan anvendes stadig mer målbe-visst og effektivt i konflikter, og flere stater harstartet programmer for å utvikle slike kapasiteter.Estland opplevde i 2007 det som ofte omtales somden første cyber-krigen. Et massivt cyberangrepmot offisielle nettsider, medier og viktige nettba-serte tjenester som banker pågikk i tre uker.Cyberangrepet og demonstrasjoner i gatene varen protest mot en planlagt flytting av et sovjetiskkrigsminnemonument. Virkningen av angrepetvar at landets største bank måtte stenge alle nett-banktjenester og at all internasjonal nett-trafikkble stoppet. Dette førte med seg stor økonomiskskade. Også under krigen i Georgia i 2008 bleoffensive cyberkapasiteter brukt, og det har værten markant økning i cyberangrep i forbindelsemed Ukraina-konflikten. I januar 2016 ble datasys-temene på Kievs hovedflyplass angrepet og detspekuleres om det var den såkalte BlackEnergy-skadevaren som rammet flere kraftleverandører iUkraina i desember 2015. Dataangrepet gjorde at80 000 personer var uten strøm i seks timer, og vari så måte banebrytende. Metoder som benyttes icyber-angrep er ressurskrevende å utvikle og deter så langt ikke avdekket alvorlige tilfeller av atterrorgrupper bruker slike metoder. Likevel kanman ikke utelukke at cyberterrorisme kan bli enøkende trussel i fremtiden, tatt i betraktning ter-rorgrupperingers økte bruk av internett til foreksempel planlegging av terroraksjoner og propa-gandaformål.36

4.3.1.5 Hybrid krigføring og taktikker

Kombinasjonen av fordekte forsøk på destabilise-ring ved bruk av indirekte og ikke-militære verk-tøy sammen med konvensjonell krigføring, omta-les ofte som hybrid krigføring. Slik krigføring van-skeliggjør varsling og forberedelser. Hybrid krig-føring kjennetegnes av nøye planlagt og koordi-nert bruk av et bredt spekter av konvensjonelle ogukonvensjonelle virkemidler. Dette kan inkluderebruk av umerkede regulære styrker, informa-sjonsoperasjoner, spesialstyrker, cyberangrep,

økonomiske virkemidler og agitasjon til masse-opptøyer.

Begrepet hybrid krigføring har fått fornyetoppmerksomhet etter Ukraina-krisen. Russlandbrukte i Ukraina et vidt spekter av metoder til åsupplere konvensjonelle militære virkemidler,herunder destabilisering gjennom agenter og pro-paganda, informasjonskrig, cyberangrep og dra-matisk øking av gassprisen. Hybridkriger inne-holder en rekke ikke-kinetiske virkemidler, menuten kinetiske komponenter i bunnen vil slike tak-tikker i streng forstand snarere klassifiseres somdestabilisering enn krigføring. Her er det imidler-tid viktig å tydeliggjøre at bruk av tradisjonellemilitære virkemidler kan være elementer somoverhode ikke blir benyttet i de tidlige fasene aven konflikt, og avhengig av hvordan konfliktenarter seg, ikke nødvendigvis vil komme til bruk.Figur 4.5 viser et eksempel på hvordan ulike vir-kemidler kan bli benyttet i ulike faser i opptrappin-gen av en operasjon for å sikre effektiv måloppnå-else.

Hybride taktikker kjennetegnes ved at det ersvært vanskelig å spore og dokumentere hvemsom står bak et angrep, for eksempel kan detbenyttes proxy-aktører (stedfortredere). I krigs-handlinger har proxy-aktører blitt benyttet gjen-nom å støtte opprørsgrupper, kriminelle ellerandre grupper med våpen og ressurser.

Kriminalitet og terrorisme kan inngå i irregu-lær krigføring for å oppnå strategiske mål. Smug-lernettverk brukes også av statlige aktører for åbidra med våpen eller andre ressurser inn i kon-flikter. Karteller og kriminelle gjenger kan ha envoldskultur og kamperfaring som gjør dem tilrelevante aktører i hybrid krigføring. Bruk avukonvensjonelle strategier, metoder, taktikkereller handlemåter gjør det vanskelig å identifiserehvilken stat som står bak.37

Hybride krigføringstaktikker vil kunne inne-holde ulike former for fordekte operasjoner, entenhvor operasjonen selv er fordekt, eller operasjo-ner hvor identiteten til sponsoren bak er fordekt,for eksempel ved bruk av ikke-militært personell.

I tilfelle cyberangrep benyttes ofte front-sel-skaper for å gjøre det vanskelig å finne den reelleaktøren som står bak. Tyskland ble i 2015 rammetav en rekke dataangrep, blant annet mot parla-mentet og telekommunikasjon- og energiselska-per. Hackerangrepene ble regnet som spionasje

36 Nasjonal sikkerhetsmyndighet, Helhetlig IKT-risikobilde2015, 30.

37 Meld. St. 37 (2014–2015), Globale sikkerhetsutfordringer iutenrikspolitikken: Terrorisme, organisert kriminalitet,piratvirksomhet og sikkerhetsutfordringer i det digitale rom,26.


siden formålet var å skaffe seg informasjon. Deter svært vanskelig å spore hvem som står bakslike angrep. I mai 2016 uttalte den tyske etterret-ningstjenesten BFV at de hadde bevis for at hac-kergruppene skal ha hatt tette bånd til den rus-siske staten. De samme gruppene skal angiveligogså ha stått bak angrep mot polske statsansatte i2014 og den franske TV-kanalen TV5. 38

I de senere år har det særlig vært fokus påaktiv fordekt bruk av mediene som en del av krig-føringen eller det sikkerhetspolitiske spillet. Dethar vært antydet av Russland benyttet et stortantall personer som en del av sitt strategiske kom-munikasjonsapparat under Ukraina-krisen. Russ-land kombinerte bruk av TV, radio, aviser og sosi-ale medier. De kombinerte bruk av offisiell infor-masjon fra statsapparatet, koordinerte informa-sjonskampanjer fremstilt som journalistikk ogaktører som fremsto som en del av opinionen. Detble benyttet kommunikasjonskanaler internt iRussland, men også i en rekke andre land iEuropa og Nord-Amerika.

Storbritannia har gått ut med offisiell informa-sjon om at de har opprettet en enhet med et bety-delig antall personer som skal bedrive strategiskkommunikasjon i forbindelse med meningsdan-nelse av britisk og andre lands opinion.

Også ikke-statlige voldelige aktører har blittmer sofistikerte i sin mediebruk. Terrororganisa-sjonen Al-Qaida har i lengre tid anbefalt sine til-hengere å velge mål og taktikk som gir oppmerk-somhet i media. Media, særlig TV, har vært benyt-tet for å spre budskap som skal skape frykt ogmedføre politisk press i vestlige land. Terrororga-nisasjonen ISIL har ytterligere basert seg på stra-tegisk kommunikasjon for å spre sitt budskap,skape frykt, politisk press og rekruttering. Ikke-statlige aktørers bruk av mediene har imidlertidskilt seg fundamentalt fra det man har sett fraRussland ved at det først og fremst har vært tyde-lig kommunisert hvem som formidler budskapet,mens Russland i betydelig grad har brukt aktørerfordekt som for eksempel journalister eller sam-funnsengasjerte privatpersoner.

4.3.2 Dagens trusselbilde – trender og utsikter fremover

Nasjonal sikkerhet og det norske trusselbildet måses i en internasjonal kontekst. Klare globale ten-denser og markante enkelthendelser (som 9/11,22. juli og annekteringen av Krim) har skjerpetbevisstheten om at dagens trusselbilde er et annetenn det var da dagens sikkerhetslov trådte i kraft i2001. Nasjonale særegenheter og globale trendersetter rammene for Norges sikkerhetssituasjon.38 Camilla Wernersen, «Beskylder russere for dataangrep i

Tyskland», Urix, 13.05.2016.

Figur 4.5 Hybridkrig – eksempel på virkemiddelbruk.

Ved hybrid krigføring benyttes et bredt spekter av virkemidler for å oppnå en målsetting. Konflikten vil gjennomgå ulike faser dertradisjonelle militære virkemidler typisk kun vil bli benyttet dersom konflikten eskalerer.

Statensvirkemidler

Militære

Oppfatning Målsetting

FASE 1 FASE 2 FASE 3

Diplomatiske

Økonomiske

Energi

Informasjonsmessige

Sikkerhetsmessige

Cyber

= tiltak


4.3.2.1 Globale utviklingstrekk og strategisk stabilitet

Økende internasjonalisering gjør at globaleutviklingstrekk har stadig mer å si for det nasjo-nale trusselbildet. Den internasjonale sikkerhets-politiske situasjonen har blitt vesentlig endret iløpet av en relativt kort tidsperiode. Etter denkalde krigens slutt sto USA alene igjen som hege-mon i en unipolar verdensorden, der fredsproses-sen i Midtøsten og konfliktene på Balkan pregetinternasjonal sikkerhetspolitikk.

USAs internasjonale dominans har siden 90-tallet blitt svekket, samtidig som Asia har fått øktbetydning både økonomisk og militært. Det stra-tegiske spenningsnivået er høyt og tiltagende iAsia. Imidlertid inntreffer de viktigste skarpe kon-fliktene, som rokker global strategisk stabilitet, irandsonen av det europeiske kontinent med kri-gene i Irak, Libya, Syria og Ukraina som de frem-ste eksemplene. De siste tiårene har også enrekke svært voldelige konflikter fått eskalere dra-matisk på det afrikanske kontinent. I hovedsakhar de mange konfliktene i Afrika vært av begren-set betydning for norsk sikkerhet, men den nega-tive utviklingen etter krigen i Libya, samt angre-pet i In Amenas, viste at norske interesser kanrammes også i denne delen av verden.

Globalisering og internasjonalisering økerkontakten, sårbarheten og avhengigheten på tversav landegrenser. Ikke-statlige aktører, som organi-serte kriminelle nettverk og terroristgrupper, haralltid hatt en sentral rolle i det internasjonale sik-kerhetsbildet. Flere steder foregår det en økendeomfordeling av makt til disse aktørene på bekost-ning av statlige aktører på måter som påvirker densikkerhetspolitiske situasjonen i Vesten i negativretning (se kapittel 4.3.4.2). Svake stater, man-glende internasjonalt samarbeid for å bekjempefremveksten av internasjonale trusselnettverk,godt hjulpet at den teknologiske utviklingen sombidrar til å forenkle samhandling over storeavstander, er avgjørende faktorer for denne utvik-lingen. For eksempel i Somalia, Syria og Irak, harikke-statlige aktører styrket sin maktposisjon slikat myndighetenes suverenitet mer eller mindrehar brutt sammen. Denne omfordelingen av maktgjør at ikke-statlige aktører får større spillerom forå utøve ulike former for makt, og i større grad fårmulighet til å påvirke den internasjonaledagsorden.

Den globale teknologiutviklingen er et godesom samtidig fører med seg noen alvorlige oggrenseoverskridende utfordringer. Trusselaktø-rer i det digitale rom inkluderer fremmede stater

og ikke-statlige aktører. Metodene som benyttesblir stadig mer avanserte og målrettede. Den økteavhengigheten på tvers av land og sektorer gjør atnettverksbaserte angrep kan ha omfattendeskadevirkninger. Disse utviklingstrekkene harført til et mer sammensatt og mindre forutsigbarttrusselbilde. Denne usikkerheten er trolig et ved-varende trekk.

4.3.2.2 Norges særegenheter

Som en småstat er Norge avhengig av avtaler ogsamarbeid med andre stater. NATO-medlemska-pet spiller en nøkkelrolle i norsk sikkerhetspoli-tikk. Norge er avhengig av alliert støtte også ifremtiden, men denne støtten kan bli mer usikkerved at det amerikanske lederskapet er svakereenn før. Med manglende bidrag fra europeiskeland har man en vedvarende ubalanse i byrde-fordelingen internt i NATO. For å opprettholdealliert vilje til å bistå vil Norge også i fremtidenkomme til å måtte vise innsatsvilje gjennom inter-nasjonale bidrag.

Det er også en politisk målsetting for Norge åfremme fred og føre en engasjementspolitikk påfelter som utvikling, bistand, miljø, multilatera-lisme og menneskerettigheter.

Norges rike tilgang på naturressurser er etannet kjennetegn som påvirker Norge som inter-nasjonal aktør. Norge er den nest største ekspor-tøren av gass til det europeiske markedet, etterRussland. Norsk eksport av gass dekker rundt20 % av det europeiske forbruket. Norges rollesom strategisk energileverandør gir mer tyngdeinternasjonalt samtidig som det gjør landet mersårbart og eksponert for konflikter i fjerne områ-der enn tidligere. Trusselen mot norsk energipro-duksjon avhenger av den internasjonale situasjo-nen. Sikkerhetsutfordringene øker i perioder medkonflikt i vårt område og i andre områder i verdenhvor Norge, NATO eller mottakere av energi fraNorge er involvert. Hensikten bak potensielleangrep kan være å yte press mot Norge ellerandre land som er avhengig av energi fra Norge.Å kontrollere tilgangen til energi er et maktpoli-tisk virkemiddel, slik Russland har illustrert vedflere ganger å skru av gasstilførselen for å øvepolitisk press. Angrep kan altså komme som etresultat av konflikter der Norge i utgangspunktetikke er involvert,39 slik vi så i In Amenas-angrepeti 2013 hvor fem Statoil-ansatte mistet livet.

39 NOU 2000: 24 Et sårbart samfunn – Utfordringer for sikker-hets- og beredskapsarbeidet i samfunnet, 73.


Norge er en kyststat med havområder som ersyv ganger større enn landområdet. Norge har eninternasjonalt ledende maritim næring med skips-fart og eksport av fisk og petroleum blant våre vik-tigste inntektskilder. Dette bidrar til å gjøre nord-områdene til Norges viktigste strategiske ansvars-område. En hjørnestein i norsk nordområdepoli-tikk er å jobbe for at nordområdene forblir enregion preget av stabilitet og lav spenning.

Svært viktig i Norges geopolitiske kontekst ernærheten til Russland. Naboskapet til Russlandhar alltid vært et asymmetrisk forhold. Konseptetbastionforsvaret står sentralt i russisk sikkerhets-politikk i nordområdene. Dette innebærer at delerav norsk territorium er bak Russlands definerteforsvarslinje. I en periode hvor Russland forsøkerå gjenreise seg som stormakt, og øker sitt fokusmot nordområdene, er dette foruroligende forNorge og våre allierte.

Våre omgivelser er stadig i endring og det erikke nødvendigvis de hendelser som i dag pregernyhetsbildet og folks bevissthet som vil vise seg åha størst konsekvenser på lang sikt. Det er derforviktig å skille mellom dagsaktuelle hendelser oglangsiktige trender. Med dette i bakhodet er detlikevel viktig å se på generelle utviklingstrekk forå få indikasjoner på hvilke endringer som kan inn-treffe, og med hvilken grad av sannsynlighet detvil kunne skje. Dette kan danne utgangspunkt foren vurdering av hvilke trusler fra statlige og ikke-statlige aktører som vil ha betydning for det nasjo-nale sikkerhetsbildet fremover. De neste kapit-

lene vil ta for seg hvilke trusler Norge står overfori dag og i tiden fremover.

4.3.3 Trusler i form av statlige aktører

Etterretningstjenesten og PST er samstemt om atdet i dag ikke er noen konkret overhengende trus-sel om væpnet angrep mot Norge fra statlige aktø-rer. I henhold til Etterretningstjenesten er det sta-ter som i dag har kapasitet til å ramme Norge mili-tært, men det er ikke kjent at noen av de aktuellestatene har en intensjon om å angripe Norge. Glo-bale utviklingstrekk og maktforhold er likevelførende for den nasjonale trusselsituasjonen, ogfølges derfor tett.

Etterretningsvirksomhet mot Norge og nor-ske interesser skjer imidlertid i stor utstrekning.Dette er rettet mot norske myndigheter og motprivate virksomheter. Etterretningsvirksomhethar blant annet til formål å kartlegge sårbarheter idet norske samfunnet, kartlegge militære kapasi-teter og andre beredskapsressurser. Kjennskap tilstatlige militære kapasiteter kan fungere som stra-tegiske virkemidler for å legge press på et annetland, gjennom å lamme viktige funksjoner. Detforegår også utstrakt aktivitet for å tilegne segkunnskap og teknologi som staten og private aktø-rer besitter. Slik aktivitet kan ha som formål åskaffe informasjon om hvordan viktige funksjonerkan rammes i en potensiell konfliktsituasjon, samtå styrke eget lands næringsutvikling og konkuran-seevne. Slik etterretning kan ramme verdiska-pingspotensialet.

Av de statlige aktørene som aktivt utfører spio-nasje mot Norge fremhever E-tjenesten og PSTRussland, Kina og Iran i sine åpne trusselvurde-ringer. Disse landene vil bli diskutert under –både i lys av landenes generelle samfunnsutvik-ling og i lys av landenes etterretningsvirksomhet.

4.3.3.1 Russland

Daværende sjef for etterretningstjenesten KjellGrandhagen oppsummerte nylig utviklingen iRussland som følger:

Vi har sett et Russland gjennom det siste åretsom er villig til å bruke militær makt når de vur-derer at vitale interesser står på spill. Vi ser etRussland som utvikler seg mer og mer i enautoritær retning, og tar et sterkere grep ommediene, et sterke grep mot en mulig liberalopposisjon. Vi ser en beslutningskrets rundtpresidenten som blir smalere og smalere, ogmer og mer preget av mennesker med hans

Figur 4.6 Russlands bastionforsvar.

Kilde: Ekspertgruppen for forsvaret av Norge, Et felles løft,2015.

IRLAND

STOR

BRITANNIA

LATVIA

ESTLAND

FINLANDSVERIGE

NORGE

ISLAN

RUSSLAND

DANMARK

RUSSLAND

BASTIONFORSVARET

BASTIONEN

RUSSLAND

ê bastionen er patrulje- områdetfor strategiske ubåter

ê Indre forsvar – ambisjon om kontroll

ê ytre forsvar – ambisjon om nektelse


samme bakgrunn. Det er et Russland i økono-misk krise og med langsiktig dårlig økono-miske utsikter. Og samtidig et Russland som tiltross for dette velger å bruke mye mer av deressursene de har på en militær opprustning. Isum er dette et bilde som leder mot større usik-kerhet og større uforutsigbarhet i forhold tilhva slags Russland Norge må forholde seg til ide kommende tiårene.40

Etter Sovjetunionens fall gikk Russland inn i enreorienterende fase. Det nye Russland måtte finneut hvordan det skulle forholde seg til omverden.Etter en periode preget av oppmykning overforVesten, gikk russisk utenrikspolitikk etter hvertover i en mer konfronterende linje. En stadig mersammensatt og offensiv russisk utenrikspolitikkunder Putin har endret den sikkerhetspolitiskesituasjonen i Europa og økt konfliktpotensialet.Særlig tilbakekomsten av mellomstatlig væpnetkonflikt i Europa ved Russlands folkerettsstridigeannektering av Krim var en oppvekker. Gjennomannekteringen av Krim og støtte til separatister iØst-Ukraina har Russland demonstrert både evneog vilje til å bruke militær makt for å oppnå sinepolitiske mål. Russlands utenrikspolitiske linje harbåde elementer av kontinuitet og endring. Ønsketom innflytelse over tidligere Sovjet-republikker erikke noe nytt, noe vi så under krigene i Georgiaog Tsjetsjenia.

Etter Putins tilbakekomst som president i 2012har det vært en dreining mot økt patriotisme ogkonservatisme i russisk politikk.41 Ønsket om ågjenreise Russland som stormakt står sentralt iPutins prosjekt. Den stadig mer autoritære drei-ningen har særlig rammet pressen og intern oppo-sisjon hardt. Russland opplever en kraftig økono-misk nedgang. Blant årsakene er strukturelle fak-torer som høy korrupsjon, dårlig investe-ringsklima og høy avhengighet av olje kombinertmed vedvarende fall i oljeprisen.

Også de økonomiske sanksjonene i kjølvannetav Ukraina-konflikten har ytterligere forverretden økonomiske situasjonen i Russland. Den ned-adgående økonomiske utviklingen nasjonalt sam-menfaller med en mer opportunistisk utenrikspo-litikk både i nærområdene rundt Kaukasus og iSyria-konflikten. Med opportunistisk menes herat man agerer hurtig, griper de sjanser som byr

seg, og er tilpasningsdyktig til hendelsenes forløpog motpartens handlinger. Putins begrensedeevne til å bedre den økonomiske nedgangen iRussland gjør at vi kan frykte en fortsatt autoritærtilstramning og en fortsatt opportunistisk uten-rikspolitikk fremover. Putins uforutsigbaremanøvre er ytterligere urovekkende dersom lan-det skulle gå inn i en enda dypere økonomiskkrise. Den fremtidige økonomiske utviklingen iRussland kan ha stor betydning for den norske ogeuropeiske sikkerhetspolitiske situasjonen.

Russisk militær tilstedeværelse i Midtøstenspiller en viktig rolle i å fremme Russlands stor-maktsposisjon internasjonalt og motvirke vestliginnflytelse i internasjonal poltikk. Både annekte-ringen av Krim og Putins militære støtte til Assad-regimet i kampen mot ISIL har stor støtte i befolk-ningen og har økt Putins popularitet. Den stadigmer offensive utenrikspolitikken Russland førerblir legitimert på hjemmebane gjennom offisiellrussisk retorikk basert på fiendebilder om Vestensom formidler oppfatningen om Russlands offer-rolle i møte med ytre fiender. Særlig NATO frem-stilles svært negativt i russisk retorikk. Mistillits-forhold mellom Russland og Vesten kan potensieltvare lenge.

Etter krigen i Georgia begynte Russland enomfattende forsvarsreform som inkluderte enmarkant militær opprustning. Den militære opp-rustningen har resultert i en mer mobil militærorganisasjon med utvidet rekkevidde og en atskil-lig raskere reaksjonsevne. Det har skjedd enmodernisering av viktige våpenplattformer, kom-mando og kontrollsystemer, effektivisering avlogistikksystemene og en styrkeproduksjon somgir Russland en kampkraft på et helt nytt nivå.Gjennom krigshandlinger i Ukraina og militær til-stedeværelse i Syria har Russland demonstrerthvordan deres moderniserte militærmakt eranvendbar til å støtte opp under utenrikspolitiskemålsettinger. Særlig under Ukraina-konfliktenbenyttet Russland et bredt spekter av statlige vir-kemidler i et omfang og med en koordinering somfremstår som det beste eksempel på hybrid krigfø-ring verden har sett. Dette øker viktigheten av etsolid og gjennomtenkt forebyggende sikker-hetsarbeid.

Det russiske militæret øver hyppigere enn tid-ligere, blant annet i Norden og Østersjøområdet.Flere tilfeller av grensekrenkelse i luftrommetover Sverige, Finland og Baltikum har funnet stedsamt utstrakt flyvning over Norskehavet og Nord-sjøen nært norsk luftrom. Til tross for en meroffensiv russisk utenrikspolitikk har norske sty-resmakter gjentatte ganger understreket at de

40 Sitat fra Etterretningstjenestens sjef Generalløytnant KjellGrandhagens under hans tale «Trusler og risiki for Norge iet endret sikkerhetsbilde», NSMs sikkerhetskonferanse2015, Oslo Kongressenter, 16.03.2015.

41 Etterretningstjenesten, Fokus 2015: Etterretningstjenestensvurdering, 11.


ikke ser på Russland som en direkte militær trus-sel mot Norge. Uannonsert aktivitet i eller nærtandre staters sjø- eller luftrom er likevel foruro-ligende og øker faren for misforståelser og ulyk-ker.

Nordområdene er en viktig arena for Russlandav både økonomiske og strategiske årsaker. IRusslands Arktis-strategi fra 2009 er Arktis defi-nert som landets viktigste fremtidige res-sursbase.42 Smeltingen av polisen i Arktis gjør atstørre områder er tilgjengelig sommerstid forskipsfart, fiske og turisme langs Nordøstpassa-sjen. Russland har gjennom ulike tiltak markertsin interesse i Arktis, blant annet gjennom etable-ringen av den arktiske militære kommandoen 1.desember 2014. Russland har også gjenåpnet tidli-gere baser, samt opprettet nye baser i Arktis.43 Åopprettholde sitt nærvær på Svalbard anses somviktig for Russland, særlig av militærstrategiskeårsaker. Det kan ikke utelukkes at Russland i engitt situasjon vil treffe militære eller andre tiltakfor å ivareta russiske interesser på eller rundtSvalbard. Selv om samarbeidet med vår nabo i østfremdeles anses som godt, har tilliten til Russlandblitt påvirket i negativ retning etter blant annetUkraina-krisen. Norges deltakelse i de internasjo-nale sanksjonene mot Russland, og Russlandsmotsvar på sanksjonene bidrar også til et mer sår-bart og utfordrende samarbeidsklima.

Den spente relasjonen mellom NATO og Russ-land for tiden må ses i sammenheng med den sta-dig økende etterretningstrusselen. Ved siden avtradisjonelt menneskebasert innhenting pågår ogen økt bruk av digitale hjelpemidler for å driveinnhenting mot sensitive kommunikasjonsplattfor-mer. Digital spionasje gir høyt etterretningsut-bytte og utføres i stort omfang mot Norge og nor-ske interesser.

I sin vurdering av etterretningstrusselen motnorske interesser mener PST at Russlands inten-sjon og kapasitet har størst skadepotensial. Det erflere forhold som gjør Norge til et interessantetterretningsmål. Norge besitter store naturres-surser og har en strategisk viktig plassering.Norge representerer NATOs nordlige grense motRussland og russisk etterretning søker derforkunnskap om NATOs militære kapasiteter og akti-viteter blant annet fra norske kilder. Beslutningeri Norge og NATO fattet på bakgrunn av Ukraina-konflikten vil fremover være av særlig interessefor Russisk etterretningstjeneste. Slik informasjon

kan styrke Russland militært og kan svekke nor-ske og alliertes sikkerhetspolitiske interesser.

PST mener Russlands kontinuerlige kartleg-ging av norske forsvars-, sikkerhets- og bered-skapskapasiteter har som formål å legge til rettefor russiske militære disposisjoner i en eventuellendret sikkerhetspolitisk situasjon i fremtiden.Slik virksomhet kan i verste fall kunne true Nor-ges territorielle kontroll og andre nasjonaleinteresser.

Mange borgere med tilknytning til Russlandjobber i dag i sektorer med tilgang til sensitiv ogskjermingsverdig informasjon. Disse er særligutsatt for rekrutteringspress fra hjemlandetsetterretningstjenester. Der dette lykkes, har det etstort skadepotensiale.

4.3.3.2 Kina

De siste årene har det vært en dreining i maktba-lansen mot Asia. Verdensøkonomiens tyngde-punkt har beveget seg fra Vesten mot Asia. Kinahar i dag verdens nest største økonomi, mensJapan er på tredjeplass. Den økonomiske veksten iAsia er som all økonomisk vekst reversibel. Samti-dig er det et faktum at veksten har ført til økte for-svarsbudsjetter. I 2013 gikk de samlede for-svarsutgiftene i Asia og Stillehavsområdet forbiEuropas.44 Den militære maktbalansen preges ogav at seks av verdens ni atomvåpenstater ligger iAsia.

Kinas president Xi Jinpings visjon for Kina er ågjenreise Kina som en mektig nasjon tuftet påsterk økonomi og en sterk militærmakt. Likesom iRussland ser man sterke nasjonalistiske strøm-minger i Kina og en mer selvhevdende utenriks-politikk. Xi Jinpings ledelse går i en autoritær ret-ning som slår hardt ned på opposisjon og har førttil innskrenkninger i ytringsfriheten, for eksempelved økt internettsensur.

Kina og Russland har inngått et strategiskpartnerskap i motvekt til Vesten, som blant annetinkluderer tidvis samarbeid i FNs sikkerhetsrådog økt handel. Kina og Russland har også fellesmilitære øvelser som har blitt stadig større. Det erallikevel klare begrensninger for samarbeidetskyldt langvarig historisk mistro.

Kinas forsvarsbudsjett var på 790 milliardernorske kroner i 2014. Med dette har Kina det neststørste forsvarsbudsjettet i verden etter USA. Kinainvesterer stort i digital krigføring.45 Det er særligi det digitale rom at Kina er av betydning for norsk

42 Ibid. 23.43 Ibid., 2.

44 Ibid., 50.45 Ibid., 58.


sikkerhet. Sammen med Russland er Kina en avde statene som er mest aktive bak nettverksba-serte etterretningsoperasjoner rettet mot Norge.46

Kina har god evne og høy vilje til å gjennomførecyber-operasjoner, og står bak digital spionasje istort omfang. Landet retter særlig sin virksomhetmot høyteknologiske mål, herunder energi, mari-tim sektor og rombasert virksomhet. Mer tradisjo-nell etterretningsvirksomhet mot utenriks- og for-svarsektoren er også utbredt.47

Nettverksbaserte etterretningsoperasjoner er,sammen med terror, den mest alvorlige, akuttetrussel mot norske interesser ifølge daværendesjef for Etterretningstjenesten, Kjell Grandhagen.Norske myndigheter og samfunnskritiske virk-somheter blir fortløpende utsatt for fremmedetterretning fra Kina og andre.

4.3.3.3 Iran

Frykten knyttet til ambisjonene bak Irans atom-program har tatt stor plass på den internasjonaledagsorden siden 2003. Flere runder med forhand-linger har funnet sted og resulterte i en atomav-tale mellom Iran og P5+1 sommeren 2015. Avtalengår ut på at Iran skal begrense sin bruk av høy-sensitiv teknologi, ruste ned sin kapasitet til åanrike uran, redusere sitt lager med anriket uran,samt å gi Det internasjonale atomenergibyrået(IAEA) større innsyn i atomprogrammet. I byttemot dette vil gradvis økonomiske sanksjoner motIran oppheves. Avtalen eliminerer ikke trusselenfra Iran, men vil redusere Irans mulighet til åutvikle kjernefysiske våpen og forlenge tiden deteventuelt ville ta.

Atomavtalen har ikke ført til færre skjulteanskaffelsesforsøk mot norske virksomheter.48

Iran er en av hovedaktørene bak ulovlige og for-dekte forsøk på anskaffelse av teknologi og kunn-skap som kan benyttes til sitt atomprogram fraNorge. Slike ulovlige anskaffelser er en trusselbåde mot norske og alliertes interesser. Etterspør-selen øker særlig etter flerbruksteknologi somikke er underlagt eksportkontroll, men som imodifisert tilstand kan benyttes til å utvikle mas-seødeleggelsesvåpen. Dette øker risikoen for atenkeltbedrifter kan bli fristet til å utnytte situasjo-nen og selge slik teknologi for profitt, eller atbedrifter uten intensjon bidrar til at teknologienhavner i feil hender fordi de ikke har et bevisstforhold til flerbrukspotensialet i teknologien de

besitter. Anskaffelser knyttet til masseødeleggel-sesvåpen går ofte gjennom mange land, slik at deter vanskelig å spore hvor teknologien ender opp,for eksempel gjennom bruk av stråmenn og sel-skaper som proxy-aktører. Særlig utsatt foranskaffelsesforsøk er forsvarsindustri, bedriftersom selger nisjeteknologi, og høyteknologiskebedrifter i olje- og gassektoren.

Også norske utdanningsinstitusjoner oppleverstor pågang fra iranske studenter på utdannings-retninger som kan gi kunnskap som gagner detiranske atomprogrammet. Ved et strengereeksportregime blir det viktigere for Iran å selvprodusere egen teknologi, norske utdanningsin-stitusjoner kan derfor fremover forvente tilta-gende påtrykk.49

4.3.4 Trusler fra ikke-statlige aktører

4.3.4.1 Terrorisme

Forskningen på terrorisme er delt i hvem som kanregnes som de første terrorister. Mange menerFeynianske voldelige dissidenter på 1800-talleteller Russlands Navrodniker som drepte Tsarener de tidligste terrorister i tråd med en moderneforståelse av begrepet. Anarkister og IRA tidlig på1900-tallet trekkes også ofte fram. De lærde stri-des altså om terrorismens opprinnelse. Det er der-imot bred enighet om at terrorisme som fenomenhar endret seg fra 70-tallet og fram til i dag. 70-tal-let regnes som tiåret da terrorismen for alvor bleinternasjonalisert, med angrepet mot israelskeutøvere i OL i München i 1972 som et av de tyde-ligste eksemplene. Tyskland slet også med hjem-lige terrorister i Baader-Meinhof gruppen. Resul-tatet ble at Tysklands moderne anti-terror styrkerble toneangivende gjennom opprettelsen avGrenzschutzgruppe 9 (GSG9).

Utover på 80- og 90-tallet ble terrorismen sta-dig mer dødelig og operasjonene økte i komplek-sitet. Hizbollahs bilbombing av forlegningene tilfranske fallskjermjegere og US Marines i Beirut i1983, samt bombingen av Pan Am flight 103 overLockerbie i 1986, er eksempler på dette med hen-holdsvis rundt 270 og 305 drepte. Al-Qaidas stør-ste terroranslag forut for 9/11-angrepene var motamerikanske ambassader i Nairobi og Dar-es-Salam med rundt 224 drepte. Disse bombenesammen med angrepet mot USS Cole, i Adenshavn i år 2000, utgjør opptakten til 9/11. De oven-for nevnte angrepene er eksempler på spesieltdødelige angrep i terrorismens historie frem til 9/46 Politiets sikkerhetstjeneste, Trusselvurdering 2015.

47 Ibid., 84. 48 PST, Trusselvurdering 2015. 49 Ibid.


11-angrepene. Disse drepte opp mot 3000 mennes-ker og sprengte skalaen fullstendig.

Det samme gjelder den statlige responsen påangrepet som ble voldsom ettersom krigen motterror inkluderte storstilte bakkekriger både iAfghanistan og Irak. I tiåret etter 9/11-angrepenevar USAs krig mot terror det rådende paradigmesom la føringer på mye av samhandlingen på denglobale storpolitiske arena. Utover i Obamas pre-sidentperiode avtok fokuset på terrorisme noe.Med terrorangrepene i Paris og Brussel i 2015 og2016, samt ISILs eksport av terrorisme til Europa,synes det avtagende fokus på terrorisme mot Ves-ten å opphøre.

Å definere terrorisme er krevende fordi begre-pet er sterkt politisert samtidig som det er sværtnegativt ladet. Terrorisme er en praktisk retorisketikett å feste på sine fiender. En akademisk defi-nisjon av terrorisme må beskrive hvem som utøverterrorisme, hvem som rammes, og hvilken mål-setting og effekt terroristene ønsker å oppnå.Legaldefinisjoner oppfyller en annen funksjon dade også må fungere godt som redskaper i rettsfor-følgelse etter straffeloven. Fire ord oppsummereressensen i fenomenet terrorisme: vold, politikk,frykt og strategi. Terrorisme er en fryktspre-dende, voldelig politisk strategi. Går man mer idybden kan terrorisme forstås som «en ikke-stat-lig aktørs strategiske bruk av vold – eller truslerom vold – mot sivile eller ikke-stridende med denhensikt å spre frykt, skaffe oppmerksomhet omen politisk sak og å påvirke også andre enn dedirekte ofrene for anslaget.»50

I dette ligger det at stater som angriper sivileikke defineres som terrorister, men snarere begårkrigsforbrytelser, forbrytelser mot menneske-heten, fordekt krigføring eller en form for statster-ror. Videre er motivene til terrorister klarlagt sompolitiske, i tillegg til det å spre frykt og å påvirkebåde befolkninger og styresmakter.

Terrorisme representerer i de fleste tilfeller enkrigserklæring mot samfunnet. Både Osama binLaden og Anders Behring Breivik har utstedtkrigserklæringer mot USA og Norge. Terrorismeforekommer i ulike sjatteringer fra det alvorligsteav kriminalitet til lavintensitets asymmetrisk krig-føring. Terroristangrep er innrettet mot midlerti-dig å omdanne det sivile samfunn til en krigssone,og utgjør dermed en av de mest alvorlige truslermot samfunnssikkerheten.

Terrorismens logikk kombinerer fortid ogfremtid for å spre frykt i nuet. Den er forankret idemonstrert evne til å gjennomføre dødeligeangrep, kombinert med uttalt vilje til nye anslag ifremtiden. Slik sprer terrorister frykt i samfunnet.Terrorkampanjer må forstås som langt mer ennkalde fakta rundt antallet døde og skadede. Det erverdt å merke at terroristers sjokkerende volds-bruk har stått i mindre kontrast til staters vold-somme maktbruk i tidligere tider. Så sent som iandre verdenskrig var bombing av sivilbefolkning,for å knekke krigsmoralen og kampviljen, i trådmed militær doktrine både på alliert og aksemak-tenes side. Etterkrigstiden brakte med seg enreaksjon mot dette gjennom Geneve-konvensjo-nene og annen internasjonal lovgivning om kri-gens folkerett.

Ettersom terrorisme inntreffer i grenselandetmellom krig og kriminalitet utgjør fenomenet enalvorlig trussel mot fred og sikkerhet. Antalletdrepte i terrorangrep har blitt mer enn femdobletsiden 2000. Terrorangrepet 22. juli viser at Norgeikke er skånet mot terrorisme. Terrortrusselenfra ekstrem islamisme mot Norge og norskeinteresser anses som skjerpet og økende gjennom2015. I tillegg kan økt fokus på militant islamisme,kombinert med konflikten og flyktningestrøm-men fra Syria potensielt trigge fremmedfiendtlighatkriminalitet helt opp til skarpe terrorhandlin-ger. Etterretningstjenesten peker og på militantislamisme som den mest alvorlige terrortrusselmot Norge og norske interesser.51 Denne trusse-len er særlig knyttet til hjemvendte fremmedkri-gere som har fått kamperfaring fra Syria ogIrak.52

I de senere år har det vært eksempler på atgrupperinger som oppfattes å være terrororgani-sasjoner har tatt kontroll over større landområder.Fremveksten og ekspansjonen av Den islamskestaten i Irak og Levanten (ISIL) er et særlig foru-roligende eksempel. ISIL opererer per i dag somen selvfinansierende pseudo-stat drevet av engeriljagruppe. Gruppen skiller seg også fra andreterrorgrupperinger ved å ha en særlig bred globalappell. Spesielt gjennom bruk av sosiale medierhar ISIL lykkes i å redefinere internasjonal jiha-disme til noe mer «trendy» som når ut til mangeunge. Den selverklærte kalifen har også styrketstatusen og hatt samlende effekt for sympatisøreri ekstreme islamistiske miljøer verden rundt.Grupper fra Algerie, Libya, Egypt, Saudi-Arabia ogJemen har tilsluttet seg ISIL.

50 Anders Romarheim, «Hva er terrorisme?», i Anders RavikJupskås (red.), Akademiske perspektiver på 22. juli (Oslo:Akademika, 2013), 36.

51 Etterretningstjenesten, Fokus 2015, 73. 52 PST, Trusselvurdering 2015.


Et stort antall fremmedkrigere fra rundt 90land har dratt til Syria og Irak, inkludert fraNorge. Vi står i dag derfor overfor en trussel somkommer både utenfra, i form av fremmedkrigeresom returnerer og innenfra i form av radikalisertesom kan la seg inspirere av ISILs oppfordring tilvoldelige handlinger. De store områdene styrt avISIL benyttes til trening og planlegging av angrepmot mål i Europa. Paris-terroren november 2015er et eksempel på et angrep med klare forgreinin-ger til Syria. Treningen, kamperfaringen ogindoktrineringen fremmedkrigere får mens de er iSyria og Nord-Irak utgjør en stor trussel når devender hjem. Returnerte fremmekrigere vil troligha en lavere terskel for voldsbruk i Norge. Det erimidlertid viktig å påpeke at flertallet ikke vilutgjøre noen trussel ved hjemkomst.

Også andre grupperinger, ikke minst Al-Qaida-nettverket, forblir en betydelig terrortrussel motvesten. Nettverket har intensjon og kapasitet til ågjennomføre terrorangrep i vestlige land.

Stor etterretningsinnsats mot terroraktørerhar likevel gitt betydelige resultater, og ført til atterrororganisasjoner må opptre med forsiktighetdersom de skal unngå å bli avslørt før de får utret-tet sine aksjoner. Dette er en årsak til den endringi taktikk som har vært synlig i Europa i de senereår der soloterrorisme utført med relativt enklemidler har blitt hyppigere. Denne type terrorismeer vanskelig å avdekke og forebygge. Det harogså vært en tendens til koordinerte angrep somrammer flere mål samtidig, eller suksessivt.Ekstreme islamister har i løpet av 2015–2016utført en rekke voldelige angrep i Europa medangrep i Paris, Brussel og Nice som de mest alvor-lige.

4.3.4.2 Svake stater som arnested for terrorisme

Svake og sårbare stater kjennetegnes ofte av nyligavsluttede eller pågående væpnede konflikter, etsvakt statsapparat, manglende respekt for men-neskerettigheter, høy korrupsjon og manglenderettshåndhevelse kombinert med fattigdom. Slikestater gir grobunn og stort spillerom for terror-nettverk og annen organisert kriminalitet. Et sær-lig foruroligende eksempel er ISIL, som har lyk-kes i å skaffe seg kontroll over store landområderi Irak og Syria og opprettet en pseudo-stat. Som-meren 2016 mistet de dog betydelige landområ-der.

Et annet eksempel er den militante islamit-tiske gruppen Boko Haram som i august 2015erklærte dannelsen av et kalifat i Nord-Nigeria.Terroristgruppen har i dag kontroll over et land-

område på størrelse med Belgia. Gruppen er blantverdens mest dødelige og har erklært troskap tilISIL.53 Boko Haram har som målsetting å fjerneden nigerianske regjering og innføre Sharia-lov-givning. Angrepene er hovedsakelig rettet motoffisielle institusjoner og personer, politiet og sik-kerhetstyrkene.54 Terrorgruppen finansierer ihovedsak sin virksomhet med penger fra bankran,kidnapping og innkreving av skatter i områdenede besitter. Mye tyder også på at penger fra pira-tangrepene langs Nigerias kyst ender opp hosBoko Haram. Nigeria er preget av et autoritærtstyre, høy korrupsjon, med høyt konflikt- ogvoldsnivå mellom etniske og religiøse grupper, ogmellom sentralmyndighetene og de 36 delstatsgu-vernørene. Det svake statsapparatet og man-glende rettshåndhevelse har gjort at Boko Haramhar fått en sentral maktposisjon i landet.

Også i Afghanistan har ulike opprørsgruppe-ringer betydelig makt i store områder. Etter avvik-lingen av ISAF og uttrekningen av koalisjonsstyr-kene har utviklingen vært negativ for landet. Tali-ban har erobret stadig større områder. Al-Qaidahar re-etablert treningsleirer og ISIL har fått fot-feste og er i stadig fremgang i flere distrikter. Deter også et stort antall mindre mindre grupperin-ger som i ulik grad samarbeider. I dag foregår deten viss rivalisering mellom Taliban, ISIL og Al-Qaida i Afghanistan.

I Mali tok The Movement for Oneness andJihad in West Africa (MOJWA) i 2013 kontrollover nordlige landområder i forsøk på å innføre etstrengt islamittisk styre. De fikk raskt kontrollover større områder ved å inngå et samarbeidmed den lokale Tuareg-befolkningen som var iopposisjon til myndighetene i Mali. Frankrike del-tok militært i en motoffensiv som tok tilbake kon-trollen over de fleste islamist-okkuperte områ-dene.55

Et siste eksempel der en svak stat har ført tilstore sikkerhetsutfordringer internasjonalt erSomalia. Landet har lenge vært regnet som kro-neksempelet på en failed state. Al-shabaab og etstort antall voldelige kriminelle grupperinger medinntekter fra blant annet piratvirksomhet og men-neskehandel har utnyttet dette maktvakuumet ogspredd død og ustabilitet også utover landetsgrenser. Terrorangrepet mot Westgate-kjøpesen-

53 Institute for Economics & Peace, 2015, 5.54 Emilie Oftedal, Boko Haram- an overview, FFI-rapport

01680 (Kjeller: Forsvarets Forskningsinstitutt, 2013). 55 Angrepet på Statoil-anlegget i In Amenas samme år anses

blant annet som en hevnaksjon på den franske intervensjo-nen.


teret i Nairobi i 2013 er et eksempel på dette. Ship-ping-næringen har også blitt rammet og i kortereperioder har enkelte rederier valgt å seile rundthele det afrikanske kontinent, snarere enn å risi-kere å bli kapret av somaliske pirater.

Vi ser at terrororganisasjoner som får vokseseg store ikke bare er en trussel mot statsstruktu-ren i landene gruppene springer ut fra, men truerbåde regional og internasjonal stabilitet. Svikt inasjonalt styresett regnes blant de faktorer somgir høyest risiko for internasjonal ustabilitet.56

Andre vesentlige faktorer er historikk for mellom-statlig konflikt og tilgang på ressurser. Økt inter-nasjonal ustabilitet påvirker også Norges trussel-situasjon. De siste årenes terrorangrep i Europavitner om hvordan terrorgruppering med opphav isvake stater kan ha en internasjonal agenda, medISILs eksport av terrorisme til Europa som detfremste eksempel.

Boks 4.2 Radikalisering og deradikalisering

Terroristgrupper i Europa rekrutterer blant van-lige mennesker i det sivile samfunn. Når en per-son beveger seg fra å ha ekstreme meninger til åville sette vold bak politiske krav og prosjekter,er vedkommende blitt radikalisert. Radikalise-ring kan defineres som «en prosess, der en per-son i økende grad aksepterer bruk av vold for åoppnå politiske, religiøse eller ideologiske mål.»(PST 2015). Prosessene som leder til radikalise-ring er mange og til dels ulike.

Samfunnets forebyggende arbeid mot terro-risme er helt avhengig av innsikt i radikaliseringog deradikalisering. Forebyggende arbeid erbåde vanskelig og tidkrevende. I tillegg er resul-tatene tilnærmet umulig å anslå og dokumen-tere. Allikevel er dette noe av det viktigste arbei-det man kan gjøre for å bedre samfunnssikker-heten, og all sikkerhetslovgivning bør derforivareta det preventive aspekt. Det er dessverreslik at et konfronterende statsapparat, gjennomtiltak og lovgivning, kan støte ungdom som er ifaresonen unna og bekrefte deres forestillingom eksklusjon fra det norske samfunnet.

Petter Nesser (2015) beskriver fire typiskeroller som fylles i jihadistiske terrorgrupper iEuropa. Disse er entrepenøren, protegen, driftersog misfits. De fleste terrorceller har en leder/entreprenør som knytter cellen opp mot interna-sjonale terroristnettverk. Under lederen står enprotege som er nestkommanderende. Disse tofunksjonene innehas oftest av personer medsterk ideologisk overbevisning og de har ofterehøyere sosial kapital enn andre gruppemedlem-mer, slik som utdanning. På bakkenivået finnervi søkende drifters, som gjerne eksperimenterermed ulike voldelige miljøer/gjenger før de lan-der mer permanent i en terrorgruppe. I tillegghar man de sosiale utskuddene misfits som ten-derer til å ha en kriminell fortid. Disse kan søke

til terrorgrupper av mer personlige grunner oghar ofte en svakere ideologisk overbevisning.De kan være eventyrere på søken etter sosial til-hørighet. For denne typen terrorister vil volds-forherligelse være en viktigere motivasjonsfak-tor enn ideologi, og tidligere erfaring med volds-bruk går igjen som et fellestrekk for mange avde som i dag trekkes inn i terroristgrupper(Crone 2015).

For samfunnssikkerheten er det sentralt åforhindre radikalisering på alle arenaer og fron-ter der dette er mulig. Noe av det viktigste fore-byggende sikkerhetsarbeid som kan gjøres motterrorisme er anti-radikalisering. Dette oppnåsnår man på et tidlig stadium klarer å avverge aten utsatt person i det hele tatt tar steget over tilpolitisk vold og terrorisme. I de tilfeller der radi-kalisering allikevel inntreffer er deradikaliseringresepten. Klarer man ikke forhindre at folk blirradikalisert, må man gjøre alt man kan for å fåreversert radikaliseringsprosessen. I boken Lea-ving terrorism behind har Tore Bjørgo og JohnHorgan (2009) kartlagt under hvilke omstendig-heter terrorister hopper av og forlater terrorist-grupper. Mentorprogrammer i fengsler er blantmetodene som har dokumentert deradikalise-rende effekt. Fengsler er en velkjent radikalise-ringsarena der hat mot samfunnet kan kanalise-res inn i ny forsterket vilje til voldelige angrep.Det er et fåtall av terrorismedømte som ønsker ådelta i slike mentorprogrammer, men for de somdeltar er resultatene oppløftende.

Kilde: PST, Trusselvurdering 2015. Petter Nesser, IslamistTerrorism in Europe: A history (London: Hurst, 2015.)Manni Crone, «Radicalization revisited: Violence, politics andthe skills of the body», International Affairs, 92:3 2016, 587–604. Tore Bjørgo og John Horgan, Leaving TerrorismBehind: Individual and Collective Disengagement, (London:Routledge, 2009.)

56 World Economic Forum, Global risk report, 2015.


4.3.4.3 Sikkerhetstruende kriminalitet

Internasjonal organisert kriminalitet er ikke endirekte trussel mot norsk sikkerhet. Fenomenetpåvirker likevel norsk sikkerhet på en rekke fel-ter. Den negative påvirkningen fra alvorlig inter-nasjonal kriminell virksomhets på internasjonalhandel rammer også Norge. Deler av norsknæringsliv blir også berørt direkte, for eksempelrederier som seiler i farvann utsatt for piratvirk-somhet. I en tid preget av økte kontaktflater ogøkt avhengighet på tvers av landegrenser, forplik-ter Norge å bidra i internasjonalt samarbeid på fel-ter som antikorrupsjonsarbeid og bekjempelse avorganisert kriminalitet, som for eksempel militær-bidraget til antipiratvirksomhet i Adenbukta. Ogsåmigrasjonsstrømmer som resultat av organisertkriminalitet og sammenhengen mellom hvordanorganisert kriminalitet gir grobunn for terrorismeer av betydning for norsk sikkerhet.

Internasjonal organisert kriminalitet er enalvorlig global trussel og dreper titusener av men-nesker årlig, flere enn det som dør i krig. De stør-ste sektorene i internasjonal organisert kriminali-tet er våpensalg, narkotikahandel, menneskehan-del og IKT-kriminalitet. I følge FNs kontor for nar-kotika og kriminalitet (UNODC) er kostanden avorganisert kriminalitet estimert til mellom 120–300 billioner amerikanske dollar, omkring 10 % avglobal BNP. Korrupsjon og annen kriminalitet er ifattige land ikke kun en økonomisk utfordring.Korrupsjon og annen alvorlig kriminalitet under-graver også allerede svake statsfunksjoner somigjen truer fred og stabilitet. Korrupsjon øker risi-koen for konflikt samtidig som konflikt øker risi-koen for korrupsjon. Dette symbiotiske forholdettruer fred og stabilitet i svake stater og gir gro-bunn for ustabilitet, kriminalitet og terrorisme.57

Alvorlig internasjonal kriminalitet kan for-skyve styrkeforholdet mellom styresmakter ogkriminelle. I for eksempel Mexico har narkotika-kartellene stor makt både i lokalsamfunnet ognasjonalt. Som en respons på myndighetens kampmot narkotikatrafikken har gruppene begynt åinfiltrere politiet, grensevakter og politiske mil-jøer. Dette har forskjøvet styrkeforholdet mellommyndighetene og kriminelle og gjør at de krimi-nelle grupper fungerer som en stat i staten.58

Siden daværende president Felipe Calderón

bestemte seg for å bekjempe narkokartellene medmakt har narkokrigen krevd 164 000 liv mellom2007 og 2014, ifølge mexicanske styresmakter.59

Globalisering og teknologisk utvikling bidrartil at internasjonal organisert kriminalitet øker iomfang. Utfordringene er vevet sammen og ergrenseoverskridende. Cybertrusler, piratvirksom-het, terrorisme og annen organisert kriminaliteter koblet tett sammen.60 Skillelinjene mellomdisse gruppene er i økende grad utvisket ved at dedeler teknikker, personell, ferdigheter og penge-inntjeningsaktiviteter. For eksempel ISIL finansi-erer terror gjennom ulovlig salg av olje og kultur-skatter, trafficking, kidnapping og cybercrime.61

Sikkerhetstruende organisert kriminalitet ergrenseoverskridende. Nasjonalstatens tradisjo-nelle kontroll på informasjon, militær og økonomiblir i økende grad utfordret av ikke-statlige aktø-rer. Fordelene som globaliseringen fører med seggjør det også lettere for sikkerhetstruende aktø-rer å rekruttere, trene, finansiere og styre ulovligaktivitet på tvers av landegrenser og i cyberspace.Særlig internett og sosiale media benyttes hyppigtil å nå ut til mange for å rekruttere, dele tekniskkunnskap og å planlegge aksjoner.

Organisert kriminalitet som inntektskilde til terrorisme

For å finansiere sin virksomhet benytter mangeterrorgrupperinger illegale strategier, og delerbåde teknikker og personell med organiserte kri-minelle. Terrororganisasjoner har en rekke kost-nader knyttet til propaganda og rekruttering avnye medlemmer og tilhengere. Grupperinger sombesitter territorielle områder bruker også storeressurser på å sikre egen sikkerhet og territoriellkontroll. Anskaffelser av våpen og andre ressur-ser brukt til å planlegge og gjennomføre terror-handlinger kan også være kostbart. Taliban får entredjedel av sine inntekter fra beskatning av opi-umhandelen. Også Boko Haram og al-Shabaab fårstore inntekter fra beskatning av trekullsmugling.Dette utgjør hovedinntekten til al-Shabaab (ca.36–56 million USD i året). Nettverk i Libya fårstore deler av sine inntekter fra menneskesmug-ling.62 Også ISIL benytter ulike former for krimi-nalitet til å finansiere sin terrorvirksomhet, her-

57 Transparency International Deutschland, Corruption as athreat to stability and peace, Policy Paper 2014. https://www.transparency.de/fileadmin/pdfs/Wissen/Publikatio-nen/Study_Corruption_as_a_Threat_to_Stability_and_-Peace.pdf

58 Meld. St. 37 (2014–2015), 21.

59 Vanda Felbab-Brown, «The Rise of Militias in Mexico. Citi-zen’s Security or Further Conflict Escalation», Brokings2015, https://www.brookings.edu/wp-content/uploads/2016/07/Rise-of-Militias-Mexico.pdf

60 Meld. St. 37 (2014–2015). 61 Institute for Economics & Peace, 2015. 62 Meld. St. 37 (2014–2015), 20–21.


under ulovlig salg av olje og kulturskatter, traf-ficking, kidnapping og cyberkriminalitet.63

Analyser av terroristers finansieringsstrate-gier i Europa viser at terrorceller i dag mottarmindre ekstern finansiell støtte, og i økende grader selvfinansierende gjennom lovlige midler somet resultat av innstramming av finansielle regule-ringer i kjølvannet av 9/11. Finansiering gjennomillegal virksomhet er den nest vanligste metodenfor å finansiere terrorhandlinger og ble benyttetav 38 % av vest-europeiske jihadister i perioden1994 til 2014. Organiserte kriminelle som finansi-erer terror kan overføre sin profitt via svartebør-smarkeder. Ofte blir og verdifulle gjenstander,narkotika og våpen blir brukt i stedet for kontan-ter til å oppbevare og overføre ressurser. Gjen-standene kan selges for å generere penger ellerbli byttet mot varer terroristene trenger. Eteksempel på terrorhandling finansiert gjennomkriminalitet er de koordinerte bombeeksplosjo-nene mot pendlertog i Madrid 2004 som tok livetav 191 personer. Angrepet var hovedsakelig finan-siert gjennom ulovlig narkotikahandel. Narkotikable også brukt som betalingsmiddel for anskaffel-sen av ulovlige eksplosiver som var stjålet fra engruve i Spania av en kriminell bande.64

Piratvirksomhet

De vanligste formene for piratvirksomhet inklude-rer bording av skip for å stjele kontanter og verdi-saker, kapring for å stjele lasten, og bortføring avbesetning med påfølgende krav om løsepenger.65

Piratvirksomhet har lange tradisjoner, og har fåttfornyet oppmerksomhet de siste tiårene, særligutenfor Øst-Afrika, Vest-Afrika og i Sørøst-Asia.Piratvirksomheten i Adenbukta og Det indiskehav nådde en topp i 2007. Mellom 2005 og 2010fant 198 kapringer sted og 4000 sjøfolk ble holdtsom gisler. Internasjonal innsats for å bekjempepiratvirksomhet, hvor også Norge har deltatt, hargitt gode resultater i området. Det er likevel kost-bart å opprettholde det sjømilitære nærværet iAdenbukta, særlig når sikkerhetsutfordringeneøker i Europa. Selv om det somaliske problemeter under kontroll ser piratvirksomheten ut til åøke i Guineabukten og i Sørøst-Asia. Hele 100angrep fant sted i Guineabukta i 2013. Oljelasterkapres hyppig og varene selges i Nigeria, som er

hovedbasen for denne organiserte kriminelle virk-somheten. 1000 norskkontrollerte skip seiler iGuineabukta årlig, i tillegg til norske fartøyer ioffshorevirksomheten som er viktige leverandø-rer til Ghanas petroleumsindustri.

Piratvirksomhet er et globalt problem og truerbåde personer og økonomiske verdier. 80 % avverdens handel skjer sjøveien. I følge verdensban-ken har somalisk piratvirksomhet kostet USD 18milliarder årlig i form av tapt internasjonal han-del.66 Som verdens sjette største handelsflåtepåvirkers Norges økonomi og næringsliv direkteav maritime sikkerhetsutfordringer.67 Aktivitetengår ned som følge av utrygge farvann, rederinæ-ringen må betale høyere forsikring og kostandenknyttet til å seile lange omveier eller iverksettesikkerhetstiltak om bord er høye.

Svake staters manglende rettshåndhevelse ogliten kapasitet til å bidra til internasjonalt politi-samarbeid gjør dem til egnet tilholdssted for plan-legging av piratvirksomhet. I enkelte land harogså gruppene bånd til statsmakten. Somalia harnærmest kontinuerlig vært i borgerkrig siden dik-tatoren Siad Barre ble styrtet i et militærkupp i1991. Stadig rivalisering mellom ulike klaner erhovedårsaken til de langvarige konfliktene. Soma-lia har manglet både en fungerende regjering,politistyrke og nasjonalt rettsvesen, noe som hargjort det mulig for både piratvirksomhet og terro-ristgrupper som Al-Shabaab å operere nærmestuforstyrret. Det er grunn til å frykte at piratvirk-somhet kan inngå i samarbeid med terrororgani-sasjoner. For eksempel ved at de tar seg av terro-ristene finansielle transaksjoner og terroristenegir våpen. Mye tyder på at penger fra piratvirk-somhet i Guineabukta går til Boko Haram.

4.4 Nasjonale sårbarheter

4.4.1 Nye sårbarheter som følge av samfunnsutviklingen

Samfunnsutviklingen medfører betydeligeendringer i hvordan samfunnsfunksjoner blir iva-retatt. Globaliseringsprosesser bidrar til å redu-sere betydningen av avstander og statsgrenser, oghar i så måte brakt verden tettere sammen. På defleste områder er denne generelle samfunnsutvik-lingen en ønsket utvikling, langt på vei drevet avbefolkningen og samfunnets behov. Den teknolo-giske utviklingen og den strukturelle utviklingenav samfunnet fører til at befolkningen kan benytte

63 Institute for Economics & Peace, 2015.64 Emilie Oftedal, The financing of jihadi terrorist cells in

Europe, FFI-rapport 02234 (Kjeller: Forsvarets forsknings-institutt 2014).

65 Meld. St. 37 (2014–2015), 23.

66 Ibid., 33. 67 Ibid., 52.


stadig flere tjenester. Individet kan i stadig størregrad støtte seg på tjenester som forenkler ellerberiker hverdagen og livet. Samfunnets struktu-rer vokser og øker i kompleksitet, og samfunns-funksjonene vi er avhengige av (verdiene som måsikres) blir stadig flere (verdiene vokser).

Ved at individene i samfunnet gjør seg avhen-gig av flere tjenester, blir også sårbarheten over-for bortfall av tjenester større – både på grunn avden reelle avhengigheten til de ulike tjenestene/funksjonene og på grunn av at når antallet tjenes-ter øker er det større sannsynlighet for at noenblir berørt i en hendelse.

Videre fører samfunnets økende kompleksitettil tilsvarende gjensidige avhengigheter mellomulike samfunnsfunksjoner. Utviklingen i retningav økende avhengigheter er igjen drevet av effek-tivisering og gjensidig utnyttelse av strukturer,systemer og tjenester. Dette skaper et effektivt oghensiktsmessig samfunn under normaleomstendigheter, og kan bidra til økt robusthet imange samfunnsfunksjoner. Imidlertid kan effek-tiv og god ressursutnyttelse gi økt sårbarhet isystemer og funksjoner dersom disse blir utsattfor unormal påvirkning/påkjenning. Med økteavhengigheter vil sårbarheten forplante seg i ver-dikjedene. Sårbarheter kan være av menneskelig,organisatorisk eller teknisk art.68

Menneskelige sårbarheter kan være men-neskers evne til å la seg lure, manglende motiva-sjon til å følge sikkerhetsbestemmelser som førertil merarbeid/ineffektivitet, eller manglende

kunnskap. Menneskers evne til å la seg lure utnyt-tes aktivt gjennom sosial manipulasjon. Ansattekan for eksempel lures til å gi fra seg passord,beskrive vedlikeholds- og sikkerhetsrutiner ellerbenytte minnepinner som er infisert.

Organisatoriske sårbarheter kan knyttes tilmanglende lederforankring og styring av arbeidetmed sikkerhet. Videre kan mangel på hensikts-messig ansvarsdeling og bevisstgjøring gi økt sår-barhet. Mangel på ressurser og kompetanse i sik-kerhetsarbeidet kan være knyttet til manglendeledelsesforankring, og er ifølge NSM også envesentlig svakhet i virksomheter de fører tilsynmed.69 FFI har gjennomført en studie på oppdragfra NSM der de har undersøkt årsaken til mangel-full sikkerhetstilstand ved virksomheter NSMfører tilsyn med. FFIs konklusjon er at organisato-riske forhold er den viktigste årsaken.70

På den tekniske siden finnes også en rekkesårbarheter. NSM trekker fram tekniske IKT-sår-barheter i SFR. Dette inkluderer ikke-oppdatertedataprogrammer, bruk av ikke-sikre komponenteri IKT-systemer, samt implementasjons- og design-feil i IKT-produkter. Mulige sårbarheter kan fin-nes i maskinvare, operativsystemer og applikasjo-ner. Videre fremhever NSM at manglende loggingav trafikk kan innebære en betydelig sårbarhet,

68 NSM, Sikkerhetsfaglig råd, 2015.

Figur 4.7 Risiko og samfunnsutvikling.

Arealet i trekantene illustrerer omfanget av risiko. Globalisering og økende kompleksitet i samfunnet fører til at verdiene som vi måbeskytte vokser. Vi må også forholde oss til et større spekter av trusler, og sårbarheten blir større. Dette fører til økt risiko, og økteforventinger og forpliktelser til risikohåndtering i samfunnet.

verdi

verdi

Globalisering og økende kompleksitet i samfunnet

trussel sårbarhet trussel sårbarhet

69 Ibid.70 Ingvill Moe Elgsaas og Hege Schultz Heireng, Norges sik-

kerhetstilstand – en årsaksanalyse av mangelfull forebyggendesikkerhet, FFI-rapport 00948 (Kjeller: ForsvaretsForskningsinstitutt, 2014).


samt mangel på tiltak for å oppdage irregulærbruk og aktivitet.

4.4.1.1 Befolkningsvekst, urbanisering og relaterte sårbarheter

Verdens befolkning nådde 7,3 milliarder i 2015 oger forventet å øke til 9,7 milliarder mennesker i2050.71 Kraftig befolkningsvekst og økt urbanise-ring er blant hovedtrekkene ved vår tids sam-funnsutvikling. Mer enn halvparten av verdensbefolkning bor i dag i byer, og ytterligere 3 milliar-der mennesker er forventet å flytte til urbanestrøk innen 2030. Antallet såkalte mega-byer, byermed mer enn 10 millioner innbygger, øker ogsåkraftig. Den kraftige urbaniseringen kommer somet resultat av effektiviseringen av primærnærin-gene og sekundærnæringene som skjedde gjen-nom den industrielle og den grønne revolusjon. Etrelativt lite antall mennesker i disse næringenekan betjene stor vekst i tertiærnæringene. At flereog flere bor i byer skaper innovasjon, økt produk-tivitet og økonomisk utvikling. Samtidig kan detenorme demografiske presset som følger de bety-delige folkeforflytningene også være en kilde tilforurensing, fattigdom, kriminalitet og økte helse-og ordensproblemer, spesielt når urbaniseringskjer raskt og uten god styring. Den dramatiskeøkningen av mennesker bosatt i byer påvirker alleaspekter av samfunnet og gir sårbarheter knyttettil ressurstilgang og opprettholdelsen av kritiskesamfunnsfunksjoner som følge av høy utnyttelses-grad av naturresurser og systemer. Det oppstårvidere nye utfordringer også i konfliktsituasjoner.

Den kraftige befolkningsveksten gir fleremunner å mette, samtidig som andelen dyrketmark blir mindre. Økt urbanisering og nedbyg-ging av jordbruksareal kombinert med klima-endringer gir større ustabilitet i matforsyningene.Også norsk kornproduksjon er i dag betydeligredusert, og stadig mer korn importeres utenfra.På 1980-tallet lå verdens kornlagre på om lag 130dager. I de siste årene har de i snitt vært på 74dager. Den økte norske avhengigheten av importog nedgangen i både kornlagre og matjord inter-nasjonalt gir lav matsikkerhet og høy sårbarhet ikrisesituasjoner. Norge har ikke lengre bered-skapslagre med korn.

Tett befolkede urbane områder er mer kre-vende å administrere for å sikre befolkingens til-gang til grunnleggende behov som vann, mat ogsikkerhet. Det er også krevende å sikre tilgang til

velferdsgoder som utdanning, arbeid og helsetje-nester i tett befolkede urbane områder, men opp-rettholdelse av disse er samtidig en forutsetningfor å unngå sosial misnøye og uro. Opprettholdel-sen av kritiske samfunnsfunksjoner som elektro-nisk kommunikasjon, kraft, vann og avløp er sår-bare, spesielt når krisesituasjoner rammer. Orka-nen Sandy som blant annet traff New York og NewJersey høsten 2012 førte til oversvømmelse av T-banesystemet og en rekke sentrale veituneller,oversvømmelse av Wall Street, brannutbrudd iQueens og at store deler av New York og omegnmistet strømmen i flere dager. 53 mennesker iNew York mistet livet som følge av stormen.72

Dette er et av mange eksempler på at storbyer kanha høy sårbarhet og lav resiliens ved ulykkes-scenarier.

Humanitære katastrofer og konfliktsituasjonerbyr altså på andre utfordringer i urbane strøk enni rurale områder. Hjelpeorganisasjoner og militæ-ret har mer erfaring med humanitære kriser irurale strøk. NGO-er har derfor måttet tilpasseseg nye utfordringer når et stort antall flyktningerfra Syria-krigen slo seg ned i urbane og tett befol-kede områder i Jordan og Libanon. Faren for opp-rør, for eksempel rettet mot håpløse sosiale for-hold, øker etter hvert som storbyer vokser frempå en ukontrollert måte. Det er svært krevende åløse voldelige konflikter i store byer. Det kreverstore styrker og medfører høy operasjonell risiko ialle deler av en operasjon. Den kraftige urbanise-ringen tilsier at vestlige styrker i fremtiden iøkende grad vil bli involvert urbane operasjonersom et ledd i å stabilisere konfliktsituasjoner somer kommet ut av kontroll.

4.4.2 Sårbarheter for samfunnsfunksjoner og infrastruktur

4.4.2.1 Vurdering av sårbarheter og kartlegging av avhengigheter

DSB fikk i oppdrag fra Justis- og beredskapsde-partementet å utvikle en modell som skal være etvirkemiddel for myndigheter på sentral, regionaltog lokalt nivå i arbeidet med å identifisere hvasom er kritisk infrastruktur og kritiske samfunns-funksjoner.73 DSBs rapport Samfunnets kritiskefunksjoner, har som formål å identifisere kritiske

71 United Nations, World Population Prospects, 2015 revision(New York: United Nations, 2015).

72 Center for Disease Control and Prevention, «Deaths Asso-ciated with Hurricane Sandy – October–November 2012»,http://www.cdc.gov/mmwr/preview/mmwrhtml/mm6220a1.htm

73 Som en oppfølging av St. meld 22 (2007–2008), Samfunns-sikkerhet – Samvirke og samordning.


samfunnsfunksjoner og definere hvilken funk-sjonsevne det er viktig å opprettholde til enhvertid i et samfunnssikkerhetsperspektiv.74 Somomtalt i kapittel 4.2.2 er systematikken i rapportenbygget på Infrastrukturutvalgets utredning ogbaserer seg på å ivareta kritiske samfunnsfunksjo-ner gjennom å sikre innsatsfaktorer og infrastruk-tur.75

Gjennom å kartlegge sårbarhetene til kritiskinfrastruktur og innsatsfaktorer kan en altså iden-tifisere sårbarheten til de kritiske samfunnsfunk-sjonene som disse understøtter. Dette dreier segom både infrastruktur og innsatsfaktorer somdirekte understøtter en samfunnsfunksjon og indi-rekte ved de avhengigheter som er til andre sam-funnsfunksjoner, innsatsfaktorer og infrastrukturlenger ut i verdikjedene.

Kartlegging av avhengigheter mellom sam-funnsfunksjoner og hvilke sårbarheter som for-planter seg kan være komplisert. Ofte er det langekomplekse verdikjeder med sterke avhengighetermellom funksjonene, og det kan være krevende åskaffe seg kunnskap om sårbarheter utover egenvirksomhet.

Konsekvensene av helt eller delvis bortfall aven samfunnsfunksjon er avhengig av graden avkritikalitet eller nødvendighet for samfunnet ellerbefolkningen, graden av resiliens og redundans isystemene som understøtter den aktuelle funksjo-nen, samt annen beredskap for gjenopprettelseeller skadebegrensning. Her vil også avhengighe-ter mellom den aktuelle samfunnsfunksjonen ogandre samfunnsfunksjoner være avgjørende forhvor omfattende konsekvensene av bortfall vilvære. Konsekvensene vil også kunne variereavhengig av klima og andre naturfenomener, samtsamfunnsmessige forhold.

De fleste funksjoner i samfunnet er sterktavhengig av energiforsyning. På grunn av høyleveringsevne, fleksibel avlevert effekt og lavkostnad er elektrisitet distribuert gjennom elektri-sitetsnettet den mest utbredte energiforsyningen iNorge (som i de fleste andre land). Forsyningenav elektrisk kraft har vært meget stabil og er tilret-telagt for å være robust mot ulike hendelser, sær-lig naturhendelser. Bortfall av forsyningen skjerimidlertid jevnlig over kortere perioder i begren-sende områder. Det er særlig naturhendelser somsterk vind, skred og flom som er hyppige årsakertil bortfall. Følgelig er samfunnet rimelig robustoverfor slike bortfall.

Robustheten er blant annet ivaretatt gjennomat mange virksomheter som er avhengig av konti-nuerlig forsyning av elektrisk kraft har etablertgeneratorer og magasinert elektrisk kraft i batte-rier som sikrer nødvendig forsyning i en kortereperiode med bortfall. Kraftreserver kan da bådebetraktes som en kritisk innsatsfaktor i seg selv,og som en sårbarhetsreduserende faktor for defunksjoner kraftreservene understøtter.

Videre vil sårbarhet i kraftreserver blant annetvære knyttet til levetiden for kraftreserven. Leveti-den til kraftreserven vil være basert på forventetbehov, som igjen er definert ut fra en forventningtil et maksimalt omfang av en hendelse, gjernebestemt ut fra en risikovurdering. Dersomrisikovurderinger er gjennomført vil sårbarhetensåledes være avhengig av hvilke risikoreduse-rende tiltak som er iverksatt ut fra en vurdering avsannsynlighet og konsekvens for ulike typer hen-delser, sett opp mot kostnaden ved å gjennomføretiltak. Eksempel på risikomatrise der ulike hendelserer presentert sammen er vist i figur 4.8.

4.4.2.2 Trusselaktørers utnyttelse av sårbarheter

Historisk har sabotasje eller angrep mot kritiskesamfunnsfunksjoner vært benyttet som virkemid-del i krise og krig. Bortfall av slike funksjonerrammer store deler av befolkingen og setterbeslutningstagere under press. Angrep og sabota-sje kan gjøres åpenlyst eller som fordekte opera-sjoner avhengig av hva som er målet for en trusse-laktør. Naturhendelser og andre hendelser kanutnyttes for å øke effekten av tiltakene som blirgjennomført.

Som beskrevet i kapittel 4.4.1 vil en trusselak-tør kunne utnytte menneskelige, teknologiske ogorganisatoriske sårbarheter. En trusselaktør medgod innsikt i et lands samfunnsfunksjoner, infra-struktur og innsatsfaktorer vil kunne gjennomføreoperasjoner med god kontroll over hvilken effektoperasjonen vil gi. Flere av trusselaktørene somer nevnt under kapittel 4.3 har kunnskap og kapa-sitet til å ramme kritiske samfunnsfunksjoner påmåter som vil få alvorlige konsekvenser forNorge. PST, NSM og E-tjenesten er samstemt i atfremmede stater bedriver innhenting av informa-sjon om virksomheter og infrastruktur i Norgesom øker vår sårbarhet.

Det skjer også innhenting om slike forhold fraikke-statlige trusselaktører. Disse vil også kunnebenytte noen av de samme metodene som statligeaktører for innhenting og for utnyttelse av slikkunnskap for målrettede angrep. Som regel vilimidlertid ikke-statlige aktører ha et kortere tids-

74 DSB, Samfunnets kritiske funksjoner – Hvilken funksjons-evne må samfunnet opprettholde til enhver tid, 2015.

75 NOU 2006: 6.


perspektiv på innhenting og gjennomføring av etangrep. De vil også ha mindre ressurser og somregel være teknologisk underlegne statlige etter-retningsorganisasjoner.

I PSTs Trusselvurdering 2016 fremkommerdet at utenlandsk etterretning benytter et bredtspekter av metoder for å innhente kunnskap omnorsk infrastruktur, forsvars-, sikkerhets- ogberedskapsforhold og andre grunnleggendenasjonale interesser. Russland trekkes frem somen hovedaktør. PST mener virksomheten har somformål å legge til rette for russiske militære dispo-sisjoner i en eventuell endring i den sikkerhetspo-litiske situasjonen.

Metodene som benyttes av fremmede statersetterretning spenner i følge PST bredt. Noen avmetodene er etablering av personlige og fortro-lige kontakter som har tilgang til og formidler for-trolig informasjon, tekniske metoder for å avlytte/avlese sensitiv informasjon i IKT-systemer, utpres-sing og trusler mot personer av utenlandsk opp-rinnelse som arbeider i sektorer med tilgang tilsensitiv og skjermingsverdig informasjon.

Innsidere vil i tillegg til å lekke sensitiv infor-masjon også kunne ha en sentral rolle i en eventu-ell sabotasjehandling, enten den er i form avfysiske tiltak eller digitale angrep.

Digitale nettverksoperasjoner blir også frem-hevet som et område der både etterretningsaktivi-tet, sabotasje og annen sikkerhetstruende virk-somhet er gjeldende.

PST understreker at sårbarheten for de ulikemetodene er avhengig av i hvilken grad relevantevirksomheter har kjennskap til trusselen og ska-depotensialet, samt i hvilken grad de tar sikkerhe-ten på alvor. Mangel på kunnskap og god sikker-hetskultur gjør at sårbarheten vedvarer.

PSTs vurdering er at den endrede sikkerhets-politiske situasjonene i Europa og økt bevissthethos personer som tradisjonelt har vært etterret-ningsmål, har ført til redusert mulighet for brukav tradisjonell menneskelig innhenting av infor-masjon i forhold til tidligere.

Figur 4.8 Nasjonalt Risikobilde 2014.

I Nasjonalt Risikobilde presenterer DSB ulike scenarier for uønskede hendelser. Konkrete scenarier blir risikovurdert og sammenstilt i enrisikomatrise, som denne fra 2014. Når scenariene er konkrete, og ikke generiske, må ikke figuren forstås slik at for eksempel alle jordskjelvi byer (scenario 10) på generell basis vil ha verre konsekvenser enn et hvert terrorangrep i by (scenario 17).

Kilde: DSB, Nasjonalt risikobilde, 2014.

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

Scenarioene plassert i risikomatrise

Storm i indre Oslofjord

Langvarig strømrasjonering

Flom på Østlandet

Varslet fjellskred i Åkneset

Kvikkleireskred i by

Pandemi i Norge

Tre samtidige skogbranner

100-års solstorm

Langvarig vulkanutbrudd på Island

Jordskjelv i by

Gassutslipp på industrianlegg

Brann på tanklager i by

Atomulykke på gjennvinningsanlegg

Olje- og gassutblåsning på borerigg

Skipskollisjon på Vestlandskysten

Brann i tunnel

Terrorangrep i by

Strategisk overfall

Cyberangrep mot finansielle strukturer

Cyberangrep mot ekom-infrastruktur

1810

2013

17

5

716

9

15

6

1

24

83

12

14

11

19

Naturhendelse

Kons

ekve

ns

Sannsynlighet

Store ulykker Tilsiktede hendelser


4.4.2.3 Teknologisk utvikling som øker sårbar-hetene i samfunnet

Det digitale sårbarhetsutvalget har i sin rapportgjennomgått digitale sårbarheter i samfunnet.76 Ideres rapport er det en gjennomgang av kritiskesamfunnsfunksjoners digitale sårbarheter. Rap-porten fokuserer på samfunnets økte avhengighetav digital teknologi og er et godt grunnlag forvidere arbeid med å redusere risikoen som erresultatet av disse avhengighetene.

Den teknologiske utviklingen åpner også nyemuligheter for trusselaktører, fordi dette endrersårbarheten i kritiske samfunnsfunksjoner. Detviktigste eksempelet er økt satsning på digitalenettverksoperasjoner. Dette er grundigere disku-tert i kapittel 4.4.3.

Andre eksempler er miniatyriseringen avutstyr for avlytting av tale og akustiske og digitalesignaler, samt foto og video og annet utstyr for for-dekt innhenting av sensitiv informasjon. Miniatyri-seringen bidrar til at utstyret kan skjules på nyesteder med lav sannsynlighet for å bli kompromit-tert. I tillegg har utstyret lengre levetid som følgeav bedre batterikapasitet. Kvaliteten på lyd ogbilde er også vesentlig bedre enn tidligere.

Utviklingen av drone-teknologi og andre auto-matiserte og/eller eleverte plattformer for infor-masjonsinnhenting går fort. Dette gjør det mulig åbedrive innhenting av informasjon langt mer kost-nadseffektivt enn tidligere, og med lavere risikofor å bli kompromittert.

Den økte bruken av sosiale medier gjør det let-tere å kartlegge vennekretsen og interessene tilpotensielle etterretningsmål. Utstrakt bruk avmobiltelefoner med kamera gjør at bilder fra ulikelokasjoner er tilgjengelig i et stort omfang, oftemed nøyaktig posisjonering av hvor bildet er tattog hvilke personer som er tilstede. Ukritisk publi-sering av bilder og video på sosiale medier kan gitrusselaktører informasjon som de ellers villemåtte benytte store ressurser for å innhente,potensielt med høy risiko.

4.4.3 Digitale sårbarheter

4.4.3.1 Samfunnets avhengighet av digitale systemer og tjenester

Dagens informasjonssamfunn er i sterk vekst oger drevet frem av økt globalisering og rask tekno-logisk utvikling. Informasjonsteknologiske gjen-nombrudd har ført til gjennomgripende samfunn-

sendringer som gir store gevinster i form av inno-vasjon og produktivitet. Digitaliseringen gjør detbilligere å lagre og bearbeide informasjon i et myestørre omfang enn tidligere. Dette fører imidlertidogså med seg nye sårbarheter. Digitale tjenesterog funksjoner kjennetegnes av lange, sammen-satte og uoversiktlige verdikjeder. Det er altsåkomplekse avhengigheter mellom ulike funksjo-ner. Videre kjennetegnes slike tjenester og funk-sjoner av at informasjon kan overføres megetraskt mellom de ulike delene av en verdikjede. Enfeil som oppstår et sted, kan dermed forplante seggjennom hele verdikjeden i løpet av svært kort tid– i enkelte sammenhenger i løpet av milli-sekunder. Bildet kompliseres ytterligere av atdigital tjenesteutvikling og digitale tjenestetilbuder bransjer preget av høy grad av internasjonalise-ring. Det medfører at verdikjedene som en funk-sjon er avhengig av ofte inkluderer tjenester iandre land. For en virksomhet som er avhengig avdigitale tjenester er det derfor svært vanskelig åha tilstrekkelig innsikt i og kontroll over egne sår-barheter – ikke minst fordi en arver sårbarhetenetil øvrige ledd i de digitale verdikjedene.

Norge er blant de mest digitaliserte land i ver-den.77 Dette i kombinasjon med den raske utvik-lingen på feltet gjør at Norge ikke utelukkendekan basere seg på at andre større og mer ressurs-sterke nasjoner skal finne løsninger på alle devesentlige utfordringer og problemer som følgerav denne utviklingen. Det digitale sårbarhetsutval-get påpeker i sin rapport at det må forventes atnoen problemer vil oppstå i Norge først, og at vimå ta hensyn til dette gjennom ulike risikoreduse-rende tiltak.78

Elektronisk kommunikasjon (ekom) er en inn-satsfaktor i all vare og tjenesteproduksjon og øko-nomisk virksomhet. Helsevesen, betalingstje-nester, stat, kommune og ordensmakt er avhengigav at ekom fungerer. I Norge har telenettet en sen-tral rolle som bærer av slike tjenester. I det digi-tale sårbarhetsutvalgets rapport fremhevesTelenors kjerneinfrastruktur som spesielt viktig. Irapporten konkluderes det med at dette nettet erutbygd med tanker på robusthet og er operertprofesjonelt. Likevel er risikoen forbundet med åha kun et slikt kjernenett uakseptabelt høy, medtanke på de store verdiene dette nettet er bærerav. 79

En av de gjennomgripende endringene digita-lisering har ført med seg er hvordan vi styrer pro-

76 NOU 2015: 13.

77 NSM, Helhetlig IKT-risikobilde 2015. 78 NOU 2015: 13. 79 Ibid.


sesser. Digitale styringssystemer, eksempelvisSCADA-systemer (supervisory control and dataacquisition), benyttes til å fjernstyre industripro-sesser. Slike systemer har ført til betydelig effekti-visering av en rekke prosesser. De første SCADA-systemene som ble etablert var ofte fysisk adskiltfra andre digitale nettverk og systemer. Imidlertidhar det vært en utvikling i retning av at det i stadigstørre grad skjer en integrasjon mellom SCADA-systemer og andre styringssystemer, samt tetterekobling mot internett. Dette gir ytterligere effekti-viseringspotensial, men fører også til økt sårbar-het for digital inntrenging i systemene og for atfeil forplanter seg mellom systemer. Det er flereeksempler på hvordan SCADA-systemer har blittutnyttet for å utføre sabotasje.

Ett eksempel på en cybersabotasjeaksjon motSCADA-system er Stuxnet-viruset, som trolig bleiverksatt av USA og Israel for å ødelegge sentrifu-ger for anrikning av uran i Irans atomprogram.Angrepet gjorde at sentrifugene for anrikning avuran spant ut av kontroll, noe som antas å ha sattIrans atomprogram to år tilbake i tid. Et annetdigitalt angrep som har fått konsekvenser for vik-tig infrastruktur er cyberangrepet mot kraftsekto-ren i Ukraina i desember 2015 hvor 80.000 men-nesker mistet strømmen. Dette viser hvordan sår-barheten i digitale systemer kan utnyttes for åramme viktige prosesser. Angrep på styrings-systemer kan ha stort skadepotensiale og i mangesammenhenger er konsekvensene vanskelige åforutsi.

Inntrenging og forsøk på inntrenging i IKT-systemer skjer hyppig, med varierende alvorlig-hetsgrad. Angrep utføres for å kompromittere,stjele, endre eller ødelegge informasjon. Nett-verksbaserte etterretningsoperasjoner fra frem-mede stater mot offentlige myndigheter og virk-somheter skjer løpende og representerer en alvor-lig trussel mot viktige nasjonale sikkerhetsin-teresser. Slike nettbaserte etterretningsoperasjo-ner sees som et kostnadseffektivt alternativ tiltradisjonell spionasje. Særlig Russland og Kina erstater med stor offensiv kapasitet i det digitaledomenet. Også aktivister, terrorister og profitt-motiverte kriminelle utgjør en trussel mot norskemål.80

Informasjonssikkerheten i offentlige virksom-heter og virksomheter som ivaretar kritiske sam-funnsfunksjoner er avhengig av sikkerheten i IKT-systemene. Saksbehandling foregår etter hvertnesten utelukkende på PC eller andre digitaleplattformer. Bruk av skytjenester øker i både

offentlig og privat sektor så vel som hos privatper-soner. Ca. 30 % av norske næringslivaktører benyt-ter seg av skytjenester.81 At denne informasjonenlagres utenfor virksomhetens lokaler fører til sik-kerhetsutfordringer. Også mobilitet og trådløshetøker i omfang, og sikkerheten til nettverkene vari-erer i høy grad og kan lett avlyttes ved manglendebruk av kryptering.82

Flere forsøk på nettverksbaserte etterret-ningsoperasjoner og andre digitale angrep motoffentlige og private virksomheter har de sisteårene blitt avdekket. Sommeren 2014 ble 50 ulikeselskap i norsk olje- og energisektor utsatt foromfattende spionasjeangrep. Dette er det størstehackerangrepet mot norske interesser så langt.Forskeren Ruth Skotnes hevder at til tross forflere tilfeller av forsøk på inntrengning i egnedriftskontrollsystemer, opplever norske nett-selskaper trusselen mot egne systemer som rela-tivt lav. Skotnes påpeker at dette er alvorlig tatt ibetraktning at trusselbildet mot norske kraftdistri-butører er reelt. Sårbarhetene i sektoren øker vedbruk av IKT i distribusjon. Anleggene fjernstyres idag fra et fåtall av driftssentraler i motsetning tiltidligere hvor det var ansatte som overvåket ogbetjente hvert enkelt kraftforsyningsanlegg. Sty-ringssystemene er i dag koblet til kontorstøtte-verktøy og internett, som gjør dem sårbare motangrep og teknisk svikt. Skotnes mener vi må for-vente flere angrep mot driftskontrollsystemersom styrer industrielle prosesser og kritisk infra-struktur i tiden fremover.83

DNB opplevde sommeren 2014 et tjenestenek-tangrep (Distributed Denial-of-Service (DDoS)attack) som gjorde at det ikke var mulig å loggeseg inn i nettbanken. I følge DNB dreide det segikke om hacking, men et overlagt sabotasjeangrepi form av at veldig mange påloggingsforsøk på engang sprengte kapasiteten. Indikasjoner tyder påat angrepet kom fra utlandet. En rekke andre sen-trale aktører ble også rammet, herunder Telenor,Norges Bank og Nordea.84 Nedetid i finansielletjenester som resultat av cyberangrep kan føre tilstor økonomisk skade. Ved langvarige bortfall kankonsekvensene av mangel på finansielle tjenesterfå store ringvirkninger i samfunnet. Det vil kunne

80 Etterretningstjenesten, Fokus 2015.

81 NSM, Helhetlig IKT-risikobilde 2015, 18. 82 NSM, Sikkerhetsfaglig råd 2015.83 Ruth Ø. Skotnes, «Challenges for safety and security mana-

gement of network companies due to increased use of ICTin the electric power supply sector», (Doktoravhandling,Universitetet i Stavanger 2015), 5.

84 Teknisk ukeblad, «DNBs nettsider utsatt for nettangrepigjen», http://www.tu.no/artikler/dnbs-nettsider-utsatt-for-nettangrep-igjen/231295 (oppsøkt 21.04.2016).


redusere norske myndigheters funksjons- og sty-ringsevne, og kunne skape sosial uro i befolknin-gen.85 Motivet for slike angrep kan være av poli-tisk, personlig eller økonomisk art. Sabotasje oghærverk kan også utføres av aktører uten en klaragenda. Det er vanskelig å fastslå hva som ermotivet uten god kunnskap om hvem som stårbak. NSM mener det også foregår jevnlige ogomfattende angrep mot norske virksomheter somikke blir oppdaget.

Norges forsvar og våre allierte vil måtte forbe-rede seg på å møte irregulær krigføring somhybridkrig og angrep i det digitale rom i tidenfremover. Man må være forberedt på operasjonersom har som mål å påvirke politiske beslutnings-takere eller styre det videre konfliktforløpet. I detdigitale rom vil slike operasjoner kunne omfatteblant annet sabotasjeaksjoner og nettverksbaserteetterretningsoperasjoner for å skaffe kunnskapom kritisk infrastruktur for å kunne gjennomførefysiske sabotasjeaksjoner. Kraftforsyning, tele-kommunikasjon, betalingstjenester, samt politiskog militær ledelse kan alle være sårbare for slikeangrep.86 Det digitale rom blir trolig en viktigarena for kriser og konflikter i årene som kom-mer.

Moderne IKT og nettverksteknologi gir ogsåandre muligheter og utfordringer i militær sam-menheng. Teknologiutviklingen gjør at geografiskavstand har mindre betydning – noe som påvirkerutviklingen av en rekke virkemidler for bruk imilitær sammenheng. Eksempler på teknologisom påvirkes sterkt av IKT-utviklingen er: kom-mando, kontroll og kommunikasjonssystemer,datasyn (computer vision), ballistiske missiler ogkryssermissiler, langtrekkende droner og satellit-ter.

Bruk av stordata gjør det mulig å analyserestore informasjonsmengder som kan bidra til etbredt spekter av prediktive analyser. Slike analy-ser benyttes til alt fra å predikere folks handle-mønster til å forutse store naturhendelser. Stor-data kan også brukes til å kartlegge personer,grupper eller hele befolkninger. Når store meng-der data analyseres kan enkeltopplysninger som iseg selv ikke er sensitive, sammenstilles til sensi-tiv informasjon. Ved bruk av enkle verktøy kanstore mengder informasjon om vennekrets oginteresseområder samles. Stordata setter dermedpersonvernet under press og gir sårbarheter motkriminalitet, menneskelig etterretning og spiona-sjevirksomhet. Denne sårbarheten økes av indivi-dets økte bruk av internett til sosiale medier, kom-munikasjon, lagring i skyen etc., og det såkaltetingenes internett, som vil si at flere og flere gjen-stander kobles til internett, fra kjøleskap til smart-

85 DSB, Nasjonalt risikobilde 2014. 86 Etterretningstjenesten, Fokus 2015.

Figur 4.9 Dataangrep og IKT-sikkerhetshendelser.

Antallet IKT-sikkerhetshendelser og alvorlige dataangrep som NSM håndterer har vært økende i flere år. De fire siste årene hardet vært en markant økning. De fleste angrepene har som formål å stjele informasjon fra datasystemene til store eller viktige bedrif-ter.Kilde: Nasjonal sikkerhetsmyndighet, Risiko 2015.

Alvorlige dataangrep håndtert IKT-sikkerhetshendelser håndtert

88

2014 2013 2012 2011

51 46 23

2014 2013 2012 2011

5069 3400 2332 1657


klokker. Dette er brukervennlige og praktiske til-skudd til hverdagen, men den teknologiske utvik-lingen går raskt og fører ofte til at etablerte struk-turer og regelverk ikke klarer å henge med.87

4.4.3.2 Sårbarheter i IKT-systemer

Koblingen mellom informasjonssikkerhet og sik-kerhet i IKT-systemer er blitt meget tett. IKT-systemer er i dag bærere av de fleste funksjoner isamfunnet, og således er de fleste samfunnsfunk-sjoner avhengig av sikkerheten i IKT-systemene.Dette betyr at sårbarhetene i IKT-systemenearves av samfunnsfunksjonene som disse under-støtter. I likhet med andre områder er sårbarhe-tene i IKT-systemer av menneskelig, organisato-risk og teknisk art. IKT-systemer er sårbare forbåde digitale og fysiske angrep. God sikkerhet iIKT-systemer fordrer gode tekniske løsninger, såvel som god fysisk sikkerhet rundt infrastrukturog personellsikkerhet.

Sikkerhet i et IKT-system innebærer at en kansikre konfidensialitet, integritet og tilgjengelighetav informasjonen som systemet behandler ellerlagrer.

For skjermingsverdig og sikkerhetsgradertinformasjon benytter Forsvaret og enkelte andredeler av statsforvaltningen sikkerhetsgodkjenteIKT-systemer. Godkjente systemer har et tydeligregelverk som skal gi nødvendig sikkerhet. Det erulike krav avhengig av hvilke graderingsnivåersystemene er sikkerhetsgodkjent for. Det er NSMsom godkjenner systemer for sikkerhetsgradertinformasjon og fører tilsyn med sikkerhetenomkring slike systemer. SikkerhetsgodkjenteIKT-systemer er imidlertid ikke veldig utbredt iandre sektorer enn Forsvaret, noe som gjør sik-kerhetsgradert kommunikasjon utfordrende bådemellom og innad i sektorer. NSM påpeker i SFRbehovet for økt mulighet for høygradert kommu-nikasjon i staten, og anbefaler at forsvarssektorenskal få tildelt ansvar for å utvikle felles løsningerfor all statlig virksomhet.

Både statlig og privat virksomhet håndtererbetydelige mengder informasjon som er sensitiv,men ikke sikkerhetsgradert. Hovedmengden avslik informasjon blir håndtert på systemer somikke er godkjent for sikkerhetsgradert informa-sjon. Sikkerheten i IKT-systemene som behandlerog lagrer sensitiv informasjon er variabel, og oftedårlig. Mange systemer har betydelige sikker-hetsmessige mangler. EU har utarbeidet Networkand Information Security (NIS)-direktivet som

skal bidra til bedre cybersikkerhet i offentlig ogprivat virksomhet. Utgangspunktet for utarbeidel-sen av NIS-direktivet er erkjennelsen av at cyber-sikkerhet er nødvendig for at personer og virk-somheter skal kunne ha tillit til IKT-systemene ogat dette er avgjørende for verdiskapingen i sam-funnet. NIS-direktivet er grundigere omtalt i kapit-tel 8. Det digitale sårbarhetsutvalget anbefaler atJustis- og beredskapsdepartementet vurdererkonsekvensene for Norge og understreker at detmå ses i sammenheng med et eventuelt behov forå etablere en nasjonal minstestandard for sikker-het i kritisk infrastruktur.

Både NSMs SFR og det digitale sårbarhetsut-valget påpeker viktigheten av gode krypterings-løsninger for å forhindre avlytting/avlesing avdigital informasjon og kommunikasjon. Dette vilbli et viktig tiltak for å sikre sensitiv informasjon. Iflere land diskuteres regulering av kryptering.Enkelte land og myndigheter argumenterer for atbruk av kryptering bør reguleres for å sikre myn-dighetenes mulighet til å avdekke sikkerhetstru-ende virksomhet og annen alvorlig kriminalitet.Andre mener at kryptering ikke bør reguleres. IStorbritannia arbeides det med lovforslaget«Investigatory Powers Bill». Her forslås det atleverandører av systemer som baserer seg påkryptert kommunikasjon skal lage løsninger for åkunne avlese informasjonen – å etablere såkaltebakdører. Tilsvarende forordninger blir også fore-slått i en rekke andre land. Det vil kun være myn-dighetene som skal ha mulighet til å benytte segav slike bakdører. Digitalt sårbarhetsutvalg anbe-faler at bruk av kryptering ikke bør reguleres ogtar til orde for at Norge aktivt skal arbeide motslik regulering internasjonalt.

For de fleste IKT-systemer vil det være ønske-lig med integrasjon mot flere andre systemer.Dette øker effektiviteten i informasjonsflyten mel-lom systemene. Dette fører til stadig større gradav koblinger mellom systemer, noe som fører til atsårbarheten for uautorisert tilgang til systemeneøker.

4.4.4 Sårbarhet i risikostyring og sikkerhetskultur

4.4.4.1 Virksomheters risikostyring i et samfunns-perspektiv

Vi baserer samfunnets robusthet på forståelsen avhvilke risikofaktorer som kan påvirke oss, ogiverksetter deretter relevante risikoreduserendetiltak. Vi foretar valg om hvordan vi vil forholdeoss til ulike former for risiko. Dette kan bety at87 NSM, Helhetlig IKT-risikobilde 2015.


samfunnet a) velger å forholde seg til høy grad atusikkerhet (ukjent risikonivå), b) aksepterer enkjent risiko (risikoaksept), eller c) foretar risi-koreduserende tiltak. Risikostyring er nærmerebehandlet i kapittel 4.1 og 4.5.2.

Risiko for en gitt hendelse i en konkret virk-somhet vil kunne vurderes som lav på grunn av atsannsynligheten for at nettopp denne virksomhe-ten skal bli rammet er lav. Dette til tross for at kon-sekvensen av en eventuell hendelse vil være alvor-lig. I et samfunnsperspektiv må en imidlertid vur-dere den akkumulerte sannsynligheten for at enhendelse kan ramme alle tilsvarende virksomhe-ter.

Videre vil en virksomhets egeninteresse førstog fremst omfatte vurderinger av konsekvenser avulike hendelser for egen virksomhet, og ikke nød-vendigvis også omfatte konsekvenser for andrevirksomheter lenger ut i verdikjeden.

Kvaliteten på risikovurderingene i de enkeltevirksomheter er sårbar overfor kompetanse ogressurser for gjennomføring. Ikke minst er detutfordrende å foreta et riktig utvalg av relevantescenarier og hendelser som skal inngå i vurderin-gene. Det kan være spesielt krevende å frem-skaffe tilstrekkelige kvalifiserte vurderinger, samtinneha nødvendig innsikt i trusler, verdier og sår-barheter, samt sannsynlighet og konsekvens for-bundet med ulike uønskede hendelser. Det vilogså være utfordrende å foreta vurderinger avmulige utviklingsløp for en trusselsituasjon. Deter derfor viktig å kjenne til hvilke usikkerhetsmo-

menter som inngår i risikovurderingene, og hvor-dan denne usikkerheten påvirker resultatet.

Figur 4.10 illustrerer ulike utviklingsløp for ensituasjon der det skilles mellom det sannsynlige,det tenkelige, det utenkelige (men fortsattmulige) og det umulige. Dette er en metodikksom lar seg anvende i utvalget av scenarier ellerhendelser som skal inngå i en risikovurdering.

4.4.4.2 Manglende sikkerhetskultur og hendelige uhell

Truslene diskutert i kapittel 4.3 omhandler sabo-tasje, terrorhandlinger, hybrid krigføring ogandre sikkerhetstruende hendelser. Det er likevelviktig å ikke glemme utilsiktede trusler knyttet tiliboende svakheter i sikkerhetsstrukturene. Man-gelfull sikkerhetskultur kan føre til hendeligeuhell, det vil si at en handling får negative konse-kvenser selv om personen som utførte handlingenverken hadde intensjon om å gjøre skade, ellerhandlet spesielt uforsiktig eller klanderverdig.

Mange virksomheter har et for lavt kunnskap-snivå, manglende opplæring av ansatte og engenerelt svak sikkerhetskultur. Ifølge NSMs til-synsrapporter er de fleste avvik i virksomheter avorganisatorisk art, det vil si at avvikene kunnevært avverget dersom de organisatoriske ram-mene var bedre. Få teknologiske avvik skyldesteknologien alene, men at teknologiske tiltak eravhengig av menneskelige og organisatoriske til-tak. Det gir for eksempel dårlige resultater omman kjøper inn programvareoppdateringer der-som disse ikke blir installert på grunn av organi-satorisk svikt.

Dårlig sikkerhetskultur i virksomheter girutslag på ulike nivåer. Det er virksomhetens ledersom er ansvarlig for virksomhetens forebyggendesikkerhet. Manglende sikkerhetskultur på dettenivået inkluderer at lederen ikke avser nok res-surser til sikkerhetsarbeidet og at sikkerhetsorga-nisasjonen er underdimensjonert i forhold til detreelle sikkerhetsbehovet. Også manglende evalu-ering av sikkerhetstilstanden og mangelfull gjen-nomføring av sikkerhetsmessige tiltak truer sik-kerhetstilstanden.

Utilfredsstillende sikkerhetsfaglig opplæringav ansatte gjør også virksomheten utsatt for hen-delige uhell. Dårlig opplæring kan skyldes at virk-somheten selv har lav sikkerhetsfaglig kompe-tanse og derfor gir utilstrekkelig veiledning avpersonell som er ansvarlig for autorisasjon. Ogsådårlige rutiner for å sikre at den sikkerhetsfagligekompetansen utvikles og vedlikeholdes bidrar tilen mangelfull sikkerhetskultur.

Figur 4.10 Utviklingsløp.

Illustrerer ulike utviklingsløp for samfunnet til bruk i strate-gisk planlegging. Denne metodiske tilnærmingen er ogsåanvendelig for utvelgelse av scenarier eller hendelser som skalinngå i risikovurderinger.Kilde: Alexander W. Beadle og Sverre Diesen, Globale trendermot 2040 – implikasjoner for Forsvarets rolle og relevans (Kjeller:Forsvarets forskningsinstitutt, 2015).

2015 2040

«Det sannsynlige»

«Det tenkelige»«Det utenkelige»«Det umulige»


En svak sikkerhetskultur kan komme fra man-glende dokumentasjon av forebyggende sikker-hetsarbeid, manglende innrapportering av hendel-ser, mangelfulle øvelser av beredskapsplaner,mangelfull etterlevelse av lover og forskrifter ogmanglende veiledning og tilsyn.88

4.4.5 Sårbarhet i beredskap og krisehåndtering

I forbindelse med beredskap og krisehåndteringer ledelsessystemene samt kommando og kon-troll-systemene avgjørende. Myndighetene eravhengige av effektiv utveksling av informasjonfor å sikre et oppdatert situasjonsbilde, og for åkunne utøve effektiv ledelse. Det er derfor viktigat systemfunksjonalitet opprettholdes og at bru-kerne kan ha tillit til at systemene til enhver tidinnehar autentisitet og integritet. Graderte kom-munikasjonsplattformer kan lette kriseledelsensarbeid. Samtidig vil mangelfulle kommunikasjons-muligheter utgjøre en sårbarhet.

Samfunnet er avhengig av IKT i ordinær drift.Behovet for IT-støtteverktøy vil øke i krisesitua-sjoner når mange geografisk spredte brukere skalsamhandle for å håndtere de utfordringene kri-sene bringer med seg. I slike situasjoner kan imid-lertid ikke alle brukere forvente å ha tilgang tilelektroniske støttesystemer og kommunikasjons-midler av kapasitetsgrunner. I tillegg vil kriserkunne medføre at kommunikasjonsnett blir degra-dert, korrumpert eller svikter helt.89 I en krisesi-tuasjon er det viktig å sikre effektiv krisehåndte-ring og raskest mulig gjenoppretting av kritiskesystemer. Hensynet til liv og helse vil veie tungt.

Sårbarhetene i kommando- og kontrollinfor-masjonssystemer (KKIS) er direkte knyttet til sår-barhetene i IKT-systemene. Videre vil visse KKISvære avhengige av alminnelige ekomsystemer, ogsåledes arve sårbarheter fra disse systemene,som kabelbrudd, strømbrudd eller lignende. For-svarets KKIS er bygget for å være robuste overforen teknologisk avansert motstander. Systemeneer godt beskyttet mot relevante trusler i militæreoperasjoner der Forsvaret i stor grad operereruavhengig av sivile kapasiteter.

Sivile KKIS er imidlertid etablert for å dekkeet større spekter av mindre hendelser, og er

dimensjonert for å fungere i sitasjoner som er for-bundet med naturhendelser, ulykker, eller tilsik-tede uønskede hendelser. Sivile beredskapsres-surser blir til stadighet anvendt i faktiske hendel-ser der mange ulike aktører må involveres fortlø-pende. Under storbrannen i Lærdal januar 2014ble Telenors lokale infrastruktur totalt utradert.Dette kompliserte kommunikasjonen og krise-håndteringen.

Mobiletelefon har vist seg å være et av de vik-tigste kommunikasjonsmidlene i krisehåndte-ring. Også 22. juli 2011 måtte politiet ved flereanledninger lene seg på mobiltelefoni. Dette med-fører alvorlige sårbarheter i tilfelle mobilnettetslutter å virke. Særlig Telenors kjerneinfrastruk-tur inngår som en komponent i svært mange digi-tale verdikjeder. Feil i Telenors mobilnett vil der-for kunne medføre alvorlige følger i en krisesitua-sjon. Ferdigstillingen av et nasjonalt Nødnett kangi betydelig økt robusthet og flere ben å stå på.

Ekspertgruppen for Forsvaret har påpekt atkrisehåndteringsstrukturene ikke er tilfredsstil-lende på øverste strategisk nivå. Dette utgjør ensårbarhet som en motstander som benytterhybride taktikker kan tenkes å utnytte. Bered-skapssystemets organisering er beskrevet i kapit-tel 3. Ordningen med lederdepartement, og ensterk sektortenkning, kan føre til at man taperuvurderlig viktig tid i en nasjonal krise. I tilleggkan regjeringen ved å forhaste seg risikere at feildepartement ender opp med eierskap til krisen.

Et eksempel på en situasjon der det måttehandles raskt er statsministerens beslutning22. juli om at det ikke var en sikkerhetspolitiskkrise som ville bety at Forsvarsdepartementetskulle ledet krisehåndteringen istedenfor Justis-og beredskapsdepartementet.90 Dette fremstårsom en enormt krevende beslutning å ta når Stats-ministerens kontor og Justis- og beredskapsde-partementet var utbombet og ingen kunne vitehvem som sto bak. Ekspertgruppen for forsvaretav Norge har påpekt at en mulig måte å reduseredenne sårbarheten er ved å etablere et system deret forsterket SMK kan støtte statsministeren ogregjeringen i arbeidet med beredskapsplanleg-ging og krisehåndtering, uten å rokke ved de kon-stitusjonelle ansvarsforholdene.91

88 Elgsaas og Schultz Heireng, Norges sikkerhetstilstand – enårsaksanalyse av mangelfull forebyggende sikkerhet, 2014,42–43.

89 Håvard Fridheim og Janne Hagen, Beskyttelse av samfunnet5: Sårbarhet i kritiske IKT-systemer – sluttrapport, FFI-rap-port 01204 (Kjeller: Forsvarets Forskningsinstitutt, 2007).

90 Bjerga, Kjell Inge og Håkenstad, Magnus, «Hvem eier kri-sen? Politi, Forsvar og 22. juli» i Tormod Heier og AndersKjølberg (red.), Mellom Fred og Krig: Norsk militær krise-håndtering (Oslo: Universitetsforlaget, 2013).

91 Ekspertgruppen for forsvaret av Norge, Et felles løft, 2015.


4.4.6 Militære sårbarheter

Militære sårbarheter skiller seg fra sivile sårbar-heter på noen vesentlige punkter, men det grunn-leggende utgangspunktet er likt. Også for Forsva-ret er det sikkerhetstiltak som reduserer sårbar-heten og risikoen for uønskede hendelser i møtemed trusler. Sårbarhetene er særdeles store i mili-tær sektor, men det er også sikringstiltakene. Føl-gelig er ikke risikoen Forsvaret lever med for uøn-skede hendelser særlig større enn for samfunnetutenfor. Det er i sårbarhet og iverksatte sikrings-tiltak at militær sektor skiller seg fra andre sam-funnssektorer. Konsekvensene av et anslag motlandets forsvarsevne er dramatiske og potensielteksistensielle for Norges overlevelse som stat.

Forsvaret er et ettertraktet mål for sabotasjeog spionasje fra fremmede makter. Trusselen fraulovlig utenlandsk etterretning på norsk jord ertiltagende i henhold til PST. Russland og Kinarepresenterer den største etterretningstrusselmot Norge og norske interesser.92 Overfor utval-get har PST også redegjort for konkrete sabota-sjeaksjoner både mot sivile og militære mål sommed stor sannsynlighet kan kobles til fremmedelands etterretningsoperasjoner på norsk jord.

Det er på denne bakgrunn at Forsvaret opere-rer med en annen grunnsikring og egne bered-skaps- og sikringssystemer. Forsvaret setter sineegne beredskapsnivåer og har vært på et lavt,men likevel lett forsterket beredskapsnivå «Alfa»siden februar 2013. Tre og et halvt år med Alfa-beredskap utgjør en ny normalsituasjon for For-svaret. Utviklingen i trusselbildet er at Forsvaretfremstår mer utsatt i fredstid enn det har værtsiden den kalde krigens slutt. Nedbygging avkapasiteter og bevilgninger til Forsvaret vil overtid også kunne gjøre Forsvaret mer sårbart ogmindre motstandsdyktig mot alle trusler og utfor-dringer. En trussel mot Forsvaret er også en trus-sel mot samfunnet som helhet. Med totalforsvaretog sivil understøttelse av militære kapasiteter, erskillet mellom sivile og militære sårbarheter blittmindre tydelig.

Totalforsvaret, som beskrevet i kapittel 3.5,innebærer sivil støtte til militær sektor og militærstøtte til sivil sektor. Dette er nødvendig av hen-syn til effektiv utnyttelse av ressurser, men førermed seg sårbarheter for militær sektor ettersomde sivile virksomhetene ofte ikke er innrettet for åmotstå alvorlige trusler. Sårbarheten inkludererForsvarets avhengighet til kritiske innsatsfaktorerog kritisk infrastruktur i sivil sektor.

Forsvar handler om å kunne stanse ytre trus-ler med militærmakt i en potensiell konfliktsitua-sjon. Forsvaret er avhengig av tilstrekkelig opera-tiv evne for å være troverdig og å ha en avskrek-kende effekt. Forsvarets operative evne er et pro-dukt av reaksjonsevne, kampkraft og utholdenhet.Dagens militære utfordringer knytter seg blantannet til at det forventes kortere reaksjonstider,samt en rask teknologisk utvikling som fører tilmer avanserte våpen med høy effekt, og som deter vanskelig å beskytte seg mot. Eksempler pådette er utviklingen i cyberområdet og langtrek-kende presisjonsvåpen. Forsvaret må kontinuerligmoderniseres for å opprettholde forsvarsevnen.Levetiden på mye av Forsvarets materiell må ogsåforventes å være kortere enn tidligere på grunnav den teknologiske utviklingen.

Moderne forsvar er avhengig av avanserte ogkostbare våpensystemer. Økt kostnadsnivå og høyeffektivitet fører til at antallet enheter som regeler relativt lavt i forhold til tidligere tiders våpen-systemer. Få, men avanserte våpenplattformer ereffektivt så lenge de kan beskyttes mot en fiende.Dersom beskyttelsen ikke er effektiv vil våpen-plattformene raskt bli ødelagt av motstanderen.Informasjon om militære våpensystemer har alltidvært svært følsomt, ettersom det er nøkkelinfor-masjon som kan avgjøre utfallet av en konflikt der-som den blir kjent for motstanderen.

Samfunnsutviklingen med økt privatisering oginternasjonalt samarbeid i forsvarsindustrienfører imidlertid til nye utfordringer. At slik tekno-logi er tilgjengelig for en rekke andre aktører ogstater fører til at det er vanskelig å sikre seg motat viktig informasjon kommer på avveie. Dette for-sterkes ytterligere ved at det sivile samfunn i sta-dig større omfang bidrar til både nyvinning ogproduksjon av teknologi som Forsvaret er avhen-gig av i sitt materiell.

Moderne forsvars avhengighet til avanserteog kostbare våpensystemer har ført til økt interna-sjonalt samarbeid ved utvikling og innkjøp av mili-tært utstyr. Et eksempel på dette er NATOs SmartDefence, hvor allierte går sammen om å utvikleviktige kapasiteter. I tillegg til NATOs ulike sam-arbeidsprosjekter finnes det en rekke bilateraledirekte samarbeidsavtaler vedrørende anskaffel-ser og utvikling av militært utstyr. NATO trengermoderne militære kapasiteter for å sikre sin rele-vans og troverdighet. Imidlertid har over halvpar-ten av NATOs medlemsland kuttet mer enn 10 % iforsvarsutgiftene etter finanskrisen i 2008. USAdekker om lag 70 % av NATOs utgifter, og harover lang tid utrykt at denne skjeve byrdefordelin-

92 PST, Trusselvurdering 2015.


gen ikke kan fortsette, særlig i lys av at de flestestore truslene er på europeisk side.93

NATO-medlemskapet spiller en nøkkelrolle inorsk sikkerhetspolitikk. Ubalansen i NATOsinterne byrdefordeling og potensielt svakere ame-rikansk lederskap representerer derfor en alvorligsårbarhet. Dette er eksistensielle temaer forNATO som kan rokke ved hele stabiliteten iEuropa og gjøre alle stater mer usikre og sårbare.I sikkerhetspolitikken kan usikkerhet om inten-sjoner og forpliktelser være like farlig som høytspenningsnivå i en oversiktlig situasjon.

Forsvaret står overfor trusler fra alle trehovedformer for uønskede tilsiktede hendelser:terrorisme, sabotasje og etterretning. Det er taleom konkrete trusler som kan ramme Forsvaretskjerneoppgaver og Forsvarets nøkkelpunkter.Selv om utviklingen knyttet til militære sårbarhe-ter må sies å være klart negativ, som en konse-kvens av trender i internasjonal terrorisme og for-ringelse av Vestens forhold til Russland og Kina,så er Forsvaret en aktør som er konstruert nett-opp for å møte sikkerhetsutfordringer.

4.4.7 Sårbarheter for demokratiske samfunn

Samfunnets sårbarheter handler om mer enn kri-tisk infrastruktur og statssikkerhet i militær for-stand. Siden 90-tallet har sikkerhetsbegrepet blittutvidet og har i større grad omfattet det sivile sam-funn og det enkelte individs sikkerhet. Borgernesforventninger til i hvilken grad staten skalbeskytte dem mot ulike farer er høye og ikke all-tid realistiske. Dette tydeliggjøres under kriser,også i utlandet. Tsunami-katastrofen og kritikkenav Utenriksdepartementets håndtering av flodbøl-gekatastrofen er et eksempel.

Blant de mest toneangivende innspill om sam-funn og individenes håndtering av risiko er dentyske sosiologens Ulrich Becks akademiske pro-duksjon om risikosamfunnet. En oppdatert gjen-nomgang av feltet på norsk finnes i boken Per-spektiver på samfunnssikkerhet. Beck beskriver«hvordan den samfunnsmessige utviklingenbidrar til å skape nye trusler som krever helt nyemåter å tenke på hvis vi skal kunne beskytteoss».94

Beck mener videre at risikoaversjon pregervårt moderne samfunn, med forventninger om atsamfunnet i utstrakt grad skal sikre individene

mot det brede spekter av trusler. Denne typentenkning er en vesentlig premissleverandør forbegrepet samfunnssikkerhet. Det holder ikke idag at staten sikrer landets yttergrenser, og at inn-byggerne deretter ivaretar sin egen sikkerhetinnenfor den etablerte rettsorden. Befolkningenforventer mer.

Vi garderer oss kontinuerlig mot ulike typerrisiko i dagliglivet. Sikkerhetstiltakene innbyg-gerne gjør seg i det daglige liv er i noen grad enrefleksjon av samfunnets forebyggende sikker-hetstiltak. Når innbyggerne utviser lite risikoak-sept privat vil resultatet kunne bli et samfunn somviker unna risiko. Her finnes en fallgruve der etbevisst og nøkternt forhold til risiko og sikkerhetkan gli over i overdreven frykt for moderate – og iverste fall fiktive eller ufarlige – trusler.

Dette reiser demokratiske problemer. Et avdem handler om risikoaksept og restrisiko rundtterrorangrep. Forestillingen om at myndighetenekan avverge ethvert terrorangrep vil kunne ledetil inngripende kontraterror-tiltak som undergra-ver demokratiske rettigheter til privatliv ogytringsfrihet. I USAs krig mot terror har ThePatriot Act og National Security Agencys utstrakteregistrering av kommunikasjon utfordret gren-sene for hva en demokratisk stat kan foreta seg iden hensikt å beskytte landet mot terrorhandlin-ger.

Mediene i pluralistiske samfunn vil alltid måttevurdere om noe(n) har feilet i sikkerhetssektorende gangene terrorister lykkes med et angrep.Etterspillet etter et terrorangrep kan forlede bådemediene selv og befolkningen til å overse restrisi-koen som utgjør et ikke-fjernbart handlingsromfor terrorister. Det er lett å si seg enig i at total ogfullkommen beskyttelse mot terrorisme hverkener oppnåelig eller ønskelig. Noe helt annet er det åinnrømme etter at liv har gått tapt at det dessverrevar lite samfunnet kunne gjort annerledes.

Terroristen som gjennomførte 22. juli-angre-pene opererte på en måte som gjorde det sværtvanskelig å oppdage og avverge angrepet. Hansplanlegging av terrorvirksomheten kan illustrerehandlingsrommet som finnes i den restrisiko somgjenstår etter myndighetenes implementerte sik-kerhetstiltak. Gjørv-kommisjonen konkludertemed at angrepet ikke var umulig å stoppe, men atdet heller ikke var grunnlag for å klandre PST forat så ikke skjedde. Kommisjonen var hardere i sindom rundt svikten i det forebyggende objekt-sikringsarbeid rundt regjeringskvartalet. Dissepunktene sto helt sentralt i Gjørv-kommisjonenskonklusjon og utgjorde to av kommisjonens sekshovedkonklusjoner som gjengitt under:

93 Prop. 151 S (2015–2016), 31. 94 Ole Andreas H. Engen et al, Perspektiver på samfunnssikker-

het (Oslo: Cappelen Damm, 2016), 37.


Angrepet på regjeringskvartalet 22/7 kunne havært forhindret gjennom effektiv iverksettelseav allerede vedtatte sikringstiltak. […] Med enbedre arbeidsmetodikk og et bredere fokuskunne PST ha kommet på sporet av gjernings-mannen før 22/7. Kommisjonen har likevelikke grunnlag for å si at PST dermed kunne ogburde ha avverget angrepene.95

Misoppfatninger om hva sikkerhetsmyndigheterfaktisk kan forventes å avverge, gitt skrankene ogføringene for deres arbeid, er en skummel fall-gruve. Samfunnet kan ende opp med å stille uri-melige krav til beskyttelse overfor aktører somPST og E-tjenesten. Tilliten mellom sikkerhetstje-nestene, regjeringen og befolkningen kan under-graves dersom forståelsen av trusselbildet ogmuligheten til å avverge terror spriker for myeaktørene imellom. En slik tillitssvikt utgjør etdemokratisk problem da behovet for beskyttelsemot ytre trusler og vold utgjør en del av samfunns-kontrakten i liberale samfunn.

4.4.7.1 Sårbarheter overfor strategisk kommuni-kasjon og informasjonsoperasjoner

Den frie presses viktige samfunnsoppdrag somnyhetsformidler og kilde til objektiv informasjonhar blitt utfordret av økt kommersialisering ogfremveksten av sosiale medier. Utviklingen har påmange måter demokratisert mediene ved atmangfoldet av informasjonskanaler har økt og detaldri tidligere har vært lettere å nå ut til omverdenmed sine synspunkter. Spredningen av informa-sjon skjer også hurtigere enn før. Flere konflikteri Midtøsten, inkludert Den arabiske våren, harvist hvilken kraft sosiale medier kan ha på politik-ken i konfliktsituasjoner.

PST fremhever i sin trusselvurdering for 2016hvordan enkelte etterretningstjenesters bruk avinformasjons-, påvirknings- og propagandaopera-sjoner i andre land har som målsetting å svekketilliten til myndighetene eller skape motsetninger.At slike strategier tas i bruk i perioder med høyspenning er noe også Norge må være forberedtpå.96 Under en tilspisset sikkerhetspolitisk krisevil en motstander kunne så tvil om blant annetmyndighetenes intensjoner om og evne til åbeskytte befolkningen mot voldelige anslag fraterrorister eller andre kriminelle.

Det digitale rom og internett spiller en viktigrolle som kamparena i moderne konflikter og kri-

ger.97 Strategisk kommunikasjon, eller stratkom,er en sentral faktor for å vinne i konflikter. Kom-munikasjonen av strategiske narrativer kan væreavgjørende for utfallet av en konflikt og fører der-for til en kamp mellom stater, organisasjoner, og iøkende grad også enkeltindivider, om å definereeller etablere «sannheter» om konflikten. Strate-giske narrativer kan spres gjennom sosialemedier, som for eksempel Facebook, Twitter,Instagram, blogger og YouTube. Under krigførin-gen i Gaza og i Syria ble særlig Facebook og Twit-ter brukt aktivt av mange parter. Lokalbefolkningog andre vitner bidrar kontinuerlig til rapporte-ring fra slagmarken. På den digitale slagmarkenhar også andre grupper engasjert seg, eksempel-vis nettaktivister og hackergrupper. Anonymoustok for eksempel palestinernes side i den sisteGaza-konflikten, og utførte millioner av angrepmot israelske nettsider.98

Informasjons- og kommunikasjonsinfrastruk-tur er ofte klare militære mål under væpnet kon-flikt, med Balkan, Irak, Georgia, Nord-Afrika ogMidtøsten som eksempler. På Balkan og i Irakangrep koalisjonsstyrkene både elektrisitetsforsy-ning og kringkastingsinfrastruktur. De siste årenehar vist at internettet i seg selv er blitt et mål –myndighetene i Syria tok ned internettforbindel-sen for å hindre at opprørere organiserte seg.Dette understreker behovet for evne til å håndterebortfall av informasjons- og kommunikasjonsinfra-struktur.99 Angrep på informasjons- og kommuni-kasjonsinfrastruktur kan gjennomføres i en så tid-lig fase av en konflikt at det ennå ikke er definertsom en sikkerhetspolitisk krise, og det vil kunneutføres med fordekte midler som også vil gjøredet vanskelig å knytte hendelser til en av partene ikonflikten.

Både angrep på informasjons- og kommunika-sjonsinfrastruktur og psykologiske operasjonerbenyttes som del av hybride krigsstrategier. Mål-settingen trenger ikke å være full kontroll på infor-masjonsflyten, men kan være å sette ut så mangeulike historier at befolkningen forvirres. Vi vurde-rer den informasjonen vi får basert på hvilkenannen informasjon som er tilgjengelig. Når majori-teten av informasjon tilgjengelig er manipulertblir man fanget i et system av falske oppfatninger.

95 NOU 2012: 14, Rapport fra 22. juli-kommisjonen, 449.96 Politiets sikkerhetstjeneste, Trusselvurdering 2016, 8.

97 Henning André Søgaard og Janne Merete Hagen, Kampenom Sannheten, FFI-Fokus 02 (Kjeller: Forsvaretsforskningsinstitutt, 2014), 2.

98 Janne Merete Hagen og Henning André Søgaard, Strate-gisk kommunikasjon som redskap i Krisehåndtering, FFI-rap-port 03101 (Kjeller: Forsvarets Forskningsinstitutt, 2013),18.

99 Ibid.


Økt bruk av internett og fremveksten av sosialemedier har økt antallet kanaler slik desinforma-sjon kan spres gjennom. Å villede gjennom desin-formasjon, undergraving av sannheten og manipu-lering av nyheter, kan støtte opp under militærevirkemidler. Dette gjøres på nye og mer omfat-tende måter i dag. Skjønt, allerede for 2500 årsiden slo Sun Tzu fast at «all warfare is based ondeception».100

Under andre verdenskrig benyttet begge siderstrategisk kommunikasjon, herunder propagandaog psykologisk påvirkning i stort monn. Underden kalde krigen var frontene mellom øst og veststabile og det utspant seg en statisk kamp mellomklassisk sovjet-propaganda og Vestens frihets- ogdemokratiidealer. Bildet ble langt mer flytende ogdynamisk etter murens fall. Under Balkan-krigenepå 90-tallet ble manipulering av mediene og villed-ing av befolkningen brukt aktivt som en del avkrigsstrategien. I 1992 trodde 20,5 % av Beogradsbefolkning at det var serberne som bombarderteSarajevo, mens 38,4 % trodde det var muslimsk-kroatiske styrker.101

Den første Gulfkrigen er også en stilstudie imanipulasjon av befolkningers persepsjoner omkrig. Presisjonsbombing, 100 timers-krigen, samtIraks informasjonsminister «Komiske Ali» er blantlevningene etter denne første krigen som blemediedekket i sann tid. Nærmere vår tid er krigenmot terrorisme et eksempel på en krig der fore-stillinger og narrativene om krigen har vært heltavgjørende for krigens utfall. Obama valgte å ikkevidereføre konseptet krig mot terror, ikke minstfordi negativt ladede tortur-narrativer var blittknyttet tett opp mot krigen. Guantanamo, Water-boarding og kidnappinger utgjorde etter hvertuslettelige moralske pletter på krigen mot terrorsomdømme, som var lite forenlige med grunnleg-gende demokratiske verdier. Dette ledet til øktsårbarhet fordi det undergravde legitimiteten tilhele krigen mot terror og det utstrakte forebyg-gende sikkerhetsapparatet krigen brakte medseg.

Under Ukraina-krisen var informasjons- ogkommunikasjonsinfrastrukturen både utsatt forangrep som førte til bortfall og psykologiske ope-rasjoner for å påvirke meningsdannelsen. Ukrain-ske kommunikasjonskanaler ble utsatt for cybe-rangrep som resulterte i at Krimhalvøya bleavskåret fra omverden. Samtidig foregikk en

informasjonskampanje der hovedbudskapet varbeskyttelse av russiske minoriteter.102 Undersø-kelser viser at antallet som støttet løsrivelse ogønsket å bli en del av Russland økte kraftig som etresultat av ensidige tv-sendinger som fokuserte påhvordan etniske russere på Krim ville bliannenrangs borgere i Ukraina.103 Russlands brukav propagandaverktøy og psykologiske operasjo-ner som del av sin informasjonsstrategi støttet denmilitære anneksjonen av Krim.

Ulike aktørers satsning på strategisk kommu-nikasjon skaper utfordringer for pluralistiske sam-funn der mediene spiller en sentral samfunnsrolle.I tillitbaserte samfunn stilles det store krav tilmediene om at de skal informere befolkningenom viktige spørsmål og utviklingen lokalt, regio-nalt og globalt. 22. juli var en påminner om hvorvanskelig det kan være å verifisere informasjonnår krisen treffer. Etablerte systemer og rutinerklarte ikke å håndtere trykket, og det oppsto etvakuum der en flom at vitner og egenobservasjo-ner fikk spillerom uten den nødvendige kontaktenmed politiet for å bekrefte eller avkrefte ryk-tene.104 Mange medier og kommentatorer gikklangt i å feilaktig antyde at islamistiske grupperin-ger eller Al-Qaida sto bak angrepet.105

Når man ser hvor misvisende deler av medie-dekningen rundt 22. juli ble, helt uten noen kapa-bel villedende motstander, forstår man at rommetfor en høykompetent hybrid-motstander til å mani-pulere norske medier og offentlighet utgjør enbetydelig sårbarhet. I en situasjon der ressurs-sterke aktører utnytter alle informasjonskanalerfor å bedrive propaganda og fordekt strategiskkommunikasjon, må mediene være spesielt ryd-dige med å oppgi kilden til informasjonen de kom-muniserer. Dette må gjøres gjennom hele infor-masjonskjeden, slik at det fremkommer hvemsom angivelig er primærkilde.

Hybride strategier er designet nettopp for åvære uhåndgripelige og uhåndterlige og settemotparten ut av balanse. Det er vanskelig å iverk-sette egnede mottiltak mot hybride trusler sidende vanskelig lar seg identifisere, og preges av highdeniability. Som et tillitsbasert samfunn, og somen av de mest digitaliserte landene i verden, kanNorge vært utsatt for aktører som ønsker å mis-bruke strategisk kommunikasjon for å påvirke

100 Sun Tzu, The Art of War (Oxford: Oxford University Press,1963), Chapter 1.

101 Jonathan Glover, Humanity: A Moral History of the Twen-tieth Century (London: Pimlico, 2001).

102 Hagen og Søgaard, 2013. 103 Kofman, Michael og Matthew Rojansky, «A Closer look at

Russia’s ‘Hybrid War’», Kennan Cable 07 (Wilson Center /Kennan Institute, 2015).

104 Hagen og Søgaard, 2013, 14. 105 Morgenbladet, «Analyse i kaos», 05. 08. 2011.


meningsdannelsen i opinionen, mobilisere enbefolkning eller skape motsetninger.106

Det er manglende langsiktig strategisk tenk-ning på politisk nivå om hvilke effekter informa-sjons-, påvirknings- og propagandaoperasjonerkan ha, og hvordan den økte bruken av sosialemedier kan misbrukes til å villede og påvirkebefolkningen. Verken Forsvaret eller befolknin-gen forøvrig er særlig godt forberedt til å møteslike trusler. For å redusere sårbarheten er detbehov for mottiltak mot slike strategier, og øktbevissthet rundt truslene. For en liten stat vilmaktmidlene i en krise oftere være internasjonalrett, diplomati, diskreditering av propaganda sna-rere enn militærmakt. Strategisk kommunikasjoner derfor en (krise)ressurs for Forsvaret. NATOsatser også på strategisk kommunikasjon i sinstrategi og alliansens retningslinjer vil også gjeldefor Norge. Norge bør være i stand til å bruke slikedigitale plattformer på en mer strategisk målrettetmåte i framtiden.107

4.4.7.2 Politiske prioriteringer

Liberale demokratiers styrke ligger i at det erbefolkningen som gjennom sine valgte represen-tanter bestemmer hvordan ressurser benyttes ogskal fordeles. Det er dermed viktig at befolknin-gen er godt opplyst om hvilke utfordringer sommå løses og har god forståelse for det faktiske res-sursbehovet. Med stadig internasjonalisering ogøkende kompleksitet i samfunnet øker befolknin-gens behov for informasjon. Den teknologiskeutviklingen har ført til en enorm effektivisering avinformasjonsspredning, og informasjon er tilgjen-gelig for befolkningen i langt større grad enn tidli-gere. Dette skaper imidlertid utfordringer for denenkelte i å velge ut relevant informasjon.

Befolkingens kunnskapsnivå og tilgang tilinformasjon er styrende for hvilke trusler somanses som viktigst å sikre seg mot. Forsvaret gjen-nomfører innbyggerundersøkelser for å kartleggehvilke trusler mot nasjonal sikkerhet norske inn-byggere er mest bekymret for. Funnene av inn-byggerundersøkelsen fra 2015 vises under.

Forebyggende sikkerhetsarbeid er kostbart,og ofte brukes penger på tiltak man håper manaldri får bruk for. Det er derfor viktig at informa-sjon er tilgjengelig for å gi befolkning og politi-kere et godt grunnlag for å forstå situasjonen og

106 Hagen og Søgaard, 2013, 19. 107 Ibid.

Figur 4.11 Graden av bekymring i befolkningen knyttet til ulike typer trusler.

Kilde: Forsvarets innbyggerundersøkelse 2015.

Cyberangrep (angrep på IKT-nettverk som kan sette sentrale samfunnsfunksjoner ut av spill)

Kriminalitet og vold i samfunnet

Terrorisme mot sivilbefolkningen

Terrorangrep på norsk infrastruktur og ressurser som angrep på kraftnettverk,

jernbanelinjer og oljeinstallasjoner

Ekstremvær som storm, orkaner, mye nedbør og flom

Krig/angrep på norsk territorium

Pandemier

0 % 100 %80 %60 %20 % 40 %

13

12 33 41 12 1

14 27 42 15 1

5 21 43 30 1

7 15 40 37 2

3 12 41 40 4

11 26 42 20 2

32 38 14 2

Meget bekymret Ganske bekymret Litt bekymret Ikke bekymret Vet ikke


diskutere alternative løsninger og tiltak. Økt åpen-het fra etterretnings- og sikkerhetsmiljøeneomkring trussel og sikkerhetssituasjonen harvært en trend i de fleste vestlige demokratier desiste tiårene. E-tjenestens og PSTs åpne trus-selvurderinger, samt NSMs årlige vurdering avsikkerhetssituasjonen og DSBs Nasjonalt risiko-bilde, er alle gode eksempler på dette.

Større endringer i politiske prioriteringer,nasjonalt og internasjonalt, kan medføreendringer i trusselsituasjonen. Dette kan viderebidra til endringer som påvirker hvilket nivå detmå være på sikkerheten. Eksempelvis kan infor-masjon som oppfattes som ikke-skjermingsverdigpå et tidspunkt, og som blir skjermingsverdig vedendringer i trusselbildet eller sikkerhetssituasjo-nen, skape utfordringer. På samme måte kan detføre til at visse typer virksomhet får et størrebeskyttelsesbehov enn tidligere, noe som kreverressurser for å få iverksatt nødvendige tiltak raskt.

4.5 Virkemidler for å oppnå nasjonal sikkerhet

Kapittel 4.2, 4.3 og 4.4 omtaler henholdsvis ver-dier, trusler og sårbarheter som sammenstilt giret bilde av risiko for at tilsiktede uønskede hendel-ser skal ramme verdiene vi ønsker å beskytte.Regulering av forebyggende sikkerhet har somformål å redusere risiko (eller øke sikkerheten) isamfunnet. Forebyggende sikkerhetstiltak vilhovedsakelig rette seg mot å redusere sårbarhe-tene i samfunnet. Det er imidlertid en viktig ogsterk sammenheng mellom sårbarhetene i sam-funnet og hvordan samfunnsutviklingen endrerhvilke verdier som må beskyttes, samt hvordantruslene utvikler seg. Som omtalt i innledningentil kapittel 4.3 om trusler, vil blant annet et høytsikkerhetsnivå endre kost-/nyttevurderingene hosen potensiell trusselaktør slik at intensjonen om åutføre handlinger som forårsaker skade bortfaller.

Bruk av virkemidler må ses i sammenheng forå sikre god effekt. Effekten av virkemidlene måbetraktes ut i fra et samfunnsøkonomisk perspek-tiv. Dette blir omtalt i første del av kapittelet.Videre i dette kapittelet gjennomgås bruk av ulikevirkemidler og hvordan disse kan benyttes ut ifragenerelle betraktninger. Utvalgets vurderinger avhvordan den lovmessige reguleringen av forebyg-gende sikkerhet bør innrettes på ulike tematiskeområder fremkommer i del III. Der blir det ogsåredegjort for tilfeller der utvalget mener lovregu-lering bør suppleres med andre virkemidler.

4.5.1 Samfunnsøkonomisk lønnsomme tiltak

Samfunnets ressurser er knappe og mange formåli samfunnet konkurrerer om de samme ressur-sene, både i offentlig og privat virksomhet. Sam-funnsøkonomiske analyser er et verktøy som bru-kes i offentlig forvaltning til å identifisere ogbelyse konsekvensene av tiltak. Før en beslutningskal tas bør vi ha et tydelig bilde av hvilket sam-funnsproblem som bør løses og hvilke måter detkan løses på. Ulike tiltak vil ha ulike positive ognegative konsekvenser for ulike aktører i detoffentlige, i det private næringsliv, for privatperso-ner og andre grupperinger.

Det er aktørenes samlede konsekvenser somutgjør den samfunnsøkonomiske lønnsomheten,og som påvirker samfunnets velferd. Aktørenekan være alt fra samfunnet som helhet til ulikegrupper i samfunnet i privat eller offentlig sektor.Samfunnsøkonomisk lønnsomhet viser altså hvasom er best for Norge som helhet – vurdert ut frakonsekvenser for enkeltgrupper. Gjennom man-datet er utvalget bedt om å ta slike hensyn. I man-datet står det følgende:

Forslaget skal sikre en kostnadseffektiv regu-lering, som sikrer balanse mellom akseptabelrestrisiko, og kostnaden for sikkerhetsnivået.Samfunnsøkonomisk lønnsomhet skal være engrunnleggende forutsetning, dvs. at aktuellesikringstiltak må ha en samfunnsøkonomisknytte som samlet overstiger kostnadene.

Der hvor utvalget lander på en løsning hvor sik-kerhetstiltakene skal spesifiseres i lov, må detaltså gjøres slike vurderinger. Alternativet til åspesifisere krav til sikkerhetstiltak i loven er å spe-sifisere hvem som har myndighet til å besluttehvilke tiltak som skal gjennomføres og å stillekrav til hvordan prosessen som leder frem tilbeslutning skal være. I slike tilfeller vil det værenødvendig å fastsette at slike vurderinger skalvære en del av beslutningsgrunnlaget.

Det er viktig for utvalget å understreke at det erforetatt vurderinger av konsekvensene av de løsnin-ger som er foreslått. Det er vurdert konsekvenser ivid forstand, der hovedeffektene av de foreslåtte til-tak vil ha sikkerhetsmessige konsekvenser, person-vernkonsekvenser og økonomiske konsekvenser.Nytte- og kostnadsvurderinger vil altså innbefattealle slike typer virkninger.

I utvalgets kontekst skal det vurderes uliketyper sikkerhetstiltak som kan iverksettes. Utval-get vurderer alt fra et utvidet virkeområde for


loven, til mer organisatoriske tiltak. Nytten avutvalgets anbefalte tiltak vil tilfalle mange sam-funnsaktører. Felles for de fleste gjelder det at detilfaller samfunnet som helhet – vi får det tryg-gere. I tillegg vil mange sikkerhetstiltak spesielttilfalle noen sektorer eller grupper i en sektor. Detenkelte tiltak som iverksettes på virksomhetsnivåvil også ha nytte for enkeltvirksomheter i form avfor eksempel sikrere IKT-systemer og bedre sik-kerhet mot alvorlig kriminalitet eller robusthetmot uhell eller naturhendelser. Tiltakene gjørbåde virksomhetens aktivitet og deres brukere ogkunder tryggere.

Iverksetting av tiltak vil i de fleste tilfeller ogsåføre med seg ulemper av enten kostnadsmessigart eller andre typer ulemper, som for eksempelinngrep i personvernet. Kostnader ved tiltak vilgjerne i første rekke dukke opp på virksomhets-nivå. Kostnader kan være alt fra direkte investe-rings- eller driftskostnader, eller andre typer ulem-pekostnader som blant annet kan følge av forsin-kelse av prosesser som følge av omfattende og tid-krevende prosedyrer. Enkeltvirksomheter vilsannsynligvis være opptatt av hva utvalgets for-slag vil bety for dem – gjerne i form av kostnadermed direkte utslag på bunnlinjen, eller i form avmulige konkurransefordeler eller -ulemper. Slikekonsekvenser er inkludert i utvalgets vurderingerav den samfunnsøkonomiske lønnsomheten av til-takene.

Så langt utvalget er i stand til, gis det enbeskrivelse av positive og negative konsekvenserav forslagene. Dette inkluderer å synliggjørehvilke aktører i samfunnet som drar nytte av tilta-kene, og hvem som bærer kostnadene. For noenenkelttiltak som utvalget foreslår, vil det væremulig å gi et mer konkret bilde av hva nytten avtiltaket består i, og hvem som forventes å måttebære kostnaden, samt hva den består av. Utvalgeter imidlertid ikke i stand til å beregne hva nyttenog kostnaden samlet sett vil bli for summen av deenkeltaktører som blir påvirket, som utgjør sam-funnet i vår vurdering.

En viktig årsak til at de fleste konsekvensvur-deringene er begrenset til en overordnet beskri-velse, er at utvalget kun skal utrede lovgrunnla-get, som på mange områder vil være innrettetmed overordnede formuleringer. Den detaljerteutformingen og operasjonaliseringen av lovgrunn-laget vil måtte utformes i forskrifter. Dette inne-bærer at konsekvensene først kan beregnes i denetterfølgende fasen av lovarbeidet. Selv i denetterfølgende fasen vil det sannsynligvis være van-skelig å beregne den samfunnsøkonomiske netto-nytten ut fra kjente verdsettingsutfordringer, spe-

sielt på nyttesiden. Et eksempel vil være proble-mene som oppstår hvis en prøver å gi gode, kvan-tifiserte anslag på nytten av økt sikkerhet i Norge.

Et annet ytterligere kompliserende poeng ikonsekvensvurderingen er at utvalgets forslagutgjør en helhet, og tiltakene og virkningene vilpåvirke hverandre. Det er den samlede porteføl-jen av tiltak utvalget foreslår som vil ha denønskede effekten på samfunnets sikkerhet.

4.5.2 Risikoreduserende tiltak, restrisiko og risikoaksept

Staten har et bredt spekter av virkemidler somkan benyttes for å sikre at samfunnsutviklingengår i ønsket retning. Myndighetene kan benytteulike styringsverktøy for å påvirke menneskers ogvirksomheters handlemåte. Tiltak kan benyttessom en fellesbetegnelse for de handlinger myn-dighetene ønsker å utløse med sin virkemiddel-bruk. Tiltak omfatter både fysiske tiltak (foreksempel installering av rotasjonsporter ellerkameraovervåkning) og atferdsendringer (foreksempel større forsiktighet med bruk av skytje-nester). Virkemidlene innrettes på ulike måter.Eksempelvis kan de innrettes for å sikre at spesi-fikke sikkerhetstiltak blir gjennomført, alternativtkan de kan bidra til å styre prosessene og vurde-ringene som leder frem til valget av hvilke tiltaksom blir gjennomført. De viktigste virkemidlenestaten benytter er oppsummert i figur 4.12. Utval-gets mandat er å utrede lovregulering av forebyg-gende nasjonal sikkerhet. Samtidig skal samfunn-søkonomisk lønnsomhet være en forutsetning,slik det er beskrevet ovenfor.

Utvalget legger vekt på at utgangspunktet foroppnevnelsen av utvalget er behov for en lovregule-ring som tar inn over seg utviklingen i samfunnet.Utvalget har derfor vært opptatt av at utredningenmå gjenspeile at lovregulering er ett av virkemid-lene som kan benyttes, og at lovregulering må ses isammenheng med en mer helhetlig strategi for brukav virkemidler.

Valg av virkemidler for å oppnå god nasjonalsikkerhet kan settes inn i en helhetlig risikosty-ringskontekst, som omtalt i kapittel 4.1, der mansammenholder ulike typer risiko og risikoreduse-rende tiltak. Beslutninger om hvilket sikkerhets-nivå man ønsker og dermed hvilke tiltak som kangjennomføres for å oppnå dette nivået, sett oppmot ulempene tiltakene fører med seg, vil væreviktig. Her vil virkemiddelbruk ha stor betydningfor både sikkerhetsnivået og ulempene det medfø-rer.


Fastsettelse av sikkerhetsnivå og valg av sik-kerhetstiltak er komplisert. Samfunnsøkono-miske analyser kan benyttes som et verktøy for åvelge hvilke tiltak som skal gjennomføres. Slikeanalyser gjøres ved å sammenlikne ulike alterna-tive løsninger og vurdere fordeler og ulemper i deulike alternativene. Grunntanken bak den sam-funnsøkonomiske analysen vil således kunnebenyttes for både fastsettelse av hvilket sikker-hetsnivå som er ønskelig, hvilke tiltak som børiverksettes for å nå sikkerhetsnivået, samt hvilkevirkemidler som skal benyttes for å styre iverkset-telsen av ulike typer tiltak. Forebyggende nasjonalsikkerhet er som beskrevet i de foregående kapit-ler avhengig av mange forhold og krever et bredtspekter av tiltak. Det ligger derfor i sakens naturat det vil være behov for en sammensatt virkemid-delpakke. Det ligger også i sakens natur at det åvurdere risiko og iverksette risikoreduserende til-tak vil være en kontinuerlig prosess. Som en delav dette bildet vil det selvfølgelig også være envurdering av hvilke risikofaktorer det vil væresamfunnsøkonomisk lønnsomt å gjøre noe med. Itillegg kommer tilfellene der det ikke finnes til-strekkelige relevante tiltak og det derfor vil værenødvendig å leve med risikoen. Det kan også værekomplisert å forutsi effekten av sikkerhetstiltak.Dette skyldes at det i mange sammenhenger vilvære mange prosesser og faktorer som virker innpå hverandre. Dette vil være spesielt relevant i for-bindelse med det å forhindre tilsiktede uønskedehendelser fordi tiltakene som iverksettes her vilpåvirke trusselaktørenes strategi og taktikk. Eteksempel på dette er hvordan norsk deltagelse iinternasjonale operasjoner er innrettet for å redu-sere fremveksten av internasjonal terrorismepåvirker sikkerhetssituasjonen i Norge. Interna-sjonal terrorisme oppfattes å utgjøre en av demest alvorlige truslene mot samfunnet. Bidrag islike operasjoner er viktig for norsk sikkerhetbåde på grunn av viktigheten av å vise handlings-vilje overfor allierte, og på grunn av behovet for åstabilisere områder som er i negativ utvikling. Slikdeltakelse kan imidlertid føre til at Norge blir etmål for de aktuelle terrorgrupperingene. Viderevil det å iverksette en militær operasjon i etområde kunne føre til at flere mobiliseres for del-tagelse i kamphandlingene, og dermed kan føre tilen eskalering av konfliktnivået.

Et av grunnelementene med samfunnsøkono-miske analyser er å være tydelig på hvilke mål viønsker å oppnå med tiltak. Tydelige mål vil væremed på å sikre at virkemidler som blir innført for åløse et problem ikke fører til at andre grunnleg-gende verdier rammes. Et eksempel på slike mot-

stående målsettinger kan være knyttet til det åopprettholde høy sikkerhet og samtidig legge tilrette for rask utvikling i cyber-området. Strengregulering og streng kontroll vil legge begrens-ninger på hvordan tjenester og produkter utviklerseg, men vil gjøre det lettere å sikre viktigesystemer og funksjoner mot cyber-angrep.

4.5.3 Statens styring og bruk av virkemidler

Som det fremkommer av figur 4.12 er det tohovedtyper av virkemidler: administrative og øko-nomiske. Administrative virkemidler er en felles-betegnelse for andre virkemidler enn de økono-miske. Blant de administrative virkemidlene erdet juridiske virkemidler som har størst praktiskbetydning. Juridiske virkemidler består som regelav forbud eller påbud i ulike kombinasjoner. Envanlig brukt betegnelse på offentlige forbud ogpåbud er direkte regulering. Også erstatningsre-glene og avtaleinngåelser kan regnes som juri-diske virkemidler. Andre kategorier av administra-tive virkemidler er informasjon og fysiske virke-midler (tilrettelegging av sikkerhetsgodkjenteIKT-systemer, fysiske barrierer etc.). Mensdirekte reguleringer virker ved å forplikte aktø-rene til å handle på bestemte måter, virker økono-miske virkemidler gjennom å påvirke aktørenesvurdering av hva det er økonomisk fordelaktig åforeta seg. Økonomiske virkemidler omfatter sær-lig hovedgruppene avgifter, omsettelige kvoter,pantesystemer og ulike former for tilskudd ogsubsidier.108

Grensen mellom ulike virkemiddelkategorierer ikke skarp. Blant annet vil juridiske virkemidlerofte utgjøre et nødvendig grunnlag for annen vir-kemiddelbruk. Økonomiske virkemidler må ha etjuridisk fundament, for eksempel i form av påbudom å fremskaffe dokumentasjon i tilknytning tilavgiftsberegningen, og påbud om å innbetaleavgiften. Omvendt vil juridiske virkemidler kunneha en bestanddel av økonomisk karakter, som bot,inndragning, forurensningsgebyr eller erstat-ning.109

Organisatoriske virkemidler er viktige i staten.Regjeringen og departementene har en generellmyndighet til å instruere alle virksomheter som erorganisert innenfor staten (statlige forvaltningsor-ganer). Dette betegnes som etatsstyring.

Når en virksomhet er organisert som selvsten-dig rettssubjekt, kan ikke departementenebenytte instruksjonsmyndighet, men må i stedet

108 NOU 1995: 4.109 Ibid.


styre gjennom andre virkemidler. Juridiske virke-midler er de viktigste. Men også eierstyring kanvære et aktuelt virkemiddel for heleide statligeforetak, med de begrensninger i mulighetene forstyring som følger av denne organisasjonsformen.

Informative virkemidler omfatter alt som har ågjøre med informasjon og formidling av kunn-skap. Det kan være målrettede informasjonskam-panjer, bruk av konferanser og folkemøter, ellerdet kan være mer løpende informasjonsarbeid.Slike virkemidler har en sentral rolle i sikker-hetsarbeid. Utfordringene ligger både i å innhenteny kunnskap om sikring, sårbarheter og trusler,men også å sikre at den kunnskap som finnes, fak-tisk blir benyttet. NSM og FFI peker på at man-glende sikkerhetskultur er den viktigste årsakentil at sikkerhetsnivået i mange situasjoner er forlavt.

Innretningen av virkemidler må styres av ihvilken grad det er behov for å nå et absoluttnivåfor sikkerhet eller om det er behov for å fleksibeltkunne styre adferd i en bestemt retning. Det vilogså ha betydning i hvilken grad det er usikker-het i risikovurderingene (se kapittel 4.4.4) og i for-ståelsen av sammenhengen mellom virkemidlerog påvirkning av adferd.

Videre må det legges vekt på om det er hen-siktsmessig å ha betydelig grad av fleksibilitet ivirkemidlene for å oppnå et dynamisk sikkerhets-nivå som kan justeres i forhold til endringer i trus-selbildet og den generelle samfunnsutviklingen,eller om det er viktig at sikkerhetsnivået liggerfast over tid.

Figur 4.12 Eksempler på ulike virkemidler og styringstiltak som staten kan benytte for å styre samfunns-utviklingen.

Kilde: Direktoratet for økonomistyring, veileder i samfunnsøkonomiske analyser, 2014.

Administrative virkemidler

Juridiske

• Lover og forskrifter

• Konsesjoner

• Reguleringer

• Vedtekter

• Tilsyn og kontroll

• Selskapsdannelser

• Eierstyring

• Sentralisering/ desentralisering

• Forvaltningsnivåer

• Informasjon

• Holdningspåvirkning

• Opplæring

• Kommunikasjon

• Avgifter og gebyrer

• Subsidier

• Prisreguleringer

• Finansieringsordninger som lån og garantier

• Konkurranseeksponering

Organisatoriske Informative

Økonomiskevirkemidler


Kapittel 5

Forebyggende sikkerhet og rettssikkerhetsgarantier

5.1 Innledning

Vernet av demokratiet, rettsstaten og menneske-rettighetene står sentralt i samfunnskontraktenmellom staten og borgerne. Dette vernet følgerdirekte av Grunnloven § 2 og er videre konkreti-sert i kapittel E Menneskerettigheter (§§ 92-113).Herunder skal statens myndigheter respektere ogsikre menneskerettighetene slik de kommer tiluttrykk i bindende traktater om menneskerettig-heter, jf. § 92 og menneskerettsloven § 2, somblant annet viser til Den europeiske menneskeret-tighetskonvensjonen (EMK) og FNs konvensjonom sivile og politiske rettigheter (SP).

Arbeidet med forebyggende sikkerhet er nett-opp motivert ut i fra ønsket om å beskytte et styre-sett og et samfunn som virkeliggjør bestemmel-sene i Grunnloven, ikke minst de som gjeldermenneskerettigheter. Menneskerettighetene erimidlertid ikke absolutte størrelser, og hver rettig-het kan ikke alltid realiseres i sin ideelle form. Foreksempel ville et fullstendig vern av ytringsfrihe-ten gått på bekostning av personvernet, fordi manogså måtte tillatt hatefulle og diskriminerendeytringer.

Skal staten gjøre inngrep i grunnleggende ret-tigheter, som for eksempel personvern og retts-sikkerhet, må det begrunnes som legitimt og for-holdsmessig for å beskytte andre grunnleggenderettigheter og hensyn. Slike formål kan væreandre menneskerettigheter, men også hensynettil nasjonal sikkerhet, jf. EMK art. 8(2). I spen-ningsfeltet mellom ivaretakelse av nasjonal sikker-het og personvernet, befinner det seg til dels mot-stridende interesser og verdier som må veies oppmot hverandre.

Inngripende tiltak overfor borgerne, i form avovervåkning eller andre former for kontroll, kanmedføre nedkjølingseffekt i samfunnet. I henholdtil stortingsmelding nr. 23 (2013–2014) Datatilsy-nets og Personvernnemndas årsmeldinger for2013, oppstår nedkjølingseffekten i situasjoner

hvor utøvelse av legitime handlinger innskrenkeseller motvirkes gjennom trusselen om muligesanksjoner.

En balansert avveining mellom nasjonal sik-kerhet, menneskerettighetene og andre grunnleg-gende interesser har stått sentralt for utvalgetsarbeid. Utvalget har hatt som utgangspunkt at en iden grad det er mulig, bør velge tiltak som ikke,eller i minst mulig grad, kommer i konflikt medindividuelle rettigheter og friheter. For inngrepsom likevel må anses påkrevd av hensynet tilnasjonal sikkerhet, har utvalget lagt vekt på at til-takene skal kunne skaleres slik at disse ikke med-fører inngrep i større grad, eller for lengre tid, ennhva som anses nødvendig i det konkrete tilfellet. Itillegg skal det i slike tilfeller etableres tilfredsstil-lende rettssikkerhets- og personverngarantier forden som blir eksponert for tiltak etter loven. Enprivat virksomhet, eller andre selvstendige retts-subjekter, som blir pålagt inngripende og kostbaretiltak for å sikre samfunnskritiske funksjoner, skalsåledes ha tilgang til rettssikkerhetsgarantier for åsikre legalitet, kontradiksjon, likebehandling medvidere. Tilsvarende bør for eksempel personersom gjennomgår personkontrollundersøkelser iforbindelse med en søknad om sikkerhetsklare-ring i rimelig grad sikres innsyn i prosessen ogselvbestemmelse.

I arbeidet med å balansere hensynet til fore-byggende sikkerhet og andre grunnleggendehensyn og rettigheter er rettssikkerhet og person-vern sentrale begreper.

I den videre fremstillingen vil det innlednings-vis gis en redegjørelse for utvalgets forståelse avbegrepene rettssikkerhet og personvern, og for-holdet mellom disse. Deretter vil det nærmereinnholdet i de to begrepene bli behandlet, førutvalget avslutningsvis trekker opp noen gene-relle retningslinjer for hvordan avveiningen mel-lom de ulike hensynene vil bli foretatt i utvalgetsvidere arbeid.


5.2 Begrepsavklaring

Rettssikkerhet er et flertydig begrep, det brukes påulike måter og med noe forskjellig vektleggingavhengig av om det for eksempel er strafferetteller forvaltningsrett som er rammen for begreps-forklaringen. Kjernen i rettssikkerhet er kravetom at enkeltindividet skal være beskyttet mot vil-kårlige og uforholdsmessige inngrep fra myndig-hetenes side. Den enkelte skal dessuten ha mulig-het til å forutberegne sin rettsstilling og forsvaresine interesser. I tillegg kan hensynet til likhet ogrettferdighet inngå i begrepet.1 Rettssikkerhet ergrunnleggende knyttet til begrepet rettsstat, ogforutsetter at inngripende avgjørelser skal byggepå lovgivning som er kjent, og som blir anvendt påforutberegnelige og rettsriktige måter, det vil si isamsvar med gjeldende rettsregler. Rettssikker-het forutsetter blant annet uavhengige domstoler,som gjennom sin virksomhet bekrefter og etable-rer gjeldende rettsregler, og kontrollerer at inn-grep overfor den enkelte skjer i samsvar medloven.

Virkemidlene for å oppnå rettssikkerhetskra-vene omtales gjerne som rettssikkerhetsgaran-tier. Rettssikkerhetsgarantiene er enkeltelemen-ter som hver for seg – og samlet – bidrar til å iva-reta rettssikkerhetskravene.

Personvern i tradisjonell forstand ble definertav Personvernkommisjonen på følgende måte:

Personvern dreier seg om ivaretakelse av per-sonlig integritet; ivaretakelse av enkeltindivi-ders mulighet for privatliv, selvbestemmelse(autonomi) og selvutfoldelse.2

Alle mennesker har behov for en privat sfære,hvor man kan være i fred fra innblanding fraandre. Personvernet innebærer imidlertid ikkebare en rett til å ha en slik privat sfære, men ogsåretten til å ha kontroll over opplysninger om segselv. Beskyttelsen av personopplysninger beteg-nes ofte personopplysningsvern.

Personvernkommisjonen har i sin utredninglagt følgende definisjon av personopplysningsverntil grunn:

Personopplysningsvern dreier seg om reglerog standarder for behandling av personopplys-ninger som har ivaretakelse av personvern

som hovedmål. Reglenes formål er å sikreenkeltindivider oversikt og kontroll overbehandling av opplysninger om dem selv. Medvisse unntak skal enkeltpersoner ha mulighettil å bestemme hva andre skal få vite om hans/hennes personlige forhold.3

Retten til en personlig sfære, uten innblandingeller overvåkning fra myndighetenes side, kansies å være en av bærebjelkene i et reelt demo-krati. Metodekontrollutvalget understreket at«[u]ten et privat rom der individet fritt kan drøfte,utdype og teste sine tanker og oppfatninger, vildet ikke ha grunnlag for å utøve sin rolle som del-taker i de demokratiske prosessene».4

Personvernkommisjonen omtalte personver-nets betydning for demokratiet, som beskyttelsenav «rettigheter og friheter som igjen beskyttergrunnleggende offentlige friheter, som friheten tilå delta i demokratiske prosesser».5 Når det gjel-der utøvelse av offentlig myndighet, kan begre-pene rettssikkerhet og personvern langt på veisies å smelte sammen. I Personvernkommisjo-nens utredning er begrepene omtalt på følgendemåte:

Det tradisjonelle personvernet, forstått somrespekt for og beskyttelse av integritet og indi-videts ukrenkelighet, vil ofte gå hånd i håndmed kravet til rettssikkerhet. Det motsatte vilimidlertid ofte være tilfellet med personopplys-ningsvernet. Grunnleggende rettssikkerhets-garantier som innsynsrett i forvaltningssakerog fri bevisbedømmelse vil ofte innebærebehandling og spredning av personlig informa-sjon som den registrerte ikke kan ha kontrollover. For å sikre borgernes rettssikkerhet vildet derfor ofte være nødvendig å sette person-opplysningsvernet helt eller delvis til side.6

Ved offentlig myndighetsutøvelse som innebærerinngrep overfor den enkelte, vil man ut fra retts-sikkerhetsbetraktninger blant annet stille krav omat inngrepet er hjemlet i lov, forutsigbart, for-holdsmessig og formålsbestemt. Videre stilles detkrav til saksbehandlingen, herunder at denenkelte får anledning til kontradiksjon, at deberørte parter har rett til innsyn i saksdokumen-

1 Torstein Eckhoff og Eivind Smith, Forvaltningsrett, 10.utgave (Oslo: Universitetsforlaget, 2014), 56–57.

2 NOU 2009: 1, Individ og integritet – Personvern i det digitalesamfunnet, 32.

3 Ibid. 4 NOU 2009: 15, Skjult informasjon – åpen kontroll — Metode-

kontrollutvalgets evaluering av lovgivningen om politietsbruk av skjulte tvangsmidler og behandling av informasjon istraffesaker, 50

5 NOU 2009: 1, 39.6 NOU 2009: 1, 33.


tene, at de blir underrettet om utfallet av avgjørel-sen, og at det gis anledning til å påklage vedtaket.

Ut fra en personvernbetraktning vil en typisksørge for at det ikke blir behandlet flere opplys-ninger enn nødvendig ut i fra formålet, at opplys-ningene som brukes er korrekte og oppdaterte, atde aktuelle personene har kunnskap om behand-lingen, innsyn i egne opplysninger med videre.

De enkelte komponentene i henholdsvis retts-sikkerhets- og personvernidealene kan beskrives iform av krav og interesser. En sammenstilling avslike beskrivelser anskueliggjør slektskapet mel-lom de to tilnærmingene, se figur 5.1.

Figuren illustrerer at de to idealene grunnleg-gende sett bør ses som separate, men med over-lappende tilnærminger. Samtidig gjelder de likear-tede spørsmål. Lik farge på strekene, markererlikeartet innhold. Mens rettssikkerhet primærtgjelder myndighetsutøvelse generelt, gjelder per-sonopplysningsvern uavhengig av om det utøvesmyndighet eller ikke. Det betyr blant annet at per-

sonopplysningsvern alltid er relevant når det sam-les inn opplysninger om enkeltindivider, mensrettssikkerhet primært er relevant når disse opp-lysningene brukes til å utøve offentlig myndighet.

Både personvern og rettsikkerhet kan ivaretaspå systemnivå og på individuelt nivå. For ivareta-kelse av personvern er det i lovgivningen særliglagt vekt på å stille krav til informasjonssystemersom behandler personopplysningene. Såledesskal den generelle behandlingen av personopplys-ninger i systemene ha rettslig grunnlag (foreksempel lovhjemmel); skje i henhold til på for-hånd fastlagte formål; ikke behandle flere opplys-ninger enn nødvendig for formålet; og sikre til-strekkelig opplysningskvalitet og informasjonssik-kerhet med videre. På systemnivå ivaretas retts-sikkerhet særlig gjennom prosesslovgivning somfastsetter hvordan saker ved domstolene og for-valtningsmyndigheter skal behandles. På indivi-duelt nivå begrunner både rettssikkerhet og per-sonvern individuelle rettigheter, for eksempel ret-

Figur 5.1 Forholdet mellom rettssikkerhet og personvern.

Illustrasjon: Dag W. Schartum, professor, Universitet i Oslo, det juridisk fakultet.

Pe

rso

nv

ern

Re

ttssikk

erh

et

Rettssikkerhetskrav

Riktig rettsanvendelse

Forsvarlig skjønnsutøvelse

Forutberegnelighet Demokratisk kontroll

Unngå umyndiggjøring

Hensynsfullt og raskt

Betryggende beslutningsgrunnlag

Saklig grunnlag

Upartisk og uhildet

Personverninteresser

Brukervennlig behandling Selvbestemmelse

Innsyn og kunnskap Forholdsmessig kontroll Opplysnings- og behandlingskvalitet


ten til innsyn, kontradiksjon, begrunnelse, klagemed videre.

5.3 Internasjonale forpliktelser og grunnlovsvern

5.3.1 Personvern og rettssikkerhet

Norge har gjennom flere internasjonale konven-sjoner forpliktet seg til å verne om både person-vern og rettssikkerhet.

EMK art. 5 om vern mot vilkårlig frihetsberø-velse, art. 6 om retten til rettferdig rettergang ogart. 7 om legalitetsprinsippet og forbudet mot til-bakevirkning i strafferetten er grunnleggendebestemmelser i en rettssikkerhetssammenheng.EMK art. 5 og art. 7 har imidlertid primært betyd-ning i en strafferettslig kontekst. I uttrykket rett-ferdig rettergang, jf. EMK art. 6, ligger flere vik-tige rettssikkerhetsprinsipper, herunder tilgangtil en uavhengig og upartisk domstol, kontradik-sjon, likestilling mellom partene, tilstedeværelseog begrunnelse, samt et forbud mot selvinkrimi-nering.

EMK art. 8 og SP art. 17 omhandler statensforpliktelser til å verne den enkeltes krav pårespekt for sitt privatliv, familieliv, sitt hjem og sinkorrespondanse. Begge bestemmelsene inne-holder både rettssikkerhets- og personvernele-menter.

EMK art. 8 lyder:

1. Enhver har rett til respekt for sitt privatlivog familieliv, sitt hjem og sin korrespon-danse.

2. Det skal ikke skje noe inngrep av offentligmyndighet i utøvelsen av denne rettighetunntatt når dette er i samsvar med loven oger nødvendig i et demokratisk samfunn avhensyn til den nasjonale sikkerhet, offent-lige trygghet eller landets økonomiske vel-ferd, for å forebygge uorden eller kriminali-tet, for å beskytte helse eller moral, eller forå beskytte andres rettigheter og friheter.

SP. art. 17 lyder:

1. Ingen må utsettes for vilkårlige eller ulov-lige inngrep i privat- eller familieliv, hjemeller korrespondanse, eller ulovlige inn-grep på ære eller omdømme.

2. Enhver har rett til lovens beskyttelse motslike inngrep eller angrep.

Selv om ordlyden i de to bestemmelsene er ulike,viser praksis fra den Europeiske menneskerettig-hetsdomstolen (EMD) og FNs menneskerettig-hetskomite at de nærmere vurderingstemaeneetter bestemmelsene er sammenfallende.

Disse bestemmelsene er sentrale for Norgesfolkerettslige forpliktelser til å ivareta den enkel-tes rettssikkerhet og personvern.

Retten til vern om privatliv og korrespondanseetter art. 8 og 17 er ikke absolutt. Inngrep i debeskyttede interessene kan imidlertid kun skjedersom tre kumulative vilkår er oppfylt:

– Inngrepet må være foreskrevet ved lov (lov-skravet)

– Inngrepet må ivareta beskyttelsesverdige for-mål

– Inngrepet må være nødvendig i et demokratisksamfunn (nødvendighetskravet)

Lovskravet innebærer at et inngrep i de beskyt-tede interessene må ha hjemmel i nasjonal lovgiv-ning. Av rettspraksis fra EMD fremgår det atdenne hjemmelen må oppfylle visse kvalitativekrav. Loven må være tilgjengelig for de berørte,sikre forutberegnelighet med hensyn til konse-kvensene av lovgivningen, samt være i overens-stemmelse med rettsstatsprinsippene.7

De beskyttelsesverdige formål som kanbegrunne inngrep i den enkeltes privatliv ellerkorrespondanse, reiser sjelden tvil i EMD-praksis.Dette skyldes i hovedsak at de oppregnede formå-lene er så bredt formulert at de dekker de flestetilfeller hvor statene har behov for å foreta inn-grep i beskyttede rettigheter.8 Imidlertid er rela-tivt presise formålsangivelser en forutsetning foret reelt vern.

I et nytt lovgrunnlag for forebyggende nasjonalsikkerhet, vil hensynet til den nasjonale sikkerhetvære en gjennomgående begrunnelse for de tiltaksom foreslås implementert. Dette formålet favnerimidlertid så vidt at det, slik utvalget ser det, i fleresammenhenger er nødvendig med nærmere konkre-tiseringer.

Nødvendighetskravet innebærer både at inngre-pet må være forholdsmessig, og at det må væreformålsmessig. Med formålsmessig menes i dennesammenheng at de tiltak som tillates, må væreegnet til å oppnå det aktuelle formålet.

For at inngrepet skal anses nødvendig i etdemokratisk samfunn må det videre være for-holdsmessig i forhold til de legitime formål som

7 Weber and Saravia vs. Germany (54934/00), avsnitt 84.8 NOU 2009: 15, 63.


forfølges. Forholdsmessighetsvurderingen er enkonkret skjønnsmessig vurdering hvor en rekkefaktorer tas i betraktning. EMD har lagt til grunnat statene har en relativt vid skjønnsmargin iinteresseavveiningen mellom retten til vern av pri-vatliv og hensynet til nasjonal sikkerhet.9

Retten har samtidig understreket den iboenderisikoen for at inngripende tiltak av hensyn tilnasjonal sikkerhet kan undergrave, eller i verstefall ødelegge demokratiet, under et dekke av åskulle beskytte nettopp dette. Det må derfor væreetablert adekvate og effektive mekanismer somforhindrer misbruk av slike tiltak. Hvorvidt tilta-kene vil være forholdsmessige avhenger av enkonkret vurdering av omstendighetene i saken.

Vernet av den enkeltes personlige integritet ogautonomi er i Norge en grunnlovsfestet rettighet.Det følger av Grunnloven § 102, som ble endret i2014, at:

Enhver har rett til respekt for sitt privatlivog familieliv, sitt hjem og sin kommunikasjon.Husransakelse må ikke finne sted, unntatt i kri-minelle tilfeller.

Statens myndigheter skal sikre et vern omden personlige integritet.

I motsetning til EMK art. 8 og SP art. 17 åpnerikke ordlyden i Grunnloven § 102 for å gjøre unn-tak fra dette vernet. Det fremgår imidlertid av for-arbeidene at bestemmelsen er en grunnlovfestingav det vern som følger av tidligere Grunnloven§ 102, ulovfestet rett, menneskerettsloven ogannen ordinær lovgivning.10 Det er også slått fast irettspraksis at det kan gjøres inngrep i de rettsgo-der som bestemmelsen verner:

Til forskjell fra SP artikkel 17 og EMK artikkel8, inneholder Grunnloven § 102 ingen anvis-ning på om det overhodet kan gjøres lovligebegrensninger i privat- og familielivet. Mengrunnlovsvernet kan ikke være – og er hellerikke – absolutt. I tråd med de folkerettsligebestemmelsene som var mønster for dennedelen av § 102, vil det være tillatt å gripe inn irettighetene etter første ledd første punktumdersom tiltaket har tilstrekkelig hjemmel, for-følger et legitimt formål og er forholdsmessig,jf. Rt-2014-1105 avsnitt 28. Forholdsmessig-hetsvurderingen må ha for øye balansen mel-lom de beskyttede individuelle interessene på

den ene siden og de legitime samfunnsbeho-vene som begrunner tiltaket på den andre.11

5.3.2 Personopplysningsvernet

SP art. 17 og EMK art. 8 er som nevnt sentralebestemmelser for beskyttelsen av rettssikkerhetog personvern. De samme bestemmelsene dan-ner også fundamentet for personopplysningsver-net. FNs menneskerettighetskomité uttalte i 1988at for å ivareta de forpliktelser SP art. 17 oppstillermå statene blant annet utarbeide regelverk somverner personopplysninger.

Det kommer ikke direkte til uttrykk at person-opplysninger er vernet gjennom bestemmelsen iGrunnloven § 102. Ser vi imidlertid på uttalelserfra Stortingets kontroll- og konstitusjonskomité,Høyesterett og EMD er det klart at bestemmelsenogså verner personopplysninger ved at systema-tisk innhenting, oppbevaring, lagring eller bruk avopplysninger om andres personlige forhold barekan finne sted i henhold til lov, benyttes i henholdtil lov eller informert samtykke, at loven må væreforholdsmessig og ivareta et legitimt formål og atopplysningene må slettes når formålet ikke lengerer til stede.

Under henvisning til blant annet EMK art. 8vedtok Europaparlamentet og Rådet 24. oktober1995 Direktiv om beskyttelse av fysiske personer iforbindelse med behandling av personopplysnin-ger og om fri utveksling av slike opplysninger(Personverndirektivet), som ble førende også forutforming av norsk regelverk. Ved innlemmelsenav Personverndirektivet av 25. juni 1999 i EØS-avtalen, ble reglene også folkerettslig bindendefor Norge. Direktivet pålegger medlemsstaterinnen EU/EØS å vedta lovgivning i samsvar meddirektivets regler. Den norske personopplysnings-loven søker nettopp å oppfylle dette kravet, sekapittel 5.5.

EU vedtok 27. april 2016 en personvernreformbestående av en forordning om beskyttelse av per-sonopplysninger generelt og et direktiv for myn-dighetenes behandling av personopplysninger ipoliti- og straffesektoren. Begge regelverkeneskal implementeres i norsk rett. Ikrafttredelse ersatt til mai 2018 for EU. Dette vil gjelde også forNorge med mindre noe annet bestemmes ved inn-lemmelse av forordningen i EØS-avtalen.

I grove trekk videreføres gjeldende rett i per-sonverndirektivet og personopplysningsloven.Vedtakelse av et nytt generelt regelverk i form aven EU-forordning skal føre til en større grad av9 Blant annet i Weber and Saravia vs. Germany, avsnitt 105.

10 Dok. Nr. 16 (2011–2012), Rapport fra Menneskerettighetsut-valget om menneskerettighetene i Grunnloven, 178. 11 RT-2015-93, avsnitt 60.


harmonisering av personvernreglene i EØS-områ-det. Et utvidet samarbeid mellom nasjonale til-synsmyndigheter skal ytterligere bidra til en likrettsutvikling.

Blant endringene kan nevnes for det første vir-keområdet for regelverket. Fra å gjelde virksom-heter som er etablert innenfor EØS-området, skalreglene nå også gjelde alle som behandler EØS-borgeres personopplysninger når behandlingenbestår i å tilby varer eller tjenester til disse bor-gerne eller å overvåke deres atferd innenfor EØS-området.

Innen strafferettspleien tar de nye reglenesikte på å bedre beskyttelsen av personopplysnin-gene til både siktede, fornærmede og vitner. Infor-masjonsutveksling mellom nasjonale myndigheterskal også utvides.

Videre erstattes den nåværende meldepliktenfor behandling av personopplysninger med en delandre plikter for den behandlingsansvarlige ogdatabehandlere. Dette gjelder blant annet plikt tilå føre dokumentasjon, til å varsle tilsynsmyndig-heten og/eller den registrerte ved eventuelledatabrudd. Gjennom en risikobasert tilnærmingtil behandlingen av personopplysninger skal hen-siktsmessige tekniske og organisatoriske sikker-hetstiltak iverksettes.

Den registrertes rettigheter til blant annet inn-syn, informasjon, sletting og medbestemmelseutvides. Videre innføres regler om dataportabilitetog personprofiler, og en sertifiseringsordningsom skal synliggjøre hvilke virksomheter som tarpersonvern på alvor. Av spesiell interesse er ogsåart. 25 som blant annet stiller krav til innebyggetpersonvern, det vil si til å nedfelle hensynet til per-sonvern i de informasjonssystemer som behand-ler personopplysninger.

Forordningen viderefører i grove trekk det vir-keområdet som gjaldt for direktivet av 1995. Detfremgår av forordningen art. 2 at den ikke fåranvendelse på behandling av personopplysningersom utføres i anledning forhold som faller utenforEU-regelverkets virkeområde, for eksempel nasjo-nal sikkerhet og forsvar.

For de virksomheter forordningen gjelder for,åpner art. 23 – i likhet med direktivet art. 13 – forunntak fra reglene om den registrertes rettigheterblant annet av hensyn til nasjonal sikkerhet, for-svar og samfunnssikkerhet (public security), der-som unntaket gjøres i lovs form og det er nødven-dig og proporsjonalt i et demokratisk samfunn.

Da direktivet gjennom personopplysningslo-ven ble innlemmet i norsk rett ble det besluttet ågi den norske personopplysningsloven et brederevirkeområde enn det Norge var forpliktet til. Til

forskjell fra EU-retten gjelder dermed personopp-lysningsloven som utgangspunkt også for eksem-pelvis virksomhet innen nasjonal sikkerhet og for-svar. Så lenge personopplysningsloven gjelder, måeventuelle unntak gjøres ved lov. Det gjenstår å seom denne løsningen blir videreført når den nyeforordningen skal innlemmes i norsk rett. Utval-get er imidlertid ikke kjent med at det er planlagtendringer her.

5.4 Rettssikkerhet

I det norske lovverket finnes det en rekke lover ogenkeltbestemmelser som har som hovedformål åivareta rettssikkerheten. Prosesslovgivningen,herunder straffeprosessloven og forvaltningslo-ven, er sentrale eksempler. Dagens sikkerhetslov,har ivaretakelse av den enkeltes rettssikkerhetsom et uttalt formål, se § 1 bokstav b. Av loven § 6annet ledd fremgår det således at det ved utøvelseav forebyggende sikkerhetstjeneste, skal tas sær-lig hensyn til den enkeltes rettssikkerhet. Forvalt-ningsloven12 har en rekke bestemmelser som skalbidra til at forvaltningsorganer behandler sakerpå en rettssikker måte. For myndighetsutøvelsesom berører enkeltpersoner eller selvstendigerettssubjekter, vil forvaltningsloven danneutgangspunkt for myndighetenes saksbehandlingmed mindre det gjøres eksplisitt unntak frareglene i loven.

Tradisjonelt deles rettssikkerhetskravene inn ito grupper; materiell rettssikkerhet om overord-nede krav til avgjørelsens innhold (kapittel 5.4.1),og prosessuell rettssikkerhet om fremgangsmå-ten for hvordan slike avgjørelser skal treffes(kapittel 5.4.2).13

5.4.1 Materielle rettssikkerhetsgarantier

Legalitetsprinsippet er et sentralt element i detmaterielle rettssikkerhetsbegrepet, og gjenspeilerogså lovskravet som følger av Norges folkeretts-lige forpliktelser etter EMK og SP.

Det strafferettslige legalitetskravet følger avGrunnloven § 96. På strafferettens og straffepro-sessens område gjelder det et strengt krav til lov-hjemlenes klarhet og presisjon. Utenfor strafferet-tens område var legalitetsprinsippet lenge ansettfor å være konstitusjonell sedvanerett, basert påden ulovfestede læren om at inngrep i borgernes

12 Lov 10. februar 1967 om behandlingsmåten i forvaltnings-saker (forvaltningsloven).

13 NOU 2009: 15, 60.


rettssfære trenger hjemmel i lov. Ved Grunnlov-sendringen i 2014 ble dette prinsippet, utenforstrafferettens område, lovfestet i Grunnloven§ 113. Bestemmelsen lyder:

Myndighetenes inngrep overfor den enkeltemå ha grunnlag i lov.

Legalitetsprinsippet har en sentral plass i forståel-sen av den norske rettsstaten. Myndighetenesinngrep overfor den enkelte skal være basert påen demokratisk prosess og være forankret i folke-flertallets vilje. På mange måter utgjør lovfestin-gen av det generelle legalitetsprinsippet engaranti for ivaretakelsen av de verdier Grunnlo-ven skal verne om – rettstaten, demokratiet ogmenneskerettighetene, jf. Grunnloven § 2.

Et sentralt element i legalitetsprinsippet erhensynet til forutberegnelighet. At inngrep i bor-gernes private rettssfære følger direkte av lovgiv-ningen, gjør at den enkelte settes i stand til å for-utberegne sin rettsstilling. En viktig forutsetningfor å kunne forutberegne sin rettsstilling er at inn-grepshjemlene er tilgjengelige for allmennheten,slik at borgerne har mulighet til å sette seg inn idet aktuelle regelverket. En forutsetning for forut-beregnelighet er at inngrepshjemlene er tilstrek-kelig presise og at reglene ikke i for stor grad erav skjønnsmessig karakter. I dette ligger en spesi-fisering av hvilke vilkår som må være oppfylt for atet vedtak skal kunne treffes, og hvilket innholdvedtaket kan eller skal ha. En slik forutberegne-lighet vil også skape gode muligheter for over-prøving og kontroll av forvaltningen av regelver-ket.

En annen grunnleggende rettssikkerhetsga-ranti er forholdsmessighetsprinsippet. I dette liggerbåde at det må gjøres en konkret vurdering avhvorvidt det aktuelle tiltaket vil utgjøre et ufor-holdsmessig inngrep i den enkeltes rettssfæresett opp mot de sikkerhetsmessige gevinstene etslikt tiltak vil antas å få, og en vurdering av hvilkeneffekt det aktuelle tiltaket antas å få sett opp motden aktuelle risiko det søker å beskytte mot.

Innen forebyggende sikkerhetstjeneste kom-mer forholdsmessighetsprinsippet til uttrykk i sik-kerhetsloven § 6, hvor det fremgår at det ikke skalnyttes mer inngripende midler og metoder enndet som fremstår som nødvendig i forhold til denaktuelle sikkerhetsrisiko og omstendighetene forøvrig. Dette kan også ses på som et subsidiaritets-prinspipp. Dersom samme effekt kan oppnås vedbruk av at mindre inngripende virkemiddel, skaldet minst inngripende virkemidlet benyttes. I for-arbeidene til dagens sikkerhetslov fremgår det

imidlertid at valg av virkemiddel avhenger av enhelhetsvurdering, der også andre forhold enn for-holdsmessighetsprinsippet vil spille inn:

Utgangspunktet i den enkelte situasjon vilvære valg av det minst inngripende middel,men det vil likevel kunne være behov for åanvende midler som går utover den umiddel-bare måloppnåelse dersom sikkerhetsrisikoener meget alvorlig. Forståelsen av bestemmel-sen må derfor bygge på en helhetsvurdering,hvor en også tar hensyn til troverdigheten avnorske myndigheters hevdelse av suverenitetog suverene rettigheter og ivaretakelse avrikets sikkerhet eller andre vitale nasjonale sik-kerhetsinteresser.14

5.4.2 Prosessuelle rettssikkerhetsgarantier

Med prosessuelle rettsikkerhetsgarantier menesde saksbehandlingsreglene som må følges ved enavgjørelse som medfører inngrep overfor denenkelte. De generelle reglene for forvaltningenssaksbehandling følger av forvaltningslovensbestemmelser, jf. kapittel II og III. For vedtak somgjelder rettigheter eller plikter til en eller flerebestemte personer, såkalte enkeltvedtak, er detsærlige regler for forvaltningens saksbehandling iforvaltningsloven kapittel IV-VI.

En sentral rettssikkerhetsgaranti er retten tilkontradiksjon. Som nevnt over kan retten til kon-tradiksjon også utledes av EMK art. 6. Gjennomkontradiksjon vil den enkelte, enten det er enkelt-personer eller private virksomheter, gis mulighe-ten til å forsvare sine interesser ved kunne å frem-legge sitt syn på saken, og ved å kunne korrigereog supplere faktiske forhold som kan være avbetydning for den avgjørelse som skal treffes.Kontradiksjon er i mange tilfeller avgjørende for åsikre at myndighetene fatter en materielt sett rik-tig avgjørelse. Også i forhold til borgernes tillit tilmyndighetene vil det være av stor betydning atden avgjørelsen retter seg mot opplever å få enrettferdig behandling. Det motsatte vil lett kunnebli tilfelle, dersom man ikke får anledning til åimøtegå det faktiske og rettslige grunnlaget somlegges til grunn for avgjørelsen.15

Retten til kontradiksjon ved klareringssaker eri dagens sikkerhetslov søkt ivaretatt ved at sikker-hetssamtale skal gjennomføres der dette ikkeanses som åpenbart unødvendig, jf. sikkerhetslo-

14 Ot.prp. nr. 49 (1996–97), kapittel 11.15 Magnus Matningsdal, «Kontradiksjon i sivile saker og straf-

fesaker», Jussens Venner (2013), 1-115.


ven § 21 tredje ledd. I tillegg vil den enkelte gjen-nom utfylling av en personopplysningsblankett hamulighet til å gi all informasjon som den enkeltemener er relevant for saken.

For at den enkelte skal kunne gjøre bruk avsin rett til kontradiksjon, er det imidlertid en for-utsetning at vedkommende har kjennskap til atmyndighetene har til hensikt å fatte en avgjørelsesom vil kunne utgjøre et inngrep overfor vedkom-mende. Dette stiller krav til åpenhet fra myndighe-tenes side. I forvaltningsloven ivaretas dette etterbestemmelsene om forhåndsvarsel etter forvalt-ningsloven § 16 og partsoffentlighet etter § 17annet og tredje ledd og § 18 flg. Etter dagens sik-kerhetslov er det innen personellsikkerhet gjortenkelte unntak fra forvaltningsloven kapittel IVom saksforberedelse ved enkeltvedtak og kapittelV om vedtaket. For å ivareta den enkeltes rettssik-kerhet er det i stedet fastsatt egne bestemmelserom blant annet begrunnelse og underretning(§ 25) og innsyn i saksdokumentene (§ 25a).

En annen sentral rettssikkerhetsgaranti etternorsk rett er at forvaltningen som utgangspunktplikter å gi en samtidig begrunnelse for det vedtaksom fattes, se forvaltningsloven § 24 følgende.Plikten til å gi samtidig begrunnelse har nær sam-menheng med retten til å klage på myndighetensavgjørelse, jf. forvaltningsloven kapittel VI. Rettentil samtidig begrunnelse i sikkerhetsklareringssa-ker følger av sikkerhetsloven § 25 tredje ledd.Som utgangspunkt skal det også her gis en samti-dig begrunnelse. Det er imidlertid gjort unntakfra denne retten i tilfeller der begrunnelse ikkekan gis uten å røpe nærmere angitte opplysninger,herunder opplysninger av betydning for rikets sik-kerhet. Forvaltningslovens bestemmelser omklage, gjelder som utgangspunkt også i sikker-hetsklareringssaker, jf. sikkerhetsloven § 25c.Innen objektsikkerhet har selvstendige rettssub-jekter klagerett på de vedtak som treffes etterobjektsikkerhetsforskriften, jf. § 4-4.

5.5 Personvern

Personvern er et vidt begrep hvis innhold kanbeskrives på forskjellige måter avhengig avståsted og tilnærming. Interesseteorien, person-vernprinsippene, integritetsperspektivet, maktper-spektivet og beslutningsperspektivet gir med sineulike tilnærminger på ulikt vis innhold til person-vernet. Som det vil fremgå har beskyttelsen avpersonopplysninger en sentral rolle i personver-net.

Personvernprinsippene springer ut fra et idealom at alle skal ha bestemmelsesrett over person-opplysninger om dem selv. Forebyggende sikker-hetstiltak vil i varierende grad kunne innebærebehandling av personopplysninger, for bådeoffentlige og private virksomheter som er under-lagt loven. For utvalgets arbeid vil personvern-prinsippene derfor stå sentralt.

Personvernprinsippene har sitt utgangspunkt ien europarådskonvensjon, retningslinjer fraOECD og EU sitt personverndirektiv. Disse er all-ment benyttet og henvist til i norsk personvernlit-teratur. Sammen danner prinsippene et funda-ment for ivaretakelsen av personvernet både i lov-givning og ved utformingen av tiltak som harbetydning for personvernet. Det følgende utvalgetav prinsipper tar utgangspunkt i EUs Personvern-forordning16 art. 5.

Behandlingen av personopplysninger må værerettmessig, rettferdig og åpen. Det må for det førsteforeligge et behandlingsgrunnlag, enten sam-tykke, lovhjemmel eller behandlingen må værenødvendig for å ivareta ett av de i loven fastsatteformål. Videre må selve behandlingen være rett-ferdig og åpen slik at den registrerte får informa-sjon om formålet med lagringen, prosessen ogsine rettigheter. Prinsippet kommer til uttrykk iforordningen art. 5(a) og personopplysningslo-ven17 § 8. I sikkerhetsklareringssaker vil eksem-pelvis ikke personkontroll bli igangsatt før ved-kommende som er gjenstand for kontrollen harsamtykket i dette gjennom å fylle ut, og under-skrive en personopplysningsblankett. Det fremgåruttrykkelig av sikkerhetsloven § 20 at personkon-troll ikke skal finne sted uten at den som sikker-hetsklareres er gjort oppmerksom på, og har sam-tykket i at slik kontroll vil bli foretatt.

Prinsippet om formålsbestemthet går ut på atpersonopplysninger kun skal samles inn forbestemte, legitime formål. Personopplysningerskal kun behandles i samsvar med det formålet dei utgangspunktet ble samlet inn for18. Prinsippetom formålsbestemthet er også sentralt innen sik-kerhetsklarering av personell. Det følger av sik-kerhetsloven § 20 sjette ledd at opplysninger somer gitt klareringsmyndigheten i forbindelse medpersonkontroll, ikke skal benyttes til andre formålenn vurdering av sikkerhetsklarering.

16 Europaparlamentets- og rådsforordning (EU) 2016/679 av27. april 2016 (EUs personvernforordning).

17 Lov 14. april 2000 nr. 31 om behandling av personopplysnin-ger (personopplysningsloven).

18 Se Personvernforordningen art. 5(b) og personopplys-ningsloven § 11.


Relevans- og minimumsprinsippet handler omat personopplysninger bare skal innhentes, lagresog behandles i den grad det er nødvendig for åoppnå et angitt formål. Det skal ikke registreresflere opplysninger enn strengt nødvendig, slik atoverskuddsinformasjon unngås. Innsamlede datasom ikke lenger er nødvendige for det angitte for-målet må slettes eller anonymiseres. Prinsippetkommer til uttrykk i forordningen art. 5(c) og per-sonopplysningsloven § 28. I personopplysnings-forskriften kommer disse prinsippene til uttrykk ikapittel 6, som gir nærmere bestemmelser omblant annet bevaring og kassasjon/sletting av per-sonopplysning som ikke lenger er nødvendig ålagre.

Bruk av personopplysninger til historiske, sta-tistiske eller vitenskapelige formål settes i en sær-stilling, ved at det gjøres unntak fra minimum-sprinsippet og til dels prinsippet om formålsbe-stemthet. Behovet for utvidet lagring skal imidler-tid kontrolleres jevnlig.19

Gjennom fullstendighets- og kvalitetsprinsippetsikres at beslutninger ikke tas på ufullstendigeller feilaktig grunnlag. Personopplysningene måvære relevante, oppdaterte, korrekte og fullsten-dige sett opp mot hva de skal brukes til.20 Klare-ringsmyndigheten plikter å påse at saken er sågodt opplyst som mulig før avgjørelse treffes, jf.sikkerhetsloven § 20 tredje ledd. Dersom det ikkeer åpenbart unødvendig, plikter klareringsmyn-digheten også å gjennomføre en sikkerhetssam-tale med vedkommende som skal klareres. Gjen-nom en sikkerhetssamtale gis den som skal sik-kerhetsklareres mulighet til å korrigere og sup-plere opplysninger om seg selv, slik at klarerings-myndighetens avgjørelsesgrunnlag er korrekt ogfullstendig.

Ansvarlighetsprinsippet retter seg mot denbehandlingsansvarlige, som har ansvar for at allbehandling av personopplysninger skjer i samsvarmed de krav som fremgår av gjeldende rettsre-gler.21

Beslutningsperspektivet22 er ett av flere per-spektiver som beskriver personvernet med en littannen vinkling en de nevnte prinsippene. Beslut-

ningsperspektivet tar utgangspunkt i at person-opplysninger danner grunnlag for myndighetenesbeslutning som har betydning for personen. Joviktigere beslutning det er tale om for denenkelte, jo viktigere er det at beslutningsproses-sen er forsvarlig. Det vil følgelig være mange lik-hetstrekk mellom beslutningsperspektivet ogrettssikkerhet. Eksempelvis kan en beslutning omsikkerhetsklarering ha avgjørende betydning foren persons arbeidssituasjon. Følgelig bør det stil-les strenge krav til klareringsprosessen. Beslut-ningsperspektivet bidrar til en passende dimensjo-nering av beskyttelsen.

5.6 Tilsyns- og kontrollordninger

En sentral mekanisme for ivaretakelse av rettssik-kerhet og personvern er å ha effektive kontroll-systemer. Den etterfølgende kontrollen skal fun-gere skjerpende for de behandlingsansvarlige, til-litvekkende for samfunnet for øvrig, og i mangetilfeller som substitutt for de tiltak som i varier-ende grad griper inn i rettssikkerheten og person-vernet.

I flere saker vedrørende inngrep av hensyn tilnasjonal sikkerhet har den europeiske menneske-rettighetsdomstolen (EMD) fokusert på at inngre-pet skal ha en klar hjemmel i nasjonal lovgivningog hvorvidt det er etablert tilstrekkelige garantiermot misbruk. Etter en gjennomgang av fleresaker om overvåkning oppsummerer Møse:

Et helhetsinntrykk er at Domstolen ikke fore-tar noen streng materiell prøvning av hensynettil rikets sikkerhet, men stiller betydelige kravtil den nasjonale hjemmelen og garantier motmisbruk.23

Som en del av nødvendighetsvurderingen, pekteEMD i saken Klass mfl. V. Tyskland (A 28 1978),på noen hovedmomenter om kontrollordningen.Møse skriver:

Relevante momenter er arten, omfanget ogvarigheten av kontrolltiltakene, grunnlaget fordem, hvilke myndigheter som har kompetansetil å gi tillatelse, utføre og kontrollere slike inn-grep, samt hvilke nasjonale prøvningsinstansersom finnes.24

19 Se Personvernforordningen art. 5(e) og personopplys-ningsloven § 9(h).

20 Se Personvernforordningen art. 5(d) og personopplys-ningsloven § 11.

21 Se Personvernforordningen art. 5(f) og personopplysnings-loven § 11.

22 Dag Wiese Schartum og Lee Bygrave, Personvern i infor-masjonssamfunnet, 2. utgave (Oslo: Fagbokforlaget, 2011),32.

23 Erik Møse, Menneskerettigheter, 1. utgave (Oslo: CappelenAkademisk forlag, 2002), 408.

24 Ibid.


I den konkrete saken uttalte også EMD at judisiellprøvning var å foretrekke, men at også adminis-trativ kontroll kan være tilstrekkelig.

For Norges del har både domstolene, Datatil-synet, Sivilombudsmannen og Stortingets kontrol-lutvalg for etterretnings-, overvåkings- og sikker-hetstjeneste (EOS-utvalget) viktige roller for å iva-reta den enkeltes rettssikkerhet og personvern.Domstolene fører for eksempel kontroll med poli-tiets mest inngripende etterforskningsmetoder, jf.straffeprosessloven § 216 a om kommunikasjons-avlytting. Datatilsynet skal blant annet, i medholdav personopplysningsloven § 42 andre ledd nr. 3,kontrollere at lover og forskrifter som gjelder forbehandling av personopplysninger blir fulgt, og atfeil eller mangler blir rettet.

Behandling av personopplysninger som ernødvendig av hensyn til rikets sikkerhet, er i per-sonopplysningsforskriften § 1-2 unntatt fra lovensbestemmelser om tilsynsmyndighetenes tilgangtil opplysninger. Dette innebærer i praksis at Data-tilsynet ikke har tilsynsmyndighet etter sikker-hetslovens bestemmelser om forebyggende sik-kerhetstjeneste generelt, og sikkerhetsklareringav personell spesielt. Av samme grunn er det ogsågjort unntak fra reglene om melde- og konsesjons-plikt. EUs nye personvernforordning åpner ogsåfor å gjøre unntak av slike hensyn, se Personvern-forordningen art. 23. I så fall må et kontrollorganog dets myndighet spesifiseres.

Det fremgår av sikkerhetsloven § 30 at «[f]ore-byggende sikkerhetstjeneste i medhold av lovenher er underlagt kontroll og tilsyn av Stortingetskontrollutvalg for etterretnings-, overvåkings- ogsikkerhetstjeneste», i samsvar med EOS-loven. Ipraksis innebærer dette at alle forvaltningsorga-ner, og selvstendige rettssubjekter underlagtloven, i prinsippet er gjenstand for kontroll og til-syn av EOS-utvalget.

Hovedformålet med EOS-utvalgets kontroll erå ivareta den enkeltes rettssikkerhet25. Mer kon-kret fremgår det av EOS-loven § 2-1 at formålet er«å klarlegge om og forebygge at det øves urettmot noen, herunder påse at det ikke nyttes merinngripende midler enn det som er nødvendigetter forholdene, og at tjenestene respekterermenneskerettighetene», jf. EOS-loven § 2 nr. 1).

EOS-utvalget skal føre regelmessig tilsyn medtjenestene, undersøke klager fra enkeltpersonerog organisasjoner og av eget tiltak ta opp forholdsom utvalget finner formålstjenlig å undersøke.EOS-utvalget har, i motsetning til personvernmyn-

dighetene, krav på innsyn i alt materiale som harbetydning for kontrollene.

I Dok.16 (2015–2016), har Evalueringsutval-get blant annet foreslått at den stortingsoppnevntekontrollen med EOS-tjenestene bør styrkes.26

EOS-utvalgets forankring i Stortinget er, etterEvalueringsutvalgets oppfatning, en styrke veddagens kontrollmodell og bør således viderefø-res.27 Forankringen i Stortinget gir EOS-utvalgetden nødvendige uavhengigheten gjennom organi-satorisk avstand til den uøvende makt, og bidrarogså til at Stortinget gjøres oppmerksom på vik-tige problemstillinger og saker knyttet til EOS-tje-nestenes virksomhet.

Evalueringsutvalget har også foreslått at EOS-utvalget ikke lenger bør føre kontroll med avgjø-relser om sikkerhetsklarering.28 EOS-utvalgetstår overfor store kapasitetsmessige utfordringer,og etter Evalueringsutvalgets syn, bør EOS-utval-get gis anledning til å konsentrere seg om dedelene av EOS-tjenestenes virksomhet der kon-trollbehovet er størst. Avgjørelser om sikkerhets-klarering skiller seg fra annen virksomhet EOS-tjenestene bedriver, ved at den avgjørelsen omklarering gjelder er kjent med og har godtatt,både at avgjørelse fattes og at personopplysningerinnhentes i den forbindelse. I tillegg er det eta-blerte rettssikkerhetsgarantier for den enkelte, iform av rett til underretning og begrunnelse,samt klagerett på de avgjørelser som fattes. Evalu-eringsutvalget foreslår derfor at kontrollfunksjo-nen ivaretas av andre enn EOS-utvalget, foreksempel av Sivilombudsmannen. For en nær-mere omtale av EOS-utvalget, vises det til kapittel3.6.

5.7 Avveiningen mellom nasjonal sikkerhet og rettssikkerhet og personvern

Et komplekst og sammensatt risiko- og trussel-bilde, kombinert med en rask teknologisk utvik-ling, skaper nye sårbarheter og utfordringer forsamfunnet som helhet. Hensynet til å ivaretanasjonal sikkerhet nødvendiggjør en robustgrunnsikring for våre mest sentrale samfunns-funksjoner. Den teknologiske utviklingen repre-senterer samtidig nye muligheter for å styrke denforebyggende sikkerheten.

25 Ot.prp. nr. 83 (1993–94) Om lov om kontroll med etterret-nings-, overvåkings- og sikkerhetstjeneste, 4.

26 Dok. 16 (2015–2016). 27 Ibid., 126.28 Ibid., 132 flg.


Personvern, rettssikkerhet og nasjonal sikker-het er grunnleggende verdier i et demokratisksamfunn, hvor ingen av natur er mer tungtveiendeenn andre. Ivaretakelse av alle disse verdiene eressensielt for å opprettholde demokratiet og retts-statsprinsippene.

I tråd med statens forpliktelser etter Grunnlo-ven og EMK må inngripende tiltak ha hjemmel iformell lov. Særlig inngripende tiltak tilsier at enlegger et strengt legalitetsprinsipp til grunn, meden så klar og uttømmende regulering som mulig.Slik sikres forutberegnelighet og det skapesgrunnlag for effektiv legalitetskontroll og dom-stolsprøving. Også hensynet til en åpen demokra-tisk diskurs om de motstående hensynene, tilsierat lovgiver går konkret inn på de mange dilem-maer en her står overfor.

Som et generelt utgangspunkt vil utvalgetlegge følgende prinsipper og retningslinjer tilgrunn ved vurderingen av sikkerhetsmessige til-tak som kan få en negativ innvirkning på denenkeltes rettssikkerhet og personvern:

– Presisjon i formulering av hjemmel for sikker-hetstiltaket (lovskravet)

– Vurdere hvilken effekt man får ved sikkerhets-tiltaket, sett opp mot allerede eksisterende til-tak (formålsmessighet)

– Vurdere forholdsmessigheten mellom den sik-kerhetsmessige effekten og hvor inngripendetiltakene er i forhold til personvern og rettssik-kerhet (forholdsmessighet)

– Vurdere alternative, og mindre inngripende,tilnærminger til å oppnå samme effekt (subsi-diaritetsprinsippet)

– Etablere tilstrekkelige personvern- eller retts-sikkerhetsgarantier der det gjøres inngrep i

den enkeltes rettssfære (prosessuelle mekanis-mer)

Denne fremgangsmåten vil slik utvalget ser detogså ivareta de krav som stilles for unntak i Per-sonvernforordningen art. 23, se kapittel 5.3.2.

Slik utvalget ser det vil personvernmessige kon-sekvenser i første rekke gjøre seg gjeldende innenforregelverket for personellsikkerhet. Innen personell-sikkerhet skjer det en utstrakt behandling av person-opplysninger, med det siktemål å kontrollere denenkeltes sikkerhetsmessige skikkethet. I tillegg er detenkelte andre områder innen forebyggende sikker-het, hvor sikkerhetsmessige hensyn gjør det nødven-dig å behandle personopplysninger i en viss utstrek-ning, særlig sikkerhetstiltak innenfor informasjons-systemsikkerhet.

Når det gjelder inngrep overfor selvstendigerettssubjekter, som staten ikke har alminneliginstruksjons- og kontrollmyndighet over, vil det væresentralt at det etableres tilstrekkelige og tilfredsstil-lende rettssikkerhetsgarantier der det gjøres inngrepoverfor slike rettssubjekter.

I den utstrekning utvalget foreslår inngrep i denenkeltes rettssikkerhet, eller foreslår tiltak som harbetydning for selvstendige rettssubjekters rettssikker-het, vil utvalget så godt det lar seg gjøre forsøke åbegrunne det sikkerhetsmessige behovet for at slikeinngrep gjøres, herunder om alternative og mindreinngripende tilnærminger kan gi tilstrekkelig sik-kerhetsmessig ef fekt. Utvalgets vil videre forsøke åpåse at hensynet til formålsmessighet og forholds-messighet ivaretas ved utforming av regelverket, ogat det etableres nødvendige garantier for å sikre atpersonvern og rettssikkerhet ivaretas på en tilfreds-stillende måte.

96 NOU 2016: 19 2016Samhandling for sikkerhet

Del IIITematisk gjennomgang og utvalgets vurderinger


Kapittel 6

Lovens formål og virkeområde

6.1 Innledning

Hva angår lovens formål og virkeområde er utval-get gitt følgende mandat:

Utvalget skal vurdere hva som bør reguleres ilov for å sikre nasjonal sikkerhet. Formåletmed nytt lovgrunnlag skal være å beskytte kri-tisk infrastruktur, kritiske samfunnsfunksjonerog sensitiv informasjon mot tilsiktede, uøn-skede hendelser.

Det er en utfordring med dagens sikkerhetslov atden ikke har gjennomgått den dynamiske utviklin-gen lovgiver forutsatte da loven ble vedtatt. Forar-beidenes henvisning til begrepet rikets sikkerhetsom en rettslig standard, hvis meningsinnhold varment å forandre seg i takt med samfunnsutviklin-gen, har slik utvalget ser det ikke blir fulgt opp ipraksis. Det er også store ulikheter i hvordan deenkelte samfunnssektorene forstår og praktisererlovens virkeområde. Enkelte samfunnssektoreroppfatter sikkerhetsloven som en ren statssikker-hetslov, mens andre legger til grunn at loven måforstås i lys av den generelle samfunnsutviklingensom har funnet sted de senere årene – og derforat loven også i dag har et bredere nedslagsfelt ennren statssikkerhet.

Siden lovens ikrafttredelse har det skjeddstore endringer i hvordan staten organiserer sinvirksomhet. Stadig større deler av det som tidli-gere ble regnet som statlig virksomhet blir i dagkonkurranseutsatt. Disse endringene er proble-matiske sett hen til hvordan det saklige virkeom-råde til gjeldende sikkerhetslov er innrettet.

I tillegg til omorganiseringen av statlig virk-somhet, medfører den teknologiske utviklingen atden gjensidige avhengigheten mellom virksomhe-ter – og mellom samfunnssektorer – er økende.Skillelinjene mellom de ulike samfunnssektorene,og mellom offentlig og privat virksomhet, har iøkende grad blitt visket ut ved etableringen av etnettverksbasert samfunn. Dette skaper nye sår-barheter, som igjen kan føre til at redusert funk-

sjonalitet hos en virksomhet kan få store konse-kvenser for andre virksomheter.

Et annet forhold som har betydning for fore-byggende nasjonal sikkerhet er globaliseringenav samfunnet. For å tilpasse seg konkurranse i etinternasjonalt marked vil tilførsel av kapital kunnevære av stor betydning for en rekke virksomheter.Dette påvirker igjen de etablerte eierstrukturene,hvor utenlandske aktører i økende grad får eierin-teresser i norske virksomheter. I tillegg er norskevirksomheter avhengig av å kunne anskaffe varerog tjenester i et globalt marked. Sett i lys av etendret og mer komplekst trusselbilde, vil en slikglobalisering kunne medføre økt sårbarhet.

Utvalgets målsetting med et nytt lovgrunnlagfor forebyggende nasjonal sikkerhet er å legge tilrette for et harmonisert sikkerhetsnivå for demest kritiske samfunnsfunksjonene, på tvers avsamfunnssektorene, som er mer utfyllende disku-tert i kapittel 6.7.3. En tenkende trusselaktør vilsøke etter det svakeste leddet og utnytte eksis-terende sårbarheter. Økt sikkerhetsnivå i enkeltesamfunnssektorer, vil således samtidig kunneskape en økt risiko for de samfunnssektorer somikke har tilsvarende høyt sikkerhetsnivå. En forut-setning for et slikt harmonisert sikkerhetsnivå erat loven favner over alle samfunnssektorene.

En ytterligere målsetting for utvalget er at etnytt lovgrunnlag reflekterer en grundig ogbetryggende avveining mellom nasjonale sikker-hetsbehov på den ene siden og rettssikkerhets- ogpersonvernhensyn på den andre. Lovforslaget måinnrettes på en slik måte at sikkerhetsmessige til-tak etter loven, ikke samtidig undergraver indivi-duelle rettigheter og andre grunnleggende ver-dier i et demokratisk samfunn.

Det har også vært en målsetting for utvalget atetablering av sikkerhetstiltak etter loven skal stå iet rimelig forhold til det som oppnås ved tiltaket.Regelverket må ikke medføre uforholdsmessighøye kostnader for den enkelte virksomhet, settopp mot den sikkerhetsmessige gevinsten somoppnås i et samfunnsperspektiv.


En grunnleggende problemstilling utvalgetmå ta stilling til er hvor bredt nedslagsfelt et nyttlovgrunnlag bør ha, herunder i hvor stor gradloven bør få anvendelse for virksomheter somikke er forvaltningsorganer.

En annen grunnleggende problemstilling erhvor stor grad av sentral styring en bør ha sett oppmot den enkelte samfunnssektors autonomi.

I den videre omtalen av regulering av forebyg-gende sikkerhet er det i stor grad benyttet sammebegrepsapparat som i DSBs KIKS-rammeverk (sekapittel 4.2.2). Dette innebærer at det legges vektpå opprettholdelse av samfunnsfunksjoner, somhar direkte betydning for befolkningen/landetsinteresser og behov. Opprettholdelse av sam-funnsfunksjonene sikres gjennom ivaretakelse avnødvendig infrastruktur og nødvendige innsats-faktorer. Eksempler på innsatsfaktorer som errelevante i forebyggende sikkerhetssammen-heng er: personell, teknisk materiell, informasjonog informasjonssystemer og kapital.

6.2 Gjeldende sikkerhetslovs regulering

Sikkerhetslovens1 formål, virkeområde og legal-definisjoner finnes i lovens kapittel 1 – Alminne-lige bestemmelser. I det følgende vil det førstredegjøres for lovens tredelte formål. Deretter vildet gis en nærmere redegjørelse for lovens virke-område. For å få en fullstendig forståelse av lovensvirkeområde, er det også nødvendig å se dette i lysav lovens formålsbestemmelse. Avslutningsvis villovens bestemmelse om legaldefinisjoner omtales.

6.2.1 Lovens formål

6.2.1.1 Rikets sikkerhet og andre vitale nasjonale sikkerhetsinteresser

Sikkerhetslovens formål følger av loven § 1. Fordet første skal loven legge forholdene til rette foreffektivt å kunne motvirke trusler mot rikets selv-stendighet og sikkerhet og andre vitale nasjonalesikkerhetsinteresser. Begrepet rikets sikkerhet eren rettslig standard, som ifølge forarbeidene kanforandre seg med samfunnsutviklingen.

Forarbeidene beskriver videre begrepet vitalenasjonale sikkerhetsinteresser som et samlebegrepsom dekker samtlige felt innenfor rikets totale sik-kerhetsbehov. Begrepet skal til enhver tid vurde-

res og defineres av overordnede politiske myndig-heter. Terskelen for å si at noe truer slike interes-ser i medhold av sikkerhetsloven vil være høy, ogdet understrekes at begrepet kan endres i takt medsamfunnsutviklingen og de sikkerhetsmessigeutfordringer som Norge til enhver tid står overfor.

Utvalget har inntrykk av at en utfordring meddagens regelverk er hvordan begrepsapparatetrikets sikkerhet og andre vitale nasjonale sikkerhets-interesser har blitt forstått og praktisert. Forarbei-denes henvisning til at overordnede politiskemyndigheter til enhver tid skal vurdere og defi-nere innholdet i begrepene, har i liten grad blittfulgt opp i praksis. Det er i dag motstridende syns-punkter på det nærmere meningsinnholdet ibegrepene. Enkelte hevder at lovens formål ogvirkeområde er avgrenset til beskyttelse av stats-sikkerheten i snever forstand, herunder ivareta-kelse av statens eksistens, suverenitet, suverenerettigheter og integritet. Andre hevder at begre-pene må forstås i lys av den generelle samfunnsut-viklingen de senere år, som i stor grad har med-ført at det tradisjonelle skillet mellom statssikker-het, samfunnssikkerhet og individuell sikkerhetog trygghet har blitt visket noe ut.

6.2.1.2 Skjermingsverdig informasjon og objekter

Loven skal beskytte skjermingsverdig informa-sjon mot kompromittering2 og skjermingsverdigeobjekter mot redusert funksjonalitet, ødeleggelseeller rettsstridig overtakelse av uvedkommende.3

Med skjermingsverdig informasjon menesinformasjon hvor kompromittering kan få skade-følger for Norges eller dets alliertes sikkerhet,forholdet til fremmede makter eller andre vitalenasjonale sikkerhetsinteresser, jf. loven § 11, jf.§ 3 nr. 8 og 9. Informasjonen skal klassifiseres påbakgrunn av en verdivurdering, hvor graden avskadefølger er avgjørende for hvilken klassifise-ring som skal legges til grunn.

I skadevurderingen som ligger til grunn forklassifisering av skjermingsverdig informasjon, jf.loven § 11, er begrepene rikets selvstendighet ogsikkerhet og andre vitale nasjonale sikkerhetsin-teresser, supplert av to andre begreper; alliertessikkerhet og forholdet til fremmede makter. For åforstå hele lovens formål, er det følgelig nødven-dig å inkludere § 11.

Med skjermingsverdige objekter menes områ-der, bygninger, anlegg, transportmidler ellerannet materiell, hvor redusert funksjonalitet, ska-

1 Lov 20. mars 1998 nr. 10 om forebyggende sikkerhetstje-neste (sikkerhetsloven).

2 Sikkerhetsloven kapittel 4. 3 Sikkerhetsloven kapittel 5.


deverk eller rettsstridig overtakelse kan få skade-følger for rikets selvstendighet og sikkerhet ogandre nasjonale vitale sikkerhetsinteresser, jf.loven § 17a, jf. § 3 nr. 12 og 13. Også skjermings-verdige objekter skal klassifiseres på bakgrunn aven verdivurdering, hvor graden av skadefølger eravgjørende for klassifiseringen.

For det andre skal loven bidra til å ivareta denenkeltes rettssikkerhet. I forarbeidene er det visttil at det særlig er innenfor området personellsik-kerhet og sikkerhetsklareringer at den enkeltesinteresser «berøres av legitime sikkerhetsinteres-ser».4 De rettssikkerhetsgarantier som er etablerti den forbindelse, vil bli grundigere behandlet ikapittel 10. Som et generelt prinsipp, følger det avloven § 6 første og annet ledd at det ved utøvelseav sikkerhetstjeneste etter loven ikke skal nyttesmer inngripende midler og metoder enn det somfremstår som nødvendig, og at det skal tas særlighensyn til den enkeltes rettssikkerhet.

For det tredje skal loven trygge tilliten til, ogforenkle grunnlaget for, kontroll med forebyg-gende sikkerhetstjeneste etter loven. I lovenkapittel 8 er det fastsatt at forebyggende sikker-hetstjeneste er underlagt kontroll og tilsyn avEOS-utvalget, jf. § 30 første ledd. Etter annet leddkan Kongen etablere særskilte ordninger for åkontrollere Nasjonal sikkerhetsmyndighet ogandre virksomheters forebyggende sikkerhetstje-neste.

For forsvarssektorens vedkommende har For-svarsdepartementet fastsatt en egen instruks omsikkerhetstjeneste i Forsvaret. For å styrke depar-tementets tilsyn med Forsvarets sikkerhetsavde-ling (FSA) er det i instruksen § 7 etablert et egettilsynsutvalg for FSA.5 Dette tilsynet kommer i til-legg til EOS-utvalgets ansvar for å kontrollereEOS-tjeneste.

6.2.1.3 Begrepet rikets sikkerhet i annet regelverk

Som redegjort for i kapittel 4.2.4. har begrepetrikets sikkerhet blitt erstattet med grunnleggendenasjonale interesser i ny straffelov av 2005 og iutlendingsloven.

Straffelovkommisjonen konkluderte i sinutredning med at vernet mot innhenting og avslø-ring av hemmelige opplysninger, ikke burdebegrenses til interesser som gjaldt rikets sikkerheti tradisjonell forstand, men at også grunnleggende

nasjonale interesser burde omfattes. Kommisjonenfremhevet i den forbindelse de interesser som erknyttet til infrastruktur, energi-, mat- og vannfor-syning, samferdsel og telekommunikasjon, helse-beredskap, bank- og pengevesen og andre sam-funnsøkonomiske forhold.6

I utlendingsloven som trådte i kraft 1. januar2010, ble begrepet rikets sikkerhet i den tidligerelov av 24. juni 1988 nr. 64, erstattet med grunnleg-gende nasjonale interesser. I forarbeidene til utlen-dingsloven påpekte departementet at begrepetgrunnleggende nasjonale interesser var et merdekkende begrep, som klarere reflekterer hvilkeinteresser man ønsker å beskytte. Det ble vist tilat begrepet rikets sikkerhet er noe utdatert i lys avden senere tids utvikling. Begrepet grunnleggendenasjonale interesser må ifølge forarbeidene tolkes ilys av den generelle samfunnsutviklingen ogendringer i det internasjonale trusselbildet, og atbegrepet har en dynamisk karakter.7

6.2.1.4 Sikkerhetstruende virksomhet

Sikkerhetsloven skal legge til rette for effektivt åmotvirke trusler mot rikets sikkerhet m.m., jf.loven § 1 første ledd. Hvilke trusler det er tale omfølger implisitt av definisjonen av forebyggendesikkerhetstjeneste i loven § 3 nr. 1. Med forebyg-gende sikkerhetstjeneste menes i lovens forstand:planlegging, tilrettelegging, gjennomføring ogkontroll av forebyggende sikkerhetstiltak somsøker å fjerne eller redusere risiko som følge avsikkerhetstruende virksomhet.

Med sikkerhetstruende virksomhet menes «for-beredelse til, forsøk på og gjennomføring av spio-nasje, sabotasje eller terrorhandlinger, samt med-virkning til slik virksomhet», jf. loven § 3 nr. 2.Begrepene spionasje, sabotasje og terrorhandlingerer videre definert i loven § 3 nr. 3-5.

Lovens formål er således avgrenset til å leggetil rette for effektivt å motvirke nærmere bestemtetyper tilsiktede uønskede hendelser, samt forbere-delse til, forsøk på og medvirkning til slik virk-somhet.

Arbeidsgruppen som evaluerte sikkerhetslo-ven påpekte at lovens avgrensing til beskyttelsemot sikkerhetstruende virksomhet, kan være noesnever sett hen til hvilke faktorer som kan utgjøreen trussel mot de verdier loven tar sikte på åbeskytte. Andre forhold, som forsettlige lekkasjerav sikkerhetsgradert informasjon, utro tjenere og

4 Ot.prp. nr. 49 (1996–97), pkt. 5.6.85 Forskrift 29. april 2010 nr. 695, Instruks om sikkerhetstje-

neste i Forsvaret, fastsatt av Forsvarsdepartementet 29.april 2010 med hjemmel i instruksjonsmyndighet.

6 NOU 2003: 18, 72 flg.7 Ot.prp. nr. 75 (2006–2007), 385.


organisert kriminalitet, kan utgjøre en like stortrussel for samfunnet.8

6.2.2 Lovens virkeområde

6.2.2.1 Saklig virkeområde

Sikkerhetsloven har i utgangspunktet et organisa-torisk avgrenset virkeområde. Det følger av loven§ 2 første ledd at loven gjelder for forvaltningsor-ganer. Som forvaltningsorgan regnes i denne sam-menheng ethvert organ for stat eller kommune. Iforarbeidene til loven uttrykkes det at begrepetforvaltningsorgan skal forstås på samme måte somi forvaltningsloven og offentlighetsloven.9

6.2.2.2 Forvaltningsorganer

Hvorvidt en virksomhet er å anse som et forvalt-ningsorgan etter forvaltningsloven må avgjøresetter en konkret vurdering. I vurderingen leggesdet blant annet vekt på virksomhetens formål,dens arbeidsoppgaver og finansiering, samt gra-den av organisatorisk tilknytning til det offentligeog graden av politisk styring.10

Når det gjelder statsforetak følger det av stats-foretaksloven § 4 at forvaltningsloven ikke gjelderfor statsforetak. Arbeidsgruppen som evaluertesikkerhetsloven uttalte i sin rapport at dette reiserspørsmålet om hvorvidt et statsforetak vil kunnevære omfattet av sikkerhetsloven. Den anbefalteat ved en eventuell revisjon av loven, burde det blisett nærmere på hvilken stilling statsforetak har,eller bør ha under sikkerhetsloven.11

Forsvarsdepartementet har i sin praktiseringav sikkerhetsloven lagt til grunn at statsforetakikke er å anse som forvaltningsorganer i lovensforstand. Statsforetak må derfor etter gjeldendepraksis, på lik linje med andre selvstendige retts-subjekter, gjennom enkeltvedtak underleggesloven i medhold av gjeldende § 2 tredje ledd. Tidli-gere Luftforsvarets Hovedverksted Kjeller (LHK),nå AIM Norway SF, ble således underlagt sikker-hetsloven gjennom vedtak fra Forsvarsdeparte-mentet12.

I brev av 19. desember 2014 har Helse- ogomsorgsdepartementet gjort en vurdering ogkommet til at de regionale helseforetakene, helse-foretakene, samt Norsk Helsenett SF, er å ansesom forvaltningsorganer, og således omfattes avloven etter hovedregelen.

Avinor AS er omfattet av sikkerhetsloven, menikke etter enkeltvedtak. Etter en lengre prosessble det vurdert at selskapet var å anse som et for-valtningsorgan, og således underlagt etter hoved-regelen i § 2, første ledd.

Endringene i hvordan staten organiserer sinvirksomhet på, nærmere omtalt i kapittel 6.5,utfordrer innretningen av gjeldende lovs virkeom-råde. Stadig større deler av det som tradisjonelthar vært å anse som statlig virksomhet, bliromdannet til andre virksomhetsformer, herunderstatsforetak, statlige aksjeselskaper og hel- ellerdelprivatiserte selskaper.

6.2.2.3 Leverandører i sikkerhetsgraderte anskaffelser

Selvstendige rettssubjekter er kun direkte omfat-tet av sikkerhetsloven for det tilfellet at de er leve-randører av varer i forbindelse med en sikkerhets-gradert anskaffelse, jf. §2 annet ledd.

En sikkerhetsgradert anskaffelse innebærerat leverandøren vil få tilgang til skjermingsverdiginformasjon eller et skjermingsverdig objekt, ellerat anskaffelsen må sikkerhetsgraderes av andreårsaker, jf. loven § 3 nr. 17. Anskaffelsen må dagjennomføres etter reglene i lovens kapittel 7,samt forskrift om sikkerhetsgraderte anskaffel-ser. Dette regelverket vil bli nærmere omtalt ikapittel 11.

6.2.2.4 Kongens vedtaksmyndighet

Sikkerhetsloven § 2 tredje ledd gir Kongen full-makt til å bestemme at loven helt eller delvis ogsåkan gjøres gjeldende for ethvert annet rettssub-jekt, herunder enkeltpersoner, foreninger, stiftel-ser, selskaper og privat og offentlig næringsvirk-somhet, dersom ett av følgende vilkår er oppfylt:

– rettssubjektet eier eller på annen måte har kon-troll over eller fører tilsyn med skjermingsver-dig objekt, eller

– et forvaltningsorgan gir rettssubjektet tilgangtil sikkerhetsgradert informasjon.

8 Forsvarsdepartementet, Evaluering av sikkerhetsloven –Rapport fra arbeidsgruppe under ledelse av Forsvarsdeparte-mentet (Oslo: Forsvarsdepartementet, 2012, 17–18.

9 Ot.prp. nr. 49 (1996–97), pkt. 11.10 Se for eksempel Justis- og beredskapsdepartementet v/

Lovavdelingens tolkningsuttalelse av 17. desember 2003.11 Arbeidsgrupperapport, Evaluering av sikkerhetsloven –

Rapport fra arbeidsgruppe under ledelse av Forsvarsdeparte-mentet, 2012, 13.

12 AIM Norway SF ble omdannet til aksjeselskap med virk-ning fra 1. august 2016, jf. lov 17. juni 2016 nr. 44


Kongens myndighet etter denne bestemmelsen erdelegert til Forsvarsdepartementet.13 I praksis vilForsvarsdepartementet treffe slike vedtak etteren begrunnet anmodning fra ansvarlig fagdeparte-ment. For rettssubjekter som eier eller råder overskjermingsverdige objekter, er det fastsatt egneregler for hvordan identifisering og utpeking skalskje i loven kapittel 5 om objektsikkerhet medunderliggende forskrift.

En gjennomgående utfordring med vedtaks-myndigheten etter loven § 2 tredje ledd, er at denikke angir noen form for systematikk for hvordanselvstendige rettssubjekter, som oppfyller vilkå-rene for å bli underlagt loven, skal identifiseres.Loven pålegger verken Forsvarsdepartementeteller de enkelte fagdepartementene noen konkretplikt til å kartlegge eller på annen måte identifi-sere hvilke virksomheter som bør underleggessikkerhetsloven. Det har heller ikke gjennompraksis blitt etablert noen form for mekanismesom kan fange opp når et eventuelt behov for åvurdere og treffe vedtak, melder seg.

6.2.2.5 Særregler for domstolene

Det følger av § 2 fjerde ledd at loven også gjelderfor domstolene, men med de særregler som følger

av bestemmelsene om sikkerhetsklarering ogautorisasjon i medhold av domstolloven og straffe-prosessloven.

Med hjemmel i domstolloven §§ 12, 21 og 91er det fastsatt særbestemmelser for domstolene ipersonellsikkerhetsforskriften kapittel 7. Bestem-melsene i forskriften kapittel 7 gjelder i saker veddomstolene hvor det blir lagt frem dokumenter,gitt opplysninger fra dokumenter eller avgitt for-klaringer som inneholder sikkerhetsgradert infor-masjon. Bestemmelsene gjelder for fagdommere,lagrettsmedlemmer, meddommere, prosessfull-mektiger, forsvarere, sakkyndige og andre somkan få tilgang til sikkerhetsgradert informasjon.14

At det ikke stilles krav om sikkerhetsklareringog autorisasjon for dommere i Høyesterett følgerimplisitt av domstolloven § 5 – som i motsetningtil de tilsvarende bestemmelsene for lagmannsret-tene og tingrettene i domstolloven §§ 12 og 21 –ikke inneholder noen bestemmelse om sikker-hetsklarering og autorisasjon. Dette er ogsåberørt i forarbeidene til loven hvor det uttales at«[d]et foretas i dag ikke sikkerhetsklarering avHøyesteretts dommere. Lovforslaget tar ikke siktepå å endre på dette».15

Regjeringen fremmet i Prop. 97 L (2015–2016)om endringer i sikkerhetsloven, forslag om enuttrykkelig lovfesting av unntaket for dommere iHøyesterett. Stortinget har, i forbindelse medbehandlingen av Innst. 352 L (2015–2016) til Prop.97 L (2015–2016) om endringer i sikkerhetsloven,vedtatt regjeringens forslag til lovfesting av unntaket.

6.2.2.6 Unntak for Stortinget og dets organer

Det fremgår av § 2 femte ledd at loven ikke gjel-der for Stortinget, Riksrevisjonen, Stortingetsombudsmann for forvaltningen og andre organerfor Stortinget.

I forarbeidene er unntaket omtalt på følgendemåte:

At loven formelt ikke gjøres gjeldende for Stor-tingets organer, er i samsvar med gjeldendepraksis og følger også av konstitusjonelle hen-syn. Som i dag, er dette naturligvis ikke til hin-der for at disse organer etter egen beslutningfinner det hensiktsmessig å anvende regleneså langt de passer.16

13 Kgl.res. 27. juni 2003 nr. 802, Delegering av myndighet tilForsvarsdepartementet etter sikkerhetsloven § 2 tredjeledd.

Boks 6.1 Selvstendige rettssubjekter underlagt loven:

– Senter for informasjonssikring (NorSIS)– Telenor ASA– NSB AS– Posten AS– Avinor AS (vurdert som forvaltningsorgan)– CargoNet AS– Flytoget AS– Det Kongelige Hoff– Næringslivets sikkerhetsråd (NSR)– Broadnet AS– ROM Eiendom AS– Aerospace Industrial Maintenance Norway

(AIM Norway SF)– Space Norway AS

Kilde: Nasjonal sikkerhetsmyndighet, https://www.nsm.stat.no/publikasjoner/regelverk/lover/

14 Forskrift 29. juni 2001 nr. 722 om personellsikkerhet (per-sonellsikkerhetsforskriften), § 7-1 første og annet ledd.

15 Ot.prp. nr. 49 (1996–97), 30.16 Ibid., pkt. 11.


Verken ordlyden i bestemmelsen, eller forarbeidenetil loven, gir nærmere veiledning om hva som liggeri «andre organer for Stortinget». De organer som ereksplisitt nevnt i bestemmelsen er Stortingetseksterne kontrollorganer. En naturlig forståelse avordlyden vil da være at også andre kontrollorganerfor Stortinget vil være omfattet av unntaket.

Tilsvarende unntak fra loven finnes også i for-valtningsloven § 4 fjerde ledd og offentleglova § 2tredje ledd. Forarbeidene til forvaltningsloveneller offentleglova gir heller ikke noen nærmerebegrunnelse for unntaket. Utredningen som lå tilgrunn for offentleglova viste til at deres mandatikke la opp til at utvalget skal vurdere dissebestemmelsene generelt, og at utvalget uansettikke foreslo endringer i disse reglene.17

I forarbeidene til den nå opphevede offentlig-hetsloven av 1970 fremgår følgende om unntaketfor Stortinget og dets organer:

Selv om man ved anvendelsen av loven tarutgangspunkt i hvorvidt den virksomhet detgjelder etter sin art er forvaltningsvirksomhet,må ikke dette synspunkt føres til sin ytterstekonsekvens. Det følger således av seg selv atStortinget og de organer som er underlagtdette – Riksrevisjonen og Stortingets ombuds-mann for forvaltningen – ikke faller inn underloven selv om f.eks. Stortinget i en viss utstrek-ning utøver forvaltningsmyndighet.18

Forvaltningsloven og sikkerhetsloven har som fel-les utgangpunkt at de gjelder for forvaltningsorga-ner. Unntaket for Stortinget og dets organer synesher like mye å følge som en konsekvens av at Stor-tinget ikke anses som et forvaltningsorgan, somav rent konstitusjonelle hensyn. De konstitusjo-nelle hensyn, som gjør seg gjeldende etter dagenssikkerhetslov synes i all hovedsak å rette seg motde deler av loven hvor myndighetsorganer er til-lagt oppgaver som, anvendt overfor Stortinget, vilkunne bryte med maktfordelingsprinsippet, her-under bestemmelsene knyttet til autorisasjon ogsikkerhetsklarering, samt NSMs tilsynsmyndig-het og adgangsrett.

Stortinget, Riksrevisjonen og Sivilombuds-mannen har i tråd med uttalelsene i forarbeidene,etter egen beslutning valgt å regulere forholdet tilsikkerhetsloven i eget regelverk.

I Stortingets forretningsorden er forholdet tilsikkerhetsloven berørt i § 75 annet ledd bokstav

a), hvor det fremgår at stortingsrepresentantenehar taushetsplikt om det som de under utøvelsenav stortingsvervet får kjennskap til om informa-sjon som er gradert i henhold til sikkerhetsloveneller beskyttelsesinstruksen.19

I riksrevisjonsloven20 § 16 fremgår det atbestemmelsene i sikkerhetsloven gjelder så langtde passer for Riksrevisjonens behandling av sik-kerhetsgradert informasjon. Etter bestemmelsensannet ledd kan Stortinget gi utfyllende bestemmel-ser om forholdet til sikkerhetsloven. Utfyllendebestemmelser er gitt i Instruks om Riksrevisjo-nens virksomhet21 § 14, hvor det fremgår at sik-kerhetsloven § 9 første ledd bokstav c (om NSMstilsynsmyndighet) og § 10 (om NSMs adgangsrett)ikke gjelder for Riksrevisjonen. Av bestemmelsensannet ledd fremgår det at Riksrevisjonen er klare-ringsmyndighet for eget og tilknyttet personell.

I sivilombudsmannsloven22 § 9 annet leddfremgår det at ombudsmannen har taushetspliktom informasjon som er gradert i henhold til sik-kerhetsloven eller beskyttelsesinstruksen. Taus-hetsplikten varer ved også etter ombudsmannensfratreden. Den samme taushetsplikt påhviler hanspersonale og andre som bistår ved utførelsen avombudsmannens arbeidsoppgaver.

6.2.2.7 Unntak for regjeringens medlemmer

Regjeringen fremmet i Prop. 97 L (2015–2016) omendringer i sikkerhetsloven, det forslag å lovfestepraksisen om at regjeringsmedlemmer er unntattplikt til autorisering og sikkerhetsklarering. Etterfast og langvarig praksis fulgt av ulike regjeringer,foretas det ingen autorisasjon og sikkerhetsklare-ring av regjeringsmedlemmer.

Stortinget har, i forbindelse med behandlingenav Innst. 352 L (2015–2016) til Prop. 97 L (2015–2016) om endringer i sikkerhetsloven, vedtattregjeringens forslag til lovfesting av praksisen omat regjeringens medlemmer er unntatt plikt tilautorisering og sikkerhetsklarering.

6.2.2.8 Lovens anvendelse i krise og krig

Sikkerhetsloven er i utgangspunktet en fredstids-lov, men det følger av forarbeidene at loven var

17 NOU 2003: 30, Ny offentlighetslov, 66.18 Ot.prp. nr. 70 (1968–69) om lov om offentlighet i forvaltnin-

gen, 30.

19 Forskrift 7. juni 2012 nr. 618, om Stortingets forretningsor-den, § 75.

20 Lov 7. mai 2004 nr. 21, om riksrevisjonen (riksrevisjonslo-ven).

21 Forskrift 11. mars 2004 nr. 700, Instruks om Riksrevisjo-nens virksomhet.

22 Lov 22. juni 1962 nr. 8 om Stortingets ombudsmann for for-valtningen (sivilombudsmannsloven),


ment å gjelde fullt ut også i krise- og krigssituasjo-ner:

Lovforslagets bestemmelser er primært utfor-met med henblikk på anvendelse under nor-male fredsforhold. Dersom krig truer ellerrikets selvstendighet eller sikkerhet er i fare,kan eventuelle tilpasninger om nødvendigfremmes for Stortinget eller skje med hjemmeli beredskapslovgivningens fullmakter. Depar-tementet anser det ikke nødvendig eller hen-siktsmessig å regulere sikkerhetstjenestensoppgaver eller beføyelser i krise og krig i detforeliggende lovforslag.23

6.2.2.9 Lovens stedlige virkeområde

Det følger av § 2 sjette ledd at loven gjelder forSvalbard og Jan Mayen i den utstrekning Kongenbestemmer. Loven er gjort gjeldende for Svalbardog Jan Mayen i forskrift av 31. mai 2013 nr. 558.Begrunnelsen for utvidelsen var dels at norskeforvaltningsorganer på Svalbard og Jan Mayenhar behov for å kunne behandle sikkerhetsgra-dert informasjon, og dels at det er etablert bakke-stasjoner for det europeiske satelittnavigerings-programmet Galileo her. Bakkestasjonene måkunne håndtere sikkerhetsgradert informasjon,og EU anser disse stasjonene som kritisk infra-struktur.

Det beror på vedkommende lov, lest i lys avfolkeretten, hvilket geografisk virkeområde denhar. Norsk lov er ikke nødvendigvis begrenset til ågjelde på norsk territorium (territorial−jurisdik-sjon). Eksempelvis kan Norge gi lover anvendelsefor norske borgere i utlandet (personaljurisdik-sjon). Normalt reguleres virksomheten til norskeforetak i utlandet av reglene i den staten der virk-somheten drives. Norsk selskapslovgivning ogregnskapsplikt gjelder imidlertid for norske sel-skaper selv om de driver virksomhet i utlandet.

Lovens anvendelse i utlandet er ikke regulert iloven, men det står følgende i forarbeidene:

I den utstrekning loven får anvendelse for nor-ske forvaltningsorganer, vil den selvfølgeligogså gjelde for slike i utlandet, f.eks for mili-tære enheter som deltar i internasjonale freds-operasjoner, norske utenriksstasjoner i andreland, osv, med mindre noe annet skulle følge avfolkerettslige regler.24

Forarbeidene omtaler ikke lovens anvendelse forselvstendige rettssubjekter, som ved enkeltvedtaker underlagt loven, i utlandet. Hvorvidt loven vilgjelde for disse rettssubjektene i utlandet vil beropå det enkelte vedtak, samt eventuelle folkeretts-lige jurisdiksjonsregler.

6.2.3 Legaldefinisjoner

Dagens sikkerhetslov opererer med en rekkelegaldefinisjoner i loven § 3 første ledd nr. 1–20.Begrepene som defineres, benyttes i varierendegrad i de etterfølgende bestemmelsene.

Enkelte begreper, som for eksempel sikker-hetstruende virksomhet, jf. § 3 nr. 2, benyttes ikke iloven. Begrepet har imidlertid en sentral betyd-ning i forståelsen av hva loven skal legge til rettefor beskyttelse mot.

Andre begreper som er legaldefinert, inngårkun som et element i andre legaldefinisjoner. Sik-kerhetstruende virksomhet består som nevnt avtre nye begreper – spionasje, sabotasje og terror-handlinger – som utover å være elementer ibeskrivelsen av sikkerhetstruende virksomhet,kun benyttes i en enkelt bestemmelse i loven.25

Enkelte andre begreper benyttes kun i sværtbegrenset utstrekning, enten i en enkelt lovbe-stemmelse eller i bestemmelser som står i nærsammenheng med hverandre.

6.3 Fremmed rett

6.3.1 Sverige

Formål og virkeområde for den svenske säker-hetsskyddslagen (1996) fremgår av loven 1 § omlovens virkeområde, 6 § om hva som menes medsäkerhetsskydd og 7 § om hvilke typer sikker-hetstiltak som skal iverksettes.

Av lovens 1 § fremgår det at loven gjelder forstat, kommuner og landsting. Loven gjelder ogsåfor aksjeselskap, handelsbolag, foreninger og stif-telser, hvor myndighetene utøver en rettslig

23 Ot.prp. nr. 49 (1996–97), 30.

Boks 6.2 Skjerpet taushetsplikt

For medlemmer av regjeringen, Stortinget ogHøyesterett, samt medlemmer av landetsøverste sivile og militære ledelse, er det skjer-pede straffebestemmelser for avsløring avstatshemmeligheter, jf. straffeloven § 124.

24 Ot.prp. nr. 49 (1996–97), 65.25 Sikkerhetsloven § 21 Vurderingsgrunnlaget for sikkerhets-

klarering.


bestemmende innflytelse. Vurderingen av rettsligbestemmende innflytelse for de ulike selskapsfor-mene, baseres blant annet på myndighetenesaksje- eller stemmeandel i aksjeselskaper og sel-skapet, jf. 4 §. Loven gjelder også for rettssubjek-ter som driver virksomhet av betydning for riketssikkerhet eller som særskilt behøver beskyttelsemot terrorhandlinger. Loven gjelder i begrensetutstrekning for Riksdagen og dens underlagteorganer, jf. 2 §.

Loven skal i henhold til 6 § legge til rette forbeskyttelse mot spionasje, sabotasje og andrestraffbare handlinger som kan true rikets sikker-het. Loven skal også gi beskyttelse i andre tilfellerav opplysninger som omfattes av hemmeligholdetter offentlighets- og sekretesslagen (2009:400), ogsom har betydning for rikets sikkerhet. I tilleggskal loven tilrettelegge for beskyttelse mot terror-handlinger etter lag om straff för terroristbrott(2003:148), selv om handlingen ikke truer riketssikkerhet.

Hvilke sikkerhetstiltak som kan iverksettesetter loven følger av 7 §, hvor det fremgår atbeskyttelsen skal omfatte informasjonssikkerhet,adgangsbegrensninger og sikkerhetsklarering avpersonell.

Säkerhetsskyddslagen (1996) er for tidenunder revisjon, og i mars 2015 ble en eksper-tutredning overlevert til den svenske regjerin-gen.26

I rapporten foreslås blant annet en endring avlovens formålsbestemmelse. Begrepet riketssäkerhet foreslås erstattet med Sveriges säkerhet.Det presiseres imidlertid at dette bare er enspråklig endring, som ikke vil innebære en utvi-delse av lovens formål. Ved vurderingen av lovensformål så ekspertgruppen også hen til den nyligreviderte Brottsbalken kapittel 19 Om brott motSveriges säkerhet.

Lovens formålsbestemmelse foreslås i SOUenutvidet til også å omfatte virksomhet som ivaretarSveriges internasjonale forpliktelser på sikker-hetsområdet.

Også lovens virkeområde foreslås endret. Iutredningen foreslås et funksjonsbasert virkeom-råde:– Virksomhet som innebærer håndtering av sik-

kerhetsgradert informasjon. Dette omfatterinformasjon som enten er av betydning for Sve-riges sikkerhet, eller som må beskyttes av hen-syn til internasjonale forpliktelser.

– Virksomhet som av andre årsaker har et sik-kerhetsmessig beskyttelsesbehov (i övrigtsäkerhetskänslig verksamhet).

Om innholdet i begrepet säkerhetskänslig verksam-het, sies det i utredningen at:

Det motsvarar delvis vad som i dag skyddasinom ramen för skydd mot terrorism, dvs. ihuvudsak verksamhet vid skyddsobjekt, flyg-platser och vissa verksamheter som ska skyd-das enligt folkrättsliga åtaganden om luftfarts-skydd, hamnskydd och sjöfartsskydd. Detskyddsvärda området bör dock inte avgränsasgenom regleringen om skyddsobjekt utan skaäven kunna innefatta annat slag av säker-hetskänslig verksamhet, t.ex. verksamhetersom innefattar hantering av itsystem eller avsammanställningar av uppgifter som är av cen-tral betydelse för ett fungerande samhälle ellerverksamhet som behöver skyddas på dengrunden att den kan utnyttjas för att skada nati-onen, t.ex. vissa verksamheter inom det kärn-tekniska området.27

6.3.2 Danmark

Danmark har ikke noen generell sektorovergri-pende lov om forebyggende sikkerhet.

Sikkerhetsgraderte informasjon og sikker-hetsklarering av personell er nærmere regulert iSikkerhedscirkulæret av 19. desember 2014.28

Danmark har ikke et sektorovergripende lov-verk om beskyttelse av kritisk infrastruktur.Beredskapsstyrelsen har en generell plikt til å vei-lede myndighetene om beredskapsplanleggingen,men har ikke et tverrsektorielt ansvar for myndig-hetenes virkemidler overfor eiere og operatørerav kritisk infrastruktur. Beredskapsstyrelsen haren all hazards approach til beskyttelse av kritiskinfrastruktur.

Den 7. oktober 2015 fremmet den danskeregjering forslag til Folketinget om en ny lov omnett- og informasjonssikkerhet for tilbydere avelektronisk kommunikasjon.29 Formålet med dennye loven er å «fremme net- og informationssik-kerheden i samfundet», jf. lovforslaget § 1. Forsla-gets virkeområde er avgrenset til å gjelde for tilby-

26 SOU 2015:25, Betänkande av Utredningen om säkerhets-skyddslagen.

27 SOU 2015:25, 290.28 Cirkulære om sikkerhedsbeskyttelse af informationer af fælles

interesse for landende i NATO eller EU, andre klassificeredeinformationer samt informationer af sikkerhedsmæssigbeskyttelsesinteresse i øvrigt.

29 L 10 Forslag til lov om net- og informationsikkerhed, frem-satt 07-10-2015.


dere av elektroniske kommunikasjonstjenester,som tilbyr offentlig tilgjengelige nett og tjenester.Lovforslaget vil bli nærmere omtalt under kapittel8.

6.3.3 Storbritannia

Security Service Act (1989) danner det lovmessigegrunnlaget for sikkerhetstjenestens virksomhet(Security Service). Funksjonen Security Servicebeskrives i artikkel 1 (2) på følgende måte;

The function of the Service shall be the prote-ction of national security and, in particular, itsprotection against threats from espionage, ter-rorism and sabotage, from the activities ofagents of foreign powers and from actionsintended to overthrow or undermine parlia-mentary democracy by political, industrial orviolent means.

I tillegg skal sikkerhetstjenesten omfatte beskyt-telse av Storbritannias økonomiske velferd (art. 1(3)), samt understøttelse av politi og kriminalitets-bekjempelse (art. 1 (4)).

Loven fastslår sikkerhetstjenestens funksjonog virkeområde, men fastsetter for øvrig ingennærmere regler om hvilke krav som settes tiloffentlige og sivile virksomheters arbeid medforebyggende sikkerhet.

Arbeidet med beskyttelse av kritisk infrastruk-tur er etter det utvalget har fått opplyst lovmessigforankret i Security Service Act (1989), og ivare-tas av MI5s Centre for the Protection of NationalInfrastructure (CPNI). CPNI har en utstrakt råd-givningsvirksomhet overfor private aktører someier eller forvalter kritisk infrastruktur, men harikke myndighet til å gi pålegg eller sette krav tilsikringen av slik infrastruktur. Informasjonssik-kerhet for sikkerhetsgradert informasjon er nær-mere regulert i policy for Goverment Security Clas-sifications, utgitt av Cabinet Office i april 2014.Retningslinjene har ikke lovmessig status, men eretablert innenfor rammene av nasjonal britisk lov-givning og inkluderer de krav som følger av Offi-cial Secrets Acts (1911 og 1989), Freedom of Infor-mation Act (2000) og Data Protection Act (1998).

6.4 Tidligere vurderinger av lovens virkeområde

Det har i tidligere utredninger og revisjonsproses-ser vært vurdert hvorvidt sikkerhetslovens virke-

område burde utvides til også automatisk å gjeldeselvstendige rettssubjekter.

Forsvarsdepartementet opprettet sommeren2000 en interdepartemental arbeidsgruppe medmandat til å fremme forslag til forskrift om objekt-sikkerhet med hjemmel i sikkerhetsloven kapittel530. I rapporten foreslo arbeidsgruppen blantannet at lovens virkeområde skulle utvides slik atogså selvstendige rettssubjekter som eier ellerråder over et skjermingsverdig objekt, eller erleverandører til slike, omfattes. Arbeidsgruppenanbefalte at det burde vurderes om sikkerhetslo-ven også burde komme til anvendelse overforenhver som kan få rettmessig tilgang til skjer-mingsverdig informasjon.

Infrastrukturutvalget uttrykte i sin utredningat det ikke ville være hensiktsmessig å gjøre lovengjeldende for alle rettssubjekter:

Utvalget mener at lovens innretting og virke-midler er av en slik karakter at det ikke vil værehensiktsmessig å gjøre loven generelt gjel-dende for alle rettssubjekter. Å lage bestemtekriterier i loven for å angi hvilke virksomheterloven skal omfatte vil etter utvalgets meningvære for upresist, og vil kunne medføre behovfor lovendringer dersom justeringer blepåkrevd.31

Arbeidsgrupperapporten fra 2002 dannet grunnla-get for Forsvarsdepartementets forslag til revisjonav sikkerhetsloven. Når det gjaldt arbeidsgrup-pens forslag om å utvide sikkerhetslovens virke-område, viste departementet til gjeldende ved-taksregime, og uttalte at:

Etter departementets oppfatning gir dette et til-strekkelig grunnlag i dag for å gi sikkerhetslo-ven anvendelse på de enkelte private rettssub-jekter som har eierskap til skjermingsverdigeobjekter. Ved at det ved enkeltvedtak skal tasstilling til om et privat rettssubjekt skal omfat-tes av sikkerhetsloven, vil det for hvert enkelttilfelle kunne foretas en interesseavveining,herunder hvilke økonomiske, administrativeog sosiale konsekvenser som en anvendelse avsikkerhetsloven på rettssubjektet vil få. Depar-tementet fremmer derfor ikke et lovforslag omendringer av sikkerhetslovens virkeområde.32

30 Arbeidsgrupperapport, Forebyggende sikring av objekter motterror- og sabotasjehandlinger, avgitt til Forsvarsdeparte-mentet 24. mai 2002.

31 NOU 2006: 6, 82.


Arbeidsgruppen som evaluerte sikkerhetslovenvar delt i synet på om selvstendige rettssubjektersom eier eller forvalter et skjermingsverdigobjekt, automatisk burde underlegges loven. Detble fremhevet i arbeidsgruppen at det ikke bleansett som hensiktsmessig å kartlegge samtligevirksomheter innenfor samfunn og næringslivmed sikte på å underlegge selvstendige rettssub-jekter loven:

Det er tvilsomt både om dette er mulig og omdet er ønskelig. Det måtte i så fall kreve engrundig prosess og en konsekvensanalyse,herunder en analyse av økonomiske konse-kvenser ved å legges inn under loven. Arbeids-gruppen vil ikke anbefale en nærmere vurde-ring av en så vidtgående endring av loven veden revisjon nå.33

6.5 Organisering av offentlig virksomhet

Et spørsmål utvalget må ta stilling til er omdagens virkeområde er hensiktsmessig og børvidereføres. Organiseringen av offentlig virksom-het er et sentralt moment i denne vurderingen.Offentlig virksomhet omfatter både staten ogkommunesektoren.

Tradisjonelt har staten organisert sin aktiviteti statlige virksomheter, det vil si innenfor statensom rettssubjekt og med direkte instruksjons-myndighet. Utviklingen de siste tiår har imidlertidgått i retning av at det som tradisjonelt sett harblitt betraktet som statlig aktivitet, både i størregrad utføres av selvstendige rettssubjekter ogkonkurranseutsettes til private aktører.

I NOU 2003: 34 Mellom stat og marked opp-summeres den forvaltningspolitiske utviklingenpå følgende måte:

Et hovedtrekk ved de statlige omstillingenesiden slutten av 1980-tallet er at det er gittstørre frihetsgrader innenfor staten og at virk-somhetene er skilt ut i selvstendige rettssub-jekter. Et annet viktig trekk er utvikling av sup-plerende virkemidler for regulering. Resultateter videre økonomiske og administrative full-makter for en rekke forvaltningsorganer, opp-

retting av nye, mer fristilte organer, delegeringav myndighet til ytre-/lavere organer i forvalt-ningshierarkiet og utskilling av virksomheter irettslig selvstendige enheter. Arbeidsdelingenmellom offentlig sektor og privat sektor er iendring.34

Tradisjonelt grupperes de statlige tilknytningsfor-mene i to hovedgrupper: statlige forvaltningsorga-ner som er en og samme juridiske person som sta-ten, eller som statlige selskap som juridisk sett erutenfor staten. Disse kan igjen deles inn i under-grupper:35

Statlige forvaltningsorganer:

– Ordinære forvaltningsorganer, som for eksem-pel departementene, direktorater og tilsyn

– Forvaltningsorganer med særskilte budsjett-fullmakter

– Forvaltningsbedrifter

Statlige selskaper:

– Statsaksjeselskap, det vil si statlige helheideaksjeselskaper organisert etter aksjeloven medde særbestemmelser som loven setter for slikeselskaper

– Statsforetak, organisert etter statsforetakslo-ven

– Særlovselskap, som benyttes som betegnelsepå selskaper som er regulert i egen lov, somogså inneholder særskilte organisatoriskeregler

– Stiftelser

En rekke større statlige forvaltningsbedrifter harde senere år blitt omdannet til statsforetak, sær-lovselskaper eller statsaksjeselskaper. Hovedrege-len for disse er at de enten organiseres som stats-aksjeselskap eller statsforetak.36

I henhold til Finansdepartementets liste overselskaper, er det i dag 70 selskaper hvor statenhar et direkte eierskap. En rekke av disse selska-pene ivaretar viktige samfunnsfunksjoner innenblant annet energi, ekom, helse, samferdsel.37

I tillegg til den statlige aktiviteten i offentligsektor, blir også mye tjenesteproduksjon utført i

32 Ot.prp. nr. 21 (2007–2008) Om lov om endringer i lov 20.mars 1998 nr. 10 om forebyggende sikkerhetstjeneste (sik-kerhetsloven),19.

33 Arbeidsgrupperapport, Evaluering av sikkerhetsloven –Rapport fra arbeidsgruppe under ledelse av Forsvarsdeparte-mentet, 2012, 14.

34 NOU 2003: 34, Mellom stat og marked, 12.35 Ibid., 36 flg. 36 Difi 2014:1, Fra stat til marked. Veileder om utskilling av

virksomhet fra staten, 8.37 https://www.regjeringen.no/contentassets/

63686604f2af43a8947448f242463208/over-sikt_12_jan_2016.pdf.


kommunal sektor, finansiert via tilskudd overstatsbudsjettet. Kommunesektoren spiller en sen-tral rolle som tjenesteleverandør i norsk offentligforvaltning. Kommunene har ansvar for grunnleg-gende tjenester til innbyggerne som for eksempelgrunnskoleopplæring, primærhelsetjeneste ogvann, avløp og renovasjon, mens fylkeskommu-nene har ansvar for regionalt kollektivtilbud.

Som redegjort for i kapittel 3.5, er det også enøkende grad av gjensidig avhengighet mellomden militære og sivile sektoren. I en totalforsvars-sammenheng er Forsvaret på flere områder heltavhengig av kompetanse, varer og tjenester fraprivate aktører. Disse private aktørene vil utgjøreen sentral innsatsfaktor for at Forsvaret skalkunne opprettholde kampkraft i en potensiell kon-fliktsituasjon. I regjeringens langtidsplan for for-svarssektoren beskrives Forsvarets avhengighetav det sivile samfunn på følgende måte:

Sivil støtte til Forsvaret har hatt liten oppmerk-somhet de siste årene. Samtidig har Forsvaretsavhengighet av sivile leveranser økt. Det måderfor legges fornyet vekt på sivil støtte til For-svaret. Dette aktualiseres ytterligere av at den

sikkerhetspolitiske utviklingen øker behovetfor at Forsvaret styrker sin beredskap.38

Det er en uttalt målsetting å gjøre offentlig sektormer fleksibel og effektivt. En rendyrking av orga-nisasjonsformer, hvor forvaltningsmessige ogkontrollerende funksjoner holdes i statsadminis-trasjonen, mens mer forretningsmessige sider avvirksomheten privatiseres, er en ønsket utvikling,som gir en rekke fordeler. Samtidig innebærer pri-vatiseringen av offentlig virksomhet en økt sårbar-het ved at kritiske samfunnsfunksjoner, eller dendirekte understøttelsen av disse, settes ut til selv-stendige rettssubjekter.

Infrastrukturutvalget beskrev i sin utredningomorganiseringen av offentlig virksomhet som enutfordring for sikkerhet og beredskap:

Virksomheter med sikkerhets- og beredskaps-oppgaver omorganiseres og omreguleres. Detgjelder også virksomheter som på grunn avderes kritiske funksjon kan sies å ha betydningfor rikets sikkerhet og vitale nasjonale interes-

Figur 6.1 Organisering av statlig virksomhet

Kilde: NOU 2015: 14, Bedre beslutningsgrunnlag, bedre styring – Budsjett og regnskap i staten, figur 3.5.

Offentlig sektor

Staten

Staten som rettssubjekt

Særlovsselskap inkl.Helseforetak

Statsforetak

Hel- og deleideaksjeselskap

Ordinæreforvaltningsorgan

Forvaltningsorgan medsærskilte

budsjettfullmakter

Forvaltningsbedrifter

Egne rettssubjekt

Kommunesektoren

38 Prop. 151 S (2015–2016), 46.


ser. Det må sies å være en sikkerhetsutfor-dring at hensynet til forretningsmessig driftkan komme i konflikt med hensynet til sikker-het og beredskap. Overfor disse virksomhe-tene er det behov for å sikre at sikkerhets- ogberedskapsoppgavene ivaretas på en hensikts-messig måte.39

Infrastrukturutvalget beskrev også utfordringeneknyttet til bortsetting av eksempelvis drift av IKT-systemer. Bildet kompliseres ytterligere av at sen-trale tjenester settes bort uavhengig av geografi,noe som kan medføre at det oppstår situasjonerhvor nasjonal kontroll med kritisk infrastrukturog kritiske samfunnsfunksjoner begrenses avandre lands prioriteringer.

Grunnet de sikkerhetsmessige utfordringenesom kan oppstå ved en omorganisering av offent-lig virksomhet, anbefalte Infrastrukturutvalget aten liste over kontrollpunkter, som sikrer at hensy-net til sikkerhet og beredskap blir ivaretatt, blebenyttet i fremtidige omorganiseringsprosesser.40

I DIFI’s beskrivelse av sentrale hensyn vedvalg av tilknytningsform, er et av vurderingskrite-

riene om virksomheten skal ivareta særskilte sam-funnsoppgaver. Hensynet til sikkerhet og bered-skap er ikke eksplisitt berørt i veilederen41.

6.6 Kritisk infrastruktur og kritiske samfunnsfunksjoner

I Infrastrukturutvalgets utredning defineres kri-tisk infrastruktur på følgende måte:

Kritisk infrastruktur er de anlegg og systemersom er helt nødvendige for å opprettholde sam-funnets kritiske funksjoner som igjen dekkersamfunnets grunnleggende behov og befolk-ningens trygghetsfølelse.42

Denne definisjonen er i hovedtrekk også lagt tilgrunn i senere rapporter og utredninger.

I sivilbeskyttelsesloven § 3 bokstav d) har manlagt til grunn samme definisjon av kritisk infra-struktur som i Rådsdirektiv 2008/114/EF av 8.desember 2008 om identifisering og utpeking aveuropeisk kritisk infrastruktur og vurdering avbehovet for å beskytte den bedre, artikkel 2 bok-stav a):

anlegg, systemer eller deler av disse som ernødvendige for å opprettholde sentrale sam-funnsfunksjoner, menneskers helse, sikkerhet,trygghet og økonomiske eller sosiale velferdog hvor driftsforstyrrelse eller ødeleggelse avdisse vil kunne få betydelige konsekvenser.

Selv om ordlyden i sivilbeskyttelsesloven avvikernoe fra den definisjonen som er lagt til grunnblant annet av Infrastrukturutvalget, er det i litengrad noen meningsforskjell mellom de definisjo-nene.

Infrastrukturutvalgets definisjon av kritiskinfrastruktur består av tre hovedelementer:

1. Kritisk infrastruktur – som er de anlegg ogsystemer som er helt nødvendige for å opprett-holde samfunnets kritiske funksjoner.

2. Samfunnets kritiske funksjoner – som er defunksjonene som dekker samfunnets grunn-leggende behov.

3. Samfunnets grunnleggende behov.

39 NOU 2006: 6, 44.40 Ibid., 87.

Boks 6.3 Infrastrukturutvalgets kontrollpunkter:

1. Hvordan ivaretas sikkerhet og beredskap ivirksomheten?

2. Hvilke konsekvenser har endringen for iva-retakelse av sikkerhet og beredskap i virk-somheten?

3. Påvirker endringen regulering av sikker-het og beredskap i virksomheten?

4. Påvirker endringen ivaretakelse av hensy-net til rikets sikkerhet og vitale nasjonaleinteresser?

5. Hva er ressursinnsatsen til sikkerhet ogberedskap i virksomheten før og etter end-ringen?

6. Hvilke underleverandører er virksomhetenkritisk avhengig av for å opprettholdedriftskontinuitet?

7. Leverer virksomheten samfunnskritiskevarer og tjenester?

8. Hvordan skal spørsmål knyttet til sikkerhetog beredskap håndteres av virksomhetensledelse og styrende organer?

41 Difi 2014:1, Fra stat til marked. Veileder om utskilling avvirksomhet fra staten.

42 NOU 2006: 6, 32.


Definisjonen av kritisk infrastruktur tar utgangs-punkt i begrepet samfunnets grunnleggende behov.Ut fra dette begrepet, kan det nærmere innholdeti de to andre begrepene utledes. Det kan ut fradefinisjonen oppstilles tre spørsmål som måbesvares for å kunne identifisere kritisk infra-struktur:

1. Hva er samfunnets grunnleggende behov?2. Hvilke samfunnsfunksjoner er kritiske for å

dekke disse behovene?3. Hva slags systemer og anlegg er helt nødven-

dige for å opprettholde disse funksjonene?

Ved å besvare disse tre spørsmålene vil mankunne identifisere de systemene og anleggenesom i henhold til Infrastrukturutvalgets vurderingmå anses som kritisk infrastruktur.

Det første spørsmålet som må besvares er hvasom utgjør samfunnets grunnleggende behov.Dette kan også formuleres som et verdispørsmål– hvilke verdier er det i et samfunnsmessig per-spektiv helt grunnleggende å beskytte?

Som nevnt i kapittel 4.2.2, har DSB ut fra sam-funnets grunnleggende behov, utledet hva somutgjør samfunnets kritiske funksjoner. Utlednin-gen er gjort ut fra en vurdering av de mest tidskri-tiske funksjonene, hvor selv en kortvarig svikt vilfå umiddelbare negative konsekvenser for befolk-ningen. I DSBs rapport er det identifisert 18 kri-tiske samfunnsfunksjoner, fordelt på fire under-grupper:

– Nasjonal styringsevne og suverenitet– Befolkningens sikkerhet

– Befolkningens velferd– Kultur og natur

Hvilke samfunnsfunksjoner som anses for kri-tiske, vil avhenge både av hvilke verdier og behovsom legges til grunn for vurderingen og hvilkekriterierier som legges til grunn for vurdering avkritikalitet.

I rapporten Samfunnets kritiske funksjonerhar DSB utarbeidet en overordnet oversikt overinfrastruktur, som ut fra gitte kriterier anses somkritiske i et samfunnsperspektiv43 er rapportenfokusert på infrastruktursystemer, altså infra-strukturer som utgjør et nettverk som leverervarer eller tjenester til et stort antall mottakere, ogder svikt kan få mer vidtrekkende konsekvenser –det vil si kritiske infrastruktursystemer på etnasjonalt nivå.

Kritikaliteten i infrastrukturene i tabellen overvil variere, blant annet som følge av grad av avhen-gighet og redundans.44 Veitransportsystemet erfor eksempel generelt redundant de fleste steder,hvor det som regel finnes alternative kjøreruterog/eller transportformer (for eksempel båt).Noen strekninger, som betjener store befolk-ningsmengder, har imidlertid lite redundans. Hervil et avbrudd kunne få langt større konsekvenser.Det samme gjelder innenfor andre samfunnsfunk-sjoner, eksempelvis energiforsyning og elektro-nisk kommunikasjon. Noen deler av systemet ermer kritiske enn andre, enten fordi graden av

43 DSB, Samfunnets kritiske funksjoner – Hvilken funksjons-evne må samfunnet opprettholde til enhver tid, 2015.

44 Ibid., 87.

Boks 6.4 Kritiske infrastruktursystemer – overordnet oversikt

Kilde: DSB, Samfunnets kritiske funksjoner, høringsutgave september 2015, 85–86.

Matforsyning Produksjonsanlegg, distribunaler, logistikksystemer, butikker

Vann og avløp Vannverk, renseanlegg, pumper, høydebasseng

Sosiale ytelser og tjenester NAVs it-systemer

Finansielle tjenester Finansiell infrastruktur

Energiforsyning Kraftverk, transformatorer, kraftnett osv.Fjernvarmeanlegg, pumpestasjoner, ledningsnettRaffinerier, havneanlegg, tankanlegg, bensinstasjoner

Elektronisk kommunikasjon Kjernenett, transportnett, svitsjer

Transport Veinett, jernbanelinjer, terminaler, trafikkstyringssystemer

Satellittbaserte tjenester Satellitter, bakkestasjoner


avhengighet er høy eller fordi redundansen i detaktuelle området er svak.

DSB presiserer i rapporten at vurderingen avhva som utgjør kritisk infrastruktur bør foretas avde myndigheter og virksomheter som kjennerden aktuelle infrastrukturen best, og bør gjøresgjennom analyser av hvilke avhengigheter somknytter seg til de ulike samfunnsfunksjonene.

I DSBs rapport KIKS 145 fremkommer det atkritisk infrastruktur betraktes som en nødvendig,men ikke tilstrekkelig forutsetning for oppretthol-delse av kritiske samfunnsfunksjoner. For at sam-funnsfunksjonene skal opprettholdes er de ogsåavhengig av en rekke andre innsatsfaktorer.

De innsatsfaktorer som en virksomhet medkritisk samfunnsfunksjon er avhengig av for åkunne dekke samfunnets grunnleggende behov,betegnes her som kritiske innsatsfaktorer. Inn-satsfaktorer som leveres av andre virksomheterskaper avhengigheter mellom samfunnsfunksjo-ner, infrastrukturer og virksomheter.

6.7 Utvalgets vurderinger

De senere års endringer av hvordan staten organi-serer sin virksomhet, hvor stadig flere tjenesterkonkurranseutsettes og offentlige virksomheterhel- eller delprivatiseres, har medført at en rekkekritiske innsatsfaktorer eies og forvaltes av selv-stendige rettssubjekter. Utvalget mener at gjel-dende lovs virkeområde, som i utgangspunktetkun gjelder for forvaltningsorganer, er i utakt medden samfunnsutviklingen som har skjedd sidenlovens ikrafttredelse.

Som Lysne-utvalget har vist til i sin utredning,regnes Norge som et av de mest digitaliserte lan-dene i verden.46 Denne digitalisering har ført tilgjennomgripende samfunnsmessige endringer,noe som har gitt oss store effektiviserings- ogmoderniseringsgevinster. Samtidig har dette ogsåført til at Norge er et av de landene derendringene i risiko- og sårbarhetsbildet har kom-met lengst, med sammensatte og komplekseavhengigheter på tvers av virksomheter og sam-funnssektorer. Omorganiseringen av statlig virk-somhet medfører også at disse avhengighetenegår på tvers av offentlig og privat virksomhet.

Dette har betydning for hvordan en ny sikkerhets-lov bør innrettes.

Loven må, slik utvalget ser det, i tillegg reflek-tere at Norge i dag står overfor et bredt og sam-mensatt trusselbilde, hvor både statlige og ikke-statlige aktører utgjør en potensiell risiko for Nor-ges mest grunnleggende interesser.

Utvalget har vurdert ulike alternativer for åstrukturere et nytt lovgrunnlag for forebyggendenasjonal sikkerhet. Ifølge mandatet skal det kon-kret vurderes hvorvidt krav til «militær og sivilsektor skal reguleres i samme lov eller om lov-grunnlaget skal deles». En fordel med en delt løs-ning er at en egen lov innen forsvarssektoren vilkunne bidra til å ivareta Forsvarets særegnebehov når det gjelder forebyggende sikkerhet. Påden andre siden er heller ikke de sivile samfunns-sektorene en homogen gruppe. Alle samfunnssek-torer har i større eller mindre utstrekning sær-egenheter og særlige behov, som må ivaretas i detforebyggende sikkerhetsarbeidet. Utvalget harheller ikke sett det som en aktuell løsning å fore-slå sektorvise lover. Gjensidige avhengigheter gårpå tvers av samfunnssektorene, og det er derforav avgjørende betydning å ha en helhetlig tilnær-ming til arbeidet med forebyggende sikkerhet.For å oppnå en slik tilnærming mener utvalget atdet er nødvendig å ha et sektorovergripende lov-verk, som legger til rette for samhandling og koor-dinering på tvers av samfunnssektorene. Hensy-net til den enkelte sektors særegne behov bør istedet adresseres i hvordan selve loven utformes.Dette gjelder både for hvordan krav etter lovenskal utformes og hvilke mekanismer som er nød-vendige for å ivareta sektorspesifikke hensyn.Som en konsekvens av dette har utvalget kommettil at den beste løsningen vil være en sektorover-gripende rammelov.

6.7.1 Ulike alternativer for lovens formål og virkeområde

Utvalget har vurdert ulike alternativer for et nyttlovgrunnlags formål og saklige virkeområde.

Et alternativ har vært å beholde begrepsappa-ratet i dagens sikkerhetslov. En fordel med en sliktilnærming er at rikets sikkerhet og andre vitalenasjonale sikkerhetsinteresser, er et etablert begrepinnenfor forebyggende sikkerhet mot terrorhand-linger, spionasje og sabotasje. Som fremhevet ibåde forarbeidende og Infrastrukturutvalgetsutredning, er begrepsapparatet ment å være enrettslig standard som skulle forandre seg i taktmed samfunnsutviklingen. I teorien burde såledessamfunnsutviklingen siden lovens ikrafttredelse

45 Direktoratet for samfunnssikkerhet og beredskap, Sikker-het i kritisk infrastruktur og kritiske samfunnsfunksjoner –modell for overordnet risikostyring. KIKS-prosjektet – 1. del-rapport, 2012.

46 NOU 2015: 13.


være gjenspeilet i måten loven blir praktisert på idag. Erfaringen så langt med praktiseringen avloven, viser imidlertid at det knytter seg stor gradav usikkerhet til hvordan begrepsapparatet skalforstås og praktiseres. Enkelte hevder at begreps-apparatet må forstås videre enn en snever fortolk-ning av statssikkerheten, mens andre hevder detmotsatte. Ved en videreføring av dagens begreps-apparat risikerer man å videreføre denne usikker-heten. Man risikerer også at virkeområdet for dennye loven vil bli for snevert, både sett hen til utval-gets mandat og med hensyn til de verdier det eravgjørende å beskytte. Et annet forhold er at envidereføring av gjeldende lovs begrepsapparat,også vil medføre at det nye lovgrunnlaget fortsattvil være i utakt med den moderniseringen somhar skjedd i beslektet lovverk for øvrig.

Utvalget har vurdert hvorvidt man bør benyttedet samme begrepsapparatet som den nye straffe-loven og utlendingsloven – grunnleggende nasjo-nale interesser. En fordel med en slik harmonise-ring med beslektede regelverk, ville vært at prak-sis etter ny straffelov og utlendingsloven kunnebringes inn som tolkningsfaktorer ved forståelsenav en ny sikkerhetslovs formål og virkeområde.Basert på erfaringene med dagens sikkerhetslov,antar utvalget at rettspraksis etter henholdsvisstraffeloven kapittel 17 og utlendingslovensbestemmelser knyttet til grunnleggende nasjo-nale interesser, vil være betydelig mer omfattendeenn rettspraksis etter den nye sikkerhetsloven.

Også den generelle samfunnsutviklingen til-sier en dreining av fokus fra et rent statssikker-hetsperspektiv (slik noen hevder dagens sikker-hetslov har), til også i noen grad å omfatte detsom tradisjonelt har blitt ansett som en del av dengenerelle samfunnssikkerheten.

Når utvalget likevel har kommet til at det ikkeanses hensiktsmessig å benytte straffelovens ogutlendingslovens begrepsapparat, skyldes ikkedette at man er uenig i dreiningen av fokus i straf-feloven kapittel 17 og utlendingsloven. Sett i lys avsamfunnsutviklingen, mener utvalget tvert imot aten dreining av fokus i retning samfunnssikker-hetsperspektivet er helt riktig og nødvendig.Utvalget mener imidlertid at en ny lov om fore-byggende nasjonal sikkerhet bør ha som formål åbeskytte de funksjonene som er helt avgjørendefor at staten skal kunne ivareta de verdiene sikker-hetsloven skal beskytte. Det er disse funksjoneneen trusselaktør i ytterste konsekvens vil forsøke åramme, ved et anslag mot Norge og dets mestgrunnleggende interesser og verdier. En slikfunksjonsbasert tilnærming vil også være i trådmed metodikken i arbeidet med samfunnssikker-

het og beredskap for øvrig. Utvalget har derforvalgt å benytte begrepet grunnleggende nasjonalefunksjoner for å angi lovens virkeområde.

Utvalget mener at lovens virkeområde bør inn-rettes slik at enhver virksomhet, offentlig eller pri-vat, som har råderett over informasjon, informa-sjonssystemer, objekter eller infrastruktur, eller somdriver aktivitet, som er av kritisk betydning forgrunnleggende nasjonale funksjoner, omfattes avloven.

Utvalgets forslag til innretning av lovens for-mål og virkeområde vil sannsynligvis medføre atflere virksomheter vil bli underlagt den nye loven.Det er vanskelig å vurdere konkret hvor mangevirksomheter som vil bli underlagt loven. Som detblir nærmere redegjort for i kapittel 7.7.1, foreslårutvalget en systematikk for å identifisere virksom-heter som bør omfattes av loven for å sikre grunn-leggende nasjonale funksjoner.

For virksomheter som ikke tidligere har værtunderlagt sikkerhetsloven, vil en slik underleg-gelse kunne få vesentlige konsekvenser. Utvalgeterkjenner at økte krav til sikkerhet også vil inne-bære økte kostnader, som kan virke tyngende forden enkelte virksomhet sett ut fra et bedriftsøko-nomisk perspektiv. Utvalget mener likevel at desikkerhetsmessige gevinstene i et samfunnsper-spektiv overstiger de ulempene en utvidelse avlovens virkeområde vil kunne få for enkelte virk-somheter. De gjensidige avhengighetene på tversav samfunnssektorer og på tvers av virksomheter,gjør at det ikke er mulig å sikre de grunnleggendenasjonale funksjonene, uten at det samtidig stillessikkerhetsmessige krav til de virksomheter somhar en kritisk betydning for disse funksjonene.

Hvilke konsekvenser dette vil ha for denenkelte virksomhet, vil imidlertid avhenge av enrekke faktorer. For det første vil virksomhetensallerede etablerte sikkerhetstiltak, blant annet imedhold av relevant sektorregelverk, ha betyd-ning for om, og i så fall hvor omfattende, behovetfor forsterkede sikkerhetstiltak vil være. For detandre vil den nærmere årsaken til at virksomhe-ten underlegges loven, ha betydning for hvilkekrav til sikkerhetstiltak som vil være relevante forvirksomheten – dersom en virksomhet blir vur-dert å være nødvendig for å sikre våre grunnleg-gende nasjonale funksjoner. Dersom en virksom-het ikke har råderett over objekter eller infra-struktur av kritisk betydning for grunnleggendenasjonale funksjoner, men utelukkende har behovfor å behandle sikkerhetsgradert informasjon i etbegrenset omfang, vil det kun være de deler avloven som gjelder håndtering av slik informasjonsom vil være relevante. Det vil være informasjons-


sikkerhet, informasjonssystemsikkerhet og perso-nellsikkerhet i tillegg til de generelle krav til fore-byggende sikkerhet.

Utvalget mener imidlertid at det for denenkelte virksomhet også vil være en rekke forde-ler forbundet med å bli omfattet av den nye loven.At en virksomhet underlegges loven, vil innebæreat denne blir satt i stand til å håndtere sikkerhets-gradert informasjon, herunder detaljert trusselin-formasjon fra myndighetene. Økt kunnskap om,og forståelse for det til enhver tid gjeldende trus-selbildet, vil sette den enkelte virksomhet bedre istand til å kunne gjøre gode vurderinger og iverk-sette de riktige sikkerhetstiltakene, både ut fra etbedriftsøkonomisk og samfunnsøkonomisk per-spektiv. I tillegg til generell informasjon om trus-selbildet, vil virksomheter underlagt loven kunnefå konkrete råd og veiledning fra sikkerhetsmyn-dighetene om hvordan det forebyggende sikker-hetsarbeidet bør innrettes for å få størst muligeffekt.

For sikkerhetsmyndighetene vil konsekven-sene ved at flere virksomheter underlegges loven,kunne medføre økt ressursbruk blant annet knyt-tet til rådgivning, oppfølging og kontroll med virk-somhetene. På den andre siden vil informasjonstil-fanget knyttet til uønskede hendelser kunne øke,noe som igjen vil sette sikkerhetsmyndighetene ibedre stand til å forstå trusselbildet og iverksettenødvendige tiltak for å forebygge at slike hendel-ser skjer. Gode mekanismer for informasjonsde-ling, eksempelvis gjennom hendelsesrapporte-ring, vil også gjøre at myndighetene får bedreoversikt over sikkerhetsrelevante hendelser slikat informasjon om dette kan deles med andreutsatte aktører.

For samfunnet vil konsekvensene være posi-tive ut fra et sikkerhetsmessig perspektiv. Økt sik-kerhetsnivå i virksomheter som har en sentralrolle i understøttelsen av grunnleggende nasjo-nale funksjoner, vil gjøre samfunnet som helhetmer robust mot tilsiktede uønskede hendelser.Spesielt i en potensiell nasjonal krise, vil et gene-relt høyere sikkerhetsnivå ha stor betydning fornasjonens evne til å håndtere krisen.

Samlet sett vurderer utvalget at de positivevirkningene for samfunnet ved økt sikkerhet fornasjonen ved en utvidelse av virkeområdet, viloverstige summen av kostnadsvirkningene forsamfunnet. Utvalgets foreslår derfor å utvidelovens virkeområde til beskyttelse av grunnleg-gende nasjonale funksjoner. Forslaget innebærer,slik utvalget ser det, en begrenset men nødvendigutvidelse av virkeområdet sett hen til gjeldendesikkerhetslov. Loven vil ikke være en bred sam-

funnssikkerhetslov, men skal samtidig heller ikkevære en ren statssikkerhetslov. I likhet med nystraffelov kapittel 17 og endringene i utlendingslo-ven, er utvidelsen av lovens virkeområde ment åreflektere den generelle samfunnsutviklingensom har funnet sted siden ikrafttredelsen av gjel-dende sikkerhetslov.

6.7.2 Grunnleggende nasjonale funksjoner

Utgangspunktet for å beslutte hva som utgjørgrunnleggende nasjonale funksjoner, er statensansvar for å ivareta Norges suverenitet, territori-elle integritet og demokratiske styreform. Dissegrunnleggende interessene er igjen avhengige avat visse funksjoner kan opprettholdes i hele kri-sespekteret. En funksjon er å anse som grunnleg-gende for Norge dersom bortfall av denne får kon-sekvenser som truer de overordnede interessene.

Utvalget har valgt å kategorisere de overord-nede interessene som de grunnleggende nasjonalefunksjoner skal ivareta i fem underkategorier. Detre første underkategoriene er identiske med opp-regningen av de tre første grunnleggende nasjo-nale interesser i straffeloven § 121 (bokstav a-c).Praksis vedrørende forståelsen av de aktuelleinteressene i straffeloven, vil således også habetydning som tolkningsfaktor for de motsva-rende interessene i den nye sikkerhetsloven.

De øverste statsorganers virksomhet, sikkerheteller handlefrihet. Med øverste statsorganermenes i første rekke regjeringen, Stortinget ogHøyesterett. Også de enkelte departementene,særlig i kraft av rollen som regjeringens sekretari-ater, vil inngå i de øverste statsorganenes virk-somhet. At de øverste statsorganene kan opprett-holde sin virksomhet er helt avgjørende for åkunne ivareta Norges interesser, både nasjonaltog i en sikkerhetspolitisk kontekst.

Forsvars-, sikkerhets- og beredskapsmessige for-hold utgjør blant annet det som tradisjonelt eromtalt som beskyttelsen av rikets sikkerhet over-for en annen stat eller statssikkerhet i snever for-stand. Forsvarets operative evne er i siste instanshelt avgjørende for opprettholdelse av Norgeseksistens, suverenitet og integritet.

Krisehåndtering og beredskap vil også natur-lig falle inn under denne kategorien. I tråd medansvars- og nærhetsprinsippene skal kriser orga-nisatorisk håndteres av den organisasjon som haransvar i en normalsituasjon og på lavest muligenivå. Samtidig vil det for kriser av større omfangvære behov for en sentralisert koordinering ogstyring av kriseressursene.


Under sikkerhetsmessige forhold inngår blantannet etterretnings- og sikkerhetstjenestenesvirksomhet, det vil si virksomheten til blant annetPST, Etterretningstjenesten og NSM.

Med forholdet til andre stater menes for det før-ste nasjonens evne til overholdelse av bi- og multi-laterale forpliktelser overfor allierte eller andresamarbeidspartnere. Et innlysende eksempel idenne forbindelse er Norges forpliktelser i NATO.Også Norges evne til å overholde sin forpliktelsetil å gi ambassader og residenser den beskyttel-sen Wien-konvensjonen 18. april 1964 om diplo-matisk samkvem krever, vil ha betydning for for-holdet til andre stater.

Forholdet til andre stater kan også skades der-som innsatsfaktorer som er helt nødvendige foren annens stats opprettholdelse av sine grunnleg-gende funksjoner, rammes. Et eksempel på slikeinnsatsfaktorer kan være norske gassleveransertil Europa. Dersom disse leveransene kuttes ellersterkt reduseres, vil dette i en gitt situasjon ogeventuelt sammenholdt med andre hendelser,kunne ha stor innvirkning på den aktuelle nasjo-nens opprettholdelse av sine grunnleggende funk-sjoner. En slik hendelse vil også kunne skade for-holdet mellom Norge og den berørte nasjonen.

Landets økonomiske trygghet og velferd er slikutvalget ser det en grunnleggende forutsetningfor Norges evne til å ivareta egen sikkerhet. Etanslag som rammer virksomheter som har en heltsentral rolle for ivaretakelsen av landets økono-miske trygghet og velferd, vil ikke bare ha storsymbolverdi. Det vil i ytterste konsekvens kunneha en vesentlig negativ innvirkning på nasjonensevne til å opprettholde økonomisk trygghet ogvelferd.

Norsk petroleumsvirksomhet er av sentralbetydning for landets økonomiske trygghet ogvelferd. Norges petroleumsforvaltning skal skapestørst mulige verdier for samfunnet, og inntekteneskal komme staten og dermed hele samfunnet tilgode. I 2015 sto petroleumssektoren for 15 pro-sent av Norges bruttonasjonalprodukt og foromtrent 20 prosent av statens totale inntekter. I til-legg sto petroleumssektoren for 39 prosent avnorsk eksport. Hvorvidt virksomheter i petrole-umssektoren er av en slik betydning at de børunderlegges loven, vil måtte avgjøres konkret itråd med den systematikken utvalget anbefaler ikapittel 7.7.1.

Et annet eksempel på funksjoner av sentralbetydning for økonomisk trygghet og velferd kanvære sentralbankvirksomheten. Norges Bankutfører viktige samfunnsoppgaver og forvalterstore verdier på vegne av fellesskapet. Gjennom

sentralbankvirksomheten skal Norges Bankfremme stabilitet i den norske økonomien. Nor-ges Bank opplyser også selv om at deres oppgjørs-system (NBO) skal sikres i henhold til kravene forsamfunnskritisk infrastruktur. Andre aktører somkan tenkes å ha en slik betydning, kan være en delav de større bankenes betalingssystemer foreksempel.

Et av siktemålene med kategorien befolknin-gens grunnleggende sikkerhet og overlevelse, er åfange opp beskyttelse mot terrorhandlinger av etvisst omfang eller med en viss målrettethet, somvil innebære en trussel mot grunnleggende nasjo-nale funksjoner og således også nasjonens mestgrunnleggende interesser, uavhengig av om ter-rorhandlingen er rettet mot et objekt eller eninfrastruktur som er omfattet av loven eller ikke.Ethvert enkeltstående terrorangrep vil ikke nød-vendigvis være å anse som et angrep av en slikkarakter. Det vil være en glidende, og i mangesammenhenger uklar grense mellom terrorhand-linger og annen alvorlig kriminalitet.

Loven gjelder ikke dermed for enhver virk-somhet som disponerer eiendom eller annet somkan bli gjenstand for terrorhandlinger. Det lovenimidlertid vil bidra til er offentlige myndighetersvirksomhet for å motvirke sannsynligheten for, ogkonsekvensene av, terrorhandlinger i samfunnet.Blant annet bør myndigheters arbeid mot terror ienkelte tilfeller omfattes av reglene om informa-sjonssikkerhet, selv om myndigheten ikke påannen måte forvalter virksomhet som er av kritiskbetydning for grunnleggende nasjonale funksjo-ner. I utgangspunktet innebærer dette at loven vilgjelde for alle forvaltningsorganer som oppfyllervilkårene i § 1-2.

Av dette alternativet omfattes også virksomhe-ter som forvalter objekter eller infrastruktur sommå anses som særlig utsatte for terrorhandlinger.Et eksempel her kan være sentrale knutepunkterfor lufttrafikken eller for styringen av denne.

For å sikre befolkningens grunnleggendebehov for overlevelse vil de regionale helseforeta-kene, gjennom sitt ansvar for å sikre spesialisthel-setjenester til regionens befolkning, ha en heltavgjørende betydning i en krisesituasjon. NorskHelsenett vil i denne forbindelse også være av storbetydning.

Enkelte sentrale vannverk vil etter omstendig-hetene kunne være av en slik betydning forbefolkningens sikkerhet og overlevelse at de børpålegges særlige krav til sikkerhetstiltak etterloven.

Loven skal være sektorovergripende og vilsåledes gjelde for virksomheter i alle samfunns-


sektorer som oppfyller vilkårene i loven. Gjensi-dige avhengigheter på tvers av sektorer inne-bærer også at en virksomhet i en samfunnssektorkan bli ansett for å være av en slik betydning foren grunnleggende nasjonal funksjon i en annensamfunnssektor, at virksomheten må omfattes avloven.

Hvilke samfunnsfunksjoner som vil være åanse som grunnleggende nasjonale funksjoner, vilslik utvalget ser det, kunne endres i takt med dengenerelle samfunnsutviklingen. Selv om ordlydeni det nye lovforslaget ikke er identisk med nystraffelov kapittel 17 og utlendingsloven, vil rett-spraksis vedrørende forståelsen av begrepetgrunnleggende nasjonale interesser også ha en vissbetydning for hvordan grunnleggende nasjonalefunksjoner skal forstås og praktiseres.

Den nærmere avgrensningen av hva som vilutgjøre grunnleggende nasjonale funksjoner i med-hold av den nye sikkerhetsloven, vil slik utvalgetser det måtte avgjøres konkret basert på en hel-hetlig vurdering der både de sektorovergripendeog sektorspesifikke perspektivene ivaretas. For atloven skal få den ønskede effekt vil det væreavgjørende at det etableres et system for å kunneidentifisere grunnleggende nasjonale funksjonerog hvilke virksomheter som er av kritisk betyd-ning for disse. Etter utvalgets syn er det en svak-het ved dagens regelverk at det ikke gis nærmereføringer for en slik systematikk. Utvalgets forslagtil systematikk er nærmere beskrevet i kapittel7.7.1.

6.7.3 Relasjonen mellom grunnleggende nasjonale funksjoner og kritiske samfunnsfunksjoner

DSB har også en funksjonsbasert tilnærming tilsitt arbeid med samfunnssikkerhet og beredskap,og benytter i denne sammenheng begrepsappara-tet kritiske samfunnsfunksjoner. DSB har i med-hold av KIKS-metodikken identifisert 18 kritiskesamfunnsfunksjoner.47 Denne metodikken byggerpå en overordnet samfunnsmessig vurdering avhvordan bortfall av en samfunnsfunksjon vilpåvirke befolkningens sikkerhet – uavhengig avhvordan dette bortfallet skjer (all-hazards). Meto-dikken tar også høyde for funksjoner med regio-nal og lokal betydning.

I motsetning til KIKS-metodikken, fokusererutvalgets forslag til ny lov utelukkende på de funk-sjoner og verdier som er av nasjonal betydning, og

tar således ikke sikte på å beskytte funksjonersom kun har regional eller lokal betydning. Det vilimidlertid kunne tenkes hendelser av regionaleller lokal karakter, som på grunn av sin alvorlig-hetsgrad eller konsekvenser for sentrale sam-funnsinstitusjoner, vil måtte anses å være av nasjo-nal betydning. I tillegg er utvalgets lovforslagavgrenset til beskyttelse av funksjonene mot tilsik-tede uønskede hendelser.

En rekke av de samfunnsfunksjonene somidentifiseres som kritiske i henhold til KIKS-meto-dikken, vil imidlertid også være å anse som grunn-leggende nasjonale funksjoner i en ny sikkerhets-lov. Samtidig vil det også være funksjoner som eridentifisert som kritiske i henhold til DSBs termi-nologi, som ikke vil anses som grunnleggendenasjonale funksjoner etter den nye loven.

Grunnleggende nasjonale funksjoner kan såle-des ses på som en delmengde av kritiske sam-funnsfunksjoner i henhold til KIKS-metodikken:

Hvilke konkrete funksjoner som vil være åanse som grunnleggende nasjonale funksjoner, vilsom nevnt tidligere måtte vurderes konkretavhengig av både hvilke verdier som legges tilgrunn for vurderingen og hvilke kriterier som leg-ges til grunn for kritikalitet.

Eksempelvis vil samfunnsfunksjonen Overvåk-ning av naturfarer være en funksjon som fallerutenfor sikkerhetsloven, fordi den utelukkende erinnrettet mot uønskede utilsiktede hendelser. Etannet eksempel kan være samfunnsfunksjonenVern av kulturelle verdier, som er definert som kri-

47 DSB, Samfunnets kritiske funksjoner. Hvilken funksjonsevnemå samfunnet opprettholde til enhver tid?, 2015.

Figur 6.2 Relasjonen mellom kritiske samfunns-funksjoner og grunnleggende nasjonale funksjoner.


Grunnleggende nasjonale funksjoner


tisk av DSB. Dette vil ikke være å anse som engrunnleggende nasjonal funksjon etter den nyesikkerhetsloven.

6.7.4 Tilsiktede uønskede hendelser og utilsiktede uønskede hendelser

Utvalget har vurdert hvorvidt den nye loven børha som siktemål å beskytte mot alle typer trusler,både tilsiktede og utilsiktede (en såkalt allhazards-tilnærming), eller om den burde avgren-ses til de tilsiktede uønskede hendelsene. Enrekke aktører utvalget har hørt gjennom sittarbeid, har tatt til orde for en all hazards-tilnær-ming. En fordel med en slik tilnærming er at detvil kunne gi en mer helhetlig tilnærming til fore-byggende sikkerhet, uavhengig av om risikoenknytter seg til en tilsiktet eller utilsiktet hendelse.En slik tilnærming vil også kunne redusere risi-koen for målkonflikt, hvor krav til sikkerhetstiltakfor å forebygge tilsiktede hendelser potensielt vilvære i konflikt med krav til sikkerhetstiltak forutilsiktede hendelser.

Når utvalget likevel har kommet til at lovensvirkeområde bør avgrenses til beskyttelse mot til-siktede uønskede hendelser skyldes dette flere for-hold. For det første vil risikovurderinger og sik-kerhetstiltak, slik utvalget ser det, kunne væreannerledes for henholdsvis tilsiktede og utilsik-tede hendelser. Eksempelvis vil en tenkende trus-selaktør kunne tilpasse seg etablerte sikkerhets-tiltak ved valg av metode for å forsøke og utnyttesårbarheter. Dette stiller andre krav til hvordanman innretter de aktuelle sikkerhetstiltakene. Fordet andre vil en all hazards-tilnærming for en nylov innebære en dobbeltregulering av beskyttelsemot utilsiktede hendelser, som sannsynligvis vilkunne medføre behov for justeringer i annetregelverk. Et tredje forhold er at utvalgets mandatfra oppdragsgiver er klart avgrenset til å foreslå etnytt lovgrunnlag for å beskytte mot tilsiktede uøn-skede hendelser.

I tråd med arbeidsgruppen som evaluerte sik-kerhetsloven, ser utvalget ingen grunn til åavgrense loven til utelukkende beskyttelse motsåkalt sikkerhetstruende virksomhet (terrorhandlin-ger, spionasje og sabotasje), slik som dagens sik-kerhetslov gjør. Det tas sikte på beskyttelse motde tilsiktede uønskede hendelsene som kanutgjøre en trussel mot grunnleggende nasjonalefunksjoner. Denne avgrensningen vil i seg selvvære styrende for hvilke typer tilsiktede hendel-ser som er aktuelle. Terrorhandlinger, ulovligetterretningsvirksomhet og sabotasje, vil være demest aktuelle formene for tilsiktede uønskede

hendelser. Men det kan også tenkes andre formerfor tilsiktede uønskede hendelser, herunderenkelte typer organisert kriminalitet, som vilkunne være så alvorlige at de rammer grunnleg-gende nasjonale funksjoner.

Selv om utvalget ikke foreslår en all hazards-tilnærming i den nye loven, vil utvalget presisereviktigheten av at virksomhetene har en helhetligtilnærming til hvordan risiko skal håndteres nårdet kommer til operasjonaliseringene av de kravsom stilles til virksomhetene, både etter en ny sik-kerhetslov og etter øvrig regelverk som er rele-vant for den enkelte virksomhet.

6.7.5 Hvilke virksomheter vil omfattes av den nye loven

Utvidelsen av lovens virkeområde, vil få betydningfor hvilke virksomheter som omfattes av den nyeloven. Utvalget legger til grunn at de virksomhe-ter som allerede i dag er omfattet av sikkerhetslo-ven, enten i kraft av å være forvaltningsorgan ellerved enkeltvedtak i medhold av gjeldende lov, ogsåvil være omfattet av den nye loven.

Som nevnt under kapittel 6.7.1 foreslår utval-get at lovens virkeområde innrettes slik at enhvervirksomhet, offentlig eller privat, som har råderettover informasjon, informasjonssystemer, objektereller infrastruktur, eller som driver aktivitet, som erav kritisk betydning for grunnleggende nasjonalefunksjoner, omfattes av loven.

En kartlegging og identifisering av hvilkefunksjoner som er grunnleggende i et nasjonaltperspektiv, er avgjørende for å kunne identifiserehvilke virksomheter som har en sentral rolle iunderstøttelsen av disse funksjonene. Slik under-støttelse kan i praksis skje på flere måter.

Det kan for det første knytte seg til informa-sjon og informasjonssystemer, hvor det kan haalvorlige skadefølger for de grunnleggende funk-sjonene dersom informasjonen blir kjent for uved-kommende. Videre kan understøttelsen knytteseg til objekter eller infrastruktur, hvor opprett-holdelse av funksjonalitet vil være av kritisk betyd-ning for grunnleggende nasjonale funksjoner. Detkan også være annen aktivitet, som verken knyt-ter seg til konkret informasjon eller konkreteobjekter eller infrastruktur.

Virksomheter som tilvirker, eller har behov fortilgang til, gradert informasjon, må etter utvalgetsoppfatning omfattes av den nye loven. Utvalgethar gjennom sitt arbeid fått inntrykk av at sam-handlingen mellom myndigheter som PST, NSMog Etterretningstjenesten og det private nærings-liv, er utfordrende med dagens regelverk. Etter-


spørselen etter graderte og detaljerte trusselvur-deringer er stor blant private aktører som forval-ter infrastruktur og objekter, eller på annen måtedriver aktivitet av kritisk betydning for grunnleg-gende nasjonale funksjoner. All den tid disse virk-somhetene ikke er underlagt krav til hvordan slikinformasjon skal håndteres, vil imidlertid ikkemyndighetene kunne dele slik informasjon uten åsamtidig bryte dagens sikkerhetslov. Det stilleseksempelvis store forventninger til at PST skaldele informasjon i forbindelse med sitt forebyg-gende sikkerhetsarbeid. PST har overfor utvalgetfremholdt at det kan være nødvendig å dele gra-dert informasjon for å sikre at disse selskapeneiverksetter nødvendige forebyggende tiltak ellerfår forståelse for den risikoen de er utsatt for.

Utvalget mener videre at virksomheter someier eller forvalter infrastruktur eller objekter avkritisk betydning for de grunnleggende nasjonalefunksjonene, må omfattes av en ny sikkerhetslov.Hvilke objekter eller infrastruktur som har en slikbetydning vil måtte avgjøres konkret. Utvalgetsforslag til systematikk for identifisering og utvel-gelse av objekter og infrastruktur av kritisk betyd-ning er nærmere omtalt i kapittel 9.

Utvalget mener videre at virksomheter somhar en rolle i Nasjonal beredskapssystem (NBS),enten i Sivilt beredskapssystem (SBS) ellerBeredskapssystemet for Forsvaret (BFF), bør vur-deres underlagt en ny sikkerhetslov. NBS er i segselv sikkerhetsgradert, og det er en svakhet veddagens system at ikke alle aktører som har enrolle i NBS, kan håndtere gradert informasjon.Det er heller ikke etablert kommunikasjonslinjermed alle relevante aktører i beredskapskjedenhvor gradert informasjon kan kommuniseres.Dette vanskeliggjør beredskapsarbeidet og med-fører risiko for at sentrale aktører ikke sitter medet korrekt eller fullstendig situasjonsbilde i en kri-sesituasjon.

Forsvaret er avhengig av sivil understøttelsefor å kunne utføre sine oppgaver. Den sivile støt-ten til Forsvaret er i dag i hovedsak basert påkommersielle ordninger og samarbeid med sivilsektor gjennom leveranse- og beredskapsavtaler.Ved omfattende eller langvarige sikkerhetspoli-tiske kriser vil det kunne være aktuelt å anvendeberedskapslovgivningen for å sikre nødvendigstøtte til Forsvaret. En effektiv understøttelse avForsvaret forutsetter, slik utvalget ser det, at deaktører som har en sentral rolle i dette også harinnsikt i Forsvarets behov i gitte scenarioer. Dettevil ofte være sikkerhetsgradert informasjon, hvorinformasjonsdeling forutsetter at aktørene er satt istand til å forvalte denne informasjonen på en for-

svarlig måte, etter fastsatte krav. Utvalget mener,som et generelt utgangspunkt, at det bør vurderesom aktører med en sentral rolle i Totalforsvaret,gjennom sin understøttelse av Forsvarets virk-somhet, skal underlegges den nye loven. Dette vilbåde lette samhandlingen mellom Forsvaret ogsivile aktører, og gi myndighetene mulighet til åstille sikkerhetsmessige krav overfor disse virk-somhetene ut over rent kontraktuelle forpliktel-ser.

Forsvaret skal i henhold til Instruks om sik-ring og beskyttelse av objekter, beslutte hvilkesivile og militære objekter som skal utpekes somnøkkelpunkter, og hvilke av disse det skal forbere-des objektsikring av. I vurderingen av sivile objek-ter skal Forsvaret rådføre seg og på annen måtesamarbeide med berørte sivile myndigheter, her-under politiet, fylkesmennene, NSM og DSB. Med«nøkkelpunkter» menes i denne sammenhengsivile og militære objekter (og personer) som erav avgjørende betydning for forsvarsevnen og detmilitære forsvar i krig, og som er å anse som lov-lige militære mål i krig. Forsvarets ansvar for nøk-kelpunkter bygger på et selvstendig hjemmels-grunnlag, og er i utgangspunktet uavhengig avobjektsikkerhetsregelverket i dagens sikkerhets-lov. Utvalget mener imidlertid at virksomhetersom har bestemmelsesrett over sivile objektersom er utpekt som nøkkelpunkter av Forsvaret,bør omfattes av den nye loven.

Den nærmere avgrensningen av hvilke virk-somheter som vil omfattes av den nye loven, vilmåtte avgjøres konkret. På samme måte som foridentifisering av grunnleggende nasjonale funk-sjoner vil det være avgjørende at det etableres etsystem for å kunne identifisere slike virksomhe-ter. Utvalgets forslag til systematikk er nærmerebeskrevet i kapittel 7.7.1.

6.7.6 Kompensatoriske ordninger

I enkelte tilfeller vil det ut fra samfunnsøkono-miske betraktninger kunne være behov for åpålegge omfattende sikkerhetstiltak for en spesi-fikk virksomhet eller innenfor en hel samfunns-sektor. Et eksempel kan være en konkret virksom-het som er av helt avgjørende betydning for eneller flere grunnleggende nasjonale funksjoner.Dersom slike pålegg medfører uforholdsmessigstor belastning for den aktuelle virksomhet ellersektor sett i forhold til den egenverdi tiltakene harfor virksomheten/sektoren, kan det være behovfor å vurdere kompensatoriske tiltak.

Som nevnt i kapittel 4.5, har staten et bredtspekter av virkemidler som kan benyttes for å


oppnå god nasjonal sikkerhet, hvor også økono-miske insentiver inngår. Utvalget ser det ikke somformålstjenlig å spesifisere eventuelle kompensa-toriske tiltak i loven. Hvis slike pålegg skulle blinødvendig, mener utvalget at dette så langt sommulig bør søkes løst gjennom tett dialog mellom

sikkerhetsmyndighetene, aktuelle sektormyndig-heter og berørte virksomheter. Bruk av økono-miske insentiver, eller andre kompensatoriske til-tak, kan da tenkes å være aktuelle virkemidler forå avbøte en uforholdsmessig stor økonomiskbelastning for den enkelte virksomhet.


Kapittel 7

Ansvar for og utøvelse av forebyggende sikkerhet, samt tilsynsfunksjon

7.1 Innledning

Når det gjelder ansvar og myndighet etter lovener utvalget gitt følgende mandat:

Utvalget skal videre foreta en vurdering avhvorvidt myndighetenes (herunder NSMs)oppgaver og ansvar skal reguleres i lovgrunn-laget/lovgrunnlagene, og på hvilken måtedette eventuelt skal gjøres.

En sentral utfordring med praktiseringen avdagens sikkerhetslov har vært operasjonaliserin-gen av forholdet mellom ansvars- og samord-ningsprinsippet, som er styrende prinsipper forarbeidet med forebyggende sikkerhet og bered-skap.

En annen utfordring er knyttet til mangelfullformalisering og/eller praktisering av samhand-lingen mellom tilsynsregimet etter sikkerhetslo-ven og de ulike tilsynsregimene etter annet rele-vant sektorregelverk.

Utvalgets målsetting med reguleringen avansvars-, myndighets- og tilsynsansvar etter lovener å legge til rette for en god samhandling mellomde sentrale aktørene i forebyggende sikkerhet, påtvers av samfunnssektorene. En slik samhandlinger helt avgjørende for at det forebyggende sikker-hetsarbeidet i Norge skal få full effekt, slik utval-get ser det.

En annen målsetting har vært å lage et helhet-lig og robust regelverk for forebyggende sikker-het, hvor hensynet til kostnadseffektive løsningerstår sentralt. Fra myndighetenes side er det nød-vendig å sikre at virksomheter av kritisk betyd-ning for grunnleggende nasjonale funksjoner, haret forsvarlig sikkerhetsnivå. Hvordan et slikt sik-kerhetsnivå oppnås, vil imidlertid kunne varieremellom de ulike virksomhetene og sektorene.

En av de mest sentrale problemstillinger somen regulering skal omfatte, er ansvarsfordelingenmellom ulike aktører. Mange av de sentrale aktø-rene i forebyggende nasjonal sikkerhet er omtalt ikapittel 3. Det er viktig å tydeliggjøre hvilke plik-ter og rettigheter som følger ulike myndigheter,ulike statlige virksomheter og private aktører. Iforbindelse med regulering av forebyggende sik-kerhet for grunnleggende nasjonale funksjoner,vil graden av sektorautonomi sett opp mot beho-vet for en helhetlig nasjonal sikkerhetsstyring ståsentralt.

En grunnleggende problemstilling i dennesammenheng er fordelingen av ansvar og myndig-het for å identifisere grunnleggende nasjonalefunksjoner, og for å utpeke virksomheter som erav kritisk betydning for slike funksjoner. Det erogså et spørsmål om det bør etableres mekanis-mer for å kunne overprøve de vedtak som ulikemyndigheter fatter.

En annen grunnleggende problemstilling erhvordan tilsynsfunksjonen etter loven bør innret-tes for å både kunne ivareta den enkelte sam-funnssektors særegne behov og samtidig ivaretabehovet for en helhetlig og sektorovergripende til-nærming til forebyggende sikkerhet. I relasjon tildenne problemstillinger er også spørsmål omhvilke myndighetsaktører som bør kunne stillekrav til, og komme med pålegg overfor, virksom-heter underlagt loven. Skal noen, og i så fall hvem,ha myndighet til å påpeke behov for endringer isikkerhetsnivå, og hvordan skal tiltak på tvers avsamfunnssektorer og virksomheter koordineresslik at tiltak blir iverksatt der det er mest samfunn-søkonomisk lønnsomt.

En forutsetning for en tilfredsstillende gjen-nomføring av forebyggende sikkerhet for å sikregrunnleggende nasjonale funksjoner, er at det eta-bleres et system hvor roller, ansvar og plikter eravklart og tilstrekkelig definert.



7.2.1 Overordnet ansvar for forebyggende sikkerhet

Ansvarsforholdene etter sikkerhetsloven er regu-lert i §§ 4 og 5.

Det følger av loven § 4 at departementet har detoverordnede ansvaret for forebyggende sikker-hetstjeneste. I Kronprinsregentens resolusjon av4. juli 2003 fordeles det overordnede ansvaret forforebyggende sikkerhetstjeneste mellom Justis-og beredskapsdepartementet og Forsvarsdeparte-mentet. Justis- og beredskapsministeren har etoverordet ansvar i sivil sektor, mens forsvarsmi-nisteren har det overordnede ansvaret i militærsektor. Nasjonal sikkerhetsmyndighet (NSM)skal i henhold til samme resolusjon ivareta de utø-vende funksjonene på vegne av henholdsvis justis-og beredskapsministeren og forsvarsministeren.

7.2.2 Den enkelte virksomhets plikter

Det følger videre av loven § 5 at enhver virksom-het plikter å utøve forebyggende sikkerhetstje-neste i henhold til bestemmelsene gitt i, eller imedhold av loven. Med virksomhet menes i sik-kerhetslovens forstand et forvaltningsorgan ellerannet rettssubjekt som loven gjelder for, jf. sikker-hetsloven § 3 første ledd nr. 6.

Virksomheten plikter å utarbeide en interninstruks for å ivareta sikkerheten, sørge for atvirksomhetens ansatte og engasjerte får tilstrek-kelig opplæring i sikkerhetsspørsmål, samtregelmessig kontrollere sikkerhetstilstanden ivirksomheten, jf. § 5 andre ledd bokstav a-c.

Ansvaret for utøvelse av forebyggende sikker-hetstjeneste i den enkelte virksomhet er et lede-ransvar, jf. § 5 tredje ledd. Virksomhetens lederkan etter samme bestemmelse delegere utøvendefunksjoner internt i virksomheten. Dersom dettegjøres, skal det dokumenteres skriftlig.

Det følger videre av fjerde ledd at det påhvileren plikt for enhver ansatt eller engasjert personelltil å ivareta sikkerhetsmessige hensyn, og til åbidra til forebyggende sikkerhetstjeneste gjen-nom sitt arbeid eller oppdrag for virksomheten.

Sikkerhetsadministrasjon er den administra-tive og organisatoriske styring som ligger tilgrunn for forebyggende sikkerhetstjeneste, og erregulert i gjeldende sikkerhetslov § 5 om denenkelte virksomhets plikter. I tillegg er det gittutfyllende bestemmelser om sikkerhetsadminis-trasjon i sikkerhetsadministrasjonsforskriften.1

I forskriften § 1-2 nr. 1 er sikkerhetsadminis-trasjon definert som «internkontroll ved gjennom-føring av systematiske tiltak for å sikre at virksom-hetens aktiviteter planlegges, organiseres, utføresog revideres i samsvar med krav fastsatt i og imedhold av sikkerhetsloven». Forskriften gir nær-mere bestemmelser om blant annet ansvar ogorganisering av forebyggende sikkerhetstjeneste,risikohåndtering og sikkerhetsrevisjon, samtreaksjon ved sikkerhetstruende hendelser.

7.2.3 Vedtaksmyndighet for Kongen i statsråd og varslingsplikt

Regjeringen har i Prop. 97 L (2015–2016)Endringer i sikkerhetsloven, foreslått en nybestemmelse §5a, om varslingsplikt og vedtaks-myndighet for Kongen i statsråd. Bestemmelsenpålegger virksomheter underlagt sikkerhetslovenen varslingsplikt til departementet ved kunnskapom risiko for at sikkerhetstruende virksomhet bliretablert eller gjennomført. Bestemmelsen girogså Kongen i statsråd myndighet til å fatte ved-tak for å hindre at slik virksomhet blir etablerteller gjennomført – uten hensyn til begrensnin-gene i forvaltningsloven § 35 – og uavhengig avom aktiviteten er tillatt etter annen lov eller annetvedtak.

Formålet med bestemmelsen er ifølge forar-beidene, å etablere en hjemmel i loven for å kunneforebygge mer frittstående høyteknologisk virk-somhet som kan innebære en fare for rikets selv-stendighet og sikkerhet og andre vitale nasjonalesikkerhetsinteresser, som ikke spesifikt er knyttettil sikkerhetsgradert informasjon eller skjer-mingsverdige objekter.

Bestemmelsen lyder:

§ 5 a Varslingsplikt og myndighet til å fattevedtak ved risiko for sikkerhetstruendevirksomhet

En virksomhet som får kunnskap om enplanlagt eller pågående aktivitet som kan med-føre en ikke ubetydelig risiko for at sikkerhets-truende virksomhet blir etablert eller gjennom-ført, skal varsle overordnet departement omdette. Dersom den varslingspliktige virksom-heten ikke er underlagt noe departement, skalvarselet gis til Forsvarsdepartementet. Vars-lingsplikten gjelder uten hinder av lovbestemttaushetsplikt. Ved behandling av varsel etterførste og andre punktum bør det innhentes råd-

1 Forskrift 29. juni 2001 nr. 723 om sikkerhetsadministrasjon(sikkerhetsadministrasjonsforskriften).


givende uttalelser fra relevante organer medkompetanse innenfor det aktuelle fagområdet.

Kongen i statsråd kan fatte nødvendige ved-tak for å hindre en planlagt eller pågående akti-vitet som nevnt i første ledd første punktum. Etslikt vedtak kan fattes uten hensyn til begrens-ningene i forvaltningsloven § 35, og uavhengigav om aktiviteten er tillatt etter annen lov ellerannet vedtak. Vedtak etter første punktum ersærlig tvangsgrunnlag etter tvangsfullbyrdel-sesloven kapittel 13.

Kongen i statsråd kan gi forskrift om vars-lingsplikten i første ledd og om hvilke vedtaksom kan fattes etter andre ledd.

I de særlige merknadene til vedtaksmyndigheten ibestemmelsens annet ledd skriver departementet:

Andre ledd første punktum gir en hjemmel forKongen i statsråd til å fatte nødvendige vedtakfor å hindre en planlagt eller pågående aktivitetsom nevnt i første ledd første punktum. At ved-taket skal være «nødvendig» innebærer at Kon-gen i statsråd ikke skal fatte mer byrdefullevedtak enn det som er påkrevd, og som vurde-res som rimelig i den konkrete saken. Bestem-melsen vil være en sikkerhetsventil, og den for-utsettes benyttet kun i helt spesielle tilfeller.Kompetansen til å fatte vedtak er lagt til Kon-gen i statsråd, og den kan ikke delegeres.Departementet legger til grunn at det vil væretale om et lite antall saker, og at disse sakeneetter sin art vil være alvorlige og spesielle, jf.også formålet med sikkerhetsloven. At kompe-tansen legges til Kongen i statsråd sikrer ateventuelle tiltak som iverksettes, er resultat aven vurdering på høyt nivå, og at de står i etrimelig forhold til den foreliggende risikoen.

I henhold til andre ledd andre punktum kanvedtak etter første punktum for det første fattesuten hensyn til begrensningene i forvaltnings-loven § 35. Bestemmelsen tar høyde for tilfellerder forvaltningen allerede har fattet et vedtak,og det av hensyn til risiko for sikkerhetstru-ende virksomhet anses nødvendig å omgjørevedtaket. Videre slås det i bestemmelsen fast atvedtak etter første punktum også kan fattesuten hensyn til om aktiviteten er tillatt etterannen lov eller annet vedtak. Et vedtak av Kon-gen i statsråd kan derfor i praksis sette til sideen rekke ulike former for vedtak og aktivitetersom i utgangspunktet er tillatt, f.eks. nektegjennomføring eller stille ytterligere vilkår foren byggetillatelse, frekvenstillatelse, ferdsels-

rett, jaktrett, en våpentillatelse eller et privatoppkjøp av en virksomhet.

I andre ledd tredje punktum er det fastsattat vedtak etter første punktum er tvangsgrunn-lag etter tvangsfullbyrdelsesloven kapittel 13.Dette innebærer at vedtak som fattes av Kon-gen i statsråd, kan tvangsfullbyrdes avnamsmyndighetene, uten at man først må fådom for dette. Slik tvangsfullbyrdelse kanf.eks. gå ut på fravikelse av fast eiendom, ved atpersoner eller løsøre fjernes fra eiendommen,etter tvangsfullbyrdelsesloven § 13-11, rett forstaten til å gjennomføre riving eller fjerning avinstallasjoner etter tvangsfullbyrdelsesloven§ 13-14 første ledd eller pålegg om å stille sik-kerhet etter tvangsfullbyrdelsesloven § 13-16første ledd.2

I forarbeidene til lovforslaget har departementetogså vurdert hvordan slike vedtak stiller seg medhensyn til Grunnloven §§ 97 og 10, samt den euro-peiske menneskerettighetskonvensjonens (EMK)tilleggsprotokoll 1 art. 1:

Departementet har vurdert hvordan forslagetom at Kongen i statsråd skal kunne treffe slikevedtak stiller seg med hensyn til Grunnloven§§ 97 og 105 og EMKs tilleggsprotokoll 1 art. 1.Vurderingen er at forslaget er i overensstem-melse med de krav legalitetsprinsippet ogEMKs prinsipp om «rule of law» stiller, og atdet heller ikke foreligger noe brudd på forbu-det mot tilbakevirkende lover. Selv om selvelovforslaget vurderes å være i overensstem-melse med Grunnloven, menneskerettighets-loven og Norges internasjonale forpliktelser,vil dette måtte vurderes konkret også på dettidspunktet et eventuelt vedtak fattes medhjemmel i bestemmelsen.3

Stortinget har, i forbindelse med behandlingen avInnst. 352 L (2015–2016) til Prop. 97 L (2015–2016) om endringer i sikkerhetsloven, vedtattregjeringens forslag om varslingsplikt og myndig-het til å fatte vedtak for Kongen i statsråd.

7.2.4 Utøvelse av forebyggende sikkerhetstjeneste og samarbeid

Et generelt prinsipp for utøvelse av forebyggendesikkerhetstjeneste følger av loven § 6. Ved utø-velse av forebyggende sikkerhetstjeneste skal det

2 Prop. 97 L (2015–2016), pkt. 13.3 Ibid., pkt. 4.4.


ikke nyttes mer inngripende midler og metoderenn det som framstår som nødvendig i forhold tilden aktuelle sikkerhetsrisiko og omstendighetenefor øvrig. Det skal videre tas særlig hensyn til denenkeltes rettssikkerhet ved utøvelse av forebyg-gende sikkerhetstjeneste, jf. bestemmelsen andreledd.

Loven § 7 gir Kongen fullmakt til å fastsettenærmere bestemmelser om nasjonalt, regionaltog lokalt samarbeid om forebyggende sikkerhets-tjeneste. I sikkerhetsadministrasjonsforskriften ersamordningsplikten regulert nærmere i § 2-6,som blant annet regulerer ansvarsforholdene vedstørre prosjekter eller anskaffelser som involverersikkerhetsgradert informasjon, samt ansvarsfor-holdene der to eller flere virksomheter er tilkobletet felles informasjonssystem.

7.3 Nasjonal sikkerhetsmyndighet

7.3.1 Historisk tilbakeblikk

Funksjonen Nasjonal sikkerhetsmyndighet4 tillåforsvarssjefen frem til 1. januar 2003.

I Ot.prp. nr. (1996–97) tok ikke departementetstilling til hvordan forsvarsministerens utøvendesikkerhetsfunksjoner skulle organiseres i fremti-den. Departementet foreslo imidlertid at det fort-satt burde være ett sentralt organ med ansvar forkoordinering av de forebyggende sikkerhetstilta-kene, herunder forestå veiledning, opplæring ogkontroll. Dette organet ble foreslått benevntNasjonal sikkerhetsmyndighet. Organisasjonsmo-dellen den gang innebar at forsvarssjefen var til-delt funksjonen som nasjonal sikkerhetsmyndig-het. Fremtidige endringer i organiseringen avdenne myndigheten ble forespeilet forelagt forStortinget på vanlig måte.

I St.meld. nr. 17 (2001–2002) Samfunnssikker-het – Veien til et mindre sårbart samfunn, uttalteregjeringen at:

Nasjonal sikkerhetsmyndighet skal ha ansvarfor forebyggende sikkerhetstjeneste etter sik-kerhetsloven i sivil og militær sektor. Det vilsikre en helhetlig tilnærming til sikkerhetsar-beidet på tvers av militær og sivil sektor, ogsikre en effektiv utnyttelse av ressurseneinnenfor forebyggende sikkerhet. Etter regje-ringens oppfatning tilsier imidlertid Nasjonalsikkerhetsmyndighets ansvarsområde, særliginnenfor sivil sektor, at Nasjonal sikkerhet-

smyndighet organiseres utenfor Forsvaretsmilitære organisasjon. Det anses i den sam-menheng som naturlig og hensiktsmessig atNasjonal sikkerhetsmyndighet etableres somet direktorat rett under et fagdepartement.Regjeringen går inn for at Nasjonal sikkerhet-smyndighet skal opprettes som et eget direkto-rat administrativt underlagt Forsvarsdeparte-mentet. Videre legges det opp til at Nasjonalsikkerhetsmyndighet skal rapportere (medfaglig ansvarslinje) i militær sektor til Forsvars-departementet, og til Justisdepartementet isivil sektor.5

Ved Justis- og forsvarskomiteens behandling avstortingsmeldingen i Innst. S nr. 9 (2002–2003)merket komiteens flertall seg at Forsvarets over-kommando/sikkerhetsstaben ble foreslått opp-gradert til et eget direktorat. Flertallet påpekte idenne sammenhengen viktigheten av klare kom-mandolinjer og ansvarsforhold. Komiteensmindretall støttet også opprettelsen av direktora-tet, men mente at dette administrativt burdeunderlegges daværende Justisdepartementet (nåJustis- og beredskapsdepartementet).

I St.prp. nr. 1 (2002–2003) viste regjeringen tilforslaget i St.meld. nr. 17 (2001–2002) om atNasjonal sikkerhetsmyndighet skulle opprettessom eget direktoratet administrativt underlagtForsvarsdepartementet. Regjeringen foreslovidere at Nasjonal sikkerhetsmyndighet (NSM)skulle opprettes fra 1. januar 2003:

Stortingsmeldingen ble ikke behandlet i vårse-sjonen 2002, men det foreslås likevel at NSMopprettes som et eget direktorat fra 1. januar2003.

Organiseringen av NSM innebærer at FO/S nedlegges, og at hoveddelen av de ressursersom ligger i FO/S i dag overføres til det nyedirektoratet. Forsvarets militære organisasjonmå imidlertid beholde en egen sikkerhetskom-petanse og kapasitet på sentralt nivå, som skalivareta sikkerhetstjenesten i Forsvaret. Detopprettes derfor en forsvarssjefens sikkerhets-avdeling (FSA). FSA skal være operativ samti-dig med opprettelsen av det nye direktoratet.6

Under komiteens behandling av St.prp. nr. 1hadde komiteen ingen merknader til dette forsla-get.7

4 For en nærmere begrepsavklaring, se kapittel 7.7.3, tekst-boks 7.3.

5 St.meld. nr. 17 (2001–2002), Samfunnssikkerhet, 103. 6 St.prp. nr. 1 (2002–2003), Forsvarsdepartementet, pkt.

3.12.


Fordelingen av ansvaret for Nasjonal sikker-hetsmyndighet ble fulgt opp av regjeringen iKronprinsregentens resolusjon av 4. juli 20038,hvor NSM ble tillagt ansvaret for å ivareta de utø-vende funksjoner for den forebyggende sikker-hetstjenesten på vegne av justisministeren og for-svarsministeren.

7.3.2 Direktoratet Nasjonal sikkerhets-myndighets ansvar og myndighet

Direktoratet NSM har en relativt bred oppga-veportefølje, og sjef NSM rapporterer til både For-svarsdepartementet og Justis- og beredskapsde-partementet. Direktoratets kjerneoppgaver ersom beskrevet ovenfor å ivareta funksjonen Nasjo-nal sikkerhetsmyndighet slik det fremkommer avsikkerhetsloven kapittel 3. Disse og NSMs øvrigeoppgaver er nedfelt i ForsvarsdepartementetsInstruks for sjef nasjonal sikkerhetsmyndighet.Den løpende etatsstyringen av NSM skjer gjen-nom de årlige iverksettingsbrevene (IVB) fra For-svarsdepartementet til NSM og etatsstyringsmø-ter mellom NSM, Forsvarsdepartementet og Jus-tis- og beredskapsdepartementet, og oppdateringav instruksen.

NSMs generelle oppgaver er beskrevet i sik-kerhetsloven § 8. NSM skal i henhold til bestem-melsen koordinere de forebyggende sikkerhetstil-tak etter loven, og kontrollere sikkerhetstilstan-den hos virksomheter underlagt loven. I tillegg erNSM i den samme bestemmelsen utpekt som utø-vende organ i forholdet til andre land og interna-sjonale organisasjoner.

Oppgavene er nærmere detaljert i loven § 9.NSM skal for det første innhente og vurdere infor-masjon av betydning for gjennomføringen av fore-byggende sikkerhetstjeneste. På bakgrunn avdette oppdraget utarbeider NSM hvert år en rap-port om sikkerhetstilstanden. Vurderingene i rap-porten bygger på funn fra virksomheter underlagtsikkerhetsloven og andre utvalgte kilder. Risiko-bildet som beskrives i rapporten er ment å værerelevant for både offentlige og private virksomhe-ter.

NSM skal videre søke internasjonalt samar-beid med tilsvarende tjenester i andre land og irelevante internasjonale organisasjoner når dettetjener norske interesser. I kraft av dette oppdrageter NSM nasjonalt kontaktpunkt opp mot NATO og

mot nasjoner Norge har sikkerhetsmessig samar-beid med.

NSM har videre ansvaret for å føre tilsyn medsikkerhetstilstanden i virksomheter underlagtloven. Hovedformålet med NSMs tilsyn er ifølgedirektoratet selv å avdekke behov for forbedringav virksomhetenes forebyggende sikkerhetstje-neste og å vurdere den enkelte virksomhets sik-kerhetstilstand. NSMs tilsyn gjennomføres somstyringssystemrevisjon, med utgangspunkt i stan-darden NS-EN ISO 19011, understøttet av fagrevi-sjoner.

NSM skal også bidra til at sikkerhetstiltak utvi-kles, herunder iverksette forskning og utviklingpå områder av betydning for forebyggende sikker-het. Som en del av dette arbeidet bidrar NSMblant annet inn i et forsknings- og utdanningssen-ter for informasjonssikkerhet – Center for Cyberand Information Security. Dette er et samarbeidsom inkluderer fire høgskoler, NSM, Politiets sik-kerhetstjeneste (PST), Politidirektoratet (POD),Oslo politidistrikt, samt en rekke andre offentligeog private aktører. Målet for samarbeidet er å eta-blere en av Europas største akademiske faggrup-per innen informasjonssikkerhet.

NSM har også i sin oppgaveportefølje å giinformasjon, råd og veiledning til virksomheterunderlagt sikkerhetsloven, og har i kraft av detteansvaret utarbeidet en rekke veiledninger, blantannet innenfor objektsikkerhet, informasjonssik-kerhet og systemteknisk sikkerhet. I tillegg tilutarbeidelse av skriftlige veiledninger, skal NSMogså gi konkrete råd og veiledning til virksomhe-ter underlagt loven på de fagområdene loven dek-ker. Aktører utvalget har vært i kontakt med gjen-nom sitt arbeid, etterlyser imidlertid et NSM somer enda mer på tilbudssiden når det gjelder sinrådgivningsvirksomhet. Det kan synes som omNSM er tilbakeholdne med å gi konkrete råd ogveiledninger overfor virksomheter som også er til-synsobjekter.

I tillegg til de ovenfor beskrevne oppgaver, erNSM tillagt en rekke oppgaver på de enkelte fag-områdene som er regulert i loven, herunder infor-masjonssikkerhet, personellsikkerhet, objektsik-kerhet og sikkerhetsgraderte anskaffelser. I denvidere fremstillingen blir disse oppgavene omtaltnærmere der de tematisk sett hører hjemme.

NSM skal understøtte Justis- og beredskaps-departementet og Forsvarsdepartementet på IKT-sikkerhetsområdet i form av råd og veiledning, oggjennom å identifisere og foreslå nasjonale tiltakog krav innenfor IKT-sikkerhet. Denne oppgavenstrekker seg ut over IKT-sikkerhet knyttet tilbehandling av sikkerhetsgradert informasjon.

7 Budsjett-Innst. S. nr. 7 (2002–2003), Innstilling fra forsvars-komiteen om bevilgninger på statsbudsjettet for 2003 ved-kommende Forsvarsdepartementet mv.

8 Kronprinsreg.res. 4. juli 2003 nr. 900.


I Nasjonalt beredskapssystem er sjef NSM gittfullmakt til å pålegge andre aktører å iverksettevisse sikkerhetstiltak.

7.3.3 NorCERT/VDI

NSM driver i dag en nasjonal responsfunksjon foralvorlige dataangrep mot kritisk infrastruktur(NorCERT). NorCERT (Norwegian ComputerEmergency Response Team) ble etablert som enintegrert del av NSM fra 1. januar 2006, og var enoppfølging av St.meld. nr. 39 (2003–2004) Sam-funnssikkerhet og sivil-militært samarbeid. For-målet med NorCERT er å legge til rette for effek-tiv håndtering av alvorlige IKT-sikkerhetsangrepmot viktig infrastruktur og informasjon i Norge.Et sentralt element i NorCERTs oppgaver er inn-henting, verifisering, analyse og videreformidlingav informasjon om sårbarheter, potensiell risiko,angrepsmetoder og ondsinnet kode. Dette skjerdels gjennom Nasjonalt varslingssystem for digitalinfrastruktur (VDI), men også gjennom mottak avinformasjon fra nasjonale og internasjonale samar-beidspartnere. Den totale mengde data dannergrunnlag for analyse i forbindelse med håndteringav alvorlige hendelser, og er avgjørende for koor-dinering med, og bistand til, nasjonale og interna-sjonale samarbeidspartnere.

VDI består av et nettverk av sensorer somutplasseres hos utvalgte offentlige og private virk-somheter som innehar kritisk infrastruktur i til-knytning til deltakernes datanettverk. Sensorenesamler inn data som skal gjøre det mulig for NSMå tidlig detektere, verifisere og varsle om koordi-nerte og alvorlige dataangrep.

VDI startet som et forsøksprosjekt i 1999, eta-blert mellom Etterretningstjenesten, PST ogNSM. Fra 2003 ble driften av VDI lagt under NSMog er i dag en integrert del av NSMs organisasjon.

Ved håndtering av allerede inntrufne alvorligeangrep, bistår NorCERT også med analyse av infi-sert maskinvare.

Den nasjonale evnen til å håndtere alvorligedataangrep mot kritisk infrastruktur og informa-sjon er avhengig av et nært samspill mellom EOS-tjenestene. Til sammen har disse tjenestene i opp-drag å oppdage, varsle, motvirke og etterforskealvorlige IKT-hendelser. Samarbeidet mellom tje-nestene er formalisert og regulert i egne retnings-linjer av 15. mai 2013, fastsatt av sjefene for de tretjenestene.

NSM samarbeider også med en rekke andreoffentlige og private samarbeidsparter, herunderulike sektorvise responsmiljøer (sektor-CERT) ogrelevante sektormyndigheter.

Tilknytning til VDI er basert på frivillighet ogtilbys etter en nærmere vurdering av virksomhe-tenes betydning for kritisk infrastruktur. NSMinngår en avtale med den enkelte deltaker, hvorpartenes rettigheter og plikter i samarbeidet ernærmere regulert. Private virksomheter som del-tar i VDI-samarbeidet, forplikter seg gjennomavtalen med NSM til å bidra til finansieringen avVDI og NorCERT gjennom et årlig vederlag.

Tilknytning til VDI er ikke ment å erstattevirksomhetenes egne sikkerhetstiltak, men skalkomplementere virksomhetens egne tiltak. Virk-somhetenes rett og plikt til å ivareta sikkerheten iegne systemer, er således uavhengig av VDI-sam-arbeidet.

Regjeringen fremmet i Prop. 97 L (2015–2016)om endringer i sikkerhetsloven, forslag om å lov-feste virksomheten som utøves av NSM gjennomNorCERT og VDI i sikkerhetsloven § 9 som endel av NSMs oppgaver. Regjeringen vurderte ogsåi denne sammenheng om det burde etableres enhjemmel for å pålegge enkelte virksomheter medkritisk infrastruktur å tilknytte seg VDI. På bak-grunn av høringsinstansenes tilbakemelding komimidlertid departementet til at en slik påleggs-myndighet må utredes nærmere, og bør dessutenses i sammenheng med en vurdering av den frem-tidige finansieringsmodellen for NorCERT/VDI.

Stortinget har, i forbindelse med behandlingenav Innst. 352 L (2015–2016) til Prop. 97 L (2015–2016) om endringer i sikkerhetsloven, vedtattregjeringens forslag til lovfesting av NorCERT ogvarslingssystemet for digital infrastruktur.

7.4 Ansvar og myndighet etter relevant sektorregelverk

7.4.1 Kraftsektoren

Olje- og energidepartementet (OED) har det over-ordnet ansvaret for energiforsyningen. Energifor-syningen er en fellesbetegnelse for forsyning avelektrisitet (strøm) og fjernvarme. Elektrisitet ogvarme er basiskapabiliteter i et moderne samfunnut fra et samfunnssikkerhets- og samfunnstrygg-hetsperspektiv.

Forsyningssikkerhet i energiforsyningen kandefineres som energisystemets evne til å kontinu-erlig levere strøm av en gitt kvalitet til sluttbruker.For å sikre dette kreves et samspill mellom enrekke virkemidler, blant annet konsesjonsbehand-ling av nett- og produksjonsanlegg, krav til leve-ringskvalitet, økonomisk regulering av nettselska-pene og beredskapskrav. Beredskapskravene gårdels på forebyggende tiltak for å skape barrierer


og hindre avbrudd og dels på evne til rask gjen-oppretting av energiforsyningen ved avbrudd.

Det sentrale sektorregelverket for beredskap ienergiforsyningen er energiloven9 kapittel 9 omberedskap og beredskapsforskriften.10 Bered-skapsforskriften omfatter selskap som eier storeproduksjonsanlegg (vannkraft, vindkraft og fjern-varme) eller energianlegg (ledninger, kabler,transformatorstasjoner, varmesentraler osv).Dammer (uansett formål) reguleres av damsik-kerhetsforskriften.11 Damsikkerhetsforskriftenhar egne krav om beredskapsmessig sikring fordammene i høyeste konsekvensklasse (klasse 3og 4). Både beredskapsforskriften og damsikker-hetsforskriften er basert på et klassifiseringssys-tem, der anlegg med de største konsekvensenefor samfunnet blir identifisert og underlagt destrengeste kravene til sikkerhets- og bered-skapstiltak.

Norges vassdrags- og energidirektorat (NVE)er sektormyndighet for energiforsyningen, og erutpekt som beredskapsmyndighet etter energil-oven. Som sektormyndighet for energisektorenbenytter NVE en rekke virkemidler. Regel-verkskrav framgår av energiloven og en rekkeunderliggende forskrifter, blant annet beredskaps-forskriften med en utfyllende veileder. Bered-skapsforskriften har krav om risiko- og sårbarhets(ROS)-analyser, krav til beredskapsplanverk, kravtil fysiske sikringstiltak avhengig av klasse, infor-masjonssikkerhet, beskyttelse av driftskontroll-system osv. NVE driver også en betydelig tilsyns-aktivitet der både stedlige revisjoner, skriftlig til-syn og inspeksjoner etter hendelser benyttes.

NVE er i beredskapsforskriften delegert myn-dighet til å benytte en rekke virkemidler for å påseat bestemmelsene i forskriften etterleves. NVEkan gi de pålegg som er nødvendige for gjennom-føring av bestemmelsene i forskriften (§8-2), ogkan ilegge tvangsmulkt (§8-4) og overtredelsesge-byr (§8-5) ved overtredelse av bestemmelsene.

NVE har omfattende dialog direkte med virk-somhetene i egen sektor gjennom seminarer, inn-legg i ulike fora, informasjonsskriv og stedligebesøk. NVE samarbeider med bransjeorganisasjo-ner om sentrale tema, for eksempel IKT-sikkerhetog sjøkabelberedskap, og har initiert opprettelsenav KraftCERT fra 2015. NVE deltar også i samar-

beidsforum og har utstrakt informasjonsutveks-ling med andre myndigheter, blant annet Direkto-ratet for Samfunnssikkerhet og beredskap, Nasjo-nal kommunikasjonsmyndighet og NSM.

Både produksjons- og nettselskapene er selv-stendige rettssubjekter. Ingen av selskapene ikraftsektoren er per dags dato underlagt sikker-hetsloven.

I medhold av energiloven § 9-1 er Kraftforsy-ningens beredskapsorganisasjon (KBO) etablert.KBO består grovt sagt av alle selskaper som eiereller driver anlegg for produksjon eller distribu-sjon av elektrisitet eller fjernvarme over en vissstørrelse. KBO-enhetene kan pålegges oppgaverunder beredskap og i krig. KBO-enhetene er inn-delt i 14 distrikter, som stort sett følger fylkes-grensene. I hvert distrikt er det utpekt en dis-triktssjef (KDS) fra ett av de største nettselska-pene, og denne er NVEs forlengede arm ved kri-ser og andre hendelser. KDS deltar i fylkesbered-skapsrådet.

I helt ekstraordinære situasjoner kan heleenergiforsyningen underlegges Kraftforsyningenssentrale ledelse, som vil bestå av OED/NVE ogStatnett. Dette har ikke skjedd i fredstid.

7.4.2 Petroleumssektoren

Arbeids- og sosialdepartementet har det overord-nede ansvaret for sikkerhet og beredskap forpetroleumsvirksomhet på norsk sokkel.

Siden myndighetenes gjennomgang etter Kiel-land-ulykken og petroleumslovsreformen i 1985,har regulering av petroleumsvirksomheten blittivaretatt gjennom en sektortilnærming med en allhazards-tilnærming til regulering og tilsyn. Detsentrale sektorregelverket for petroleumssekto-ren er petroleumsloven12 med underliggende for-skrifter. Regelverket stiller krav til forebyggende,risikoreduserende tiltak, og konsekvensreduse-rende tiltak dersom en hendelse inntreffer.

Ansvaret for oppfølging av petroleumslovens§ 9-3 om beredskap mot bevisste anslag ble i 2013delegert fra Arbeids- og sosialdepartementet tilPetroleumstilsynet (Ptil). Ptil er sektormyndighetmed ansvar for tilsyn med og regulering av sikker-het og arbeidsmiljø i petroleumsvirksomhet tilhavs og på enkelte landanlegg.

I medhold av petroleumsloven § 9-3 tredjeledd, kan Ptil gi pålegg om gjennomføring avsikringstiltak for å hindre tilsiktede uønskedehendelser.

9 Lov 29. juni 1990 nr. 50 om produksjon, omforming, overfø-ring, omsetning og fordeling av energi m.m. (energiloven).

10 Forskrift 7. desember 2012 nr. 1157 om forebyggende sik-kerhet og beredskap i energiforsyningen (beredskapsfor-skriften).

11 Forskrift 18. desember 2009 nr. 1600 om sikkerhet vedvassdragsanlegg (damsikkerhetsforskriften).

12 Lov 29. november 1996 nr. 65 om petroleumsvirksomhet(petroleumsloven).


Ptil har gjennom mange år gitt politiet fagligbistand under politiets etterforskning av alvorligehendelser i petroleumsvirksomheten. Dialogen ogden koordinerte samhandlingen mellom Ptil ogpolitiet i forbindelse med etterforsking og gran-skinger fungerer ifølge Ptil svært godt. Ptil ogpolitiet samarbeider også om kompetansebygginginnen etterforskning, gransking og regelverksfor-ståelse. Ved de årlige Gemini-øvelsene samarbei-der Ptil både med politiet og Forsvaret. ØvelseGemini har til hensikt å øve kontra-terrorsam-virke mellom Forsvar og politi ved bevisste anslagmot innretninger og/eller anlegg i petrole-umsvirksomheten.

De senere år har Ptil hatt tett dialog medNSM/ NorCERT på de områder som angår blantannet fysisk sikring av objekter, sikkerhetstilstan-den i næringen, nytt metodeverktøy for sikringsri-sikovurderinger, og Cyber/IKT-sikkerhet (varselog håndtering av alvorlige IKT-hendelser). Ptilhar også etablert dialog med PST om blant annetendringer av trusselbildet og terrorsikring.

Norsk olje og gass (NOROG) er en interesse-og arbeidsgiverorganisasjon under Næringslivetshovedorganisasjon for oljeselskaper og leveran-dørbedrifter knyttet til utforsking og produksjonav olje og gass på norsk kontinentalsokkel. Orga-nisasjonen representerer 53 oljeselskaper og 54leverandørbedrifter. 13 NOROG har etablert etvarslingssystem for sikringshendelser – Petro-leum Industry Security Alert System (PISAS).PISAS eies og administreres av NOROG.

Gassco AS er et statlig selskap som siden 2002har hatt operatøransvaret for transport av gass fraden norske kontinentalsokkelen. Transportsys-temet er omfattende og består av flere plattformerog tusenvis av kilometer med rørledninger.Gassco er operatør for Gassled, som er et interes-sentskap og den formelle eieren av infrastruktu-ren forbundet med gasstransporten fra norsk sok-kel.14

Ingen av de selvstendige rettssubjektene ipetroleumssektoren er per dags dato underlagtsikkerhetsloven.

Drivstoffanleggloven15 gir i § 1 Kongen full-makt til å gi pålegg til eier eller bruker av drivstof-fanlegg av vesentlig betydning for landets behold-ning av drivstoffer, om sikringstiltak mot skadesom følge av krigshandlinger og sabotasje. I til-legg kan Kongen gi pålegg til eier eller bruker om

å foreta slike utvidelser eller nybygg som ansesnødvendige av forsvarsmessige hensyn. Kongensmyndighet ble i Kgl.res. av 9. mars 1979 delegerttil Olje- og energidepartementet.

Etter loven § 3 kan departementet gi nærmerebestemmelser om tiltak for sikring av landetsanlegg for flytende drivstoffer. Departementet kanpålegge eier eller bruker av anlegg av vesentligbetydning for landets forsyning av drivstoff å settei verk eller å finne seg i rådgjerder til sikring avforsyningene under krig.

7.4.3 Elektronisk kommunikasjon

Samferdselsdepartementet har det overordnedeansvaret for elektronisk kommunikasjon (ekom) –ekomsektoren.

Det sentrale sektorregelverket for ekomsekto-ren er ekomloven16 og ekomforskriften.17

Nasjonal kommunikasjonsmyndighet (Nkom)har ansvaret for å forvalte ekomloven og føre til-syn med ekomtilbydere. Nkom arbeider for bære-kraftig konkurranse i ekomsektoren, slik at bru-kere i hele landet kan tilbys gode tjenester til kon-kurransedyktige priser. Samtidig arbeider Nkomogså sammen med ekomtilbyderne for å fore-bygge uønskede hendelser, og begrense konse-kvensene av hendelser som inntreffer.

Formålet med Nkoms arbeid er å sikre bru-kere i hele landet gode og robuste ekomtjenester.Dette skjer blant annet gjennom normgivning, vei-ledning og ved å påse at ekomtilbyderne følger depliktene de er pålagt. Nkom har en rekke virke-midler å spille på i sin oppfølging overfor aktø-rene, herunder veiledning, pålegg, tvangsmulkt,overtredelsesgebyr og tilbakekall av tillatelser. Ihenhold til Nkoms reaksjonsstrategi skal deilegge reaksjoner som er nødvendige, hensikts-messige og forholdsmessige.

Sentrale selvstendige rettssubjekter i ekom-sektoren er underlagt sikkerhetsloven, herunderTelenor ASA, Broadnet AS og Posten AS.

En annen sentral aktør innenfor elektroniskkommunikasjon er Direktoratet for nødkommuni-kasjon (DNK). Justis- og beredskapsdepartemen-tet har det overordnede ansvaret for styring ogkontroll med DNK. DNK har ansvaret for forvalt-ning og videreutvikling av digitalt nødnett iNorge. Nødnett er et nytt digitalt samband for

13 NOU 2015: 13, 147. 14 Ibid., 147. 15 Lov 31. mars 1949 nr. 3 om bygging og sikring av drivstof-

fanlegg (drivstoffanleggloven).

16 Lov 4. juli 2003 om elektronisk kommunikasjon (ekomlo-ven).

17 Forskrift 16. februar 2004 nr. 401 om elektronisk kommuni-kasjonsnett og elektronisk kommunikasjonstjeneste(ekomforskriften).


politi, brannvesen, helsetjenesten og andre aktø-rer med et nød- og beredskapsansvar. Nødnett eret avlyttingssikret sambandssystem som skal gibedre funksjonalitet, talekvalitet, dekning ogkapasitet enn dagens samband. Nødnett er likevelikke godkjent for å kommunisere sikkerhetsgra-dert informasjon.

7.4.4 Luftfartssektoren

Samferdselsdepartementet har det overordnedeansvaret for samfunnssikkerheten og beredska-pen i luftfartssektoren. Departementet har utar-beidet Strategi for samfunnssikkerhet i samferd-selssektoren. I følge denne skal virksomhetene isamferdselssektoren, herunder luftfartssektoren,forebygge og være i stand til å håndtere store uøn-skede hendelser, utilsiktede i form av naturøde-leggelser og teknisk- og menneskelig svikt, samttilsiktede i form av kriminalitet, terror, sabotasjeog spionasje. Departementet forutsetter at virk-somhetene i samferdselssektoren oppfyller krav irelevante regelverk med betydning for samfunns-sikkerheten, herunder sikkerhetsloven med for-skrifter.

Sivil luftfart reguleres i utstrakt grad av EU-rettsakter som er integrert i lover og forskrifter.Det sentrale sektorregelverket for luftfartssekto-ren er luftfartsloven18 med underliggende for-skrifter.

Forskrift om forebyggelse av anslag mot sik-kerheten i luftfarten mv.19 regulerer sikkerhets-godkjenning og sikkerhetstiltak, sikkerhetskon-troll og adgang til sikkerhetsbegrenset område.Flysikringstjenesten reguleres av forskrift om fel-les krav for yting av flysikringstjenester.20

Luftfartstilsynet er sektormyndighet i luftfarts-sektoren. Luftfartstilsynets hovedoppgave er åbidra til økt sikkerhet i all norsk sivil luftfart gjen-nom å integrere nasjonalt og internasjonalt regel-verk, utarbeide forskrifter for norsk luftfart, samtføre tilsyn med at aktørene følger gjeldende lover,regler og forskrifter.

Luftfartstilsynet kan i medhold av luftfartslo-ven gi pålegg om retting og endring (§13 a-3),ilegge tvangsmulkt ved overtredelse av krav etterlov og forskrift (§ 13 a-4) og gi pålegg om overtre-delsesgebyr for overtredelse eller unnlatelse av å

etterkomme nærmere angitte bestemmelser iloven (§13 a-5).

Sikkerhetsrådet for luftfarten (SFL) er et råd-givende organ for berørte myndigheter som skalforebygge anslag rettet mot den sivile luftfart.Luftfartstilsynet leder sikkerhetsrådet, som forøvrig består av representanter fra Samferdselsde-partementet, Forsvarsdepartementet, Justis- ogberedskapsdepartementet, Utenriksdepartemen-tet, POD, PST og NSM.

Avinor AS er et statlig eid aksjeselskap dereierskapet forvaltes av Samferdselsdepartemen-tet. Selskapet har ansvaret for å eie, drive ogutvikle et landsomfattende nett av lufthavner forden sivile luftfarten og en samlet flysikringstje-neste for den sivile og militære luftfarten. I rela-sjon til sikkerhetsloven er Avinor ansett for å væreet forvaltningsorgan, og er således omfattet avloven.

7.4.5 Vannforsyning

Helse- og omsorgsdepartementet (HOD) er over-ordnet ansvarlig og samordnende departementfor sikkerhet og beredskap når det gjelder vann-forsyning, og skal sørge for samordning og nød-vendige avklaringer mellom involverte aktører påfagområdet.

Mattilsynet har ansvar for godkjenning, tilsynog beredskap. Folkehelseinstituttet utfører for-valtningsstøtte, som bistand ved utbrudd av vann-relatert sykdom, analyser og helsefaglig rådgiv-ning.

Drikkevannsforskriften21 er hjemlet i matlo-ven22, helseberedskapsloven23 og folkehelselo-ven24. Forskriften ivaretar kravene i EUs drikke-vannsdirektiv og deler av EUs rammedirektiv forvann. Det er vannverkseiers ansvar at vannet opp-fyller drikkevannsforskriftens krav. Forskriftenhar bestemmelser om krav til leveringssikkerhetog beredskap for normale forhold, kriser ogkatastrofer i fredstid og ved krig. Forskriften harunntaksbestemmelser for vannforsyning underekstraordinære forhold. Noen vannforsyningsan-legg eller deler av disse omfattes av sikkerhetslo-ven.

18 Lov 11. juni 1993 nr. 101 om luftfart (luftfartsloven).19 Forskrift 1. mars 2011 nr. 214 om forebyggelse av anslag

mot sikkerheten i luftfarten mv.20 Forskrift 22. desember 2014 nr. 1902 om felles krav for

yting av flysikringstjenester.

21 Forskrift 4. desember 2001 nr. 1372 om vannforsyning ogdrikkevann (drikkevannsforskriften).

22 Lov 19. desember 2003 nr. 124 om matproduksjon og mat-trygghet mv. (matloven).

23 Lov 23. juni 2000 nr. 56 om helsemessig og sosial bered-skap (helseberedskapsloven).

24 Lov 24. juni 2011 nr. 29 om folkehelsearbeid (folkehelselo-ven).


Det pågår for tiden et arbeid med å revideredrikkevannsforskriften. På bakgrunn av en endretsikkerhetssituasjon og økt sårbarhet foreslårHOD blant annet en egen bestemmelse om fore-byggende sikring. Det foreslås også krav om opp-læring av ansatte med sikte på å etablere en sik-kerhetskultur for å redusere sårbarhet.

7.4.6 Finansielle tjenester

Finansdepartementet er overordnet ansvarlig forforebyggende sikkerhet og beredskap i finanssek-toren. Finansnæringen er en næring som i storgrad leverer sine tjenester på digitale plattformer,noe som medfører både høy grad av kompleksitetog en rekke gjensidige avhengigheter til andreinnsatsfaktorer.

Det sentrale sektorregelverket for finanssekto-ren er blant annet finansforetaksloven25, verdipa-pirhandelloven26 og betalingssystemloven27. I til-legg er IKT-forskriften28 sentral for IKT-sikker-hetsarbeidet i finanssektoren.

Finanstilsynet er i medhold av finansstilsynslo-ven29 det sentrale offentlige organet som kontrol-lerer og vurderer om finansinstitusjoner følger delover og regler som er vedtatt for finansmarkedet,og driver virksomheten på hensiktsmessig ogbetryggende måte. Denne kontrollen inkludererbanker, finansieringsforetak, e-pengeforetak, beta-lingsforetak, forsikringsselskap, pensjonskasser,verdipapirforetak, forvaltningsselskap for verdipa-pirfond, regulerte markeder (inkl. børser), opp-gjørssentraler og verdipapirregister, eien-domsmeglingsforetak, inkassoforetak, regnskaps-førere og revisorer mv.30

Finanstilsynet har i medhold av finanstilsyn-sloven hjemmel til å gi pålegg om å innrette virk-somhetens internkontroll etter de bestemmelsertilsynet fastsetter, jf § 4 nr. 2. IKT-forskriften ergitt med hjemmel i blant annet denne bestemmel-sen.

Hvis et pålegg gitt av Finanstilsynet ikke etter-kommes, kan Finansdepartementet ilegge de

ansvarlige dagmulkt til forholdet er rettet, jf.finanstilsynsloven § 10 annet ledd.

Beredskapsutvalget for finansiell infrastruk-tur (BFI)31 har blant annet ansvaret for å kommefrem til og koordinere tiltak for å forebygge og åløse krisesituasjoner og andre situasjoner somkan resultere i store forstyrrelser i den finansielleinfrastruktur. BFI skal forestå nødvendig koordi-nering av beredskapssaker innenfor finansiell sek-tor. Utvalget skal herunder, på grunnlag av Siviltberedskapssystem (SBS), samordne utarbeidelseog iverksettelse av varslingsplaner og bered-skapstiltak ved sikkerhetspolitiske kriser og krig.Finanstilsynet er ansvarlig leder og sekretariat forBFI.

7.4.7 Helse og omsorg

HOD er overordnet ansvarlig innenfor helse- ogomsorgssektoren.

Helseberedskapsloven32 har som formål åverne befolkningens liv og helse. Loven skal ogsåbidra til at nødvendig helsehjelp, helse- ogomsorgstjenester og sosiale tjenester kan tilbysunder krig og ved kriser og katastrofer i fredstid,jf. loven § 1. Virksomhetene som omfattes avloven skal i slike tilfeller kunne fortsette, og omnødvendig legge om og også utvide driften, påbasis av den daglige tjeneste, oppdaterte planverkog gjennomføre regelmessige øvelser.

Loven inneholder også fullmaktsbestemmel-ser (§§ 3-1, 4-1, 5-1 og 5-2, jf. § 1-5) som gir Helse-og omsorgsdepartementet særskilte fullmakter ikrig og når krig truer. Fullmaktene gjelder ogsåved kriser og katastrofer i fredstid etter beslut-ning av Kongen. Etter § 3-1 gis nærmere bestem-melser om rekvisisjon av fast eiendom, rettigheterog løsøre som trengs til bruk for blant annethelse- og omsorgstjenester. I medhold av § 4-1kan nærmere angitt personell pålegges å forbli itjeneste ut over ordinær arbeidstid, samt påleggesoppmøte- og arbeidsplikt. Etter §§ 5-1 og 5-2 hardepartementet hjemmel til å pålegge virksomhe-ter som omfattes av loven ulike plikter av hensyntil ansvars-, oppgave- og ressursfordeling, samtpålegg om omlegging av virksomheten og restrik-sjoner på omsetning av varer.

25 Lov 10. april 2015 nr. 17 om finansforetak og finanskonsern(finansforetaksloven).

26 Lov 29. juni 2007 nr. 75 om verdipapirhandel (verdipapir-handelloven).

27 Lov 17. desember 1999 nr. 95 om betalingssystemer m.v.(betalingssystemloven).

28 Forskrift 21. mai 2003 nr. 630 om IKT systemer i bankermv. (IKT-forskriften).

29 Lov 7. desember 1956 nr. 1 om tilsynet med finansforetakmv. (finanstilsynsloven).

30 Finanstilsynet.no, http://www.finanstilsynet.no/no/Venstremeny/Om-Finanstilsynet/

31 Finanstilsynet.no, http://www.finanstilsynet.no/no/Tverr-gaende-temasider/Beredskapsutvalget-for-finansiell-infra-struktur-BFI/

32 Lov 23. juni 2000 nr. 56 om helsemessig og sosial bered-skap (helseberedskapsloven).


7.4.8 Satellittbaserte tjenester

Med satellittbaserte tjenester menes tjenester forposisjonsbestemmelse, navigasjon og presis tids-angivelse (PNT), kommunikasjonstjenester ogjordobservasjonstjenester.

I følge Lysne-utvalgets utredning er leveranseav satellittbaserte tjenester i hovedsak et interna-sjonalt anliggende. Det er imidlertid flere norskevirksomheter som er premissleverandører og haren myndighetsrolle på området. Det er ingenutpekt aktør som har det overordnede ansvaretfor satellittbaserte tjenester i Norge, men det fin-nes en rekke myndighetsaktører som har en sen-tral rolle innen romvirksomheten.33

Regulering av romvirksomheten er hjemlet ien rekke ulike lover og forskrifter, og ansvaret foroppfølging tilhører ulike departementer og etater.I tabell 7.1 er det gitt en ikke uttømmende over-

sikt over relevante lover og tilhørende ansvarligemyndigheter.

Space Norway AS er underlagt sikkerhetslo-ven ved enkeltvedtak.

7.5 Tilsynsmyndigheters organisering og oppgaver i Norge

Tilsyn kan forstås som tilsynsmyndighetenesundersøkelse av status i henhold til de krav somer gitt i medhold av lov eller forskrift. I den viderefremstillingen gis det en nærmere redegjørelsefor organisering av tilsyn på generell basis, her-under Tilsynsmeldingens34 anbefalinger og eksis-terende mekanismer for samordning og koordine-ring av tilsyn.

Det eksisterer i dag over 30 statlige forvalt-ningsorganer i Norge som innehar en eller annen

33 NOU 2015: 13, 121–122. 34 St.meld. nr. 17 (2002–2003), Om statlige tilsyn (tilsynsmel-

dingen).

Kilde: NOU 2015: 13, Digital sårbarhet – sikkert samfunn – Beskytte enkeltmennesker og samfunn i en digitalisert verden, 122.

Tabell 7.1 Et utvalg relevante lover og tilhørende ansvarsmyndighet

Lov/Traktat Angår Ansvarlig dept./etat

Sikkerhetsloven med forskrifter Forebyggende sikkerhet JD/FD (NSM)

Ekonomloven med forskrifter Utstedelse av frekvenstillatelser samt innmelding av satelittnettverk til ITU. Tekniske målinger av radiospekteret

SD (Nkom)

Svalbardtraktaten Bruk av Svalbard til ikke-militære formål UD/JD

Romloven Lov om oppskyting av gjenstander fra norsk territorium

NFD

International Convention on Maritime Search and Rescue

Internasjonal koordinering av SAR JD

Metarea 19 Værvarsling KD (met.no, Kyst-verket)

Galileo/Copernicus-forordningene Beskyttelse av infrastruktur og tjenester NFD (NRS)

Romregistreringskonvensjonen Forvaltning og romregister for norske satelitter

UD (NRS)

ITU-konvensjonen Frekvensfordeling SD (Nkom)

Svalbardloven med forskrifter Etablering, drift og bruk av bakkestasjo-ner med mer

SD

Havressursloven med forskrifter Krav til satelittsporingsutstyr om bord på fiskebåter med mer

NFD, Fiskeridirek-toratet

Lov om petroleumsvirksomhet med for-skrifter

Satelittsporing av seismikkskip OED

Skipssikkerhetsloven med forskrifter Krav til kommunikasjonsutstyr med mer NFD


form for tilsynsfunksjon. I tillegg til dette kommerfylkesmennenes tilsyn med kommunesektoren,de enkelte kommuners direkte tillagte tilsynsopp-gaver, samt offentlige tilsynsoppgaver som ivare-tas av selvstendige rettssubjekter.35

Tilsynsorganer kan grovt sett kategoriseresetter tre typer kriterier: Hva slags oppgaver (funk-sjoner/roller) de har, hvilke formål de forvalter oghvilke målgrupper tilsynsfunksjonen retter segmot.36

Det er stor variasjon i hvilke oppgaver som til-ligger forvaltningsorganene som innehar tilsyns-funksjoner i de ulike sektorer. Enkelte tilsyns-myndigheter har en tilnærmet rendyrket rolle

som tilsynsorgan. Et eksempel er Helsedirektora-tet som ivaretar direktoratsfunksjonen, mens Hel-setilsynet har tilsynsfunksjonen. Andre sektorerhar en mer integrert tilnærming, hvor fagmyndig-heten i tillegg til tilsynsoppgaver har et bredtspekter av oppgaver som tilligger direktoratsni-vået i myndighetsstrukturen. Nasjonal kommuni-kasjonsmyndighet synes å ha en integrert tilnær-ming, hvor både fagmyndighets- og tilsynsfunk-sjonen ivaretas av samme etat. Fylkesmennsem-betene har sannsynligvis den mest integrerte til-nærmingen, hvor fylkesmannsrollen kombinereret svært bredt spekter av oppgaver med tilhø-rende funksjoner. Fylkesmennene innehar hoved-tyngden av tilsynsoppgavene overfor kommuneneog deres ansvar og plikter spenner over de flestesektorer og tjenesteområder i kommunene.37

Forvaltningsorganer tillagt tilsynsfunksjonerhar gjennomgående en nokså sammensatt oppga-veportefølje, og er i hovedsak organer utenfordepartementsstrukturen. Det avgjørende forhvilke roller de enkelte tilsynsmyndigheter er til-lagt, er de lovgrunnlag og styrende dokumentersom legger grunnlaget for deres virksomhet. Tiltross for anbefalingene i Tilsynsmeldingen38,synes det overveiende flertall av forvaltningsorga-ner med tilsynsfunksjoner å ivareta flere rollerparallelt.

De eksisterende tilsynsregimene dekker defleste samfunnsområder og representerer et bredtspekter av ulike formål. Statskonsult gjennom-førte i 2002 en gjennomgang av statlige tilsynsord-ninger.39 I rapporten kategoriserte Statskonsultde norske tilsynsregimene etter fire hovedformål:– Sikkerhet for liv, helse, miljø og materielle

verdier/ressurser– Fungerende samferdsel, kommunikasjon og

energiforsyning (infrastruktur)– Fungerende markeder– Integritetsvern og ideelle verdier40

I hvor stor utstrekning tilsynsorganene er spesiali-sert innenfor de ulike formålene, varierer i storgrad. Enkelte tilsyn ivaretar relativt snevre og spe-sifikke formål, eksempelvis har Datatilsynet someneste formål å påse at den enkeltes personvernikke blir krenket gjennom behandling av person-

35 Preben Hempel Linde, et.al., Risiko og tilsyn, 2. utgave(Oslo: 2015), 86–87.

36 Ibid.

Boks 7.1 Beredskapsutvalget for finansiell infrastruktur

Følgende institusjoner er representert i BFIsom faste medlemmer og varamedlemmer:

– Finanstilsynet– Norges Bank– Finans Norge (FNO)– Bits AS (bank- og finansnæringens

infrastrukturselskap)– Nets Norge – Evry ASA– Verdipapirsentralen ASA (VPS)– DNB Bank ASA– Nordea Bank Norge ASA– Sparebank 1 Gruppen– Eika Gruppen (representerer andre

banker)

Som observatører:

– Finansdepartementet – FinansCERT– Verdipapirforetakenes forbund– Verdipapirfondenes forening– Nasjonal Sikkerhetsmyndighet (NSM)

v/NorCERT– Nasjonal Kommunikasjonsmyndighet

(Nkom)– Telenor Norge– Norges Vassdrag- og energidirektorat

(NVE)– Posten Norge

37 Ibid., 89–90. 38 St.meld. nr. 17 (2002–2003), tilsynsmeldingen39 Rapport 2002:12, (Be)grep om tilsyn – Gjennomgang av stat-

lige tilsynsordninger, https://www.difi.no/sites/difino/files/2002-12.pdf

40 Ibid., 53–54.


opplysninger. Andre tilsyn ivaretar et bredt spek-ter av formålsområder.

Også når det gjelder målgrupper er det varia-sjon. I grove trekk finnes det to modeller for inn-deling av tilsyn etter målgrupper. Enkelte tilsyn ersåkalte sektortilsyn, hvor målgruppen er definertut fra den aktuelle sektorens inndeling. Nasjonalkommunikasjonsmyndighet, Petroleumstilsynetog Finanstilsynet er eksempler på rene sektortil-syn, som ivaretar tilsynsfunksjonen i sine respek-tive sektorer. Andre tilsyn har en mer sektorover-gripende tilsynsfunksjon, hvor formålet med til-synsfunksjonen strekker seg over en rekke for-skjellige bransjer og sektorer. Eksempler på sek-torovergripende tilsyn er Arbeidstilsynet,Konkurransetilsynet og det tilsyn med størst rele-vans for sikkerhetsloven: Nasjonal sikkerhet-smyndighet.

Den tradisjonelle integrerte modellen hvorflere roller må ivaretas innenfor en og sammeorganisasjon, har gjerne vært begrunnet i verdi-ene demokrati og effektivitet. Ved en slik organi-sering kan myndighetene fremstå på en enhetligmåte utad, og vil samtidig kunne sørge for helhet-lig og samordnet styring og effektiv utnyttelse av

kompetanse og ressurser. Samorganisering avflere oppgaver kan også bidra til å gi en bedresamordning mellom politikkutforming og de ulikeiverksettingsoppgavene i en sektor eller på tversav sektorer, noe som igjen kan bidra til en bedrepolitisk styring og måloppnåelse. En deling avarbeidsoppgavene mellom flere forskjellige aktø-rer, eksempelvis i et rent tilsynsorgan, et ordinærtdirektorat og et eget tjenesteproduserende organ,kunne medføre at fagmiljøene blir små og sårbare.Formål og funksjoner ivaretas mest rasjonelt ogeffektivt dersom forvaltningen utnytter den sam-lede kunnskapen om fag og disipliner, sektorer ognæringer, klienter og målgrupper. Hensynet tilbrukerne og målgruppene kan også være et argu-ment for ikke å gjøre et slikt skille.41

Som figur 7.1 viser kan tilsynsmyndighetenesoppgaveportefølje i en tradisjonell integrertmodell, grovt sett kategoriseres i fire hovedoppga-ver: fastsettelse av regler, behandling av søknaderog konsesjoner, tilsyn og veiledning. I tillegg haren del tilsyn enkelte andre oppgaver utover dissefire vanligste gjøremålene.

41 Linde et.al, Risiko og tilsyn, 2015, 108.

Figur 7.1 Grafisk fremstilling av tilsynsmyndighetens arbeid og begrepsapparat.

Kilde: Preben Hempel Lindøe, Geir Sverre Braut og Jacob Kringen, Risiko og tilsyn, 2. utgave, (Oslo: Universitetsforlaget, 2015.)

Tilsynsmyndighetenes arbeid

Tilsyn(med virksomhetene)

Fastsettelse avregler

Behandling avsøknader,

konsesjoner,dispensasjoner

etc.

Veiledning etterforvaltningslov,

annen informasjon

Annet arbeid

Innhenting/behandling av

info fravirksomheten

Revisjon Inspeksjon Oppfølging avulykker/hendelser

Andre kontroller

Består av Kontroll: undersøkelse av status i henhold til krav gitt i medhold av lov eller forskrift

Enkeltvedtakom tvangs-

mulkt/gebyr

Påpeking av plikt

Enkeltvedtakom korrigerende

tiltak (pålegg)

Oppfølgingom forelegg/

tvangs-gjennomføring

Enkeltvedtakom stansing,tilbakekallingav tillatelse/

produkt

Andrereaksjoner

Og eventuell Reaksjon (eksempler)


7.5.1 Tilsynsmeldingens idealer for organisering og utføring av tilsynsfunksjonen

Det er få rettslige føringer for hvordan rollekon-flikter skal identifiseres og håndteres på institusjo-nelt nivå i forvaltningen. Likevel er det i flere sek-torer (som tele og kraft) EØS-reguleringer somstiller krav om at den nasjonale håndhevingsmyn-digheten skal organiseres adskilt fra tjenestepro-duksjon. Forvaltningslovens regulering av habili-tet knytter seg til personnivå og mulige sammen-blandinger av private og offentlige interesser.Samtidig gir forvaltningslovens habilitetsbestem-melse uttrykk for generelle prinsipper, som kantenkes å ha anvendelse for tilsvarende problemerpå institusjonelt nivå.

I Tilsynsmeldingen42 fremmet regjeringen(Bondevik II) en rekke idealer for organisering ogutføring av tilsynsfunksjonen. Formålet med åfremme idealene var å legge grunnlaget for enkvalitetsreform for statlige tilsyn, for å sette dem ibedre stand til å møte kravene om en mer funk-sjonsdyktig offentlig sektor.

I meldingen ble organisering av tilsyn knyttettil to hoveddimensjoner: den horisontale organise-ring og den vertikale organisering. Med horison-tal organisering menes hvordan oppgaver og myn-dighet er fordelt mellom ulike myndigheter påsamme hierarkiske nivå i forvaltningen. Den verti-kale organiseringen omhandler relasjonen mel-lom underordnet og overordnet myndighet, her-under graden av delegert myndighet fra, og gra-den av faglig uavhengighet fra, overordnet depar-tement.

I meldingen presiseres det at idealene fororganisering og utføring av tilsynsvirksomhet erment å angi en generell ønsket retning. Hvorvidtidealene bør gjennomføres innenfor den enkeltesektor, må bero på en konkret vurdering, hvorblant annet sektorspesifikke hensyn kan tilsi avvikfra en ideell organisering.

7.5.1.1 En klar og tydelig rolle for tilsynene

For å styrke tilsynsfunksjonen og sikre allmenn-hetens og tilsynsobjektenes tillit til myndighetene,bør det tilstrebes visse organisatoriske skillermellom tilsynsrollen og andre roller. Avveiningenav hvilke rollekonflikter som er problematiske måforetas konkret overfor det enkelte tilsyn. I til-synsmeldingen vises det blant annet til den åpen-bare rollekonflikten som oppstår når tilsynsorga-

net, i tillegg til å kontrollere, også står for kom-mersiell tjenesteproduksjon overfor tilsynsobjek-tet.

Som en konsekvens av ønsket om mer ryddig-het i offentlige roller, ble blant annet Petroleums-tilsynet skilt ut fra Oljedirektoratet med virkningfra 1. januar 2004. Dette ble begrunnet i potensia-let for rollekonflikt som lå i organiseringen avOljedirektoratet, som både hadde rådgivende opp-gaver overfor departementene og delegert regel-verkskompetanse og tilsyn med sikkerhet ogarbeidsmiljø i petroleumsvirksomheten. I meldin-gen ble det riktignok presisert at dette ikke haddevært et problem i enkeltsaker Oljedirektoratethadde behandlet.43

7.5.1.2 Klare og tydelige formål for tilsynene

Det er en målsetting å unngå motstridende formåli samme tilsyn. Endringer i tilsynsorganiseringenmå ifølge tilsynsmeldingen ta sikte på at sammetilsyn normalt ikke skal ivareta formål som kan ståi konflikt med hverandre.

Det er også en målsetting å unngå at sammeformål ivaretas av forskjellige tilsyn. En bedrekoordinering av tilsyn med samme forhold vilifølge meldingen bidra til enkelhet og klarhetovenfor tilsynsobjektene og allmennheten. Det vilogså kunne bidra til å redusere belastningen forde ulike tilsynsobjektene.

7.5.1.3 Økt faglig uavhengighet fra departe-mentene

Idealet i tilsynsmeldingen er at det fremstår somklart om en beslutning er fattet på faglig eller poli-tisk grunnlag, ved at grensesnittet mellom poli-tikk (departement/regjering) og fag (direktorat/tilsyn) er så klart og entydig som mulig. I realite-ten vil imidlertid vedtak og retningslinjer være enblanding av politikk og faglige vurderinger.

Økt faglig uavhengighet vil innebære at mulig-heten for politisk overprøving av tilsynene ienkeltsaker vil reduseres. Dette må imidlertidbalanseres mot behovet for å sikre en politisk ogdemokratisk styring med de samfunnsmessigeprioriteringene.

7.5.1.4 Styrket fagkompetanse i tilsynene

Høy faglig kompetanse er en viktig forutsetningfor at tilsynene kan gis en mer uavhengig rolle ogfå nødvendig tillit og legitimitet. Ulike tilsyn har i

42 St.meld. nr. 17 (2002–2003), tilsynsmeldingen. 43 Ibid., 41.


dag forskjellig tilsynsfilosofi og tilsynsmetodikk.Enkelte tilsyn er tilbakeholdne med å gi råd ogveiledning til tilsynsobjektene i konkrete saker,blant annet fordi de ikke ønsker å skape et inn-trykk av at tilsynet gjennom dette har garantertfor at løsningene er i overensstemmelse medregelverket. Andre tilsyn driver derimot en noksåutstrakt faglig veiledning av sine tilsynsobjekter.

I meldingen påpeker regjeringen at hvis til-synsfunksjonen også skal legge grunnlaget for etdynamisk næringsliv, bør tilsynene også kunne gifaglig veiledning til tilsynsobjektene. Tilsynenebør i denne sammenheng ikke nøye seg med enpåpekning av at et gitt forhold ikke er i overens-stemmelse med regelverket, men bør i sin tilnær-ming til sakene tilstrebe å være løsningsorienterteved å komme med forslag til hvordan en virksom-het kan finne en løsning som er i overensstem-melse med regelverkets krav. Dette stiller høyekrav til tilsynenes kompetanse.

7.5.2 Samordning og koordinering av tilsyn

I Tilsynsmeldingen44 er det en uttalt målsetting ålegge til rette for at styrking av tilsyn skal gå håndi hånd med en dynamisk næringsutvikling. Mangeav tilsynsobjektene – ikke minst i næringslivet –opplever ofte tilsynsmyndighetene og andre regu-lerende myndigheter som en begrensning foregen utvikling. Detaljregulering, lang saksbe-handlingstid og uklare myndighetsforhold medfø-rer også en uforutsigbarhet for virksomhetene.

På enkelte områder i samfunnet er det flere til-syn som ivaretar dels sammenfallende formål og/eller har klare grenseflater mot andre tilsyn. Etideal for statlig tilsynsvirksomhet er ifølge meldin-gen å unngå at samme formål ivaretas av forskjel-lige tilsyn.

På HMS-området er det en rekke forskjelligetilsynsmyndigheter, som har ansvar for å føre til-syn med at virksomhetene følger opp de kravenesom er stilt til den enkelte virksomhet gjennomregelverk eller vedtak. En fellesnevner for tilsyns-virksomheten på dette området er at den retterseg mot forholdene i arbeidslivet, hvor tilsynsob-jektene i stor grad er private næringsvirksomhe-ter.

I Tilsynsmeldingen ble det anbefalt at tilsyns-funksjonene i større grad rendyrkes for å unngå atde ulike rollene kan komme i konflikt med hver-andre og bidra til at det stilles spørsmål ved tilsy-nets legitimitet. Det påpekes i denne sammen-heng at ikke alle rollekombinasjoner er like pro-

blematiske, men at man i det minste burde unngåat et offentlig tilsyn også opptrer som tjenesteleve-randør for sine egne tilsynsobjekter.

7.5.2.1 Koordinerende tilsynsetater for HMS

For å redusere problemet med at virksomheterutsettes for tilsyn fra flere forskjellige tilsyns-myndigheter, med til dels sammenfallende formål,utpekte regjeringen i meldingen tre koordine-rende etater for HMS-tilsyn: Arbeidstilsynet,Petroleumstilsynet og Direktoratet for samfunns-sikkerhet og beredskap. Dette ble igjen fulgt oppav tre kongelige resolusjoner – en for hver koordi-nerende etat – som angir hva etatene skal koordi-nere.

Arbeidstilsynet ble i kgl.res. av 17. september2004 utpekt som koordinerende instans for HMS-tilsyn med virksomheter på land, med unntak avlandanleggene innenfor petroleumsvirksomhetenhvor koordineringsrollen ivaretas av Petroleums-tilsynet. Arbeidstilsynets koordineringsansvaromfatter de etater som fører tilsyn etter intern-kontrollforskriften.45

Utgangspunktet for koordinering av tilsynetsentralt og lokalt kan være forhold som er tilnær-met like for flere etater, det vil si innsatsområderder resultatene blir bedre dersom to eller flereetater samarbeider.

Ptil ble utpekt som koordinerende myndighetfor HMS-myndighetene for petroleumsvirksomhe-ten på norsk kontinentalsokkel, samt den samledevirksomheten ved landanleggene for petrole-umsvirksomhet ved kronprinsregentens resolu-sjon 19. desember 2003. I Instruks om Petrole-umstilsynet46 fremgår det at koordineringsansva-ret omfatter saksområder som krever samhand-ling på myndighetssiden.

I tillegg til den instruksfestede koordinerings-rollen er det etablert en rekke avtaler om bistand,som gir Ptil anledning til å trekke på sakkyndigbistand fra en rekke HMS-etater.47

DSB har hovedansvaret som koordinerendeorgan for myndighetenes oppfølging av sikker-hetsrapporter og tilsyn med virksomheter som

44 Ibid.

45 Forskrift 6. desember 1996 nr. 1127 om systematisk helse-,miljø- og sikkerhetsarbeid i virksomheter (internkontroll-forskriften).

46 Forskrift 19. desember 2003 nr. 1594 Instruks om koordine-ring av tilsynet med HMS i petroleumsvirksomheten pånorsk kontinentalsokkel, og på enkelte anlegg på land(instruks om Petroleumstilsynet).

47 Rapport 27. august 2013, Tilsynsstrategi og HMS-regelverk inorsk petroleumsvirksomhet, https://www.regjeringen.no/globalassets/upload/AD/publikasjoner/rapporter/2013/Utvalgsrapport_HMS_regelverk.pdf, 52.


omfattes av storulykkeforskriften.48 Formåletmed koordineringen er at landbaserte virksomhe-ter som omfattes av forskriften skal behandles påen helhetlig måte, og at de opplever et koordinertog mest mulig samordnet tilsyn fra myndighete-nes side. Det er etablert en egen koordinerings-gruppe, ledet av DSB, for oppfølgning av storulyk-keforskriften, bestående av DSB, Arbeidstilsynet,Statens forurensningstilsyn, Næringslivets sikker-hetsorganisasjon og Ptil.

7.5.2.2 Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet er som omtalt ikapittel 7.3 tillagt tilsynsfunksjon etter sikkerhets-loven, og har i den forbindelse et koordinerendeansvar innen objektsikkerhet. Det følger av loven§ 9 første ledd bokstav c) at NSM skal føre tilsynmed sikkerhetstilstanden i virksomheter, her-under kontrollere at den enkeltes plikter i eller imedhold av loven overholdes. NSM gis i sammebestemmelse myndighet til å gi pålegg om forbe-dringer der sikkerhetstilstanden ikke er tilfreds-stillende.

I utgangspunktet innehar NSM tilsynsfunksjo-nen innen alle fagområder knyttet til forebyg-gende sikkerhetstjeneste etter loven. For objekt-sikkerhet er det imidlertid tilsynsansvaret fordeltmellom NSM og aktuelle sektortilsyn.

NSM skal føre tilsyn med at utvelgelse og klas-sifisering av skjermingsverdige objekter skjer i

henhold til lov og forskrift, jf. objektsikkerhetsfor-skriften § 4-3 første ledd.

Når det gjelder den konkrete oppfølgingen avobjekteiere, følger det av forskriften § 4-3 annetledd at tilsynsorganer med ansvar for forebyg-gende sikkerhet i en sektor skal ivareta tilsyns-funksjonen overfor objekteiere innen den aktuellesektoren. For de sektorer der det ikke finnes slikesektortilsyn, vil NSM ivareta tilsynsfunksjonenoverfor objekteierne. NSM skal i tillegg føre etoverordnet tilsyn, som «sikrer implementering avsektorovergripende harmoniserte sikkerhetstil-tak» i henhold til forskriften.

7.6 Tverrsektorielle scenarier

Forsvarets forskningsinstitutt (FFI) har på opp-drag fra utvalget foretatt en sikkerhetsfaglig vur-dering av hvorvidt sektorregelverket er tilstrekke-lig for god sikring av kritisk infrastruktur og kri-tiske samfunnsfunksjoner.49 FFI ble også anmo-det om å vurdere hvorvidt en overordnet lovregu-lering kan bidra til bedre forebyggende sikkerhetfor ivaretakelse av kritiske samfunnsfunksjonerog hvilke forhold som eventuelt bør reguleres i etslik overordnet regelverk.

FFI har i sin utredning til utvalget kommetmed flere anbefalinger som kan bidra til å sikregrunnleggende nasjonale funksjoner. En av FFIskonkrete anbefalinger er å etablere tverrsektori-elle scenarier, blant annet som grunnlag for åkunne gjøre tilfredsstillende verdivurderinger:

Det bør etableres nasjonale tverrsektoriellescenarioer som dekker hele krisespekteret.Disse bør etableres ved et samarbeid mellomJustis- og beredskapsdepartementet og For-svarsdepartementet i nær kontakt med øvrigedepartementer, vedtas i regjeringen og gjøresgjeldende for alle sektorer. De nasjonale scena-rioene bør organiseres i overordnede scenario-klasser og legges til grunn for etablering avverdivurdering, ROS-analyser, forebyggendetiltak, samt beredskapsøvelser.

DSB utarbeider i dag Nasjonalt risikobilde NRB,som også i en viss utstrekning inkluderer tilsik-tede hendelser som terrorisme og strategisk over-fall. Forsvarets planprosesser er også basert på en

48 Kgl.res. 24. juni 2005, jf. St.meld. nr. 17 (2001–2002) ogSt.meld. nr. 17 (2002–2003).

Figur 7.2 Grafisk fremstilling av Petroleumstilsy-nets tilsynsansvar.

Kilde: Tilsynsstrategi og HMS-regelverk i norsk petroleumsvirk-somhet, rapport avgitt av ekspertgruppe 27.08.2013.

Koordinering

Avtalerom bistand

Pliktsubjekt

MiljødirektoratetHelsetilsynetStrålevernetNæringslivets sikkerhets-organisasjonMattilsynet

SjøfartsdirektoratetKystdirektoratetLuftfartstilsynetDirektorat for samfunns-sikkerhet og beredskapMeterologisk instituttTelenor Nett

49 Forsvarets forskningsinstitutt, Vurdering av forebyggendesikkerhet innen kraft, petroleum og luftfart, FFI-rapport00702 (Kjeller: Forsvarets forskningsinstitutt 2016), digitaltvedlegg nr. 3.


scenariobasert tilnærming, både når det gjelderlangtidsplanlegging og utviklingen av doktriner,anskaffelser, utdanning og trening av personelletc. Etter dagens sikkerhetslov er det imidlertidikke på samme måte utarbeidet scenarioer som

grunnlag for identifisering av virksomheter sombør være underlagt loven eller for identifiseringog utpeking av skjermingsverdige objekter. FFImener dette er en svakhet ved dagens regelverk.

Boks 7.2 Nasjonal sikkerhetsmyndighets erfaring med tilsyn etter objektsikkerhetsregelverket

Gjeldende objektsikkerhetsregelverk trådte ikraft 1. januar 2011. I forskriftens § 5-2 ble detfastsatt en overgangsbestemmelse hvor gjen-nomføring av sikkerhetstiltak skulle skje innentre år fra ikrafttredelse. Bestemmelsen åpnetogså for utsettelse med gjennomføring av tiltakytterligere ett år, etter godkjennelse fra NSM.Mange objekteiere søkte og fikk innvilget slikutsettelse. Regimet med kontroll av iverksattesikkerhetstiltak hos objekteiere har derfor i rea-liteten virket i relativt kort tid. NSM har opplystutvalget om at det, grunnet de nevnte implemen-teringsfristene, kun er en forholdsvis liten andelav det totale antallet objekteiere som er kontrol-lert per tid. NSM besitter derfor noe begrenseterfaring på området.

Der det i sektoren foreligger relevant ogdekkende regelverk skal sektortilsyn, etterobjektsikkerhetsforskriften, føre kontroll med ativerksatte sikkerhetstiltak hos objekteierne til-fredsstiller de funksjonelle kravene i objektsik-kerhetsregelverket. For noen sektorer fremstårdet mer tydelig enn for andre, at det foreliggeret regelverk som både er relevant og dekkendefor objektsikkerhet.

For enkelte sektorer oppfatter NSM at det eravklart at sektortilsynene har en rolle med åføre tilsyn med sikringstiltakene for skjermings-verdige objekter. Når det gjelder andre sektorerhar de aktuelle sektormyndighetene vurdert detslik at de ikke omfattes av objektsikkerhets-regelverket. En tredje gruppe er sektorer hvordet er uklart hvorvidt det foreligger et relevantog dekkende regelverk, eller om aktuelle sektor-tilsyn er bevisst rollen de har med å kontrollereiverksatte sikringstiltak for skjermingsverdigeobjekter.

Eksempler på sektorer og regelverk hvordette er avklart er innen ekom-lovgivningen ogluftfartslovgivningen, hvor henholdsvis Nasjonalkommunikasjonsmyndighet Nkom og Luftfarts-tilsynet er sektortilsyn. Når det gjelder Mattilsy-nets rolle som aktuelt sektortilsyn, opplyser NSM

at det tidligere vært noe uklarhet knyttet til dette.I forslag til ny drikkevannsforskrift er det imidler-tid foreslått bestemmelser som NSM oppfatterblant annet er ment å hjemle de funksjonelle kra-vene i objektsikkerhetsregelverket. Finanstilsy-net har ifølge NSM, vurdert det slik at det ikkehar hjemmel til å føre tilsyn med objekteiere somkunne vært aktuelle i denne sektoren. Petrole-umssektoren og energisektoren har ikke utpektskjermingsverdige objekter.

NSMs tilsynsprogram for 2015 og 2016 haromfattet en rekke aktuelle sektortilsyn. Hensik-ten med dette har blant annet vært å avdekkehvorvidt sektortilsyn oppfatter at de har en rollei å føre tilsyn med skjermingsverdige objekter,samt hvorvidt slike tilsyn faktisk er gjennom-ført.

NSM kartlegger relevante sektortilsyn.NSM har opplyst utvalget om at de på bakgrunnav denne oversikten, vil gå i dialog med sektor-tilsynene for å få bekreftet en omforent oppfat-ning om ansvar og myndighet. Dette innebærerogså en mer systematisk gjennomgang av deulike sektorregelverk for mer konkret å kunneavgjøre hvilke objekter/objekteiere som erunderlagt andre sektorer enn de ovenfor nevnte.

Innen ekomsektoren har det vært gjennom-ført felles tilsyn mellom Nkom og NSM. NSMhar opplyst utvalget om at de også kjent med atNkom har gjennomført ytterligere tilsyn hvorobjektsikkerhet har vært tema for tilsynet.

Det foreligger per i dag ingen rutine for atNSM mottar informasjon om gjennomførte til-syn med skjermingsverdige objekter fra sektor-tilsynene. Etter NSMs oppfatning burde detimidlertid vært en fast prosedyre at de ulike sek-tormyndigheter, for eksempel på årlig basis, rap-porterer til NSM om hvilke skjermingsverdigeobjekter/objekteiere som har vært gjenstand fortilsyn. Dette for at NSM skal kunne oppfylle sineoppgaver etter sikkerhetsloven.

Kilde: NSM.



Ansvars- og myndighetsfordelingen innenfor fore-byggende sikkerhet etter loven har stått sentralt iutvalgets arbeid. Et utgangspunkt for utvalgetsarbeid har vært at de generelle prinsippene forkrisehåndtering og beredskap ligger fast, og ogsåbør gjelde for innretningen på en ny sektorover-gripende lov om forebyggende nasjonal sikkerhet.

I tråd med ansvarsprinsippet bør det primæreansvaret for forebyggende sikkerhet i de ulikesamfunnssektorene tilligge det enkelte fagdepar-tement. Det er det enkelte fagdepartement somkjenner sin sektor best, og har de beste forutset-ningene for å kunne identifisere grunnleggendenasjonale funksjoner og virksomheter av kritiskbetydning for disse, samt gjøre nødvendige sam-funnsøkonomiske prioriteringer innad i sektoren.

Regjeringens anledning til å fordele myndighe-tene til det departement den måtte ønske, jf.Grunnloven § 12 annet ledd, vil ikke utfordres avutvalgets forslag. Ansvaret for forebyggende sik-kerhet i en samfunnssektor vil følge den til enhvertid gjeldende myndighetsfordelingen mellom deansvarlige statsrådene.

Samtidig mener utvalget at det er helt avgjø-rende for å kunne ha en helhetlig tilnærming tilforebyggende sikkerhet på tvers av samfunnssek-torene, at det sektorovergripende perspektivetivaretas i tråd med samordningsprinsippet. Somutvalget kommer inn på nedenfor, anbefales det atansvaret for å ivareta det sektorovergripende per-spektivet tillegges funksjonen Nasjonal sikkerhet-smyndighet. Utvalgets forslag er ikke ment årokke ved Justis- og beredskapsdepartementetsoverordnede ansvar for forebyggende sikkerhet ide sivile samfunnssektorene og Forsvarsdeparte-mentets ansvar for forsvarssektoren, slik dette erfordelt i Kronprinsregentens resolusjon av 4. juli2003 og i samfunnssikkerhetsarbeidet for øvrig.Ansvaret for utøvelsen av funksjonen Nasjonal sik-kerhetsmyndighet, vil således være utledet av detoverordnede ansvaret til henholdsvis Justis- ogberedskapsdepartementet og Forsvarsdeparte-mentet.

7.7.1 Systematikk for identifisering og utvelgelse

For at en ny lov om forebyggende nasjonal sikker-het skal få nødvendig effekt, er det nødvendig åetablere et system for å kunne identifisere grunn-leggende nasjonale funksjoner og hvilke virksom-heter som er av kritisk betydning for disse.

Utvalget har vurdert om det i første instansbør være opp til den enkelte virksomhet selv åvurdere hvorvidt virksomheten faller inn underloven eller ikke. Den enkelte virksomhet vil imid-lertid ha begrensede forutsetninger for å kunnegjøre en fullstendig og forsvarlig vurdering avegen virksomhets betydning for grunnleggendenasjonale funksjoner. Dette gjelder særlig de selv-stendige rettssubjektene som kan tenkes å falleinn under loven. En slik mekanisme vil væreavhengig av at den enkelt virksomhet både harnødvendig informasjonsgrunnlag og tilstrekkeligkompetanse til å gjøre de riktige vurderingene,samt være sitt samfunnsansvar bevisst. Utvalgettror ikke en slik tilnærming vil fungere i praksisog vil derfor ikke anbefale den.

Det er i dag allerede etablert et system hvordet enkelte fagdepartement har ansvaret for iden-tifisering av kritiske samfunnsfunksjoner gjennomInstruks for departementenes arbeid med sam-funnssikkerhet og beredskap (samordningsreso-lusjonen).50 I samordningsresolusjonen stilles detkrav om at departementene skal ha oversikt overkritiske samfunnsfunksjoner og kritisk infrastruk-tur i egen sektor. På bakgrunn disse oversikteneskal departementene blant annet vurdere risiko,sårbarhet og robusthet for de aktuelle kritiskesamfunnsfunksjonene. Utvalget mener det vilvære hensiktsmessig å bygge på disse etablertestrukturene, også for identifisering av grunnleg-gende nasjonale funksjoner og virksomheter somvil falle inn under den nye lovens virkeområde.Som nevnt innledningsvis, mener utvalget at deenkelte departementene – i tråd med ansvarsprin-sippet – bør ha det primære ansvaret for forebyg-gende sikkerhet innenfor sitt myndighetsområde.Sektorspesifikk kunnskap og kompetanse er avsentral betydning for å kunne identifisere de funk-sjoner og virksomheter som er av grunnleggendenasjonal betydning i den enkelte samfunnssektor.En avgjørende forutsetning for at en slik systema-tikk skal fungere i praksis, er at de enkelte fagde-partementene er sitt ansvar bevisst og følger oppdet ansvaret de tillegges gjennom loven. Forenkelte departementer innebærer dette behov forkompetanseheving på forebyggende sikkerhet.

Fordi det finnes en etablert systematikk ogstrukturer for departementenes arbeid med sam-funnssikkerhet og beredskap å bygge på, vil syste-matikken for identifisering og utvelgelse av virk-

50 Forskrift 15. juni 2012 nr. 535, Instruks for departemente-nes arbeid med samfunnssikkerhet og beredskap. Justis-og beredskapsdepartementets samordningsrolle, tilsyns-funksjon og sentral krisehåndtering.


somheter som omfattes av loven sannsynligvisikke innebære noen vesentlig større ressursbrukhos de enkelte departementene.

Gjensidige avhengigheter mellom virksomhe-ter, og mellom samfunnssektorer, medfører samti-dig et behov for at noen ivaretar et helhetlig ogsektorovergripende perspektiv. Dette både for åkunne fange opp sektorovergripende avhengighe-ter som det enkelte fagdepartement ikke nødven-digvis har forutsetninger for å kunne identifisere,og for å kunne bidra med faglig bistand og kvali-tetssikring av det enkelte departements identifise-ring innen egen sektor.

Også trusselbildet de enkelte virksomhetenestår overfor, særlig innenfor cyber-domenet, er imange tilfeller av sektorovergripende karakter.Både behovet for informasjonsdeling om sliketrusler på tvers av samfunnssektorene, og etable-ring av sikkerhetstiltak for å forebygge disse trus-lene, underbygger behovet for å ivareta et helhet-lig og sektorovergripende ansvar. I tillegg vil detkunne være selvstendige rettssubjekter som ikkenaturlig faller inn under et fagdepartements myn-dighetsområde. For disse virksomhetene vil detvære nødvendig å etablere en mekanisme foridentifisering og utvelgelse på lik linje med detenkelte fagdepartements myndighet i egen sek-tor. Dette er et tiltak som sannsynligvis vil kreveressursbruk hos den aktøren som skal ivareta etslikt ansvar. Utvalget foreslår at et slik sektorover-gripende ansvar tillegges funksjonen Nasjonal sik-kerhetsmyndighet.

Funksjonen Nasjonal sikkerhetsmyndighet vilha en bedre oversikt over sektorovergripendeavhengigheter enn de enkelte fagdepartement.Utvalget mener derfor det vil være nødvendig atNasjonal sikkerhetsmyndighet fremmer begrun-nede forslag om virksomheter som bør underleg-ges sikkerhetsloven til fagdepartementene.

I tillegg mener utvalget at funksjonen Nasjonalsikkerhetsmyndighet burde ha anledning til åpåklage tilfeller der den mener at departemente-nes identifisering og utvelgelse av virksomheteromfattet av loven, er uforsvarlig.

Departementenes og funksjonen Nasjonal sik-kerhetsmyndighete vedtak om at selvstendigerettssubjekter omfattes av loven, vil være inngri-pende overfor den enkelte virksomhet. Utvalgetmener derfor det bør etableres tilfredsstillenderettssikkerhetsgarantier for slike vedtak, både iform av at den enkelte virksomhet har rett til å blihørt før vedtak fattes og at de har anledning til åpåklage en slik avgjørelse til et uavhengig tvisteor-gan.

Utvalget foreslår at det etableres et eget tviste-organ, som både kan behandle klager fra selvsten-dige rettssubjekter som det blir fattet vedtak over-for, og klager fra funksjonen Nasjonal sikkerhets-myndighet der et departements identifisering ogutvelgelse av virksomheter vurderes som ufor-svarlig. De nærmere vurderingene rundt hvordanet slikt tvisteorgan bør innrettes er omtalt i kapit-tel 7.7.7.

7.7.2 Tverrsektorielle scenarier

Som nevnt i kapittel 7.6, har Forsvaretsforskningsinstitutt (FFI) i sin utredning til utval-get anbefalt at det bør etableres nasjonale tverrs-ektorielle scenarier som dekker hele krisespekte-ret, som grunnlag for blant annet utpeking avskjermingsverdige objekter. FFI mener at slikenasjonale scenarier bør organiseres i overordnedescenarioklasser og legges til grunn for etableringav verdivurdering, ROS-analyser, forebyggendesikkerhetstiltak, samt beredskapsøvelser.

Utvalget er enig med FFI i at det bør etablerestverrsektorielle scenarier som er relevante for sik-kerhetslovens virkeområde. En verdivurderingbasert på de overordnede kriteriene som fremgårav loven, vil i begrenset grad kunne gi veiledningfor utøvelsen av de enkelte fagdepartementenesansvar etter loven. Utvalget tror en scenariobaserttilnærming, på linje med det DSB gjør i Nasjonaltrisikobilde og Forsvaret gjør for sine interne plan-prosesser, vil kunne bidra til at en ny sikkerhets-lov får et presist nedslagsfelt. Slike scenarier børderfor legges til grunn både for identifisering avgrunnleggende nasjonale funksjoner og for identi-fisering og utvelgelse av virksomheter som er avkritisk betydning for understøttelsen av dissefunksjonene. Utvalget finner det ikke naturlig åforeslå en lovfesting av plikten til å utvikle slikescenarier, men anbefaler en tilnærming for denvidere implementeringen av loven.

I tråd med FFIs anbefalinger, mener utvalgetat slike scenarier bør utvikles gjennom et samar-beid mellom Justis- og beredskapsdepartementetog Forsvarsdepartementet, i nær kontakt medøvrige berørte departementer. I tillegg menerutvalget at de aktuelle fagmyndighetene bør ha ensentral rolle som premissgivere for slike scena-rier.

7.7.3 Funksjonen Nasjonal sikkerhetsmyndighet

Utvalget har lagt til grunn for sitt arbeid at funk-sjonen Nasjonal sikkerhetsmyndighet skal videre-


føres. Etableringen av funksjonen Nasjonal sikker-hetsmyndighet var i sin tid et utslag av blant annetNATOs krav overfor medlemsnasjonene til å haen såkalt National Security Authority (NSA), meddet overordnede ansvaret for å ivareta sikkerhe-ten for NATO-gradert informasjon.51 Norge ersåledes forpliktet til å ha en slik funksjon, og utval-get mener uansett at en sentral fagmyndighet forforebyggende sikkerhet er viktig for å kunne haen helhetlig tilnærming til sikkerhetsarbeidet påtvers av samfunnssektorene. Dette vil også kunnebidra til å sikre en effektiv utnyttelse av ressur-sene innenfor forebyggende sikkerhet. For åunngå uklarheter mellom funksjonen Nasjonalsikkerhetsmyndighet, og direktoratet medsamme navn, foreslår utvalget at selve funksjoneni loven benevnes Sikkerhetsmyndigheten.

Utvalgets anbefaling om distinksjonen mel-lom funksjonen Sikkerhetsmyndigheten og direk-toratet Nasjonal sikkerhetsmyndighet, er uteluk-kende av pedagogisk karakter. Utvalget mener detfortsatt vil være naturlig at direktoratet Nasjonalsikkerhetsmyndighet, ivaretar de oppgavene somtillegges Sikkerhetsmyndigheten i loven.

Utvalget har vurdert ulike alternativer til hvor-dan denne funksjonen bør innrettes, hvilke opp-gaver den bør tillegges og hvordan samhandlin-gen med relevante sektormyndigheter bør være.

Utvalget foreslår at funksjonen Sikkerhet-smyndigheten på samme måte som i dag blir orga-nisert etter en tradisjonell integrert modell, hvorflere roller ivaretas innenfor samme organisasjon.Utvalget har vurdert hvorvidt det burde skillesmellom rollen som fagmyndighet og rollen somtilsynsmyndighet. En av fordelene med et sliktklart organisatorisk skille vil være at det kan bidra

til å sikre tilliten til tilsynsmyndighetens uavhen-gighet. Når utvalget likevel har kommet til at entradisjonell integrert modell vil være den besteløsningen, skyldes dette i hovedsak at forebyg-gende sikkerhet mot tilsiktede uønskede hendel-ser er et relativt snevert fagfelt, hvor tilgangen tilkvalifisert kompetanse er begrenset. En organisa-torisk oppsplitting av rollene som fagmyndighetog tilsynsmyndighet kan, slik utvalget ser det,medføre at det skapes små og sårbare kompetan-semiljøer. Alternativet vil være at det vil måttebygges opp dupliserende kompetansemiljøer ihenholdsvis fagmyndigheten og tilsynsmyndighe-ten, noe som også vil være en mer kostbar løs-ning. En integrert modell kan bidra til kompetan-seoverføring og kompetanseheving mellom deulike kompetansemiljøene innad i samme organi-sasjon, noe som igjen kan bidra til en samordnetog effektiv utnyttelse av kompetanse og ressurser.Utvalget forutsetter at Sikkerhetsmyndigheten, påsamme måte som direktoratet NSM i dag, harnødvendige skiller mellom tilsynsrollen og andreroller innad i egen organisasjon.

Utvalget mener at Sikkerhetsmyndigheten børtillegges ansvaret for å holde en tverrsektorielloversikt over departementenes identifisering ogutvelgelse av grunnleggende nasjonale funksjonerog virksomheter omfattet av loven, og i tillegg haansvaret for å identifisere virksomheter som ikkenaturlig faller inn under et departementets myn-dighetsområde. Ansvaret for å ha en slik tverrsek-toriell oversikt, vil være nødvendig for å kunneivareta en helhetlig tilnærming til forebyggendesikkerhet.

En av hovedoppgavene for Sikkerhetsmyndig-heten, i henhold til utvalgets forslag, er å gi infor-masjon, råd og veiledning til virksomheter under-lagt loven. Konkret rådgivning overfor de enkeltevirksomhetene bør være en helt sentral oppgavefor Sikkerhetsmyndigheten innenfor alle de fag-områder loven spenner over. Storbritannias Centrefor the Protection of National Infrastructure (CPNI)sin rolle i det britiske systemet for beskyttelse avkritisk infrastruktur, kan tjene som eksempel påhvordan rådgivningsvirksomheten bør innrettes.CPNI driver utstrakt utadrettet og aktiv rådgiv-ningsvirksomhet mot både offentlige myndig-heter og andre virksomheter som råder over kri-tisk infrastruktur, og har gjennom sin organisato-riske tilknytning og sin fagkompetanse en betyde-lig tillit og innflytelse overfor de berørte aktørene.En slik løsning vil forutsette at Sikkerhetsmyndig-hetens kapasitet til å gi råd til virksomheter,dimensjoneres slik at virksomheter kan få retti-dige og gode råd i sitt arbeid med forebyggende51 NATO Security Policy C-M, (2002), 49.

Boks 7.3 Sikkerhetsmyndighet ver-sus Nasjonal sikkerhetsmyndighet

Utvalget legger følgende begrepsbruk tilgrunn for den videre fremstillingen:

– Sikkerhetsmyndigheten er den funksjonsom omtales i utvalgets lovforslag.

– Nasjonal sikkerhetsmyndighet er den funk-sjonen som omtales i gjeldende sikkerhets-lov.

– Direktoratet Nasjonal sikkerhetsmyndighetomtales i den videre utredningen somNSM.


sikkerhet etter loven. Det bør i denne sammen-heng også ses hen til andre nasjonale kompetan-semiljøer, herunder Nasjonalt kompetansesenterfor sikring av bygg (NKSB), som i dag er organi-sert som en enhet i Forsvarsbygg og Forsvaretskompetansesenter for objektsikring. Utvalgetmener også det bør vurderes hvorvidt det er hen-siktsmessig med flere slike kompetansemiljøer påsamme fagområde i den grad de er dublerende,eller om denne kompetansen bør samordnes.

I tillegg til konkret rådgivning og veiledningoverfor enkeltvirksomheter, bør Sikkerhetsmyn-digheten – som i dag – ha ansvaret for å utarbeideog tilgjengeliggjøre generell informasjon omloven og hvordan denne skal praktiseres i form avrundskriv, veiledere etc. For å øke allmennhetensinnsikt i, og tillit til, det forebyggende sikker-hetsarbeidet etter loven, mener utvalget slik gene-rell informasjon i så stor utstrekning som muligbør være offentlig tilgjengelig. Offentlig tilgjenge-lig informasjon vil også kunne komme virksomhe-ter som ikke er underlagt sikkerhetsloven til nyttei virksomhetenes generelle sikkerhetsarbeid.

7.7.4 Tilsynsfunksjon og samhandling med relevante sektormyndigheter

Utvalget har i mandatet blitt bedt om å vurderehvordan det skal føres tilsyn med etterlevelsen avny lovgivning, herunder om det vil være hensikts-messig å skille mellom tilsynsoppgaver og rollensom forvaltningsorgan. Som nevnt i kapittel 7.7.3anbefaler utvalget at funksjonen Sikkerhetsmyn-digheten organiseres etter en tradisjonell inte-grert modell, hvor flere roller ivaretas innenforsamme organisasjon. Utvalget har vurdert ulikealternativer for hvordan tilsynsfunksjonen etterden nye loven bør innrettes.

Et alternativ er å ha en sentral tilsynsmyndig-het, med tilsynsansvar for alle virksomheter somomfattes av loven. En slik tilnærming vil i storgrad kunne legge til rette for en helhetlig tilnær-ming til forebyggende sikkerhet, og sikre et har-monisert sikkerhetsnivå, på tvers av ulike virk-somheter og ulike samfunnssektorer.

På den andre siden vil en sentral tilsynsmyn-dighet i liten grad ha den bransjespesifikke kunn-skapen som er nødvendig for å forstå de ulikesamfunnssektorenes særegenheter og behov. Enannen ulempe vil være at virksomhetene i de ulikesamfunnssektorene vil bli utsatt for dupliserendetilsyn fra tilsynsmyndigheter med like, eller lig-nende, målgrupper og formål.

Et annet alternativ utvalget har vurdert, erhvorvidt tilsynsfunksjonen etter loven bør legges

direkte til de enkelte sektortilsynene, og at Sik-kerhetsmyndigheten gis en rent koordinerendefunksjon opp mot de ulike sektortilsynene. En for-del med et slikt delegert tilsyn, er at dette vil værei tråd med nærhetsprinsippet og ansvarsprinsip-pet. Som nevnt tidligere utgjør disse prinsippenetunge føringer for hele samfunnets sikkerhets- ogberedskapsarbeid. Et delegert tilsyn vil ogsåkunne bidra til å legge til rette for at tilsynsobjek-tene ikke utsettes for dupliserende tilsyn.

Delegert tilsynsmyndighet – i tråd medansvarsprinsippet – innebærer også at man vilkunne få et helhetlig eierskap til hele sektorenssikkerhetsarbeid, samlet i et tilsyn. Andre sikker-hetsfaglige organer vil med en slik løsning i litengrad kunne komme inn fra sidelinjen og dikteresektorenes sikkerhetsarbeid med tilsyn ogpålegg. Videre vil delegert tilsynsmyndighet værei tråd med nærhetsprinsippet. De som tar avgjørel-sene har dermed trolig bedre kjennskap til virk-somhetene enn en sentral sikkerhetsmyndighet.

Ulempen med et slikt rendyrket delegert til-syn, er at det vil kunne bli en rekke ulike tilnær-minger og standarder for tilsyn av sikkerhetsar-beidet rettet mot tilsiktede hendelser i de ulikesamfunnssektorene. Det vil også kunne vanskelig-gjøre den helhetlige tilnærmingen til forebyg-gende sikkerhet etter loven på tvers av samfunns-sektorene, som loven for øvrig legger opp til.

Utvalget har kommet til at det beste vil være åetablere en tilsynsmodell som både ivaretar måletom en helhetlig og tverrsektoriell tilnærming tilforebyggende sikkerhet, samtidig som samfunns-sektorenes særegenheter og behov ivaretas i til-strekkelig grad.

I samfunnssektorer der det finnes sektor-myndigheter med tilsynsfunksjoner som omfatterbeskyttelse av informasjon, objekter eller infra-struktur, bør disse føre tilsyn med virksomhetersom omfattes av loven i den aktuelle sektor. Hvor-vidt det finnes relevante og tilstrekkelig kompe-tente sektormyndigheter i den aktuelle sektor, børetter utvalgets oppfatning avgjøres av det enkeltefagdepartement – i tett samarbeid med Sikkerhet-smyndigheten.

I samfunnssektorer der det ikke finnes slikesektormyndigheter, eller de aktuelle sektormyn-dighetene ikke innehar den kompetansen som ernødvendig for å ivareta tilsynsfunksjonen etterloven, bør tilsynsansvaret legges til Sikkerhet-smyndigheten.

For å sikre en helhetlig, samordnet og tverrs-ektoriell tilnærming til forebyggende sikkerhetforeslår utvalget at Sikkerhetsmyndigheten gis


myndighet til å føre tilsyn med sektormyndig-heter tillagt tilsynsansvar etter loven.

For departementsfelleskapet bør Sikkerhet-smyndigheten som i dag ha ansvaret for å føre til-syn med departementenes etterlevelse av loven.

En slik tilnærming forutsetter et tett og nærtsamarbeid mellom Sikkerhetsmyndigheten og deaktuelle sektormyndighetene. Utvalget foreslårogså å lovfeste en samhandlingsplikt mellom Sik-kerhetsmyndigheten og aktuelle sektormyndig-heter. Denne samhandlingen foreslås formalisertgjennom en samarbeidsavtale som nærmere fast-legger samhandlingen. Det kan her tenkes løsnin-ger der forholdet mellom Sikkerhetsmyndighetenog sektormyndigheten kan variere på ulike fag-områder. En slik avtale kan også regulere sektor-myndighetenes bruk av kompetanse fra Sikker-hetsmyndigheten på enkelte områder, eksempel-vis informasjonssikkerhet.

For å ivareta sitt ansvar som sektorovergri-pende myndighet, bør Sikkerhetsmyndighetengis myndighet til å utarbeide grunnleggende kri-terier for hvordan tilsyn etter loven skal innrettesog gjennomføres. Med et delegert tilsynsansvar ienkelte samfunnssektorer vil det være nødvendigmed slike grunnleggende kriterier for å sikre enmest mulig enhetlig tilnærming i de ulike sekto-rene. Sikkerhetsmyndigheten bør også ha en sen-tral rolle i opplæringen av tilsynspersonell hos derelevante sektortilsynene, slik at personellet harden nødvendige sikkerhetsfaglige kompetanse forgjennomføring av tilsyn etter loven.

Sikkerhetsmyndighetens ansvar for å ha etsektorovergripende perspektiv forutsetter tilgangtil informasjon om sikkerhetstilstanden i de ulikesamfunnssektorene hvor de selv ikke har etdirekte tilsynsansvar. Utvalget foreslår derfor enplikt for sektormyndigheter med tilsynsansvaretter loven til å orientere Sikkerhetsmyndighetenom hovedfunn fra gjennomførte tilsyn. En slik rap-porteringsplikt fra sektormyndighetene til Sikker-hetsmyndigheten, vil kunne innebære noe økt res-sursbruk. Der det gjøres funn av betydning avsektormyndigheten, vil dette sannsynligvis uan-sett måtte dokumenteres, og det antas derfor atden økte ressursbruken vil være beskjeden.

Dersom virksomhetene ikke oppfyller sineplikter etter loven, har tilsynsmyndighetene myn-dighet til å gi pålegg om gjennomføring av tiltak.For samfunnssektorer hvor det finnes relevantesektormyndigheter med tilsynsansvar, vil påleggs-myndigheten tilligge den aktuelle sektormyndig-heten. Utvalget forslår også at Sikkerhetsmyndig-heten gis påleggsmyndighet overfor de sektor-myndighetene som har tilsynsansvar etter loven.

Formålet med en slik påleggsmyndighet er åkunne gripe inn overfor en sektormyndighet der-som det skulle vise seg at sikkerhetsnivået i denaktuelle samfunnssektoren utvikler seg på en util-fredsstillende måte.

Slik utvalget ser det er tilsynsmyndighetensvirkemiddelportefølje etter dagens sikkerhetslovikke tilfredsstillende overfor virksomheter somikke følger opp kravene etter lov og forskrift. Til-synsmyndigheten har i medhold av dagens lov § 9første ledd bokstav c), myndighet til å gi påleggom forbedringer dersom avvik avdekkes. Dersomslike pålegg ikke følges opp av den enkelte virk-somhet, er anmeldelse det eneste virkemidlet til-synsmyndigheten har tilgjengelig. Terskelen for ågå til anmeldelse av en virksomhet, vil i de flestetilfeller være høy. Utvalget mener derfor at tilsyns-myndighetens virkemiddelportefølje bør utvidesved at det gis myndighet til å ilegge tvangsmulktdersom det avdekkes brudd på regelverket, ellerder pålegg ikke følges opp innen en gitt tidsfrist. Inærmere angitte tilfeller, bør tilsynsmyndighetenogså kunne ilegge overtredelsesgebyr ved bruddpå regelverket. På samme måte som for påleggs-myndigheten, foreslår utvalget at myndigheten tilå ilegge tvangsmulkt og overtredelsesgebyr børlegges til den myndigheten som er tildelt til-synsansvaret.

7.7.5 Informasjonsdeling

En grunnleggende forutsetning for at virksomhe-ter skal kunne gjøre en tilfredsstillende risiko- ogsårbarhetsanalyse, og iverksette riktige og for-svarlige sikkerhetstiltak, er at de har tilgang tiltidsriktig og relevant informasjon om hvilke trus-ler de er utsatt for. Utvalget har gjennom sittarbeid fått et klart inntrykk av at etterspørselen avslik trusselinformasjon er stor, også fra virksom-heter som i dag forvalter infrastruktur av kritiskbetydning for grunnleggende nasjonale funksjo-ner. Det er utvalgets inntrykk at denne utfordrin-gen også erkjennes fra myndighetens side.

For digital hendelseshåndtering har Lysne-utvalget påpekt viktigheten av å maksimere mulig-hetene innenfor det handlingsrommet som finnesfor deling av informasjon, og har stilt spørsmålved at det ikke har blitt etablert tilstrekkelig sam-arbeid og mekanismer for informasjonsdeling pådette området.52 Utvalget er enig i vurderingen fraLysne-utvalget, og mener at etablering av samar-beid og mekanismer for informasjonsdeling erviktig på alle fagområdene loven gjelder for.

52 NOU 2015: 13, 272.


En forutsetning for å kunne dele gradert trus-selinformasjon med virksomheter, er at disse ersatt i stand til å kunne håndtere slik informasjon.Virksomhetene må da være omfattet av loven, ogvil måtte ha personell som er sikkerhetsklarert ogautorisert for tilgang til slik informasjon. I denutstrekning virksomhetene har behov for åbehandle sikkerhetsgradert informasjon, vil deogså måtte ha informasjonssystemer som er god-kjent for dette.

Utvalget foreslår i lovforslaget at Sikkerhets-myndigheten pålegges å legge til rette for at sek-tormyndigheter og virksomheter som er omfattetav loven får informasjon om trusselvurderinger ogannen sikkerhetsinformasjon som er av betydningfor deres etterlevelse av loven. Ettersom relevantetrusselvurderinger ofte vil utarbeides av andremyndighetsaktører, herunder Politiets sikkerhets-tjeneste og Etterretningstjenesten, vil Sikkerhets-myndigheten i de fleste tilfeller ikke være eier avden informasjonen som skal deles. Sikkerhets-myndigheten, bør imidlertid i kraft av sin funksjonha en generell plikt til å koordinere tilgjengelig-gjøring av slik informasjon og påse at det etable-res nødvendige arenaer for dette. Slik arenaer børetableres i tett samarbeid med aktuelle sektor-myndigheter i de enkelte samfunnssektorene.

Utvalget mener løsningen vil bidra til å maksi-mere mulighetene for å kunne dele sikkerhetsre-levant informasjon med virksomheter som harbehov for denne. Den vil således være et viktigbidrag til at både private og offentlige virksomhe-ter blir satt i bedre stand til å kunne gjøre godevurderinger og iverksette forsvarlige tiltak i sittforebyggende sikkerhetsarbeid.

7.7.6 NorCERT og varslingssystemet for digital infrastruktur

Utvalget har vurdert hvorvidt det burde være enplikt for virksomheter underlagt loven å være til-knyttet varslingssystemet for digital infrastruktur.I likhet med de vurderingene som ble gjort i Prop.97 L (2015–2016), mener imidlertid utvalget atdagens finansieringsmodell for VDI-samarbeidetgjør det utfordrende å lovfeste en slik plikt. Utval-get støtter derfor regjeringens tilnærming om aten eventuell lovfesting av en slikt plikt, bør ses isammenheng med den fremtidige finansierings-modellen for VDI. Utvalget vil i den forbindelseogså fremheve viktigheten av at et slikt arbeidigangsettes raskt.

Videreføringen av NorCERT-funksjonen fore-slås regulert som en egen bestemmelse. Detteskyldes utelukkende at den nasjonale respons-

funksjonen er en operativ funksjon, som ikkenaturlig faller inn under de øvrige fagmyndighets-oppgavene som er foreslått tillagt Sikkerhetsmyn-digheten. Utvalget har ikke vurdert om respons-funksjonen organisatorisk skal plasseres andresteder enn i dag.

Utvalget mener det er viktig at virksomhetersom råder over digital infrastruktur av kritiskbetydning for grunnleggende nasjonale funksjo-ner får tilbud om, og anbefales å tilknytte segdagens VDI-samarbeid. Dette forutsetter at Nor-CERT/VDI kapasitetsmessig innrettes slik at allerelevante aktører gis anledning til slik tilknytning.

7.7.7 Tvisteorgan

Som nevnt over mener utvalget det er behov for åetablere et tvisteorgan som kan ta stilling til kla-ger fra virksomheter som blir underlagt loven vedenkeltvedtak, og til klager fra Sikkerhetsmyndig-heten på departementenes etterlevelse av loven.Formålet med tvisteorganets virksomhet er åkomme frem til de samfunnsmessig beste løsnin-gene i et helhetsperspektiv.

En grunnleggende utfordring med dagens sys-tem for forebyggende sikkerhet etter gjeldendesikkerhetslov er, slik utvalget ser det, at det ikkefinnes noen form for mekanisme for å avklareuenigheter mellom sikkerhetsmyndighetene ogrelevante sektormyndigheter. Justis- og bered-skapsdepartementet har det sektorovergripendeansvaret for forebyggende sikkerhet og bered-skap for de sivile samfunnssektorene, men er iliten grad gitt myndighet til å kunne instruere deulike fagdepartementene i deres arbeid.

Etter dagens sikkerhetslov har Nasjonal sik-kerhetsmyndighet det utøvende ansvaret påvegne av Forsvarsdepartementet og Justis- ogberedskapsdepartementet. Men heller ikke Nasjo-nal sikkerhetsmyndighet, eller de to departemen-tene NSM har fått delegert sin myndighet fra, harnoen instruksjonsmyndighet overfor det øvrigedepartementsfellesskapet.

Sett hen til dagens organisering av statsfor-valtningen, og den strenge praktiseringen av sek-torprinsippet, mener utvalget det vil være vanske-lig å tillegge et enkelt departement en myndighettil å treffe vedtak overfor det øvrige departe-mentsfellesskapet. Utvalget anbefaler derfor atdet etableres et eget kollegialt tvisteorgan som gismyndighet til å treffe vedtak i klagesaker etterloven.

Konkret forslår utvalget at Kongen gis myn-dighet til å peke ut et kollegialt organ med femmedlemmer. Ved oppnevningen av medlemmer


foreslår utvalget at det i tillegg til sikkerhetsfagligkompetanse, skal legges vekt på kompetanseinnen personvern og selvstendige rettssubjektersrettssikkerhet, jf. den foreslåtte formålsbestem-melsen i § 1-1.

Det vil være både effektivt og ha kompetanse-messige fordeler om organet knyttes til eksis-terende strukturer i sentralforvaltningen. Etnaturlig valg i denne sammenheng vil være å eta-blere tvisteorganet under Regjeringens sikker-hetsutvalg (RSU) eller Kriserådet. Tvisteorganetbør derfor sannsynligvis ledes av en representantpå høyt embetsnivå fra SMK.

En slik konstruksjon vil også fordre en sekre-tariatsfunksjon med ansvar for saksforberedelseav klagesakene for organet. Utvalget mener enslik sekretariatsfunksjon burde kunne tilleggesdet nyoppnevnte permanente sekretariatet forRSU. Dette vil imidlertid fordre en styrking avdette sekretariatet.

Tvisteorganet bør ha myndighet til å kunnetreffe midlertidige vedtak i saker som må avgjøresraskt. Utvalget foreslår derfor at leder, eller nest-leder, sammen med minst to medlemmer av orga-net, gis myndighet til å treffe slike vedtak i haste-saker. Et slikt midlertidig vedtak må da følges oppav en etterfølgende saksbehandling, hvor det opp-rinnelige vedtaket underlegges en tilfredsstillendeutredning og saksbehandling. Av hensyn til all-mennhetens tillit til myndighetene, bør tvisteorga-net i lov pålegges å utarbeide en årlig rapport omsin virksomhet. Den årlige rapporten bør innret-tes på en slik måte at den kan gjøres offentlig til-gjengelig.

7.7.8 Vedtaksmyndighet for Kongen i statsråd

Utvalget er enig i at det er behov for en hjemmelfor å kunne stanse virksomhet som kan ha kri-tiske skadevirkninger for grunnleggende nasjo-nale funksjoner, se kapittel 7.2.3, og foreslår der-for å videreføre den vedtatte § 5a i en form som ertilpasset utvalgets lovforslag.

Slik bestemmelsen er utformet i regjeringensforslag, og omtalt i forarbeidene, vil myndighe-tene ha et bredt spillerom i forhold til hvilke typervedtak som kan fattes med hjemmel i den aktuellebestemmelsen. Formålet med bestemmelsen er åetablere en hjemmel i loven for å kunne stanse,eller nærmere regulere enkelte typer virksomhetsom kan innebære en fare for grunnleggendenasjonale funksjoner. Vedtakene må nødvendigvisogså være av en slik art og karakter at de forbyg-

ger slik aktivitet, noe som vil kunne variere ut frahvilken type aktivitet det er tale om.

Samtidig mener utvalget at bestemmelsensinngripende karakter gjør det nødvendig å etable-rer ytterligere rettssikkerhetsgarantier enn detsom følger av regjeringens forslag.

For det første mener utvalget at myndighetentil Kongen i statsråd bør avgrenses til å gjeldeenkeltvedtak, det vil si vedtak som retter seg motbestemte personer eller virksomheter eller nær-mere avgrensede grupper av slike.

For det andre bør det kunne påvises med storgrad av sannsynlighet at den aktuelle aktivitetenvil kunne få slike skadevirkninger at det er tvin-gende nødvendig å gripe inn. Bevisbyrden for ataktiviteten er av en slik alvorlighetsgrad, vilpåligge myndighetene.

For det tredje mener utvalget at det ved avgjø-relsen av hvilke vedtak som skal treffes, måpåligge myndighetene et uttrykkelig forholdsmes-sighetskrav. I dette ligger en plikt til å vurderevedtakets varighet, og forholdsmessigheten mel-lom vedtaket og den risiko aktiviteten utgjør.

Før vedtak fattes må saken utredes så godtsom tiden tillater det. I denne utredningspliktenligger en plikt til å innhente rådgivende uttalelserfra relevante organer, herunder PST, Etterret-ningstjenesten og NSM. I den utstrekning det ermulig bør også berørte parter få anledning til åuttale seg. Dersom tidskritiske forhold medførerat ordinære krav til utredning ikke kan følges, børdet gjennomføres en etterfølgende utredning for åsikre at vedtaket er fattet på et korrekt grunnlag.

Utvalget foreslår at det i forskriftsarbeidetogså vurderes hvorvidt det vil være enkelte typervedtak som vil kunne utløse rett til kompensasjontil personer og virksomheter som får sin rettsligeposisjon svekket som følge av vedtak fattet i med-hold av bestemmelsen. Med kompensasjonmenes i denne sammenheng ikke nødvendigviskompensasjon i form av erstatning. Også andrevirkemidler vil kunne være aktuelle som avbø-tende tiltak.

Etter utvalgets oppfatning fremstår det somrelativt klart at vedtak som innebærer en tvangs-avståelse av eiendom, der eiendomsretten overfø-res til andre, vil kunne utløse erstatningsplikt formyndighetene etter Grunnloven § 105.

Når det gjelder vedtak som innebærer enrådighetsinnskrenkning, vil det måtte gjøres enkonkret helhetsvurdering av om inngrepet frem-står som sterkt urimelig, jf. blant annet Rt. 2005 s.469. På generelt grunnlag mener imidlertid utval-get at denne type vedtak, ut fra at hensynet tilnasjonal sikkerhet som hovedregel ikke vil frem-


stå som sterkt urimelig verken overfor allmennhe-ten eller for den vedtaket retter seg mot. Formåletmed et slikt vedtak vil være å hindre planlagteeller pågående tilsiktede uønskede hendelser,som kan ramme grunnleggende nasjonale funk-sjoner. Utvalget vil også presisere at bestemmel-sen må ses på som en beredskapshjemmel forekstraordinære tilfeller. Forholdet til Grunnlo-ven, den europeiske menneskerettighetskonven-sjonen (EMK) med videre, bør vurderes konkret idet enkelte tilfelle der det blir aktuelt å brukebestemmelsen.

Vedtak fattet av Kongen i statsråd etter dennebestemmelsen, kan ikke påklages til tvisteorga-net. Utvalget mener det vil by på konstitusjonelleutfordringer dersom et vedtak fra Kongen i stats-råd skal kunne påklages til et organ som er utpektav Kongen. Personer eller andre rettssubjektersom blir berørt av et slikt vedtak, vil således værehenvist til å ta rettslige skritt for eventuelt å fåoverprøvd vedtaket.

7.7.9 Generelle krav til forebyggende sikkerhet

Utvalgets forslag til ny lov er gjennomgåendebasert på at det stilles funksjonelle krav til virk-somhetene som omfattes av loven. Den enkeltevirksomhet skal, basert på en risiko- og sårbar-hetsanalyse, iverksette de nødvendige sikkerhets-tiltakene. Så lenge tiltakene tilfredsstiller grunn-leggende krav til sikkerhetsnivå, kan virksomhe-ten selv velge hvilke sikkerhetstiltak som er nød-vendige.

Et sentralt forhold i utvalgets arbeid har værthvilken detaljeringsgrad som er nødvendig for dekravene som oppstilles i loven. På den ene sidentilsier hensynet til den enkelte samfunnssektorssæregenheter at kravene bør gjøres relativt over-ordnede. Et for detaljert sektorovergripenderegelverk, vil kunne innebære risiko for at regel-verket kommer i konflikt med relevant sektorre-gelverk på området. Enkelte utvalgsmedlemmerhar også uttrykt bekymring for at en for detaljertlov kan skape problemer i form av dobbeltregule-ring. Utvalget har hatt en grundig diskusjon avdisse problemstillingene.

Avgjørende for utvalgets vurdering og anbefa-ling har vært hensynet til virksomhetene, og spe-sielt selvstendige rettssubjekters behov for forut-sigbarhet. En for vag og skjønnsmessig angivelseav hvilke krav som oppstilles etter loven, vilsvekke virksomhetens mulighet til å forutberegnesin rettsstilling og til å kunne forstå konsekven-sene av de krav som følger av loven. For å ivareta

en slik forutberegnelighet er det nødvendig atloven trekker opp de ytre rammene, både for myn-dighetenes og virksomhetenes skjønnsutøvelse.Utvalget har derfor anbefalt som et generelt oggjennomgående krav at virksomhetene skal iverk-sette de sikkerhetstiltak som er nødvendige for åoppnå et forsvarlig sikkerhetsnivå. Forholdet tilsektorregelverk er nærmere behandlet i kapittel7.7.12.

At sikkerhetsnivået skal være forsvarlig er enrettslig standard som trekker opp de ytre ram-mene for hvilket handlingsrom virksomhetenehar for etablering av sikkerhetstiltak. Hva som vilutgjøre et forsvarlig sikkerhetsnivå for denenkelte virksomhet, og på de enkelte fagfelteneloven dekker, vil måtte vurderes opp mot hva somanses som god faglig praksis på de enkelte fagom-rådene, herunder informasjons- og informasjons-systemsikkerhet, objekt- og infrastruktursikker-het og personellsikkerhet. Den nærmere grense-dragningen bør, slik utvalget ser det utvikles isamarbeid mellom Sikkerhetsmyndigheten og deaktuelle sektormyndighetene. Dette vil også gimulighet til å kunne gjøre sektorspesifikke tilpas-ninger der det er behov.

I tillegg vil det være en avgjørende forutset-ning for at den enkelte virksomhet skal kunnegjøre en forsvarlig risiko- og sårbarhetsanalyse, atdet gis tilstrekkelig informasjon til at de forstårtrusselbildet. Utvalgets forslag til mekanismer forå kunne tilgjengeliggjøre og dele relevant infor-masjon om trusselbildet, er et viktig virkemiddelfor å sette den enkelte virksomhet i stand til ågjøre forsvarlige vurderinger.

I tillegg vil Sikkerhetsmyndighetens rådgiv-ning være et sentralt bidrag til den enkelte virk-somhets vurdering av hva som utgjør et forsvarligsikkerhetsnivå, sett hen til den trusselen de stårovenfor.

Et annet element som er fremhevet i utvalgetsforslag, er at kostnadene ved sikkerhetstiltak etterloven skal stå i et rimelig forhold til det som opp-nås ved tiltaket. Rett og plikt til å gjøre vurderin-ger av samfunnets samlede nytte ved tiltaket, settopp mot de kostnader sikkerhetstiltaket førermed seg er, slik utvalget ser det, en nødvendigkonsekvens av forslaget om å justere lovens virke-område. Som utvalget har vært inne på i kapittel 6vil justeringen av lovens virkeområde sannsynlig-vis medføre at flere selvstendige rettssubjekterblir omfattet av loven. Økt sikkerhet vil føre tilmange konsekvenser for ulike aktører, inkludertøkonomiske. Det er en fare for at dersom virk-somheten ikke gis anledning til å gjøre kost-/nyt-tevurderinger i forhold til hvilke sikkerhetstiltak


som bør og skal iverksettes, kan dette medføre atkostnadene ved å etablere sikkerhetstiltak bliruforholdsmessig høye. Spesielt for selvstendigerettssubjekter som blir omfattet av loven, vil det iytterste konsekvens kunne virke konkurransevri-dende dersom disse blir pålagt å iverksette ufor-holdsmessig kostbare sikkerhetstiltak.

Hvorvidt virksomhetene etablerer tilfredsstil-lende og forsvarlige sikkerhetstiltak, vil også væregjenstand for tilsynsmyndighetenes kontroll etterloven. Sikkerhetsmyndigheten, og de aktuellesektormyndighetene, har i loven en rekke virke-midler for å kunne påvirke sikkerhetsnivået hosden enkelte virksomhet. Utvalget vil presisere vik-tigheten av at «myke» virkemidler i form av infor-masjon om trusler, råd og veiledning som hoved-regel bør forsøkes først, før det tilsynsmyndighe-ten eventuelt gir konkrete pålegg om iverksettelseav tiltak for å etterleve lovens krav. Også tilsyns-myndighetens pålegg overfor virksomhetene somer omfattet av loven skal være basert på en vurde-ring av samfunnsøkonomisk lønnsomhet – at tilta-kenes samlede nytte for samfunnet overstigerkostnadene de fører med seg.

Ved utarbeidelse og gjennomføring av sikker-hetstiltak er det viktig at det tas hensyn til person-vernet. Som redegjort for i kapittel 5 gjelder per-sonopplysningsloven som utgangspunkt for alletyper virksomheter, herunder virksomheter somomfattes av sikkerhetsloven. Den nye personvern-forordningens virkeområde favner imidlertid ikkeså bredt. Utvalget har ikke fått signaler om at enrevidert personopplysningslov vil få et virkeom-råde tilsvarende forordningen, og på den måtensnevre inn virkeområdet i forhold til dagens lov-givning. Likevel, for å understreke viktigheten avog sikre at virksomheter underlagt sikkerhetslo-ven også for fremtiden tar hensyn til grunnleg-gende personvernprinsipper, mener utvalget atdet i den nye loven bør henvises til prinsippene forbehandling av personopplysninger, slik de frem-går av personvernforordningen artikkel 5. Detskal imidlertid ikke utelukkende tas personvern-hensyn ved utarbeidelse og gjennomføring av sik-kerhetstiltak. Loven viser derfor også til unntaks-bestemmelsen i artikkel 23.

Utvikling av forsvarlighetsstandarden, kombi-nert med virksomhetenes og tilsynsmyndighete-nes plikt til å gjøre vurderinger av samfunnetsnytte sett i forhold til kostnadene, vil også værestyrende for graden av risikoaksept etter den nyeloven. Etter utvalgets vurdering er det ikke mulig,ønskelig eller hensiktsmessig å gjennomføre sik-kerhetstiltak som vil eliminere risikoen for at til-siktede uønskede hendelser inntreffer. Ved å eta-

blere forsvarlige og kostnadseffektive sikkerhets-tiltak, vil man imidlertid kunne redusere sannsyn-ligheten for, og konsekvensene av, slike hendel-ser. I siste omgang vil det være opp til regjeringog Stortinget å definere hvilken risiko som erakseptabel for våre grunnleggende nasjonalefunksjoner. Utvalget mener at forslaget om å eta-blere tverrsektorielle scenarioer, som grunnlagfor virksomhetenes risiko og sårbarhetsanalyser,og for hvilke sikkerhetstiltak som skal iverksettes,vil være et nyttig bidrag for å avgjøre hva som erakseptabel risiko.

For at myndighetene skal kunne danne seg ethelhetlig bilde av sikkerhetsnivået og trusselbil-det for de ulike virksomhetene og samfunnssekto-rene, mener utvalget det er nødvendig å påleggevirksomheter underlagt loven en plikt til å rappor-tere hendelser. Rapporteringslinjene bør iutgangspunktet følge fordelingen av tilsynsansva-ret, slik at den enkelte virksomhet plikter å rap-portere til den aktør som er tillagt tilsynsansvaretter loven. For å ivareta det sektorovergripendeperspektivet, er det imidlertid også nødvendig atSikkerhetsmyndigheten får tilgang til hendelses-rapportering fra alle samfunnssektorer. Utvalgethar vurdert hvorvidt det vil være tilstrekkelig atden enkelte sektormyndighet pålegges å videre-formidle slike varsler til Sikkerhetsmyndigheten,der dette vurderes som relevant. Dette vil imidler-tid kunne medføre at de aktuelle sektormyndighe-tene blir et forsinkende ledd i rapporteringslinjen.I tillegg kan hendelser som blir vurdert som min-dre relevante i en samfunnssektor, kunne væreviktig informasjon for å forstå det helhetlige trus-selbildet – noe sektormyndighetene ikke nødven-digvis har forutsetninger for vurdere. Utvalgetanbefaler derfor at Sikkerhetsmyndigheten vars-les parallelt i de tilfeller en sektormyndighet er til-lagt tilsynsansvar etter loven. En slik dobbeltrap-portering vil medføre noe økt ressursbruk hosSikkerhetsmyndigheten, ved at kapasiteten for åmotta og behandle slike varsler må være tilstrek-kelig dimensjonert. Utvalget mener imidlertid atden sikkerhetsmessige gevinsten ved at Sikker-hetsmyndigheten har et mer fullstendig bilde overhendelser av sikkerhetsmessig betydning, oversti-ger de kostnadsmessige ulempene.

7.7.10 Forskriftsregulering

En rekke av bestemmelsene i utvalgets lovforslaglegger opp til at det skal utarbeides et underlig-gende forskriftsverk innenfor de ulike fagområ-dene loven omhandler. Dette er en naturlig konse-kvens av utvalgets forslag til innretning på loven,


som et overordnet rammeverk for forebyggendenasjonal sikkerhet. Forskriftsmyndigheten er ihovedsak foreslått lagt til Kongen. På særlige vik-tige spørsmål, har utvalget foreslått at for-skriftsmyndigheten legges til Kongen i statsråd,det vil si at myndigheten ikke kan delegeres til detdepartement som innehar forvaltningsansvaretfor loven.

Som nevnt tidligere er utvalgets forslag til nylov gjennomgående basert på at det stilles funksjo-nelle krav til virksomhetene som omfattes avloven. Sett hen til utvalgets mandat om å foreslå etdynamisk og helhetlig lovgrunnlag som er rele-vant og robust med hensyn til dagens og fremti-dens trusselbilde, mener utvalget det er helt nød-vendig at loven har en funksjonell innretning.Funksjonelle krav, hvor det i stor grad overlates tilden enkelte virksomhet å iverksette de tiltak somer nødvendige for å oppnå et forsvarlig sikkerhets-nivå, vil også bidra til en kostnadseffektiv regule-ring og implementering av forebyggende sikker-het.

Utvalget vil presisere viktigheten av at det i detvidere forskriftsarbeidet i så stor utstrekning sommulig benyttes funksjonelle krav. Dersom et funk-sjonelt innrettet lovverk følges opp av et detaljertog kravsbasert forskriftsverk, frykter utvalget atloven ikke vil virke etter sin hensikt.

I lovforslaget legges det som nevnt opp til atdet i utgangspunktet er opp til den enkelte virk-somhet å innrette sikkerhetstiltakene slik at et for-svarlig sikkerhetsnivå oppnås, hvor kostnadenved tiltakene skal stå i et rimelig forhold til detsom oppnås. I dette ligger det også et klart ele-ment av risikoaksept, hvor den enkelte virksom-het på bakgrunn av en risiko- og sårbarhetsana-lyse må ta stilling til hvor mye risiko de er villigetil å akseptere. Den rettslige standarden forsvarligsikkerhetsnivå vil her uansett fungere som enskranke for virksomhetens risikoaksept, somogså gir tilsynsmyndighetene anledning til å kor-rigere virksomheten der sikkerhetsnivået vurde-res som uforsvarlig. I tillegg vil en slik funksjonellinnretning kunne legge til rette for sektorspesi-fikke tilpasninger.

Dersom det i det underliggende forskriftsver-ket fastsettes detaljerte krav til hvordan et forsvar-lig sikkerhetsnivå skal oppnås, vil mulighetenebåde for å kunne gjøre konkrete samfunnsøkono-miske lønnsomhetsvurderinger, og for å gjøresektorspesifikke tilpasninger der det er behov fordette, bli sterkt redusert.

Forskriftsarbeidet bør også gjøres i tett samar-beid mellom ansvarlig departement, Sikkerhets-myndigheten og berørte sektordepartementer og

-myndigheter. Utvalget vil i denne sammenhengvise til utredningsinstruksens krav53 om atberørte departementer, og andre berørte aktører,involveres så tidlig som mulig i utredningsarbei-det. Lovforslagets sektorovergripende karakter til-sier at de aller fleste sektordepartementene, istørre eller mindre grad, vil bli berørt av loven ogdens underliggende forskrifter. Tidlig involveringav berørte aktører vil kunne bidra til at både sek-torovergripende og sektorspesifikke hensyn iva-retas i det videre arbeidet med å utarbeide for-skrifter etter loven.

7.7.11 Forvaltningsansvaret for loven

Utvalget skal i henhold til mandatet, og avhengigav lovens innhold og oppbygging, vurdere hvemsom skal ha ansvar for den fremtidige forvaltningav loven og dens forskrifter. Ved vurderingen avhvilket departement som bør ha forvaltningsan-svaret er det noen sentrale forhold som bør tasmed i betraktningen.

Forvaltningsansvaret for loven innebærer fordet første det overordnede ansvaret for å påse atloven etterleves. Forvaltningsansvaret innebærerogså ansvar for å holde regelverket oppdatert, ogeventuelt fremme forslag til endringer av loven.Det innebærer også myndighet til å kunne gi auto-ritative uttalelser om hvordan loven skal forstås.Normalt sett delegeres også Kongens myndighetetter loven til det departement som innehar for-valtningsansvaret for loven. Slik utvalget vurdererdet, er det med dagens departementsinndelingbare to departementer som vil kunne ivareta etslikt forvaltningsansvar.

Forsvarsdepartementet innehar forvaltnings-ansvaret for dagens sikkerhetslov med underlig-gende forskrifter. Slik dagens lov har vært innret-tet, med et sterkt fokus på statssikkerheten ogbeskyttelse av rikets selvstendighet og sikkerhet,og dermed et primært nedslagsfelt i militær sek-tor, har dette vært en naturlig og riktig løsning.Sikkerhetsloven har også sitt opphav i tidligereinstrukser som i utgangspunktet gjaldt for Forsva-rets virksomhet, basert på krav fastsatt av NATO,blant annet for håndtering av NATO-gradert infor-masjon. Selv om lovens formål og virkeområdeutvides noe for bedre å reflektere den generellesamfunnsutviklingen, vil det vesentlige av lovensnedslagsfelt fortsatt ligge innenfor statssikker-hetsdomenet. Forsvarsdepartementets ansvar for,og kompetanse innenfor, det forsvarsog sikker-

53 Instruks 19. februar 2016 nr. 184, Instruks om utredning avstatlige tiltak (utredningsinstruksen).


hetspolitiske området taler for at forvaltningsan-svaret for loven fortsatt bør tilligge Forsvarsdepar-tementet. Utvalgets lovforslag legger også opp tilat loven fortsatt skal være harmonisert med deforpliktelser Norge har overfor NATO når detgjelder håndtering av sikkerhetsgradert informa-sjon.

På tross av utvidelsen av lovens virkeområde,vil fortsatt Forsvaret være største bruker av loven,både når det gjelder behandling av sikkerhetsgra-dert informasjon, klarering av personell og brukav regelverket for sikkerhetsgraderte anskaffel-ser. Også dette taler for at forvaltningsansvaretbør beholdes av Forsvarsdepartementet.

En mulig betenkelighet utvalget ser ved atForsvarsdepartementet fortsatt gis forvaltnings-ansvaret for loven, er at departementet i mindreutstrekning innehar den kompetansen som ernødvendig for å forstå de sivile samfunnssektore-nes særegenheter og særegne behov.

På den andre siden vil lovforslagets innretningmedføre at loven får et større nedslagsfelt i desivile samfunnssektorene. Utvalget legger tilgrunn at de aller fleste nye virksomheter som vilbli omfattet av loven, vil være fra disse sivile sekto-rene. Justis- og beredskapsdepartementet harallerede i dag det samordnende ansvaret for sam-funnssikkerheten og beredskapen på sivil side. Enoverføring av forvaltningsansvaret til Justis- ogberedskapsdepartementet vil kunne bidra til åunderstøtte Justis- og beredskapsdepartementetsansvar på dette området, og vil kunne styrkedepartementets mulighet til å sette krav til deøvrige departementenes arbeid med forebyg-gende sikkerhet innen eget myndighetsområde.

En mulig betenkelighet utvalget ser ved enoverføring av forvaltningsansvaret til Justis- ogberedskapsdepartementet, er at statssikkerhets-perspektivet, altså ivaretakelse og beskyttelse avstatens suverenitet og territorielle integritet, kanbli utvannet dersom dette utelukkende ses i sam-menheng med det generelle arbeidet med sam-funnssikkerhet og beredskap.

Samlet sett mener utvalget at de beste grunnertaler for at Forsvarsdepartementet fortsatt bør ha

forvaltningsansvaret for sikkerhetsloven. Avgjø-rende for utvalget syn på dette spørsmålet harvært at en effektiv forvaltning og oppfølging avsikkerhetsloven vil kreve god sikkerhetsfagligkompetanse – spesielt innenfor det statssikkerhet-smessige domenet. Denne kompetansen ligger idag i Forsvarsdepartementet. Forvaltningsansva-ret må imidlertid, slik utvalget ser det, utøves i tettsamarbeid med Justis- og beredskapsdepartemen-tet, og dets samordnende ansvar for de sivile sam-funnssektorene og særlige ansvar for beskyttelseav kritisk infrastruktur og kritiske samfunnsfunk-sjoner på sivil side. En slik samhandling vil ogsåvære i tråd med den ansvarsfordelingen som erfastsatt i Kronprinsregentens resolusjon av 4. juli2003 etter dagens sikkerhetslov.

7.7.12 Forholdet til sektorlovgivning

Utvalget har vurdert hvorvidt forslaget til ny lovvil kunne komme i konflikt med ulike sektorregel-verks regulering av forebyggende sikkerhet ogberedskap. Utvalgets vurdering er at lovforslagetsoverordnede og funksjonelle innretning, sammen-holdt med de foreslåtte mekanismene for ansvars-fordeling og samhandling mellom departemen-tene, Sikkerhetsmyndigheten og relevante sektor-myndigheter, gjør at lovforslaget vanskelig vilkunne komme i direkte konflikt med relevant sek-torregelverk. At tilsynsansvaret legges til rele-vante sektormyndigheter, der slike finnes, gjørogså at eventuelle uklarheter som måtte oppstå irelasjonen mellom sektorovergripendeog sektor-spesifikt regelverk, vil kunne oppklares og løsespå en tilfredsstillende måte.

At virksomheter i en samfunnssektor må for-holde seg til flere ulike regelverk, er ikke unikt forforebyggende sikkerhet. I den videre operasjona-liseringen av kravene som stilles, vil virksomhe-tene måtte ta hensyn til regelverk som stiller kravtil sikkerhet både når det gjelder tilsiktede og util-siktede hendelser.


Kapittel 8

Informasjonssikkerhet

8.1 Innledning

Den teknologiske utviklingen og digitaliseringensiden dagens sikkerhetslov ble vedtatt har hattstore konsekvenser både for samfunnet som hel-het og for virksomheter av betydning for nasjonalsikkerhet. Blant annet har digitaliseringen av sam-funnet bidratt til større grad av tverrsektorielleavhengigheter, mer elektronisk behandling av sik-kerhetsgradert materiale og økt IKT-avhengighetfor virksomheter med ansvar for grunnleggendenasjonale funksjoner.

Det er slått fast i mandatet, ble gjentatt ogytterligere belyst av Lysne-utvalget, og er ogsåblitt bekreftet gjennom utvalgets arbeid, at digi-tale angrep utgjør en alvorlig og økende trusselmot norske verdier, og at det stadig oppdages nyesårbarheter i våre IKT-systemer. Dagens regel-verk om informasjonssikkerhet er ikke godt noktilpasset det digitaliserte samfunnet og den raskeutviklingen.

Samfunnsendringene gjør det nødvendig åvidereutvikle regelverket om informasjonssikker-het for virksomheter som er underlagt sikkerhets-loven. En ny sikkerhetslov må ta høyde for fort-satt rask utvikling i samfunnet generelt og IKTspesielt. Den nye loven må videre anerkjenne atgrunnleggende nasjonale funksjoner i storutstrekning er avhengig av velfungerende IKT-systemer og -infrastruktur. Dette gjelder:

– informasjonssystemer som behandler sikker-hetsgradert informasjon, som uttrykkelig skalbeskyttes etter dagens lov

– andre IKT-systemer som er av kritisk betyd-ning for grunnleggende nasjonale funksjoner.Det kan være informasjons- og kommunika-sjonssystemer i en virksomhet som er så viktigat dersom de ikke virker, evner ikke virksom-heten å opprettholde sin kritiske rolle i under-støttelsen av en grunnleggende nasjonal funk-sjon

– kontroll- og styringssystemer som har enavgjørende rolle for styring av viktige proses-

ser og tjenesteleveranser i ulike sektorer somfølge av økt digitalisering, eksempelvis i infra-struktur for telekom og strømproduksjon.

De to sistnevnte IKT-systemene er av kritiskbetydning for grunnleggende nasjonale funksjo-ner, men beskyttes ikke direkte i dagens lov –med mindre de er utpekte som skjermingsverdigeobjekter etter objektsikkerhetsregelverket.

Utvalgets mål med nye regler for informa-sjonssikkerhet er at reglene skal være tilpassetdigitaliseringen av samfunnet. Reglene må leggetil rette for et forsvarlig og tilpasset sikkerhetsnivåfor den enkelte virksomhet, både sett opp imotdagens trussel- og sårbarhetsbilde og fremtidigeutfordringer.

Dagens sikkerhetslov beskytter informasjonsærlig mot faren for at den blir kjent for uvedkom-mende. Utvalget har vurdert om ivaretakelse avinformasjonens integritet og tilgjengelighet er til-strekkelig ivaretatt i dagens sikkerhetslovgivning.

Utvalget har også sett nærmere på om dagensbestemmelser om informasjonssystemsikkerhetgir god nok beskyttelse. Utvalget har herunderdrøftet hvor i loven de nye bestemmelsene ombeskyttelse av informasjonssystemer bør plasse-res. IKT-systemer som behandler sikkerhetsgra-dert informasjon har nær sammenheng med infor-masjonssikkerhet, mens kontroll- og styrings-systemer hører mer naturlig sammen med infra-struktursikkerhet. Imidlertid er det også en delfellesnevnere, hvilket taler for en felles behand-ling av alle typer IKT-systemer.

En neste utfordring har vært detaljeringsni-vået på bestemmelsene. Det er svært ulike IKT-systemer som skal beskyttes og reglene skal fun-gere over tid – to momenter som taler for et lavtdetaljeringsnivå. Samtidig er det viktig at reglersom har personvernkonsekvenser er så detaljerteat det er mulig å forstå hva de faktisk innebærer –et moment som tilsier et høyere detaljeringsnivå.

Mandatet nevner særskilt at utvalget må vur-dere behovet for å beskytte informasjon som ersensitiv, men ugradert. Utvalget mener dette først


og fremst må ses i tilknytning til lovens virkeom-råde og tydeligere regler om beskyttelse av IKT-systemer.

Ifølge mandatet skal utvalget «se hen til EU-kommisjonens forslag av 7. februar 2013 til direk-tiv om tiltak for å sikre et høyt felles nivå for nett-verk- og informasjonssikkerhet i EU». Utvalget erogså bedt om å identifisere eventuelle behov foren harmonisering av den fragmenterte lovregule-ringen av informasjonssikkerhet, samt å foreslåen modernisering av beskyttelsesinstruksen.

Når informasjon sikkerhetsgraderes, gjøresden samtidig utilgjengelig for allmennheten.Offentlighetsprinsippet er viktig og må ivaretas.Utvalget vurderer derfor det nye lovforslaget oppmot offentlighetsloven.

Det finnes en rekke lover og forskrifter somregulerer informasjonssikkerhet i Norge. Noenregler er sektorovergripende og andre er sektor-spesifikke. Sikkerhetsloven og forskrift om infor-masjonssikkerhet står helt sentralt for beskyttelseav informasjon som har betydning for nasjonal sik-kerhet, og blir gjennomgått først. Videre vil utval-get behandle sektorovergripendeog sektorspesi-fikt regelverk.


Informasjons- og informasjonssystemsikkerhet erregulert i sikkerhetsloven kapittel 4. Kapitteletinneholder helt grunnleggende bestemmelser ominformasjonssikkerhet, som sikkerhetsgraderingav informasjon, og enkelte bestemmelser ominformasjonssystemsikkerhet, kryptosikkerhetog tekniske sikkerhetsundersøkelser.

Lovbestemmelsene er relativt generelle ogsamtlige inneholder forskriftshjemmel. I § 13 omsikkerhetsmessig godkjenning og § 14 om krypto-sikkerhet er forskriftsmyndigheten gitt til Nasjo-nal sikkerhetsmyndighet. For øvrige bestemmel-ser er forskriftsmyndigheten gitt til Kongen.

Mange av forskriftsbestemmelsene innenforinformasjons- og informasjonssystemsikkerhet ersamlet i informasjonssikkerhetsforskriften.1 For-skriften gir gjennom 12 kapitler detaljerte bestem-melser om sikkerhetsgradering, tilgang til sikker-hetsgradert informasjon, dokumentsikkerhet,informasjonssystemsikkerhet, fysisk sikring motulovlig inntrenging, administrativ kryptosikker-het, kurerposttjeneste, sikring av blant annet kon-feranserom mot uønsket avlytting og innsyn, tek-

niske sikkerhetsundersøkelser, samt monitoringav og inntrengning i informasjonssystemer.

8.2.1 Informasjonssikkerhet

De grunnleggende prinsippene for hvordan sik-kerhetsgradert informasjon skal håndteres ernedfelt i lovgivningen. Hovedelementene i regule-ringen består av en verdivurdering for åbestemme hvilken informasjon som skal beskyt-tes, samt sikkerhetsgradering av skjermingsver-dig informasjon og gjennomføring av passendesikkerhetstiltak.

I sikkerhetsloven § 12 pålegges den som får til-gang til sikkerhetsgradert informasjon taushets-plikt. Det fremgår av sikkerhetsloven § 11 at for åbestemme hvilken informasjon som skal beskyt-tes i henhold til loven, skal det foretas en verdivur-dering og en sikkerhetsgradering ut fra informa-sjonens skadepotensiale dersom den blir kjent foruvedkommende:

a) STRENGT HEMMELIG nyttes dersom detkan få helt avgjørende skadefølger for Nor-ges eller dets alliertes sikkerhet, forholdettil fremmede makter eller andre vitalenasjonale sikkerhetsinteresser om informa-sjonen blir kjent for uvedkommende.

b) HEMMELIG nyttes dersom det alvorligkan skade Norges eller dets alliertes sik-kerhet, forholdet til fremmede makter ellerandre vitale nasjonale sikkerhetsinteresserom informasjonen blir kjent for uvedkom-mende.

c) KONFIDENSIELT nyttes dersom det kanskade Norges eller dets alliertes sikkerhet,forholdet til fremmede makter eller andrevitale nasjonale sikkerhetsinteresser ominformasjonen blir kjent for uvedkom-mende.

d) BEGRENSET nyttes dersom det i noengrad kan medføre skadefølger for Norgeseller dets alliertes sikkerhet, forholdet tilfremmede makter eller andre vitale nasjo-nale sikkerhetsinteresser om informasjo-nen blir kjent for uvedkommende.

Systemet bygger på en forutsetning om en bety-delig større grad av risikoaksept på det lavgra-derte nivået sammenlignet med det høygraderte.Det nærmere innholdet i begrepet «Norges ellerdets alliertes sikkerhet...» ble drøftet underkapittel 6.2.

Det er den som utsteder eller på annen måtetilvirker skjermingsverdig informasjon som plik-1 Forskrift 1. juli 2001 nr. 744 om informasjonssikkerhet.


ter å sørge for at informasjonen merkes med aktu-ell sikkerhetsgrad, jf. sikkerhetsloven § 11 andreledd. Det ligger i dette for det første en plikt til åforeta en verdivurdering av informasjonen og fordet andre en plikt til å merke informasjonen. Detskal ikke brukes høyere sikkerhetsgradering ennnødvendig. I bestemmelsens tredje og fjerde ledder det gitt nærmere regler om graderingstid oginngåelse av sikkerhetsavtaler med andre nasjo-ner eller internasjonale organisasjoner.

Det andre sentrale vurderingstema i hva somutgjør den nedre grense for hvilken informasjonsom skal beskyttes (BEGRENSET), er hva somligger i uttrykket «i noen grad kan medføre skade-følger». Forarbeidene2 gir noe veiledning:

Forskjellen mellom KONFIDENSIELT («kanskade») og BEGRENSET («i noen grad kanmedføre skadefølger») ligger etter dette førstog fremst i at skaderisikoen kan være mindresannsynlig og omfattende, og mer indirekte,når det gjelder informasjon som skal sikker-hetsgraderes BEGRENSET, enn for informa-sjon som skal sikkerhetsgraderes KONFI-DENSIELT.

Forarbeidene trekker frem noen eksempler:

Opplysninger som må skjermes for å fore-bygge alvorlige terrorhandlinger, selv om ter-rorhandlingene ikke utføres av eller for enfremmed makt e l og således ikke nødvendig-vis vil direkte berøre rikets territorielle sikker-het. En annen grunn til å medta begrepet erhensynet til situasjoner hvor norske vitale sik-kerhetsinteresser gjør seg gjeldende i utlandet,eksempelvis hensynet til å forebygge alvorligetrusler mot sikkerheten til norske styrker somdeltar i internasjonale fredsoperasjoner, hvisbeskyttelse neppe kan sies å berøre rikets sik-kerhet.

Den nedre grensen for informasjon som skal sik-res må være av en slik art at den har et visst ska-depotensiale. Ikke nødvendigvis for rikets territo-rielle sikkerhet, men helt essensielle og sam-funnsviktige funksjoner må være utsatt.

Da verdivurderingen av informasjon viser atinformasjonen, om den blir kjent for uvedkom-mende, har et visst skadepotensiale for nasjonalsikkerhet, gjelder sikkerhetsloven og dens for-skrifter. Informasjonen skal merkes med sikker-hetsgraderingen BEGRENSET og behandles der-

etter. Høyere graderinger krever strengere sik-kerhetstiltak, men også behandling av informa-sjon på det laveste nivået krever en rekke tiltak.

Personer som skal ha tilgang til informasjonenmå autoriseres, og taushetsplikt inntrer. Informa-sjonssystemene og kryptosystemene som brukestil gradert informasjon må godkjennes. Nasjonalsikkerhetsmyndighet kan foreta tekniske sikker-hetsundersøkelser av virksomheten. Ved sikker-hetsgraderte anskaffelser må det inngås sikker-hetsavtale. Avtaler med utenlandske leverandørermå godkjennes av Nasjonal sikkerhetsmyndighet.Plikter som følger av forskrift om sikkerhetsadmi-nistrasjon må følges. Informasjonssikkerhetsfor-skriften har regler om merking, journalføring, for-sendelse, utlån, tilintetgjøring med mer av doku-menter. Forskriften stiller også systemtekniske ogadministrative krav til graderte informasjons-systemer, krav om fysisk sikring mot ulovlig inn-trengning, samt krav til kryptosystemer som skalbenyttes.

8.2.1.1 Informasjonssystemsikkerhet

Ut over plikten til at informasjonssystemer skalgodkjennes før de kan behandle sikkerhetsgra-dert informasjon, jf. kapittel 8.2.1.2, følger degrunnleggende bestemmelsene om beskyttelse avinformasjonssystemer av informasjonssikkerhets-forskriften kapittel 5. Det heter i forskriften § 5-1at sikkerhet i informasjonssystemer skal vurderesopp mot de grunnleggende egenskapene autensi-tet, konfidensialitet, integritet og tilgjengelighet tilsystemets data og tjenester. Videre fremhevesbrukernes ansvarlighet for egne handlinger og til-liten til at sikkerhetstiltak er korrekt implemen-terte og ivaretar sikkerheten på en effektiv oghensiktsmessig måte. § 5-2 setter som hovedmålfor sikkerheten en sikker plattform, sikker drift,vedlikehold og sikker hendelseshåndtering oggjenoppretting.

I forskiften §§ 5-3 og 5-4 gis det bestemmelserom hva som skal oppnås gjennom sikkerhetstil-tak. For eksempel skal tilgjengelighet sikres vedat data beskyttes mot uønsket sletting og tjenesterbeskyttes mot uønsket reduksjon/stans. Tilta-kene skal videre forebygge, detektere, reagere på,kontrollere sikkerhetsbrudd, samt gjenoppretteinformasjonssystemets sikre tilstand.

Sikkerhetsprinsipper som skal legges tilgrunn ved utarbeidelse av tiltak, følger av forskrif-ten § 5-5, se tekstboks 8.1. Videre gis det i forskrif-ten kapittel 5 regler om systemtekniske og admi-nistrative sikkerhetskrav, sikkerhetsgodkjenning

2 Ot.prp. nr. 49 (1996–97) punkt 7.2.2


av informasjonssystemer og sikkerhetsdokumen-tasjon.

8.2.1.2 Sikkerhetsmessig godkjenning av informasjonssystemer

Det er i forarbeidene lagt til grunn at sikkerhets-messig kontroll av informasjonssystemer først ogfremst skal skje i form av forutgående godkjen-ning. Det fremgår av sikkerhetsloven § 13 atNasjonal sikkerhetsmyndighet, eller den debemyndiger, må forhåndsgodkjenne informa-sjonssystemer som skal behandle sikkerhetsgra-dert informasjon. Informasjonssystemer som ikkebehandler sikkerhetsgradert informasjon er ikkeregulert i loven.

Det følger av informasjonssikkerhetsforskrif-ten § 5-28 Godkjenningsansvarlig at det i utgangs-punktet er virksomhetens leder som er godkjen-ningsansvarlig. Det fordrer imidlertid at systemeter lokalisert i Norge og at det ikke har forbindelsetil andre systemer utenfor egen virksomhet, uten-for kontrollert område eller til utlandet. Avhengig

av systemets operasjonsmåte, kan virksomhetsle-deren godkjenne systemer som skal behandle opptil og med HEMMELIG informasjon. Systemersom skal behandle STRENGT HEMMELIG infor-masjon godkjennes alltid av Nasjonal sikkerhet-smyndighet.

8.2.1.3 Monitoring

Etter at systemene er tatt i bruk kan de kontrolle-res ved inspeksjon, monitoring og inntreng-ningstesting for å avdekke uregelmessigheter ibehandlingen av gradert informasjon og under-søke systemenes motstandsdyktighet og sikker-hetstilstand.

Monitoring av informasjonssystemer som sik-kerhetstiltak reguleres i sikkerhetsloven § 15 oginformasjonssikkerhetsforskriften kapittel 11.Kort fortalt gis virksomheten anledning til åbenytte seg av Nasjonal sikkerhetsmyndighetskompetanse for gjennomføring av dette spesifikketiltaket.

Begrepet monitoring i sikkerhetslovens for-stand innebærer ifølge forarbeidene kontroll av«tjenestlig kommunikasjon i og mellom informa-sjonssystemer, gjennom avlytting av tale eller avle-sing av elektroniske signaler». Hensikten medmonitoring er «å avdekke om det lagres, behand-les eller kommuniseres informasjon med høyeresikkerhetsgrad eller skjermingsverdi enn detsystemet er godkjent for», jf. informasjonssikker-hetsforskriften § 11-1.

Monitoring er et inngripende tiltak og i forar-beidene diskuteres behovet for monitoring oppmot personvern- og rettssikkerhetskonsekven-sene. Om behovet for videreføring av tiltaket ogom hensynet til personvernet uttales det at:

Det er departementets syn at monitoring er etviktig tiltak for å oppnå god forebyggendeinformasjonssikkerhet, og at monitoringtje-nesten således bør opprettholdes. Sikkerhets-brudd forekommer fremdeles. Rapporter fraNasjonal sikkerhetsmyndighet om sikkerhets-brudd blir tatt alvorlig av avdelinger i Forsva-ret, og ordningen må antas å ha en positiveffekt ved å bidra til å hindre at et større antallkompromitteringer forekommer. Ordningen eret supplement, ikke et alternativ, til andre vir-kemidler for å oppnå respekt for skjermings-verdig informasjon. For øvrig bør nevnes atdagens monitoringstjeneste uansett må opp-rettholdes som følge av forpliktelser etterNATOs regelverk. […]

Boks 8.1 Informasjonssystem-sikkerhet – sikkerhetsprinsipper:

a) Minimalisme. Sikkerhetsrelevante funksjo-ner skal ikke ha mer funksjonalitet ellerkompleksitet enn strengt nødvendig for åutføre sin tilsiktede oppgave.

b) Minste privilegium. Brukere og funksjonerskal bare tildeles rettigheter som erstrengt nødvendige.

c) Redundans. Funksjoner skal ha ekstrakapasitet for å tåle overbelastning ogutstyrssvikt.

d) Forsvar i dybden. Flere funksjoner skalivareta samme sikkerhetsbehov.

e) Selvbeskyttelse. Funksjoner skal ikke haunødige sikkerhetsmessige avhengighe-ter til andre sikkerhetsdomener. Dettegjelder både internt i systemet, for eksem-pel mellom avdelinger, og eksternt motandre informasjonssystemer.

f) Kontrollert dataflyt. Informasjonsutveks-ling skal følge veldefinerte mønstre som erunderlagt sentral kontroll.

g) Balansert styrke. Sikkerhetsnivået til funk-sjoner som ivaretar samme sikkerhetsbe-hov skal være tilnærmet likt på tvers avsystemet.


De gjeldende restriktive begrensningermht gjennomføringen av kontrollen, vil natur-ligvis bli opprettholdt. Den Norske Advokatfo-rening uttaler om dettte i sin høringsuttalelseat en «... har merket seg at det foreslås lovfestetat monitoring ikke i noe tilfelle skal omfatte pri-vat kommunikasjon som blir formidlet til ellerfra andre enn virksomheter og at informasjonsom fremkommer ved kontroll skal makuleresnår den ikke lenger har betydning for kontrol-len. Av personvernhensyn er det viktig at det iforskriftene etableres betryggende kontroll-rutiner for å sikre at disse regler blir fulgt.»Departementet slutter seg til uttalelsen, og vilsørge for at betryggende kontrolltiltak iverk-settes.3

Om konklusjonen uttaler departementet:

Dagens monitoringsvirksomhet har etterdepartementets oppfatning et aktverdig for-mål, representerer ikke et uforholdsmessiginngrep og kan ikke ses å ha vesentlige retts-sikkerhetsmessige implikasjoner, bl.a tatt ibetraktning de begrensninger og retningslin-jer for gjennomføring av monitoring som ernedfelt i gjeldende direktiver gitt av Forsvars-sjefen. Selv om hjemmelsgrunnlaget anses til-fredsstillende i dag, basert på eierrådighetsbe-traktninger og avtale-/samtykkesynspunkter,vil det være naturlig å lovfeste hovedregleneom monitoring i en samlet lov om forebyg-gende sikkerhetstjeneste.

Av rettssikkerhets- og personvernhensyn stillerloven flere absolutte krav som må være oppfylt førmonitoring kan iverksettes. Den virksomhet somskal kontrolleres må enten selv anmode om eller,dersom NSM har tatt initiativet, samtykke til gjen-nomføring av kontrollen. Samtykket eller anmod-ningen skal skje skriftlig, jf. informasjonssikker-hetsforskriften § 11-4 fjerde ledd. Monitoring kandessuten kun iverksettes i virksomheter som erunderlagt sikkerhetsloven og bare tjenestlig kom-munikasjon kan kontrolleres. Dersom det i løpetav kontrollen viser seg at nevnte vilkår ikke eroppfylt, skal monitoringen avbrytes umiddelbart,jf. informasjonssikkerhetsforskriften § 11-7.

Det stilles også krav om at alle ansatte ogandre direkte berørte må varsles i forkant om atdet vil bli gjennomført kontroll, om hensiktenmed og varigheten av kontrollen, at NSM gjen-nomfører og på hvilken måte kontrollert informa-

sjon blir behandlet. Det er kun NSM som kangjennomføre monitoring i henhold til sikkerhets-loven. Etter endt monitoring skal NSM rapporteretil virksomheten om resultatet av kontrollen.

8.2.1.4 Inntrengning i informasjonssystemer

Inntrengningstesting reguleres sammen medmonitoring i sikkerhetsloven § 15 og informa-sjonssikkerhetsforskriften kapittel 11. De to sik-kerhetstiltakene har en del til felles, men det erogså noen forskjeller.

Hensikten med inntrengningstesting er å kon-trollere om sikkerhetsgradert informasjon blirbeskyttet i samsvar med fastsatte krav, gjennomprøving av motstandsdyktigheten i informasjons-systemer, jf. informasjonssikkerhetsforskriften§ 11-2.

Som for monitoring kan kontrollen i utgangs-punktet kun gjennomføres i virksomheter under-lagt sikkerhetsloven, og det er NSM som står forgjennomføringen. Videre må det foreligge anmod-ning eller samtykke fra virksomheten før inn-trengningstesting kan settes i gang. Det er ogsåtilsvarende regler om varsling av ansatte og andreberørte. I tillegg skal det informeres om hvordaneventuelle oppdagede avvik vil bli fulgt opp. Det erikke en tilsvarende regel om å avbryte kontrollendersom kontrolløren kommer over privat informa-sjon, slik som det er for monitoring.

NSM skal rapportere til virksomheten etter atkontrollen er ferdig.

8.2.1.5 Sikkerhetsmessig overvåkning av informasjonssystemer

Regjeringen fremmet i Prop. 97 L (2015–2016) omendringer i sikkerhetsloven, forslag om en nybestemmelse § 13a om sikkerhetsmessig over-våkning av informasjonssystemer.

Forslaget går ut på at virksomhetene selv skalsørge for overvåkning av sine informasjons-systemer, med mål om å avdekke ulovlig inntreng-ning. Begrunnelsen for lovfesting er dels at over-våkningen kan gripe inn i personvernet, dels atdet er et økende behov for overvåkning og dels atdet må klargjøres hva som inngår i sikkerhets-messig overvåkning.

Overvåkningen skal bidra til å motvirke sik-kerhetstruende virksomhet mot informasjonssys-temet, særlig i form av ondsinnet programvare.Overvåkning av systemet innebærer både regis-trering og lagring av aktivitet i systemet (logging),automatiserte alarmer og manuell sammenstilling

3 Ot.prp. nr. 49 (1996–97), 46–47.


og analyse av data relatert til sikkerhetstruendehendelser. Som det fremgår av forarbeidene:

skal loggingen gjøre virksomheten i stand til åforeta en vurdering av omfanget og karakterenav skaden som har oppstått, gjenopprette sik-ker tilstand, samt sikre sporbarhet og ansvar-lighet for utførte handlinger i samsvar med kra-vene i sikkerhetsloven for øvrig.4

For at overvåkningen skal være effektiv, vil det imange tilfeller være behov for overvåkning ogsåav innholdet i kommunikasjonen. I den grad detkommuniseres informasjon som er personsensi-tiv, kan overvåkning kun tillates etter å ha fulgtprosedyrene oppstilt i kapittel 5.7. Om ivareta-kelse av personvernhensyn uttales det i forarbei-dene s. 38):5

Departementet vil innledningsvis presisere atforslaget er avgrenset til systemer som er god-kjent for behandling av sikkerhetsgradertinformasjon. Dette er systemer som er klareetterretningsmål, og som derfor må ha et høytsikkerhetsnivå. Sikkerhetsmessig overvåkingav disse systemene slik at angrep på et tidligtidspunkt kan oppdages, og omfanget kartleg-ges, framstår derfor etter departementets vur-dering som nødvendig. De systemer som vilvære gjenstand for overvåking etter forslagets§ 13 er i mindre grad egnet til, eller beregnetfor, kommunikasjon av privat karakter, ellerannen type privat bruk. Dette er lukkedesystemer uten direkte tilknytning til internett.Omfanget av privat kommunikasjon og privatbruk av disse systemene vil derfor værebegrenset. Det vil likevel være slik at kommu-nikasjon av privat karakter vil kunne fore-komme, da primært som e-post eller nettpratmed videre, mellom brukerne i det lukkedesystemet. […]

Omfanget av systemer som blir gjenstandfor sikkerhetsmessig overvåking etter § 13 a erogså av et begrenset omfang. Det er kun etfåtall systemer i offentlig forvaltning som ergodkjent for å behandle sikkerhetsgradertinformasjon, og som således vil være underlagtkravene til sikkerhetsmessig overvåking i § 13a.

Det pekes også på mulige tiltak, blant annet sære-gen lagring av loggdata, tilgangsrestriksjoner,

informasjon, opplæring av personell, som skal iva-reta personvernhensyn. Departementet viser ogsåtil forholdsmessighetsprinsippet i gjeldende sik-kerhetslov § 6 om at det ikke skal brukes mer inn-gripende midler og metoder enn det som framstårsom nødvendig. Det bemerkes dessuten at omfan-get av logging vil være større på høyt gradertesystemer enn på de lavere graderte systemene.

Stortinget har, i forbindelse med behandlingenav Innstilling 352 L (2015–2016) til Prop. 97 L(2015–2016) om endringer i sikkerhetsloven, ved-tatt regjeringens forslag til ny bestemmelse omsikkerhetsmessig overvåkning av informasjons-systemer. Ettersom den nye bestemmelsen ikkehar trådt i kraft ennå, er informasjonssikkerhets-forskriften § 5-2 fortsatt den gjeldende regulerin-gen av sikkerhetsmessig overvåkning.

8.2.1.6 Tekniske sikkerhetsundersøkelser

Et siste tiltak som hjemles i sikkerhetsloven, ertekniske sikkerhetsundersøkelser som skalavdekke illegalt avlyttingsutstyr og eventuelle sår-barheter i blant annet den fysiske sikringen.Nasjonal sikkerhetsmyndighet kan i medhold av§ 16 gjennomføre tekniske sikkerhetsundersøkel-ser (TSU) av steder der sikkerhetsgradert infor-masjon skal behandles, for å avverge uønsketavlytting og innsyn.

Det nærmere innholdet er regulert i informa-sjonssikkerhetsforskriften kapittel 10. Formålet,bakgrunnen og behovet for TSU er beskrevet sliki forarbeidene:

Hovedformålet med TSU-tjenesten er å avsløreillegalt avlyttingsutstyr og eventuelt påvise desvakheter i bygningskonstruksjoner, installa-sjoner og fysisk sikring som er av en slik art atde øker faren for avlytting o l, slik at nødven-dige forholdsregler kan iverksettes. TSU vilogså ha som formål å virke avskrekkende bl.aoverfor potensielle avlyttere. TSU-tjenesten måopprettholdes også av hensyn til våre NATO-forpliktelser.6

I tillegg fremgår det av informasjonssikkerhets-forskriften § 10-1 at noe av hensikten med TSU erå gi Nasjonal sikkerhetsmyndighet grunnlag for ågi råd eller pålegg om hvordan sårbarhetene somavdekkes kan reduseres eller fjernes.

Nasjonal sikkerhetsmyndighet kan delegereTSU-oppdrag til andre, jf. sikkerhetsloven § 16.Forskriften stiller krav om at de som eventuelt

4 Prop. 97 L (2015–2016), 39.5 Prop. 97 L (2015–2016), Ibid., 38. 6 Ot.prp. nr. 49 (1996–97), 42.


bemyndiges til å gjennomføre TSU må ha leveran-dørklarering for HEMMELIG eller høyere, at demå rapportere til virksomhetens leder i etterkantav gjennomført TSU, og at utstyr og teknikkersom benyttes i en TSU minst skal graderesBEGRENSET.

Det forutsettes i forarbeidene at TSU somhovedregel vil være avtalt med den enkelte virk-somhet:

I motsetning til monitoring av og inntrengningi informasjonssystemer, bør det ikke kreves atvirksomheten på forhånd skal være gjort kjentmed og ha gitt samtykke til undersøkelsene.TSU blir kun utført der det (skal) behandleseller tales skjermingsverdig informasjon. Tje-nesten må betraktes som en regulær godkjen-nings- og inspeksjonsvirksomhet for å fore-bygge og kontrollere at skjermingsverdiginformasjon ikke kompromitteres, og kan sam-menlignes med hva som gjelder ved inspeksjonav dokumentsikkerhet. Det ligger imidlertid idagen at undersøkelsene normalt vil være for-håndsvarslet og avtalt på forhånd med denberørte virksomhet, da dette vil være mest hen-siktsmessig for begge parter og gjøre prosedy-ren mer planmessig og effektiv.

At Nasjonal sikkerhetsmyndighet på eget initiativkan gjennomføre TSU, er direkte hjemlet i infor-masjonssikkerhetsforskriften § 10-2 andre ledd.

8.2.1.7 Kryptosikkerhet

Det går frem av sikkerhetsloven § 14 at «[b]arekryptosystemer som er godkjent av Nasjonal sik-kerhetsmyndighet, tillates brukt for beskyttelseav skjermingsverdig informasjon». Bestemmelsenfastsetter også at Nasjonal sikkerhetsmyndigheter nasjonal forvalter av kryptomateriell og leve-randør av kryptosikkerhetstjenester. De gis ogsåhjemmel til å fastsette nærmere bestemmelser omkrypto i forskrift, hvilket er gjort i informasjons-sikkerhetsforskriften kapittel 7.

8.3 Annet relevant regelverk

8.3.1 Sektorovergripende regelverk

Personopplysningsloven og personopplysnings-forskriften har egne bestemmelser om informa-sjonssikkerhet. Reglene har et stort nedslagsfeltog for virksomheter som forvalter samfunnskri-tisk infrastruktur, men som ikke behandler infor-masjon som er gradert etter sikkerhetsloven, er

det antakelig personopplysningsforskriftensbestemmelser som er det regelverket for informa-sjonssikkerhet de forholder seg til i praksis.7

Personopplysningsloven § 13 Informasjonssik-kerhet pålegger den som er ansvarlig for behand-lingen av personopplysninger å «gjennom plan-lagte og systematiske tiltak sørge for tilfredsstil-lende informasjonssikkerhet med hensyn til konfi-densialitet, integritet og tilgjengelighet vedbehandling av personopplysninger». Det følger avEUs personverndirektiv 95/46/EF artikkel 17(som er implementert i personopplysningsloven),krav til forholdsmessige sikkerhetstiltak mot bådetilfeldig og ulovlig ødeleggelse, og en dynamisktilpasning til endringer i den teknologiske utvik-lingen. Nærmere krav til ivaretakelse av informa-sjonssikkerheten følger av personopplysningsfor-skriften kapittel 2. Innholdsmessig går kravene utpå å etablere og etterleve et internt styringssys-tem, beslektet med det som er foreskrevet i innar-beidede internasjonale best practice-standarder.8

§§ 2-10 – 2-13 inneholder bestemmelser om hen-holdsvis, fysisk sikring og sikring av konfidensiali-tet, tilgjengelighet og integritet. Verdt å nevne erogså § 2-15 som pålegger den behandlingsansvar-lige å forsikre seg om at den man overfører per-sonopplysninger til tilfredsstiller kravene i for-skriften.

Etter personopplysningsforskriften § 2-1 gjel-der det forholdsmessige krav om sikring av per-sonopplysninger. Tiltakene som treffes i medholdav forskriften skal «stå i forhold til sannsynlighe-ten for og konsekvens av sikkerhetsbrudd». Tilta-kene retter seg ikke mot å identifisere eller sikresamfunnskritiske funksjoner eller infrastruktur.Oppfyllelse av kravene bidrar antakelig til et høy-ere sikkerhetsnivå i den enkelte virksomhet, oghar på den måten positiv effekt utover bare åbeskytte personopplysninger.

For de aller fleste forvaltningsorganer oppfyl-les kravene til informasjonssikkerhet i eForvalt-ningsforskriften 25. juni 2004 nr. 988, gitt i med-hold av forvaltningsloven av 10. februar 1967§ 15a, gjennom det samme styringssystemet somde følger etter personopplysningsforskriften.9

Forskriften gjelder for offentlig forvaltning somkommuniserer elektronisk med innbyggere,næringsliv eller andre forvaltningsorganer.Bestemmelsene om informasjonssikkerhet byg-

7 Herbjørn Andersen, Kartlegging av sektorlovgivning somregulerer virksomheters tiltak mot tilsiktede hendelser, Høg-skolen i Oslo og Akershus, elektronisk vedlegg 1, 8.

8 Ibid., 8.9 Ibid., 9.


ger i all hovedsak på samme best practice-grunn-lag som personopplysningsforskriften.

8.3.2 Utvalgt sektorregelverk

I finanssektoren har Finanstilsynet gitt IKT-for-skriften som blant annet oppstiller krav om plan-legging, risikoanalyse, tilgangskontroll, system-vedlikehold og prosedyrer for avviks- og endrings-håndtering.10 Verdt å nevne er forskriften § 5, somretter seg direkte mot tilsiktede uønskede hendel-ser:

Foretaket skal utarbeide prosedyrer som skalsikre beskyttelse av utstyr, systemer og infor-masjon av betydning for foretakets virksomhet,jf. § 1, mot skader, misbruk, uautorisertadgang og endring, samt hærverk.

Bestemmelsen henviser til personopplysninger ogfastslår at oppfyllelse av personopplysningsfor-skriftens krav til informasjonssikkerhet, skalanses som oppfyllelse av kravene i § 5. Forskriftenskal sikre at IKT-virksomheten leverer de tjenes-ter som er avtalt, også der hele eller deler av IKT-virksomheten er utkontraktert til andre aktører.

Forskrift om forebyggende sikkerhet ogberedskap i energiforsyningen 7. desember 2012nr. 1157, hjemlet i energiloven, har i kapittel 6 og 7bestemmelser om henholdsvis informasjonssik-kerhet og driftskontrollsystemsikkerhet. Kapittel6 oppstiller kriterier for hva som regnes som kraft-sensitiv informasjon, og krav til at virksomheteneskal identifisere den sensitive informasjonen, vitehvor den befinner seg, og vite hvem som har til-gang til den. Kapittel 7 fastsetter blant annet engenerell plikt til å beskytte systemet og sørge forat det virker etter sin hensikt. Videre må denenkelte virksomhet blant annet fastsette sikker-hetskrav, ha oppdatert dokumentasjon omsystemet, kontrollere brukertilgangen og sørgefor effektiv håndtering av feil, sårbarhet og sikker-hetsbrudd, samt ha beredskap og forberedte tiltakfor fortsatt drift av anlegg ved svikt i driftskontroll-systemet.

Petroleumsloven § 9-3 skal bidra til å hindrebevisste anslag mot innretninger i petroleumssek-toren. Hvorvidt dette også omfatter krav til for-svarlig IKT-sikkerhet er ikke nærmere angitt i loveller forskrift. Imidlertid har interesse- og arbeids-giverorganisasjonen Norsk olje og gass (NOROG)utviklet retningslinjer for IKT-sikkerhet i sekto-

ren. I retningslinje 104 Anbefalte retningslinjerkrav til informasjonssikkerhetsnivå i IKT-baserteprosesskontroll-, sikkerhets- og støttesystemer,anbefales ganske ordinære tiltak for IKT-sikker-het, blant annet krav om sikkerhetsstyring,risikovurdering, brukerkompetanse, beredskaps-planer og varslingsprosedyrer.

8.3.3 Beskyttelsesinstruksen

Beskyttelsesinstruksen11 anvendes for behand-ling av dokumenter som trenger beskyttelse avandre grunner enn nevnt i sikkerhetsloven. Instruk-sen forvaltes av Statsministerens kontor (SMK).

Instruksen er gitt med hjemmel i Kongensinstruksjonsmyndighet. Dette innebærer atinstruksen kun kan gjøres gjeldende overfor virk-somheter som ligger innenfor regjeringens almin-nelige instruksjons- og kontrollmyndighet – detvil si statsforvaltningen.

Som det fremgår av instruksens tittel er anven-delsesområdet et annet enn for sikkerhetsloven,men det er likevel enkelte likhetstrekk mellomregelverkene. Som etter sikkerhetsloven er det enskadevurdering som ligger til grunn for graderingav dokumenter. FORTROLIG og STRENGT FOR-TROLIG benyttes dersom det vil kunne forårsakehenholdsvis skade eller betydelig skade for offent-lige interesser, en bedrift, en institusjon eller enenkeltperson, at dokumentets innhold blir kjentfor uvedkommende.

Elektronisk behandling av dokumenter som ergradert i medhold av beskyttelsesinstruksen, skali henhold til instruksen § 12 skje i samsvar mednærmere angitte bestemmelser i informasjonssik-kerhetsforskriften.

En viktig forskjell mellom de to regelverkeneer det absolutte tilleggsvilkåret for gradering etterbeskyttelsesinstruksen, om at dokumentet måkunne unntas fra offentlighet i medhold av offent-leglova, jf. instruksen § 3. Dette henger sammenmed at instruksen ikke har hjemmel i formell lov,og derfor ikke utgjør en selvstendig hjemmel forunntak fra innsyn etter offentleglova.

Instruksen er nevnt enkelte steder i forarbei-dene til sikkerhetsloven:

Deler av sikkerhetstjenestens oppdrag er dess-uten nedfelt i direktiver som dekker elementerav tjenestens ansvarsområde. I første rekke av

10 Forskrift 21. mai 2003 nr. 630 om IKT-systemer i bankermv.

11 Instruks 17. mars 1972 nr. 3352 for behandling av doku-menter som trenger beskyttelse av andre grunner ennnevnt i sikkerhetsloven med forskrifter (beskyttelsesin-struksen).


disse direktiver står Sikkerhetsinstruksen, gittved kgl res av 17 mars 1972. Instruksen regule-rer ulike sikkerhetsmessige aspekter vedbehandling av sikkerhetsgradert informasjon.Denne instruksen er for øvrig gitt samtidigmed Beskyttelsesinstruksen, som regulerer til-svarende aspekter ved behandling av informa-sjon som trenger beskyttelse av andre grunnerenn de som ligger til grunn for Sikkerhetsin-struksens bestemmelser. Statsministerenskontor har ansvaret for Beskyttelsesinstruk-sen.

Lovforslaget vil ikke gjelde informasjonsom trenger beskyttelse av andre grunner (foreksempel av personvernhensyn etter Beskyt-telsesinstruksen). Dette er i samsvar med For-svarsministerens oppdrag i kgl res 24 septem-ber 1965, som ansvarlig for rikets sikkerhet ihele statsforvaltningen.

I den grad innføringen av begrepet (vitalenasjonale sikkerhetsinteresser, red. anm.) i dethele tatt kan ses på som en utvidelse i forholdtil gjeldende regler, vil det for praktiske formålfå som konsekvens at enkelte opplysningersom tidligere ble gradert etter Beskyttelsesin-struksen, i stedet skal behandles som skjer-mingsverdig informasjon og sikkerhetsgrade-res etter det fremlagte lovforslaget.12

Et eksempel på anvendelse av beskyttelsesin-struksen finner vi i forskrift 9. november 2007 nr.1268 om folkeregistrering § 3-2 Registrering avandre faktiske og rettslige forhold som finner stedi Norge, nummer 10:

Adressesperring gjort med hjemmel i Beskyt-telsesinstruksen registreres, med unntak forbarnevernsaker, på grunnlag av melding fraKripos.

Det fremgår videre av forskriften § 9-5:

Skattedirektoratet beslutter i barnevernsakerom og hvor lenge en adresseopplysning skalgraderes etter Beskyttelsesinstruksen. Beslut-ningen treffes etter anmodning fra barnevern-tjenesten.

Søknad om utlevering av adresseopplys-ning som er gradert etter Beskyttelsesinstruk-sen avgjøres i barnevernsaker av barneverntje-nesten. I andre saker avgjøres søknaden avpolitiet.

Adressesperring med gradering Fortroligkan skattekontoret utlevere til offentlig myn-dighet uten å innhente samtykke fra barne-verntjenesten eller politiet.

I heftet Om r-konferanser, utgitt av SMK, gis detretningslinjer om forberedelse av saker til regje-ringskonferanse. Det fremgår der at regjeringsno-tater tidvis graderes i henhold til Beskyttelsesin-struksen.13

8.3.4 Offentleglova

Offentleglova14 bygger på offentlighetsprinsip-pet. Som det fremgår av formålsbestemmelsen i§ 1, skal loven:

[L]eggje til rette for at offentleg verksemd eropen og gjennomsiktig, for slik å styrkje infor-masjons- og ytringsfridommen, den demokra-tiske deltakinga, rettstryggleiken for denenkelte, tilliten til det offentlege og kontrollenfrå ålmenta.

Dette er viktige hensyn som loven skal ivareta.Det er samtidig klart at andre hensyn tidvis kanbegrunne unntak fra hovedregelen. Eksempelvismå regjeringen kunne diskutere statsbudsjettetinternt før forslaget legges frem for Stortinget.

Etter offentleglova § 13 er det forbudt å gi inn-syn i opplysninger som i lov eller i medhold av lover underlagt taushetsplikt. Som nevnt over er allsikkerhetsgradert informasjon belagt med taus-hetsplikt, jf. sikkerhetsloven § 12.

Offentleglova § 21 hjemler muligheten til åunnta opplysninger fra innsyn av hensyn til nasjo-nale forsvarsog sikkerhetsinteresser. Dette erikke en forbudsbestemmelse. Om opplysningenskal unntas må vurderes konkret. Meroffentlig-het, jf. offentleglova § 11 skal på vanlig måte vur-deres.

Forarbeidene til dagens sikkerhetslov drøfterforholdet mellom sikkerhetsgradering av informa-sjon av hensyn til rikets sikkerhet, og offentlig-hetslovens bestemmelser om unntak fra innsyn.Problemstillingen var om den nye sikkerhetslo-ven ville få konsekvenser for praktiseringen avoffentlighetsprinsippet. På den ene side ble vilkå-rene for sikkerhetsgradering av informasjonskjerpet i forhold til tidligere instruks. På den

12 Ot.prp. nr. 49 (1996–97), 35.

13 Retningslinjer, Om r-konferanser, Statsministerens kontor2014, 19.

14 Lov 19. mai 2006 nr. 16 om rett til innsyn i dokument ioffentleg verksemd (offentleglova).


andre siden ble lovens virkeområde noe utvidetved at den nye loven skulle få anvendelse for heleoffentlig sektor. Departementets vurdering var attotalt sett ville den nye loven innebære en styrkingav offentlighetsprinsippet.

Om forholdet mellom de to unntakshjemlene –taushetsplikt og hensynet til rikets sikkerhet –uttaler departementet i forarbeidene til sikker-hetsloven i kapittel 7.2.2:

Det er vanskelig å forestille seg praktiskeeksempler på sikkerhetsgradert informasjonsom skal unntas etter § 5a [om taushetsplikt],men som ikke omfattes av unntaksbestemmel-sen i § 6 første ledd nr 1 [hensynet til rikets sik-kerhet]. Omvendt må det imidlertid understre-kes at det kan tenkes dokumenter som kanunntas fra offentlighet etter offentlighetsloven§ 6 nr 1, men som ikke kan sikkerhetsgrade-res.

Vurderingen ble gjort opp mot den da gjeldendelov 19. juni 1970 nr. 69 om offentlighet i forvaltnin-gen – offentlighetsloven. I 2009 trådte den nye lovom rett til innsyn i dokument i offentleg verksemdi kraft, som erstatning for loven av 1970. Den mestbetydningsfulle endringen for forholdet til sikker-hetsgradert informasjon, var at det som utgangs-punkt var opplysninger som kunne unntas, ogikke hele dokumenter. Muligheten til å kunneunnta opplysninger av hensyn til nasjonale for-svars- og sikkerhetsinteresser, ble ikke endret.Forbudet mot å gi innsyn i opplysninger som vedlov eller med hjemmel i lov er underlagt taushets-plikt, ble heller ikke endret.

8.4 Fremmed rett

8.4.1 NATO

8.4.1.1 Generelt

Bestemmelser om beskyttelse av NATO sikker-hetsgradert informasjon er i dag gitt i NATOSecurity Policy C-M(2002)49, som sammen medflere understøttende direktiver er bindende foralle medlemslandene, inkludert Norge.

Sikkerhetsavtalen danner det formelle grunn-lag for et relativt omfattende, og til dels tekniskregelverk for beskyttelse av NATO sikkerhetsgra-dert informasjon.15 De overordnede rammer ogprinsipper for regelverket er vedtatt av NATOsråd, mens utfyllende bestemmelser er fastsatt av

de fagansvarlige komiteer, henholdsvis SecurityCommittee og C3 Board. NATOs sikkerhetsregel-verk er dels bindende for nasjonene og dels veile-dende.

Norge er bundet av NATO-regelverket kun iden utstrekning det er tale om NATO-relatertinformasjon og NATO-relaterte objekter. Norgestår dermed fritt til å regulere sikkerheten foregen informasjon og egne objekter. Imidlertid erdet per i dag samsvar mellom de to regelsetteneslik at for eksempel informasjonssystemer som ergodkjent for BEGRENSET i Norge også er god-kjent for å behandle NATO RESTRICTED. Derman har behov for å behandle både nasjonale- ogNATO-dokumenter, for eksempel i forsvarssekto-ren, ville man uten slikt samsvar måttet opereremed to informasjonssystemer.

Det fremgår av forarbeidene til sikkerhetslo-ven at:

I 1955 forelå NATOs sikkerhetsdirektiv C-M(5515)(Final). Direktivet ble gjort gjeldendefor samtlige NATO-land, også Norge, og fast-satte krav til beskyttelsestiltak for NATO-eietog NATO-gradert informasjon. Det ble dessu-ten gitt bestemmelser om krav til sikkerhets-vurdering og klarering for alt personell somskulle gis adgang til slike dokumenter. Nasjo-nalt var det hensiktsmessig ikke å ha to regel-sett å forholde seg til. NATOs direktiv ble der-for styrende for utforming av nasjonale regler,og fungerte i all hovedsak som en minstestan-dard.16

NATO-regelverket danner altså grunnlaget fordagens bestemmelser om forebyggende sikker-het. Det må imidlertid understrekes, som detfremgår av det siterte, at regelverket i all hoved-sak fungerer som en minstestandard for vårenasjonale regler.

NATOs tilnærming og krav til sikring av infor-masjonssystemer som skal håndtere sikkerhets-gradert informasjon, er i stor grad sammenfal-lende med hva som for nasjonale systemer i dager nedfelt i informasjonssikkerhetsforskriftenkapittel 5 om informasjonssystemsikkerhet, og ikapittel 7 om administrativ kryptosikkerhet.

8.4.1.2 Grunnprinsipper

NATOs bestemmelser om forebyggende sikker-het regulerer informasjons-, informasjonssystem-og personellsikkerhet, fysisk sikring og sikker-

15 C-M(2002)49 Enclosure «A», Security agreement. 16 Ot.prp. nr. 49 (1996–97), 14.


hetsgraderte anskaffelser. Det fastslås flere ste-der i regelverket at det må inntas en helhetlig til-nærming til arbeid med forebyggende sikkerhet.Det innebærer at tilstrekkelig sikkerhet forutset-ter at hele spekteret av sikkerhetstiltak ses i sam-menheng.

I hovedavtalen om sikkerhet forplikter NATOsmedlemsland seg til å beskytte gradert informa-sjon.17 Beskyttelsen skal realiseres gjennom eta-blering og implementering av sikkerhetsstandar-der som skal sørge for et felles nivå for beskyt-telse av gradert informasjon for alle NATO-land.

Grunnprinsippene og standardene for sikker-het i NATO:18

a) NATO medlemsland og NATO sivile og mili-tære enheter (bodies) skal sørge for beskyt-telse av gradert informasjon i tråd med destandarder som fastsettes i den foreliggendeCouncil Memorandum (C-M).

b) Gradert informasjon skal deles kun etter need-to-know-prinsippet til personer som har blitt til-strekkelig orientert om sikkerhetsprosedyrer.Sikkerhetsklarering er en forutsetning for til-gang til informasjon merket CONFIDENTIAL.

c) Sikkerhetsrisikostyring er obligatorisk i sivileog militære NATO-enheter, men frivillig formedlemslandene.

d) Sikkerhetstiltakene skal være balansert ogbestå av både personell-, fysisk-, informasjons-og IKT-sikkerhet (INFOSEC).

e) Mistanke om sikkerhetsbrudd skal varsles tilrelevant sikkerhetsmyndighet, og følges oppav relevante myndigheter.

f) Den som utsteder gradert informasjon, girdette til NATO under forståelse av at den blirbehandlet og beskyttet i tråd med gjeldendeNATO retningslinjer.

g) Gradert informasjon skal undergis utsteder-kontroll.

h) Utgivelse (release) av NATO-gradert informa-sjon til ikke-NATO-mottakere må kun skje itråd med nærmere fastsatte regler.

Det er fastsatt to fundamentale tiltak for god nasjo-nal sikkerhet.19 For det første skal det være ennasjonal sikkerhetsorganisasjon med ansvar forbehandling av trusselinformasjon.20 For det andreskal det være et jevnlig samarbeid mellom statlige

myndigheter og direktorater om identifisering avgradert informasjon som trenger beskyttelse. Detskal også samarbeides for å etablere og imple-mentere et felles beskyttelsesnivå i tråd medNATO-kravene.

Medlemslandene må peke ut en nasjonal sik-kerhetsmyndighet som skal være ansvarlig for åimplementere sikkerhetstiltakene og være kon-taktpunkt mot NATO innen forebyggende sikker-het. NATO Office of Security fører også tilsyn medsikkerhetstilstanden i medlemslandene, i samar-beid med de respektive nasjonale sikkerhet-smyndigheter. Den nasjonale sikkerhetsmyndig-heten (i Norge NSM) har blant annet ansvar for:

a) å opprettholde sikring av gradert informasjon,b) å føre periodisk og forholdsmessig tilsyn med

sikkerhetstiltak i alle nasjonale organisasjonerpå alle nivåer, både militære og sivile,

c) at alle som får tilgang til informasjon merketCONFIDENTIAL eller over sikkerhetsklare-res i tråd med NATO-retningslinjene og

d) å utarbeide beredskapsplaner (emergencyplans) for å unngå at gradert informasjon kom-mer uvedkommende i hende.

8.4.1.3 Informasjons- og informasjonssystemsik-kerhet

Informasjonssikkerhetstiltakene skal motvirke,oppdage og gjenopprette etter tap eller kompro-mittering av informasjon. Et grunnleggende tiltaker at informasjon skal graderes ut fra den potensi-elle skade det kan medføre for NATO eller med-lemslandene om den blir kjent for uvedkom-mende. NATO har følgende skadevurdering ogsikkerhetsgradering:21

a) COSMIC TOP SECRET (CTS) – unauthoriseddisclosure would result in exceptionally gravedamage to NATO,

b) NATO SECRET (NS) – unauthoriseddisclosure would result in grave damage toNATO,

c) NATO CONFIDENTIAL (NC) – unauthoriseddisclosure would be damaging to NATO, and

d) NATO RESTRICTED (NR) – unauthoriseddisclosure would be detrimental to the inte-rests or effectiveness of NATO.

17 C-M(2002)49 Enclosure «A», Security agreement.18 C-M(2002)49 Enclosure «B», Basic principles of security,

punkt 5.1.19 Ibid. punkt 5.2.

20 Med behandling menes blant annet innhenting, ivareta-kelse, sentralisering og utlevering av trusselinformasjon.

21 C-M(2002)49 Enclosure «B», Basic principles of security,punkt 18.


Beskyttelsen skal gjennom hele informasjonenslivssyklus være på et nivå tilpasset sikkerhetsgra-deringen. En må påse at informasjon graderes ogmerkes, men ikke over lenger tid enn nødvendig.Informasjonssikkerhet er nærmere regulert iEnclosure «E».

Det er utsteder av informasjonen som eransvarlig for å fastsette korrekt graderingsnivå.Endring av sikkerhetsgradering kan skje, menkun etter samtykke fra utsteder. NATO-medlems-land og -enheter skal gjennom tiltak legge til rettefor at informasjon som tilvirkes i NATO eller gistil NATO, blir korrekt gradert og beskyttet i hen-hold til det foreliggende regelverket.

NATO-medlemsland og -enheter må videre haberedskapsplaner for beskyttelse eller ødeleg-gelse av informasjon i krisesituasjoner. Sikker-hetsbrudd må varsles straks til relevant sikkerhet-smyndighet, og evalueres av fagpersoner somikke er berørt av hendelsen. Et grunnkrav forutlevering av NATO-gradert informasjon til ikke-NATO-land er samtykke fra utsteder, i tillegg tilandre mer spesifikke krav.

Informasjonssystemsikkerhetstiltakene (CISsecurity) skal beskytte informasjon som behandlesi kommunikasjons-, informasjons- og andre elek-troniske systemer mot brudd på konfidensialitet,integritet og tilgjengelighet, både ved utilsiktedeog tilsiktede hendelser. Tiltakene skal ogsåbeskytte mot brudd på integritet i og tilgjengelig-het til selve systemet. Tiltakene skal gi et mini-mum av beskyttelse mot kjente trusler av både til-siktet og utilsiktet art. Ytterligere sikkerhetstiltakskal iverksettes der en konkret risikovurdering til-sier det.

Alle IKT-systemer som behandler gradertinformasjon må gjennomgå en sikkerhetsgodkjen-ningsprosess, som kan fastslå om et relevant sik-kerhetsnivå er oppnådd og blir opprettholdt. Dennasjonale sikkerhetsmyndigheten kan delegeregodkjenningsmyndigheten til andre.

Systemer som behandler gradert informasjonmå sikres på bakgrunn av risikovurderinger ogrisikostyring i tråd med NATO-retningslinjer. IKT-sikkerheten er nærmere regulert i Enclosure «F».

8.4.2 Sverige

I Sverige er informasjonssikkerheten i relasjon tilrikets säkerhet regulert i säkerhetsskyddslagen(1996:627) og i säkerhetsskyddsförordningen(1996:633).

Det fremgår av säkerhetsskyddslagen 7 § 1 atsikkerhetstiltakene skal forebygge at opplysnin-ger som er sensitive av hensyn til rikets sikkerhet

ikke må avsløres, endres eller slettes uten autori-sasjon. Hvilke beskyttelsesbehov som oppstår nårinformasjonen behandles automatisk, skal særligvurderes ved utforming av regler om informa-sjonssikkerhet, jf. 9 §.

Säkerhetsskyddsförordningen 9–13 §§ inne-holder mer konkrete regler om informasjonssik-kerhet. Alle virksomheter som omfattes av lovenmå dessuten gjennomføre en säkerhetsanalys for åkartlegge hvilke opplysninger i deres virksomhetsom må holdes hemmelig av hensyn til rikets sik-kerhet, jf. förordningen 5 §. Videre er det reglerom varsling av sikkerhetsbrudd, nedtegning avsåkalte hemliga handlinger og forsendelse avdokumenter.

Den 1. april 2016 trådte 10 a § om informa-sjonssystemsikkerhet i kraft. IKT-hendelser (IT-incident) i en myndighets informasjonssystemskal straks varsles til en nærmere fastsatt sikker-hetsmyndighet, dersom hendelsen i alvorlig gradkan påvirke sikkerheten i et informasjonssystemsom enten behandler hemmelige opplysninger avet visst omfang eller trenger særlig beskyttelsemot terrorisme, eller hendelsen ble oppdagetgjennom bistand fra Försvarets radioanstalt, jf. 4 §Förordning (2007:937) med instruktion för Försva-rets radioanstalt. Der Försvarsmakten er mottakerav varsel, skal Säkerhetspolisen også varsles. Der-som hendelsen får betydning for myndighetenseventuelle tjenesteleveranser, skal også andreberørte informeres om hendelsen.

Elektroniske registre over opplysninger somkan skade totalforsvaret dersom de blir kjent foruvedkommende, må ikke opprettes før Försvar-smakten er konferert, jf. 12 §. Registrering av opp-lysninger som av andre grunner har betydning forrikets sikkerhet, skal konfereres med Säkerhets-polisen. Bestemmelsen sier videre at informa-sjonssystemer som brukes av flere personer ogsom behandler hemmelig informasjon, må hafunksjoner for adgangskontroll og registrering avsikkerhetshendelser. Slike systemer må dessutensikkerhetsgodkjennes før de tas i drift.

Etter 13 § må statlige myndigheter forvisseseg om at det er god nok sikkerhet i det nettet debruker til å sende hemmelig informasjon, nårdette nettet er utenfor egen kontroll.

I SOU 2015:25 En ny säkerhetsskyddslag, fore-slås flere endringer i dagens regler om informa-sjonssikkerhet. Det pekes på utviklingsbehov avhensyn til blant annet gjeldende retts sterke fokuspå konfidensialitetsbeskyttelse og ivaretakelse avSveriges internasjonale forpliktelser.

I forslaget til en ny säkerhetsskyddslag deles til-takene for å beskytte informasjon i to kategorier.


For det første gjelder tiltakene beskyttelse av gra-derte opplysninger mot uautorisert endring, slet-ting og innsyn. For det andre gjelder tiltakenebeskyttelse av informasjon som av andre grunnerer av betydning for säkerhetskänslig verksamhet(Folkbokföringen trekkes frem som et eksempel).Sistnevnte kategori har ikke samme behov forkonfidensialitetsbeskyttelse, og ivaretakelse avintegritet og tilgjengelighet fremheves.

Sikkerhetsgradert informasjon foreslås deltinn i fire klasser basert på hvilket skadepotensialeinformasjonen har om den blir kjent for uvedkom-mende. Sikkerhetsgraderingene som skal benyt-tes i ny lov er kvalificerat hemlig, hemlig, konfiden-tiell eller begränsad. Som begrunnelse vises detblant annet til at inndeling i fire klasser (slik som ifor eksempel EU og NATO), legger bedre til rettefor internasjonal samhandling og mer nyansertbeskyttelse av nasjonale interesser.

Det foreslås også en ny Säkerhetsskyddsförord-ning, som blant annet inneholder bestemmelserfor beskyttelse av IT-systemer. Det stilles krav tilgjennomføring av ROS-analyse ved opprettelseeller vesentlig endring i IT-systemer som er avbetydning for säkerhetskänslig verksamhet. Kravetgjelder for systemer som skal behandle informa-sjon som er gradert konfidentiell eller høyere, ogfor systemer «som är av motsvarande betydelseför Sveriges säkerhet, även om de inte behandlarsäkerhetsskyddsklassificerade uppgifter», jf. for-slag til ny forordning 2 §. Formålet er at beskyttel-sesbehovet skal oppdages tidlig, hvilket skal redu-sere sikringskostnadene. Aggregering nevnessærskilt for å gjøre oppmerksom på at behandlingeller lagring av større mengder informasjon på etvisst nivå, kan skape faktisk behov for sikring pået høyere nivå.

Kravet om samråd med Försvarsmakten ellerSäkerhetspolisen ved opprettelse av elektroniskregister, jf. dagens lov 12 §, foreslås videreført.Samrådsplikten skal i ny lov også gjelde der manvesentlig endrer et IT-system, samt for IT-systemer som er av betydning for Sveriges sikker-het selv om de ikke behandler gradert informa-sjon. Kravet gjelder ikke for systemer som skalbehandle begränsad informasjon eller på annet til-svarende vis er av betydning for Sveriges sikker-het.

Det foreslås å styrke beskyttelsen av IT-systemer som skal benyttes av mer enn én person.Slike systemer må sikres gjennom blant annet til-gangskontroll, logging av hendelser i systemetsom er av betydning for sikkerheten og beskyt-telse mot uautorisert avlytting, inntrengning, ska-delig kode og forstyrrende signaler. Det stilles

ikke tilsvarende krav til systemer som ikkebehandler gradert informasjon, fordi det antas atslike systemer er så forskjellige at det er vanskeligå utforme gode felles sikkerhetskrav.

Ordningen med forhåndsgodkjenning av IT-systemer som skal behandle gradert informasjon,foreslås videreført. Kravet om kommunikasjons-beskyttelse, jf. dagens lov 13 §, foreslås også vide-reført. Det samme gjelder dagens regler om atkrypto som skal brukes i graderte systemer, mågodkjennes av Försvarsmakten.

8.4.3 Danmark

De sentrale dokumentene for ivaretakelse avinformasjonssikkerhet i Danmark er Statsminis-teriets Cirkulære om sikkerhedsbeskyttelse af infor-mationer af fælles interesse for landene i NATOeller EU, andre klassificerede informationer samtinformationer af sikkerhedsmæssig beskyttelsesin-teresse i øvrigt (Sikkerhedscirkulæret).22 Cirkulæ-ret gjelder i utgangspunktet kun for Statsminis-teriet, men forutsettes å gjelde for andre departe-menter og deres underlagte etater. Etter avtalekan cirkulæret også gjøres gjeldende for private.23

Sikkerhedscirkulæret har flere likhetstrekkmed sikkerhetsregelverket i både Norge ogNATO. Det regulerer informasjonssikkerhet i vidforstand, og inneholder bestemmelser om sikker-hetsmyndigheter, personellsikkerhet og fysisksikkerhet, i tillegg til konkrete bestemmelser ominformasjonssikkerhet. Sammenlignet med nor-ske regler, ligger cirkulærets detaljeringsnivå etsted mellom sikkerhetsloven og de tilhørende for-skriftene.

Som utgangspunkt for den konkrete beskyttel-sen av informasjon, skal det foreligge en klassifi-sering av informasjon, i henhold til det skadepo-tensialet som uautorisert tilgang til informasjonen«ville kunde forvolde Danmark eller lande iNATO eller EU, overordentlig alvorlig skade», jf.cirkulæret § 1. De fire graderingene YDERSTHEMLIGT, HEMMELIGT, FORTROLIGT og TILTJENESTEBRUG skal tilsvare NATOs og EUsgraderingssystem. Klassifiseringen TIL TJENES-TEBRUG forutsetter for så vidt ikke uttrykkeligskadepotensiale for Danmark eller landene iNATO eller EU, men skal brukes om informasjon«der ikke må offentliggøres eller komme til uved-kommende kendskap.»

Sikkerhetstiltakene som skal iverksettes for åbeskytte gradert informasjon er i grove trekk de

22 CIS nr 10338 af 17. desember 2014.23 SOU 2015:25.


samme som i Norge. Cirkulæret inneholderbestemmelser om sikkerhetsklarering av perso-ner som skal ha tilgang til gradert informasjon,behandling av dokumenter som inneholder gra-dert informasjon, sikkerhetsgodkjenning av elek-troniske informasjonssystemer, forsendelse avinformasjon, oppbevaring, fysisk sikkerhet, områ-desikkerhetsgodkjenning, mobilt elektroniskinformasjonsutstyr, virusbeskyttelse, sikkerhets-styring og tilsyn, samt beskyttelse av «andre infor-mationer af sikkerhetdsmæssig betydning.»

Sistnevnte gir hjemmel for enhver offentligmyndighet til å bestemme at sikkerhetscirkulæ-rets regler skal gjelde for informasjon som avandre grunner enn i § 1 er av sikkerhetsmessigbetydning. Det gis i slike tilfeller åpning for at IT-sikkerhetsmyndigheten kan tillate lemping avenkelte sikkerhetstiltak.

Ifølge § 27 må alle former for elektroniskeinformasjonssystemer som skal behandle HEM-MELIGT eller FORTROLIGT informasjon, sikker-hetsgodkjennes av den nasjonale IT-sikkerhet-smyndigheten. Etter § 28 skal den nasjonale IT-myndigheten også godkjenne nye versjoner avsoftware som benyttes i sikkerhetsgodkjentesystemer. Systemer som skal behandle informa-sjon TIL TJENESTEBRUG trenger ikke sikker-hetsgodkjenning, men de må registerføres.

Det fremgår av § 56 at den nasjonale sikker-hetsmyndighet og den nasjonale IT-sikkerhet-smyndighet fører tilsyn med overholdelsen avDanmarks internasjonale forpliktelser om infor-masjonssikkerhet, og skal foreta periodiskeinspeksjoner.

For å styrke Danmarks ekom-infrastruktur,ble lov nr. 1567 om net- og informationssikkerhedvedtatt 15. desember 2015. Loven regulerer ihovedsak informasjonssikkerheten i virksomhe-ter som tilbyr offentlige nett- og kommunikasjons-tjenester. Dette omfatter ikke bare infrastruk-turaktører, men også aktører som har mobiltele-foni, fasttelefoni, bredbånd og lignende somhovedbeskjeftigelse – i loven kalt erhvervsmæssigeudbydere.24 Center for Cybersikkerhed gis relativtvidtgående myndighet for utforming av regelverkom og tilsyn med virksomhetenes informasjons-sikkerhet.

I medhold av § 3 skal Center for Cybersikker-hed fastsette regler om minimumskrav til informa-sjonssikkerhet for tilbydere av offentlig tilgjenge-lige nett og tjenester. Reglene kan omfatte bådetekniske, prosessuelle og organisatoriske tiltak.

Ifølge forarbeidene forutsettes bemyndigelsenanvendt til administrativ fastsettelse av krav tilrisikostyringsprosessene, herunder krav om atsikkerhetsarbeidet skal ta utgangspunkt i rele-vante og anerkjente internasjonale standarder.25

Videre kan det settes krav om at tilbydernes risi-kostyring skal ta høyde for sikkerhetsutfordringerved leveranser av eksempelvis hardware og soft-ware, og utsetting av driftsoppgaver. Herunderkan det stilles krav til dokumenterte prosedyrerfor verifisering av at konfigurasjonen i anskaffethardware, firmware eller software ikke utgjør entrussel mot informasjonssikkerheten. Center forCybersikkerhet kan videre pålegge at nærmereangitte forhold tas med i en virksomhets risikosty-ringsprosess.

Dersom det er av væsentlig samfundsmæssigbetydning, kan virksomhetene pålegges å gjen-nomføre konkrete informasjonssikkerhetstiltak:

Dette kan være funktioner, som er særligt vig-tige for samfundets og demokratiets oprethol-delse og sikkerhed samt borgernes tryghed,herunder funktioner inden for sundhed,energi, transport, forsyning, finans, forskning,medier og kommunikation samt funktioner,som har stor økonomisk betydning for samfun-det.

Center for Cybersikkerhed fastsetter nærmereregler om hvilke konkrete tiltak som skal kunneiverksettes, eksempelvis sikkerhetsundersøkelseav software og hardware og sikkerhetsgodkjen-ning av personell som skal drifte kritiske deler avekom-nettene. Som utgangspunkt må virksomhe-ten selv bære kostnadene for gjennomføring av til-takene. Det fremgår imidlertid av forarbeidene atslike pålegg kan innebære ekspropriative inngrep,hvilket på bakgrunn av en konkret vurdering kangi grunnlag for erstatning.

Center for Cybersikkerhed kan ikke medhjemmel i disse reglene regulere eierforhold, fast-sette forbud mot å inngå avtale med enkelte leve-randører eller forbud mot eierskap av bestemtenettverk eller produkter.

Videre gir § 4 Center for Cybersikkerhed myn-dighet til å fastsette regler om opplysnings- ogvarslingsplikt. Formålet med bestemmelsen er ågi myndigheten bedre overblikk over den sam-lede ekom-infrastruktur. Det kan blant annet stil-les krav om varsling av påtenkte avtaleinngåelserav visse leveranser til vesentlige deler av tilbyder-nes virksomhet.

24 Forslag til Lov om elektroniske kommunikationsnet og -tje-nester, 17. november 2010, Bemærkninger til lovforslaget. 25 Ibid.


Erhvervsmæssige udbydere forpliktes videre tilå informere om det endelige avtaleutkastet umid-delbart forut for avtaleinngåelsen. Det kan fastset-tes regler om en kortere standstill-periode. Detteskal gi Center for Cybersikkerhed ytterligere enmulighet til å gå i dialog med tilbyderen om even-tuelle informasjonssikkerhetsutfordringer. Detfremgår videre av forarbeidene at:

[d]en foreslåede ordning giver udbydernemulighed for at tage højde for eventuelle trus-ler mod informationssikkerheden i forbindelsemed aftaleforhandlingerne. Dermed får udby-derne mulighed for at undgå, at de efterføl-gende mødes af uforudsete krav til informati-onssikkerheden i deres net og tjenester.

Det kan også fastsettes regler for varsling avbrudd på informasjonssikkerheten som harvesentlig betydning for leveransen av nett eller tje-nester.

Loven har videre bestemmelser om bered-skaps- og andre ekstraordinære situasjoner, omsikkerhetsklarering av personell og tilsyn. Somledd i tilsynsvirksomheten kan Center for Cyber-sikkerhed i medhold av § 10 blant annet offentlig-gjøre en rekke av de vedtak som fattes i medholdav loven, resultater av tilsyn og resyméer av dom-mer der det er idømt bot i medhold av loven.

8.4.4 Storbritannia

I Storbritannia benyttes de tre sikkerhetsgraderin-gene OFFICIAL, SECRET eller TOP SECRET, forbeskyttelse av informasjon.26 Tidligere opererteman i Storbritannia med seks graderinger.

Det skal foretas en vurdering av all informa-sjon som myndighetene (Government) behandler.Denne skal baseres på en vurdering av skadepo-tensialet ved uautorisert tilgang til, tap eller mis-bruk av informasjonen. Alle som samarbeidermed eller arbeider på oppdrag for myndighetenemå også respektere retningslinjene.

Graderingen danner grunnlaget for hvilke til-tak for personell-, fysisk- og informasjonssikker-het som må iverksettes.

I kategorien OFFICIAL faller majoriteten avinformasjonen som blir behandlet i offentlig sek-tor. Dette er informasjon hvis tap eller publiseringkan ha skadelige konsekvenser, men som det ikkeknytter seg særlige trusler til. Beskyttelsesbeho-vet sammenlignes her med større private virk-somheter som leverer verdifulle tjenester ogbehandler verdifull informasjon. Særlig aktuelletrusselaktører som tiltakene skal beskytte mot erhacktivister, kompetente individuelle hackere ogflertallet av kriminelle grupper og individer.

SECRET brukes om informasjon som er sær-lig sensitiv. Sikkerhetstiltakene skal beskytteinformasjonen mot meget kompetente trusselak-tører, som for eksempel særlig kapable kriminellegrupper og noen statlige aktører, og dermedunngå betydelig skadefølger for blant annet mili-tære kapasiteter, internasjonale relasjoner ogetterforskningen av alvorlig kriminalitet.

TOP SECRET gjelder for den mest sensitiveinformasjonen, som hvis den kommer på avveie,kan innebære betydelig tap av liv eller på annenmåte true nasjonen eller alliertes sikkerhet ellerøkonomiske velferd (economic wellbeing). Infor-masjonen må beskyttes mot de mest sofistikerteangrepene fra særlig kapable statlige aktører, ogsvært liten risiko aksepteres.

I International Classified Exchanges, utgitt avCabinet Office, gis det retningslinjer for behand-26 Cabinet Office, Government Security Classifications, 2014.

Figur 8.1 Forholdet mellom internasjonal og britisk sikkerhetsgradering.

Kilde: Cabinet Office, International Classified Exchanges, v. 1.2 – Jul 2015.

International Classification Marking

International SECRET

International CONFIDENTIAL

International RESTRICTED

International TOP SECRET

UK SECRET

UK SECRET

UK OFFICIAL-SENSITIVE

UK TOP SECRET

UK will handle and protect as


ling av internasjonal sikkerhetsgradert informa-sjon. Forholdet mellom de ulike graderingenefremgår av figur 8.1.

Det legges i veiledningen til grunn at det ernær forbindelse mellom nasjonale og internasjo-nale sikkerhetskrav for de korresponderende gra-deringer. Som det fremgår av figur 8.1, opereresdet i praksis med to nivåer innen OFFICIAL –OFFICIAL-SENSITIVE og OFFICIAL.

Med utgangspunkt i figur 8.1, med sammenstil-ling av graderingsnivåer, kan også beskyttelsestil-takene for de ulike graderingene sammenlignes.For eksempel skal sikkerhetstiltakene for beskyt-telse av UK OFFICIAL-SENSITIVE i hovedsakvære de samme som for beskyttelse av BEGREN-SET etter den norske sikkerhetsloven. Forbehandling av informasjon som er kategorisertinternasjonalt RESTRICTED, har Cabinet Officeutarbeidet en egen veileder,27 som i grove trekkgir et sammendrag av Storbritannias internasjo-nale forpliktelser. Kravene er kjent fra norsk regu-lering, og det vises blant annet til need-to-know-prinsippet, varsling, merking, sikkerhetsstyring,fysisk håndtering, deling og at det ikke er krav omsikkerhetsklarering. Informasjonssystemer somskal behandle slik informasjon må være sikker-hetsgodkjent, og for øvrig oppfylle kravene somfølger av den aktuelle internasjonale organisasjo-nens retningslinjer.

8.4.5 EU

8.4.5.1 Informasjonssikkerhet i EU

Det europeiske Rådet fattet 23. september 2013beslutning om regler for beskyttelse av EUs sik-kerhetsgraderte informasjon (2013/488/EU).Beslutningen fastsetter prinsipper og minimums-standarder for beskyttelse av sikkerhetsgradertEU-informasjon (EU classified information –EUCI). Beslutningen gjelder for Rådet og detssekretariat og skal overholdes av medlemslan-dene i henhold til nasjonalt regelverk, slik atenhver kan være trygg på at informasjonenbeskyttes tilstrekkelig.

Informasjon skal sikkerhetsgraderes ut fra envurdering av skadepotensialet uautorisert tilgangtil informasjonen kan få for EU eller en eller flereav medlemsstatenes interesser, jf. beslutningenart. 2. EU TOP SECRET brukes dersom uautori-

sert tilgang kan få avgjørende skadefølger,28 EUSECRET ved mulige betydelige skadefølger forvesentlige interesser, EU CONFIDENTIAL vedmulige skadefølger for EUs vesentlige interessereller EU RESTRICTED ved mulige negative følgerfor EUs interesser.

Videre er det bestemmelser om blant annetmerking, risikostyring, personellsikkerhet, fysisksikkerhet, forvaltning av gradert informasjon ogindustrisikkerhet.

Art. 10 regulerer beskyttelse av gradert infor-masjon som behandles i kommunikasjons- oginformasjonssystemer, og det følger av art. 10(1):

Ved informasjonssikring (IA) i forbindelse medkommunikasjons- og informasjonssystemerforstås tilliten til, at disse systemer beskytterden informasjon, de håndterer, og at de funge-rer, som de skal, når de skal, under de legitimebrukeres kontroll. Effektiv IA sikrer et pas-sende nivå for fortrolighet, integritet, tilgjenge-lighet, uavviselighet og autensitet. IA baserespå en risikostyringsprosess.

Alle informasjonssystemer som skal behandle gra-dert informasjon må godkjennes, med det formålå sikre at alle nødvendige sikkerhetstiltak er gjen-nomført, og at det er oppnådd tilstrekkelig grad avbeskyttelse. Kryptoutstyr må også godkjennes ihenhold til art. 10(6).

Ifølge direktivet skal hver medlemsstat eta-blere en rekke myndighetsfunksjoner, som blantannet nasjonal sikkerhetsmyndighet, kompetentmyndighet og sikkerhetsgodkjenningsmyndighet.

27 Cabinet Office, Guidance: Protecting internationalRESTRICTED classified information, version 1.1, July 2014.

28 Engelsk: exceptionally grave prejudice, Svensk: synnerligtmen, Dansk: overordentlig alvorlig skade for EUs vesent-lige interesser.

Boks 8.2 EUs prinsipper for cybersikkerhet

– EUs kjerneverdier gjelder tilsvarende i dendigitale som i den fysiske verden

– Beskyttelse av fundamentale rettigheter,ytringsfrihet, personvern og personopplys-ninger

– Tilgang for alle– Demokratisk og effektiv multi-stakeholder

styring– Et felles ansvar for å ivareta sikkerheten


8.4.5.2 NIS-direktivet

Den 7. februar 2013 lanserte EU-kommisjonenEUs strategi for cybersikkerhet, An Open, Safeand Secure Cyberspace.29 Strategien fastsetter EUsprinsipper for cybersikkerhet, se tekstboks 8.2.Som ett av flere tiltak for å nå målene i strategienlanserte Kommisjonen samtidig et forslag tildirektiv om tiltak for et høyt felles sikkerhetsnivå inettverks- og informasjonssystemer i EU (NIS-direktivet).30

Direktivet ble vedtatt i EU 6. juli 2016. Formå-let med direktivet er å forbedre funksjonaliteten tildet indre markedet, gjøre EU mer konkurranse-dyktig i en globalisert verden, skape tillit til digi-tale tjenester og bidra til økonomisk vekst iEuropa.

Direktivet retter seg mot medlemslandene,som hver for seg pålegges å sørge for gjennomfø-ring av direktivet. For noen deler legges det like-vel opp til at det skal foregå et internasjonalt sam-arbeid om implementeringen. Ulike deler avdirektivet skal oppfylles av medlemslandene tilulike tider. Blant annet skal medlemsstatene deltai samarbeidsgruppene innen 6 måneder, og identi-fisere hvilke virksomheter som anses omfattet avdirektivet innen 27 måneder. Det er foreløpig ikketatt endelig stilling til om direktivet kommer innunder EØS-avtalen og dermed skal implemente-res i Norge.

Grovt sett kan direktivet deles i tre hovedde-ler, som setter krav til henholdsvis etablering avnasjonale rammeverk for IKT-sikkerhet, etable-ring av internasjonale samarbeidsfora og IKT-sik-kerhet for virksomheter.

Nasjonale rammeverk og internasjonalt samarbeid

Det går uttrykkelig frem av art. 1(6) at direktivetikke skal innskrenke medlemslandenes frihet til åivareta nasjonal sikkerhet eller opprettholde lovog orden.

Det følger av art. 1(7) at dersom eksisterendesektorregelverk stiller krav om IKT-sikkerheteller hendelsesvarsling, og reglene har minst likegod effekt som NIS-direktivet, skal sektorregel-verket anvendes.

Medlemslandene plikter å utarbeide og imple-mentere en nasjonal IKT-sikkerhetsstrategi, jf.art. 7. Bestemmelsen setter kvalitative krav tilstrategiens innhold. Medlemslandene må ogsåpeke ut – eventuelt først etablere – en eller flere

CSIRTer (Computer Security Incident ResponseTeam), jf. art. 9. Nærmere krav til CSIRTen frem-går av direktivet vedlegg I. Strategien og CSIR-Ten(e) må ha et virkeområde som minst dekkerde virksomheter som omfattes av NIS-direktivet.

Etter art. 8 plikter medlemslandene å peke uten eller flere nasjonale kompetente myndigheterfor IKT-sikkerhet, som skal påse at direktivetimplementeres nasjonalt. Et kontaktpunkt (singlepoint of contact) må også utpekes, som skal ivaretasamarbeid mellom medlemslandene, samarbeidmed relevante nasjonale myndigheter i andreland, i samarbeidsgruppen og i CSIRT-gruppen.En eksisterende myndighet kan pekes ut til åvære både kompetent myndighet og single point ofcontact. Dersom CSIRTen og kontaktpunktet erseparate virksomheter, plikter disse å samarbeide,jf. art. 10.

Gjennom art. 11 etablerer direktivet en samar-beidsgruppe bestående av representanter framedlemslandene, Kommisjonen og det euro-peiske byrået for nettverks- og informasjonssik-kerhet (ENISA). Kommisjonen ivaretar sekretari-atsfunksjonen. Samarbeidsgruppen skal blantannet utarbeide en handlingsplan for implemente-ring av direktivet, strategiske råd til CSIRT-nett-verket og utveksle best-practice om medlemslande-nes identifisering av essensielle tjenester, kapasi-tetsbygging, og informasjonsdeling relatert tilhendelseshåndtering.

For å bidra til trygghet og tillit mellom med-lemslandene etablerer direktivet i art. 12 et nett-verk bestående av de nasjonale CSIRTene ogCERT-EU. EU-Kommisjonen skal ha observatør-status, og ENISA skal holde sekretariatet. Nett-verket skal blant annet dele informasjon om tje-nester, operasjoner og samarbeidskapasitetermed hverandre, bidra til håndtering av grense-kryssende hendelser, og i noen tilfeller diskuteresamlet respons på hendelser.

IKT-sikkerhet for virksomheter

I art. 14 og 16 stilles det krav om at medlemslan-dene sørger for sikkerheten i nettverkene oginformasjonssystemene tilhørende to kategorierav virksomheter: Operatører av essensielle tjenes-ter og tilbydere av digitale tjenester. Det stilles for-skjellige sikkerhetskrav til disse to kategorienevirksomheter. Felles for alle virksomhetene erimidlertid at de nettverk og informasjonssystemervirksomhetene benytter seg av skal beskyttes.

Virksomheter som oppfyller vilkårene i art.4(4), anses som operatører av essensielle tjenes-29 JOIN(2013) 1 final.

30 2013/0027 (COD).


ter. For det første må virksomheten være nevnt idirektivets vedlegg II, som er en opplisting avrelevante operatører i markedet. For det andre måvirksomheten oppfylle vilkårene i art. 5(2). Virk-somheten må tilby en tjeneste som er essensiellfor opprettholdelse av kritiske samfunnsmessigeog/eller økonomiske aktiviteter, tjenesteleveran-sen må være avhengig av nettverk og informa-sjonssystemer, og en hendelse i tjenestens nett-verk og informasjonssystemer vil få en vesentligforstyrrende virkning på leveransen. Ved vurderin-gen av hva som er vesentlig forstyrrende virkning,skal både tverrsektorielle og sektorspesifikkemomenter tas i betraktning, jf. art. 6.

Innen 27 måneder etter direktivets ikrafttre-den skal medlemslandene ha identifisert hvilkevirksomheter som omfattes av direktivet. Deretterskal medlemsstatene sørge for at operatørene avessensielle tjenester iverksetter sikkerhetstiltak,jf. art. 14.

Sikkerhetstiltakene er ikke konkret angitt. Enrisikobasert tilnærming skal danne grunnlaget foriverksetting av sikkerhetstiltak som står i rimeligforhold til risikoen. Opprettholdelse av tjeneste-leveransen er hovedmålet med tiltakene.

Operatører av essensielle tjenester må ogsåvarsle om alvorlige sikkerhetshendelser til en påforhånd bestemt kompetent myndighet ellerCSIRT. Hvor mange mennesker som er rammetav hendelsen, geografisk omfang og hendelsensvarighet, er bestemmende for om hendelsen skalanses som alvorlig, jf. art. 14(4). Det skal kunvarsles om hendelser som faktisk innvirker nega-tivt på tjenesteleveransen. Kompromittering avkonfidensialitet, integritet eller tilgjengelighet erikke varslingsgrunn når det ikke har betydningfor tjenesteleveransen.

For den andre kategorien av virksomheter –tilbydere av digitale tjenester – er det ikke en til-svarende utpekingsprosess. Art. 16 sier at med-

lemsstatene skal sørge for at tilbydere av tjenestersom opplistet i vedlegg III til direktivet, sikrer sinenettverk og informasjonssystemer. Berørte virk-somheter er tilbydere av nettbaserte markeds-plasser, jf. art. 4(17), nettbaserte søkemotorer, jf.art. 4(18) og skytjenester, jf. art 4(19).

Også for denne kategorien skal en risikoba-sert tilnærming danne grunnlaget for iverksettingav tiltak som står i et rimelig forhold til den risikovirksomheten er utsatt for. Sikkerhetstiltakeneskal blant annet adressere systemsikkerhet, hen-delseshåndtering og kontinuitet i tjenesteleveran-sen.

Denne kategorien virksomheter skal varsleom alvorlige sikkerhetshendelser, og de sammemomenter skal vurderes for å bestemme hendel-sens alvorlighetsgrad. I tillegg skal omfanget avforstyrrelsen for tjenestens funksjon og virknin-gen for økonomiske og samfunnsmessige aktivite-ter vurderes, jf. art. 16(4).

Fordi virksomheter i denne kategorien ofteleverer tjenester på tvers av landegrenser, stårmedlemslandene i mindre grad fritt til å fastsetteandre sikkerhetskrav enn direktivet.

8.5 Utvalgte tema

8.5.1 Informasjon som må beskyttes

For å kunne iverksette hensiktsmessige sikker-hetstiltak for å beskytte informasjon, trengs det ennærmere analyse av informasjonen som behand-les og hvilke sårbarheter og trusler det må tashøyde for.

For det første må informasjonens verdi angis.Verdivurderingen gir svaret på om informasjonener beskyttelsesverdig. Informasjonens verdi delesofte opp i ulike kategorier. De mest brukte er kon-fidensialitet, integritet og tilgjengelighet. Avhen-gig av situasjonen benyttes også eksempelvissporbarhet, ikke-benektbarhet31 og flere andre. Idet videre er det tilstrekkelig å benytte de trehovedkategoriene.

Med konfidensialitet menes at det har en verdiat informasjonen ikke blir kjent for uvedkom-mende. Et eksempel på informasjon som måbeskyttes av konfidensialitetshensyn, er NorgesBanks sikkerhetsrutiner.

Med integritet menes at det har en verdi atinformasjonen er korrekt. Eksempelvis må pro-gramkode være korrekt for at dataprogrammetskal virke. Beskyttelse mot tap av integritet inne-

Boks 8.3 NIS-direktivet: Sektorer med operatører av essensielle

tjenester

– Energi (elektrisitet, olje og gass)– Transport (luft, jernbane, sjø og vei)– Helse (helsetjenester)– Bank– Finansmarkeds-infrastruktur– Drikkevannsforsyning og -distribusjon– Digital infrastruktur

31 Det å knytte en handling til avsender slik at avsender ikkesenere kan benekte å stå bak handlingen.


bærer å sørge for at det ikke lar seg gjøre å endreprogramkoden. I motsetning til beskyttelse avkonfidensialitet er det ikke viktig om andre kanlese programkoden.

Med tilgjengelighet menes at det har en verdi atinformasjonen er tilgjengelig ved behov. Eksem-pelvis er det fordelaktig å ha bruksanvisningen tilbadevekten som er tilkoblet hjemmenettverket til-gjengelig den dagen det kommer opp en feilmel-ding i displayet. Beskyttelse eller ivaretakelse avtilgjengeligheten kan innebære å mangfoldiggjøreinformasjonen og oppbevare den på et lett tilgjen-gelig sted.

Dersom verdivurderingen konkluderer med atinformasjonen er beskyttelsesverdig, er nestesteg å vurdere informasjonens beskyttelsesbehov.Det må foretas en vurdering av aktuelle sårbarhe-ter og trusler.

I mange tilfeller vil verdivurderingen vise atinformasjonen er verdifull i flere henseender.Nasjonale beredskapsplaner kan tjene someksempel. Om planene er kjent for trusselaktøren,kan de lett bli mindre effektive. Integriteten måivaretas slik at man kan stole på at planen er kor-rekt. Tilgjengeligheten må også ivaretas slik at desom skal iverksette tiltak har planen for håndennår situasjonen tilsier det.

Eksempelet viser at sikkerhetstiltakene må til-passes informasjonens konkrete beskyttelsesbe-hov. For å kunne iverksette hensiktsmessige sik-kerhetstiltak, må verdi, sårbarheter og trusler sesi sammenheng.

Dagens sikkerhetslov følger delvis dennefremgangsmåten. Det skal først foretas en ver-divurdering, som danner grunnlaget for om infor-masjonen skal anses beskyttelsesverdig og, somdermed skal sikkerhetsgraderes. Men etter sik-kerhetsloven § 11 er det kun konfidensialitetshen-synet som skal vurderes. I kapittel 8.2.1 er ver-divurderingen behandlet nærmere. Dette inne-bærer at informasjon som ikke har konfidensiali-tetsbehov ikke beskyttes av sikkerhetsloven.

Sikkerhetsloven anerkjenner imidlertid at sik-kerhetsgradert informasjon kan ha andre beskyt-telsesbehov enn konfidensialitet, jf. sikkerhets-loven § 12 andre ledd andre punktum som girKongen myndighet til å «gi regler om plikt til ålegge forholde til rette for at sikkerhetsgradertinformasjon er korrekt, fullstendig og tilgjenge-lig.»

Informasjonssikkerhetsforskriften kapittel 5Informasjonssystemsikkerhet Del E. Sikkerhets-dokumentasjon, § 5-40 fastsetter at «[bru-ker]instruksen skal være kjent og lett tilgjengelig

for alle brukere. I forskriften kapittel 4 Dokument-sikkerhet, § 4-27 Utlånskontroll er hovedregelenat sikkerhetsgraderte dokument ikke skal behol-des av saksbehandler over lengre tid og returne-res arkivet. Det gjøres av hensyn til tilgjengelig-heten unntak for blant annet beredskapsplaner.For digital informasjon – i informasjonssikker-hetsforskriften kalt data – er det i informasjonssik-kerhetsforskriften §§ 5-1, 5-3 og 5-7 gitt tydeligereog mer generelle krav om beskyttelse av tilgjenge-lighet og integritet.

Fraværet av regler kan tyde på at lovgiver ikkei særlig grad har sett stort behov for beskyttelseav verken tilgjengelighet eller integritet. Det erlikevel grunn til å tro at disse forholdene i praksiser en del av helhetsvurderingen når det skal avgjø-res hvilke sikkerhetstiltak som skal iverksettes.

Forholdet mellom de ulike verdikategorieneer forsøkt illustrert i figur 8.2. Figuren tarutgangspunkt i en virksomhets totale informa-sjonsmengde. Merk at forholdene mellom størrel-sen på sirklene og tangeringspunkter ikke erment som angivelser av reelle størrelsesforholdmellom de ulike typer av informasjon.

Noe informasjon er ikke beskyttelsesverdigom man nøyer seg med å vurdere konfidensialitet,integritet og tilgjengelighet. Dette er farget hvitt.Noe informasjon hører hjemme i én kategori, noei to og annen i tre kategorier. Den røde sirkelenangir sikkerhetsgradert informasjon. Blant denneinformasjonen vil det også være informasjon medulikt beskyttelsesbehov – noe har integritetsbe-

Figur 8.2 Sikkerhetsgradert informasjon.

Konfidensialitet

Virksomhetens informasjon

Sikkerhetsgradert informasjon


hov, noe har tilgjengelighetsbehov og noe fallerinnenfor alle kategoriene. Fellesnevneren for sik-kerhetsgradert informasjon er imidlertid at detalltid vil være behov for beskyttelse mot brudd påkonfidensialiteten.

8.5.2 Informasjonssystemer som må beskyttes

Det er to hovedkategorier av informasjons-systemer som må beskyttes av hensyn til nasjonalsikkerhet. Den første kategorien er systemer sombehandler sikkerhetsgradert informasjon. Dettevil normalt være de tradisjonelle informasjons-systemer hvis hovedfunksjon er å tjene som saks-behandlingsstøtte. Informasjonssystemene i denandre kategorien har det til felles at systemetsfunksjonalitet er svært viktig for at virksomhetenskal kunne levere sine kritiske tjenester. I dennekategorien finner vi både tradisjonelle kontorstøt-tesystemer og kontroll- og styringssystemer.Eksempler på slike systemer kan være et departe-ments saksbehandlingssystem og et styringssys-tem som har en viktig rolle i strømproduksjonen.

Sistnevnte gruppe, kontroll- og styrings-systemer, også kalt prosesskontrollsystemer,SCADA-systemer og industriprosesskontroll-systemer, skiller seg ofte fra de mer ordinæreinformasjonsbehandlingssystemene. Som følge avsin funksjon behandler de normalt verken sikker-hetsgradert informasjon eller personopplysnin-ger.

Det kan antakelig tenkes systemer der konfi-densialitetsbeskyttelse vil være uvesentlig. Detteanses imidlertid ikke som hovedregelen.32 Konfi-densialitet er normalt viktig også for kontroll- ogstyringssystemer, om enn ikke i samme omfangsom for graderte systemer, der konfidensialitetener svært viktig.

De grunnleggende beskyttelsesbehovene vilvære de samme for de to kategoriene systemer.Sikkerhetstiltak som sikkerhetsmessig overvåk-ning og inntrengningstesting, vil måtte utføresganske forskjellig avhengig av type informasjons-system. Det kan likevel slås fast at som utgangs-punkt anses tiltakene som hensiktsmessige foralle typer systemer.

Samlet innebærer dette at god informasjons-systemsikkerhet handler om grundig analyse avdet enkelte system der ulike hensyn vurderes i

sammenheng. Denne analysen vil danne utgangs-punkt for iverksetting av tilpassede sikkerhetstil-tak.

Utvalget har valgt å bruke begrepet informa-sjonssystem som en fellesbetegnelse for både infor-masjonsbehandlingssystemer og kontroll- og sty-ringssystemer.

8.6 Utvalgets vurderinger og forslag

For å sikre et dynamisk og tidsriktig regelverk ominformasjonssikkerhet i tråd med digitaliseringenog samfunnsutviklingen, mener utvalget det mågjøres endringer i dagens sikkerhetslov. Spesieltgjelder dette beskyttelse av informasjons-systemer, som har fått en langt tydeligere ogstørre plass i forslaget til ny lov. Videre er detogså gjort tilpasninger for bedre å ivareta person-vernet. For øvrig er endringene av redaksjonell ogspråklig karakter.

8.6.1 Beskyttelse av sikkerhetsgradert informasjon og tilhørende informasjonssystemer

Dagens system for beskyttelse av sikkerhetsgra-dert informasjon, herunder gradering og beskyt-telse av informasjonssystemer, fungerer godt per idag og har fungert godt i lang tid. Systematikkenbygger på, og er nært tilknyttet, NATO-regelver-ket. Dette innebærer at den også er vel etablert ien rekke land, også utenfor NATO. I SOU2015:25 En ny säkerhetsskyddslag, tas det til ordefor en innføring av denne systematikken i svenskrett. Med et slikt utgangspunkt må eventuelle for-slag om endringer begrunnes godt.

Som nevnt i kapittel 8.5.1 fokuserer dagensregelverk på lovs nivå særlig på informasjonenskonfidensialitet. Utvalget har vurdert om informa-sjonens integritet og tilgjengelighet bør likestillesmed konfidensialiteten. Informasjon kan i mangetilfeller være svært viktig for nasjonens sikkerhet,herunder opprettholdelse av grunnleggendenasjonale funksjoner. Dersom en trusselaktør kla-rer å endre, slette eller gjøre informasjonen util-gjengelig for de som trenger den, vil dette kunneha negativ innvirkning på sentrale myndighetersevne til å opprettholde viktige funksjoner. Det erfullt mulig både å endre, slette og gjøre informa-sjon utilgjengelig uten at en er kjent med informa-sjonen. Dette vil særlig gjelde for elektronisklagret informasjon, men også dokumenter måbeskyttes mot uønsket påvirkning.

32 National Institute of Standards and Technology, Guide toIndustrial Control Systems (ICS) Security, NIST SpecialPublication 800-82, revision 2, U.S. Department ofCommerce.


Utvalget har ikke funnet grunn til å endre kri-teriene for angivelse av hvilken informasjon somskal beskyttes etter sikkerhetsloven. Det bør fort-satt være behovet for å bevare informasjonenskonfidensialitet, som er inngangskriteriet for ominformasjonen skal sikkerhetsgraderes, og der-med beskyttes etter sikkerhetsloven. Etter utval-gets syn ville det unødig komplisere identifiserin-gen av informasjon som skal beskyttes, dersomintegritet og tilgjengelighet skulle vært ytterligereinngangskriterier. Sett i sammenheng med digita-liseringen og at viktige ugraderte informasjons-systemer skal beskyttes, legger utvalget til grunnat mye viktig ugradert informasjon fanges opp ogbeskyttes gjennom bestemmelsene om informa-sjonssystemsikkerhet.

Informasjon som er blitt sikkerhetsgradertskal så beskyttes både av hensyn til konfidensiali-tet, integritet og tilgjengelighet. At de to sist-nevnte hensynene ikke fremgår av dagens lov,betyr antakelig ikke at de anses irrelevante. Blantannet nevnes alle hensynene som relevante forinformasjonssystemsikkerhet, jf. informasjonssik-kerhetsforskriften kapittel 5. Utvalget mener i alletilfelle at plikten til å ivareta alle tre hensynene børkomme tydelig frem i loven. I denne sammenhengmå det understrekes at et forsvarlig sikkerhets-nivå forutsetter en god verdivurdering.

Gjeldende sikkerhetslov sondrer mellombegrepene skjermingsverdig informasjon og sikker-hetsgradert informasjon. Førstnevnte brukes omall informasjon i materiell eller immateriell formsom må beskyttes av hensyn til rikets sikkerhet.Skjermingsverdig informasjon oppfyller kriterienefor sikkerhetsgradering. Hvorvidt informasjonenhar blitt sikkerhetsgradert etter sikkerhetsloven§ 11 har ikke betydning for om informasjonen skalanses som skjermingsverdig. Begrepet sikkerhets-gradert informasjon omfatter skjermingsverdiginformasjon som er blitt påført sikkerhetsgrade-ring i henhold til § 11.

Utvalget mener det ikke er behov for å videre-føre en slik sondring. Begrepet sikkerhetsgradertinformasjon foreslås benyttet for all informasjonsom trenger beskyttelse av hensyn til grunnleg-gende nasjonale funksjoner. Begrepet sikkerhets-gradert informasjon i den nye loven vil dermedomfatte både skjermingsverdig og sikkerhetsgradertinformasjon etter gjeldende sikkerhetslov, det vilsi all informasjon som skal beskyttes etter den nyesikkerhetsloven.

Forslaget til ny sikkerhetslov vil føre til at flerevirksomheter skal behandle sikkerhetsgradertinformasjon. Dette gir grunnlag for å se nærmerepå hvilke praktiske konsekvenser det vil kunne få

for en virksomhet å bli underlagt sikkerhetslovennår det gjelder informasjonssikkerhet.

Å være omfattet av sikkerhetsloven vil arte segulikt for forskjellige virksomheter. Enkelte tren-ger ingen graderte systemer, mange vil klare segmed kun én datamaskin som er godkjent forbehandling av informasjon gradert BEGRENSET,mens vi i den andre enden av skalaen finner Etter-retningstjenesten som produserer, behandler ogkommuniserer høygradert informasjon kontinuer-lig. De største brukerne av gradert informasjon erallerede i dag omfattet av loven, og lovforslaget vilsåledes ikke ha større konsekvenser for disse.Blant virksomhetene som per i dag er omfattet avloven, opererer mange i praksis med både gra-derte og ugraderte systemer. Det er kun vedbeskyttelse av graderte informasjonssystemer atdet tas hensyn til minimumsstandardene i NATO-regelverket.

Videre er det ikke slik at en virksomhet somgår fra å være ikke omfattet til å være omfattet avsikkerhetsloven vil måtte bytte ut alle sine IKT-systemer. Det kommer an på hvilken sikkerhetsri-siko den enkelte virksomhet står overfor og hvil-ket behov den har for å behandle sikkerhetsgra-dert informasjon.

Utvalget legger til grunn at de aller fleste virk-somheter ikke trenger å kommunisere informa-sjon som er høyere gradert enn BEGRENSET.Dette for å kunne ta imot trusselinformasjon og tatilstrekkelig del i nødvendig informasjonsdeling.Beredskapsplanverket er gradert og trusselinfor-masjon er ofte gradert. At mange virksomhetergjøres i stand til å kommunisere BEGRENSET-informasjon, vil være et stort fremskritt for lan-dets sikkerhet. Det kan være nyttig å kunnebehandle også høyere gradert informasjon, menoppgraderingen fra ugradert til BEGRENSET erdet aller viktigste steget slik situasjonen er per idag.

Alternativet til dagens systematikk ville være åetablere et nasjonalt regime for behandling avnasjonal sensitiv informasjon i tillegg til NATO-regimet. Dette er blitt gjort blant annet i Storbri-tannia, som nevnt ovenfor. Etter utvalgets oppfat-ning vil det bli komplisert å forholde seg til en slikløsning i praksis. Dette er i tråd med synspunk-tene i forarbeidene til dagens lov og flere andrenasjoner, senest Sverige. Det vil kunne bli kost-bart å etablere en helt ny informasjons- og kom-munikasjonsinfrastruktur med høyt sikkerhets-nivå. Ikke minst gjelder det for aktører som jevn-lig produserer og behandler mye høygradertinformasjon.


NATO-regelverket og dets brede oppslutninghar klare fordeler. Kontakten med våre allierteforenkles i stor grad nettopp fordi vi gjennom etfelles og anerkjent regelverk har de samme for-pliktelsene. Vi kan stole på at andre tar godt varepå nasjonal og felles sensitiv informasjon. Et fellesminimumsnivå for hånderting av gradert informa-sjon muliggjør dessuten også digital kommunika-sjon i større grad.

Utvalget har i sin kontakt med virksomheterunderlagt sikkerhetsloven, ikke fått inntrykk av atdet knytter seg slike utfordringer til behandlingenav gradert informasjon at reglene bør endres. Deter snarere utfordringer når det kommer til sam-handling og praktisering av regelverket. Dette erforhold som ikke løses ved å etablere et nyttregime for beskyttelse av sikkerhetsgradert infor-masjon.

Utvalget har ikke sett det som formålstjenlig ågjennomføre en grundig analyse av NATO-regel-verket. Det fremstår likevel som klart at det forden enkelte nasjon foreligger et betydelig hand-lingsrom ved vurderingen av hva som må til for åoppfylle minstekravene for håndtering av NATO-gradert informasjon. Dette handlingsrommet ergodt utnyttet per i dag, men kan antakelig utnyttesi enda større grad ved behov.

Ut over fremhevingen av at informasjonensintegritet og tilgjengelighet også skal ivaretas,foreslår utvalget derfor at dagens regler forbehandling av sikkerhetsgradert informasjon i allhovedsak videreføres med de tilpasninger som ernødvendige av hensyn til den nye lovens innret-ning. Imidlertid bør det ved utarbeidelse av en nyinformasjonssikkerhetsforskrift søkes å gjøresystemet så fleksibelt som mulig. Videre bør, itråd med utvalgets forslag for øvrig, både sektor-overgripende og sektorspesifikke hensyn ivaretasså godt det lar seg gjøre. Dette innebærer blantannet å la sektormyndigheter ta ansvar for sikker-heten i egen sektor der NATO-regelverket åpnerfor dette. Utarbeidelsen av regelverket bør skjesom et samarbeid mellom relevante aktører.

8.6.2 Beskyttelse av ugradert informasjon og ugraderte informasjonssystemer

I mandatet er utvalget bedt om å vurdere behovetfor å beskytte ugraderte IKT-systemer og infor-masjon som er sensitiv, men ikke sikkerhetsgra-dert. Utvalget legger til grunn en vid forståelse avbegrepet ugraderte informasjonssystemer. Detomfatter alle informasjonssystemer som ikkebehandler sikkerhetsgradert informasjon. Dennetype informasjons- og kommunikasjonssystemer

kan være av avgjørende betydning for om en virk-somhet evner å opprettholde sin kritiske rolle oglevere sine kritiske tjenester. Slike systemer erdermed av kritisk betydning for grunnleggendenasjonale funksjoner. Her stilles det ikke interna-sjonale krav til sikkerhet og sikkerhetsnivået ogsikkerhetstiltakene kan tilpasses det enkelte sys-tems skjermingsbehov.

I kategorien ugraderte IKT-systemer befinnerdet seg både tradisjonelle informasjons- og kom-munikasjonssystemer, og såkalte kontroll- og sty-ringssystemer.33 Nærmere bestemt er dettedatasystemer som styrer, og eller kontrollerer,industrielle prosesser og tjenesteleveranser,eksempelvis innenfor telekom og strømproduk-sjon. Utvalget mener at denne typen systemer, iden grad de er kritiske for grunnleggende nasjo-nale funksjoner, må beskyttes mot uønskede til-siktede hendelser. Konfidensialiteten er ikke nød-vendigvis like viktig for disse systemene, men denkan heller ikke avskrives. Her som ellers må detforetas en konkret vurdering av det enkelte sys-tems skjermingsbehov. Først etter en slik vurde-ring blir det klart om informasjonens konfidensia-litet må beskyttes.

De ugraderte IKT-systemer som skal beskyt-tes etter den nye loven, har det til felles at dersomsystemet faller ut vil det svekke virksomhetensevne til å understøtte eller opprettholde dengrunnleggende nasjonale funksjonen som gjør atde omfattes av sikkerhetsloven. Et grunnleg-gende spørsmål ved vurderingen er: hva måbeskyttes for at den grunnleggende nasjonalefunksjonen skal opprettholdes?

I mange tilfeller vil det være klart hvilken kate-gori det enkelte system faller inn under, i andre til-feller kan systemene havne i begge kategorier.Utvalget har ikke funnet det hensiktsmessig å pro-blematisere, definere og kategorisere aktuelleIKT-systemer nærmere. Utvalget mener at denbeste måten å identifisere hvilke IKT-systemersom er skjermingsverdige på, er at det foretas enkonkret vurdering i hver virksomhet. Virksomhe-tens ROS-analyse, jf. lovforslaget § 4-3, skal identi-fisere hvilke ressurser, inkludert IKT-systemer,som er nødvendig for opprettholdelse av funksjo-nalitet.

For det tilfelle at et IKT-system både behand-ler sikkerhetsgradert informasjon og utgjør enviktig brikke i en virksomhets funksjonalitet, måsystemets samlede beskyttelsesbehov danne

33 Generelt om kontroll- og styringssystemer, US NationalInstitute of Standards and Technology, Guide to IndustrialControl Systems (ICS) Security, 800-82r2.


utgangspunkt for hvilket sikkerhetsnivå som erriktig. Hvis for eksempel et BEGRENSET systemer svært viktig for at en sentral myndighet skalvære i stand til å ivareta sin funksjon i krise ellerkrig, kan det være grunn til å ha et høyere sikker-hetsnivå enn det som følger av NATO-kravene forinformasjonssystemer som skal behandleBEGRENSET informasjon. En slik helhetlig til-nærming vil følge av lovforslaget § 6-2, jf. § 4-1.

8.6.3 Informasjonssystemer og infrastruktur

Utvalget har vurdert om IKT-sikkerhet hørerhjemme under informasjonssikkerhet, infrastruk-tursikkerhet, eller om det er det noe eget. Infor-masjons- og kommunikasjonssystemer er hjelpe-midler for å produsere, lagre, kryptere og for-midle informasjon. Slik utvalget benytter seg avbegrepet informasjonssystemer, omfattes ogsåkontroll- og styringssystemer for ulik tjenestepro-duksjon, industriprosesser og telekom infrastruk-tur. Informasjonssystemer kan også kalles infor-masjonsinfrastruktur, og slik utvalget oppfatterdet hører informasjonssystemsikkerhet hjemmeunder både informasjonssikkerhet og infrastruk-tursikkerhet. I noen tilfeller er informasjonssys-temets rolle som informasjonsbehandler fremtre-dende, mens det i andre tilfeller er systemets rollei tjenesteog industriproduksjon som er viktigst.

Til tross for det vide spekteret av bruksområ-der, har IKT-systemene flere felles egenskaper,som gjør det hensiktsmessig med en fellesbehandling. Både trusler og sårbarheter er rela-tivt likeartede. Videre vil det være flere sikker-hetstiltak som er egnet for alle typer systemer, foreksempel logging og inntrengningstesting. IKT-systemer skiller seg dessuten fra annen infra-struktur ved at de fysiske egenskapene er anner-ledes. Ett IKT-system kan være lokalisert på for-skjellige steder. Man kan få tilgang til systemetuten å være fysisk til stede. Ulike IKT-systemerstår overfor det samme trussel- og sårbarhetsbil-det. På denne måten skiller IKT-systemer seg fraannen type infrastruktur. Disse momentene harvært avgjørende for utvalgets forslag om å regu-lere beskyttelse av IKT-systemer i et eget kapitteli loven.

Utvalget vil imidlertid understreke betydnin-gen av å se på de ulike aspektene av sikkerhet isammenheng. Et skjermingsverdig IKT-system erikke godt nok beskyttet bare gjennom reglene ominformasjonssystemsikkerhet. Informasjons-, infor-masjonssystem-, personell- og infrastruktursikker-het må ses i sammenheng for å oppnå tilstrekkelig

beskyttelse. Er et systems funksjonalitet viktig, ogdet er enkelt å skaffe seg fysisk tilgang tilsystemet, er det naturlig nok ikke tilstrekkelig åiverksette logiske sikkerhetstiltak. Da er det ogsåbehov for fysisk beskyttelse, og personer somskal ha tilgang må være autorisert.

Som samlebetegnelse for alle IKT-systemersom skal beskyttes etter loven – både graderte ogugraderte – foreslår utvalget å benytte begrepetskjermingsverdige informasjonssystemer.

I den utstrekning skjermingsverdige informa-sjonssystemer også blir identifisert og utpekt somskjermingsverdig infrastruktur, jf. lovforslaget § 7-1, vil bestemmelsene om objekt- og infrastrukturogså være aktuelle for sikring av slike informa-sjonssystemer.

8.6.4 Sikkerhetstiltak

Utvalget foreslår en videreføring av de fleste avdagens lovbestemmelser om sikkerhetstiltak. Sik-kerhetsmessig godkjenning, monitoring, inn-trengningstesting, sikkerhetsmessig overvåk-ning og tekniske sikkerhetsundersøkelser fore-slås videreført. Kryptosikkerhet foreslås derimotikke videreført i loven.

Utvalget mener at sikkerhetsmessig godkjenningav informasjonssystemer er et viktig sikkerhetstil-tak som bør videreføres. Utvalget har vurdert omogså ugraderte informasjonssystemer som omfat-tes av loven, bør underlegges et slikt godkjen-ningssystem. En godkjenningsplikt vil kunnebidra til at både anskaffelse og anvendelse av såvidt viktige informasjonssystemer holder et for-svarlig sikkerhetsnivå. Når det gjelder informa-sjonssystemer som skal behandle sikkerhetsgra-dert informasjon, anbefaler utvalget at dagenskrav til forhåndsgodkjenning videreføres. Det kanimidlertid stille seg annerledes for ugraderteinformasjonssystemer. Det kan også for slikesystemer være riktig å kreve forhåndsgodkjen-ning. Utvalget mener likevel at det for dissesystemene ikke skal være en lovbestemt plikt tilforhåndsgodkjenning. Dette vil dessuten gjøreovergangen fra gjeldende til ny sikkerhetslovenklere. Utvalget anbefaler at det overlates tilKongen å utforme nærmere bestemmelser omgodkjenningsprosessen. Dette inkluderer om deter behov for ulike løsninger i ulike sektorer ellerfor ulike typer informasjonssystemer, hvor omfat-tende prosessene skal være, og hvem som skal gismyndighet til å kunne godkjenne slike systemer.

Monitoring, jf. sikkerhetsloven § 15 gjelderkun for informasjonssystemer som er godkjent forbehandling av sikkerhetsgradert informasjon og


systemer hvor sikkerhetsgradert informasjon kantenkes behandlet eller kommunisert. Tiltaketinnebærer å kontrollere om det i et informasjons-system befinner seg eller kommuniseres informa-sjon som er høyere sikkerhetsgradert enn detsystemet er godkjent for. Utvalget har ikke under-søkt i hvor stor utstrekning virksomheter i dagbenytter seg av denne tjenesten fra Nasjonal sik-kerhetsmyndighet. Utvalget har på den andresiden heller ikke mottatt signaler om at tiltaket erunødvendig. Utvalget viser for øvrig til omtalen avmonitoring i kapittel 8.2.1.3, herunder de drøftel-sene som ble gjort i forarbeidene om tiltaket.Utvalget slutter seg i hovedsak til de vurderin-gene som da ble gjort. Når utvalget foreslår envidereføring må det understrekes at det er enabsolutt forutsetning om en videreføring også avforbudet mot kontroll av privat kommunikasjon ogkommunikasjon med virksomheter som ikke erunderlagt sikkerhetsloven.

Bestemmelsen om inntrengningstesting fore-slås også videreført. Til forskjell fra monitoring vildette sikkerhetstiltaket gjelde for alle ugraderteinformasjonssystemer. Utvalget har vurdert å lov-feste en plikt for virksomheten til å få gjennomførtdenne typen tester, men har kommet til at det ikkeer behov for det. Av hensyn til de forskjelligartedeinformasjonssystemer som omfattes av bestem-melsen, kunne beskrivelsen av plikten vanskeligblitt veldig konkret. Utvalget vil dessuten ikke ute-lukke at tiltaket i enkelte tilfeller er direkte uhen-siktsmessig. Inntrengningstesting vil dessutenkunne innebære behandling av personopplysnin-ger. Utvalget antar at det vil kunne virke mindreinngripende at den enkelte virksomhet må ta initi-ativ til gjennomføring av tiltaket, fremfor at detforeligger en rettslig plikt.

Slik dagens bestemmelse er utformet menerutvalget at personvernhensynet ikke kommerklart nok frem. Det bør gå tydelig frem av bestem-melsen at i de tilfeller tiltaket innebærer behand-ling av personopplysninger må det foretas en kon-kret vurdering der omfanget av og metoden forkontrollen veies opp mot personvernhensyn. Deter utvalgets klare oppfatning at det her er tale omet sikkerhetstiltak som er hensiktsmessig forsvært mange informasjonssystemer.

Etter gjeldende sikkerhetslov § 13 a gjelder enplikt til sikkerhetsmessig overvåkning av informa-sjonssystemer som behandler sikkerhetsgradertinformasjon. Utvalget foreslår å videreførebestemmelsen, men har sett behov for justeringer,dels av personvernhensyn, dels av hensyn til atden nye loven vil gjelde for flere typer systemer.Sikkerhetsmessig overvåkning er et helt nødven-

dig tiltak for å beskytte skjermingsverdige infor-masjonssystemer i tilstrekkelig grad. Derfor måvirksomhetene ha en plikt til å gjennomføre tilta-ket for alle typer av informasjonssystemer somskal beskyttes etter den nye sikkerhetsloven.

I § 13 a andre ledd er plikten konkretisert vedat nærmere angitt utveksling av informasjon skalregistreres og lagres. Enkelte høringsinstanserpåpekte i høringen av Prop. 97 L (2015–2016), atslik lagring vil kunne bli svært byrdefullt. Dennebekymringen blir enda mer aktuell med den nyeloven, som skal gjelde for flere typer informasjons-systemer. Etter utvalgets oppfatning bør derforikke plikten være absolutt. Det må først vurdereskonkret i hvilket omfang det enkelte system børovervåkes. Når dette er kartlagt inntrer plikten tilå lagre og registrere.

Utvalget foreslår også en mer generell angi-velse av hvilken informasjon som kan lagres ogregistreres. Det er flere grunner til dette. Den nyeovervåkningsbestemmelsen gjelder for flere typersystemer og det er ikke klart for utvalget at angi-velsen i § 13 a er treffende nok i alle tilfeller. Envidere hjemmel er forsvarlig fordi lagrings- ogregistreringsplikten ikke er absolutt. Overvåknin-gen må begrunnes i sikkerhetshensyn og det skaletter forslagets tredje ledd tas personvernhensyn.

Det fremgår av Prop. 97 L (2015–2016) atinformasjonen som lagres og registreres ogsåskal analyseres. Slik utvalget har oppfattet det vilslik analyse i mange tilfeller være helt nødvendigfor å oppnå formålet med overvåkningen. Det børdermed fremgå klart av loven en hjemmel til åanalysere informasjonen som innhentes gjennomovervåkningen.

Logging vil i mange tilfeller gripe inn i person-vernet til personer som bruker det overvåkedesystemet. Utvalget støtter de drøftelser som gjø-res over temaet i Prop. 97 L (2015–2016), menmener samtidig at det bør tas inn en proporsjonali-tetsregel i bestemmelsen. Det blir da tydeligerefor virksomheten at det ved den konkrete vurde-ringen av behovet for logging også må tas hensyntil personvernkonsekvensene. At slike vurderin-ger er gjort bør også kunne kontrolleres i ettertid.I praksis skal dette litt enkelt sagt føre til at høy-graderte systemer kan overvåkes i større utstrek-ning enn lavgraderte og ugraderte systemer.Videre foreslår utvalget mindre språklige justerin-ger for å gjøre ordlyden mer tilgjengelig og for åtydeliggjøre formålet med overvåkningen.

Tekniske sikkerhetsundersøkelser bør fortsattkunne gjennomføres i samme utstrekning somtidligere. Utvalget har i sitt arbeid i liten grad mot-tatt innspill om dette sikkerhetstiltaket. Slik utval-


get oppfatter det er det fortsatt behov for hjemmelfor å foreta denne typen undersøkelser. Tiltaketbenyttes blant annet i forkant av møter og ved sik-kerhetsgodkjenning av rom. Utvalget foreslår der-for bestemmelsen videreført.

Utvalget har ikke mottatt særlige synspunkterom kryptosikkerhet. Det fremstår likevel klart atdet er behov for en videreføring av dagens ord-ning. Utvalget ser imidlertid ikke behov for åregulere kryptosikkerhet på lovs nivå. Det er hertale om spesifikke sikkerhetstiltak som ikke måreguleres i lov, og utvalget foreslår derfor at helereguleringen flyttes til forskrift. For utvalgets delsynes det mest naturlig at Nasjonal sikkerhet-smyndighet fortsetter å være forvalter av krypto-sikkerhet.

8.6.5 Forholdet til NIS-direktivet

Hovedformålet med NIS-direktivet er å bidra til etvelfungerende indre marked. Antakelig vil enrekke virksomheter, dersom direktivet implemen-teres i norsk rett, omfattes av både NIS-direktivetog av en ny sikkerhetslov. Det går ikke klart fremav direktivet hvilket sikkerhetsnivå som vil bli inn-ført. Ut i fra direktivets tittel er ambisjonen et høytfelles nivå på sikkerheten. Det kan nok likevelikke utelukkes – tatt EUs kompromissvillighet ibetraktning – at det i realiteten blir tale om et fel-les minimumsnivå for sikkerheten i førsteomgang.

Etter utvalgets oppfatning synes NIS-direktivetå være et godt tiltak som vil løfte sikkerheten imange virksomheter som leverer samfunnsvik-tige tjenester. Samtidig synes det klart at sikker-hetsloven ikke er den riktige plasseringen av eneventuell norsk implementering av direktivet. Deto regelverkene har ulikt formål, ulikt nedslagsfeltog ulike ambisjoner for sikkerhetsnivået.

8.6.6 Harmonisering av sektorregelverk

Utvalget mottok 7. desember 2015 rapportenKartlegging av sektorlovgivning som regulerervirksomheters tiltak mot tilsiktede hendelser.34

Som det ligger i navnet handler rapporten om noemer enn, men omfatter likevel, regler om informa-sjonssikkerhet.

I sitt arbeid med nytt lovgrunnlag for nasjonalsikkerhet har utvalget naturligvis sett hen til sek-torregelverk innen alle relevante områder, her-

under også informasjonssikkerhet. Ved utarbei-delsen av lovforslaget har utvalget forsøkt å kom-mer frem til en løsning der den sektorovergri-pende sikkerhetsloven er tilpasset det eksis-terende regelverket. Gitt ny sikkerhetslovsoverordnede nivå har det imidlertid vært begren-set behov for konkret tilpasning. Imidlertid er sys-tematikken slik at man ved gjennomføring av dennye loven skal benytte seg av og i minst muliggrad gripe inn i eksisterende og velfungerendesikkerhetsregelverk.

Dette gjelder også for informasjonssikkerhet.Slik utvalget ser det foreslås det ikke bestemmel-ser som kommer i konflikt med eksisterenderegelverk. Utvalget antar samtidig at man vedutarbeidelsen av en informasjonssikkerhetsfor-skrift i større grad må tilpasse denne til eksis-terende regelverk eventuelt harmonisere nytt oggammelt regelverk. Dette understreker ytterli-gere behovet for at utarbeidelse av forskrifter tilny sikkerhetslov må foretas av flere aktører i sam-arbeid.

8.6.7 Beskyttelsesinstruksen

Beskyttelsesinstruksens anvendelsesområde erbehandling av dokumenter som trenger beskyt-telse av andre grunner enn nevnt i sikkerhetslo-ven med forskrifter. Instruksen plasserer seg der-med per definisjon utenfor sikkerhetslovensanvendelsesområde.

Som det fremgår av kapittel 6.7.1 foreslårutvalget en utvidelse av gjeldende sikkerhetslovsanvendelsesområde. Dersom beskyttelsesinstruk-sen skal implementeres i en ny sikkerhetslov måanvendelsesområdet utvides ytterligere, slik atogså hensynet til andre offentlige interesser,bedrifter, institusjoner og enkeltpersoner ivaretasgjennom loven. Ved vurderingen av om informa-sjon skal sikkerhetsgraderes må man trekke innandre momenter enn beskyttelse av grunnleg-gende nasjonale funksjoner. Etter utvalgets opp-fatning vil det innebære en samling av vur-deringstemaer som tematisk har lite med hver-andre å gjøre.

Et første skritt på veien til en revisjon ogmodernisering av beskyttelsesinstruksen, villevære å identifisere hvilke aktører som brukerinstruksen og samle deres erfaringer. Ettersominstruksens anvendelsesområde per definisjon eret annet enn for sikkerhetsloven, ville det i storgrad være tale om å ta kontakt med andre aktørerenn de utvalget har vært i kontakt med for å vur-dere sikkerhetsloven. Med dette som utgangs-punkt har utvalget ikke funnet det hensiktsmessig

34 Herbjørn Andersen, Kartlegging av sektorlovgivning somregulerer virksomheters tiltak mot tilsiktede hendelser, Høg-skolen i Oslo og Akershus, elektronisk vedlegg 1.


å vurdere beskyttelsesinstruksen nærmere i sam-menheng med det øvrige arbeidet med sikker-hetsloven.

8.6.8 Forholdet til offentlighetsloven

En utvidelse av lovens virkeområde vil antakeliginnebære at mer informasjon blir sikkerhetsgra-dert. Det er flere grunner til at utvalget ikke serdette som problematisk i en offentlighetssammen-heng.

Dagens sikkerhetslov gjelder for hele denoffentlige sektor og kun i noen grad for andrevirksomheter. Et utvidet virkeområde vil førstfremst innebære at flere virksomheter utenforoffentlig sektor vil bli omfattet av loven.

Den informasjonen som er aktuell for sikker-hetsgradering og dermed unntatt offentlighet, er isvært mange tilfelle unntatt offentlighet av ulikeårsaker. Ett eksempel på slik informasjon – uten atutvalget dermed tar stilling til forholdet til en nysikkerhetslov – er beredskapsforskriften, jf. kapit-tel 8.3.2. Det er videre grunn til å tro at informa-sjon som er aktuell for sikkerhetsgradering imange tilfeller er underlagt taushetsplikt.

I alle tilfeller vil sikkerhetsgradert informasjonha et særlig beskyttelsesbehov som i seg selv ergrunn til å unnta opplysningene fra innsyn. Et vik-tig lovfestet prinsipp som utvalget foreslår videre-ført, er at sikkerhetsgradering ikke skal skje istørre utstrekning eller for lengre tid enn det somer nødvendig av hensyn til nasjonal sikkerhet.


Kapittel 9

Objekt- og infrastruktursikkerhet

9.1 Innledning

Som det fremkommer av kapittel 6 Lovens formålog virkeområde, samt tidligere kapitler, er formåletmed regulering av forebyggende nasjonal sikker-het å forhindre at terror, sabotasje eller andre til-siktede hendelser rammer grunnleggende nasjo-nale funksjoner. Videre skal forebyggende nasjo-nal sikkerhet bidra til at samfunnet blir robust, forå forhindre uforholdsmessig store konsekvenserdersom slike hendelser inntreffer. Forebyggingav spionasje og annen etterretningsvirksomhet eret viktig tiltak for økt sikkerhet.

Dersom tilsiktede uønskede hendelser ram-mer viktige samfunnsfunksjoner, kan det medførealvorlige konsekvenser. Konsekvensene av en til-siktet hendelse vil kunne få betydelig størreomfang enn det som var intensjonen fra den ellerde som planla og utførte handlingen, på grunn avavhengigheter som fører til følgefeil. I andre sam-menhenger vil konsekvensene bli langt mindreenn trusselaktøren har antatt på grunn av robust-het i systemer og i samfunnet.

Noe av bakgrunnen for nedsettelsen av utval-get er at dagens objektsikkerhetsregelverk prakti-seres svært ulikt i ulike sektorer, og at det eruklarheter knyttet til hvilke objekter som er skjer-mingsverdige i sikkerhetslovens forstand. Hvilkekriterier som ligger til grunn for utvelgelse, klassi-fisering og sikringstiltak, varier mye fra sektor tilsektor. Dette fører til store ulikheter i terskelenfor utpeking av objekter som skjermingsverdige,samt hvilke type objekter som utpekes. Videre erdet uklarheter og uenigheter knyttet til hvordandisse bør sikres mot uønskede hendelser på enkostnadsmessig balansert måte. En utfordringmed dagens situasjon er dermed at sikkerhetsni-vået i ulike sektorer er lite harmonisert. Dette kanvære problematisk ved at sikkerhetsnivået i ensektor eller virksomhet ikke bare er avhengig aveget sikkerhetsarbeid, men også av at alle kritiskeinnsatsfaktorer holder tilsvarende sikkerhetsnivå.

I følge NSMs sikkerhetsfaglige råd har sikker-hetsarbeidet som utøves for å ivareta viktige sam-

funnsmessige interesser lang tradisjon for å væredetaljregulert i lover, forskrifter og instrukser.Dette oppfattes som problematisk for flere av sek-torene og aktørene som blir omfattet av regelver-ket. Dette anses å gi for detaljerte krav til foreksempel fysisk sikring, og det gir lite fleksibilitetmed hensyn til hvilke andre tiltak som skal iverk-settes for å oppnå et tilstrekkelig og helhetlig sik-kerhetsnivå.

Dagens objektsikkerhetsregelverk fungerergodt med tanke på sikring av enkeltobjekter, menhar svakheter når det gjelder ivaretakelse av kri-tisk infrastruktur. Direktoratet for samfunnssik-kerhet og beredskap (DSB) og andre har påpektat dagens regelverk gir få incentiver for å utviklerobuste systemer, kun robuste objekter. Dette erproblematisk sett i lys av hvordan ulike objektersfunksjonalitet er avhengig av en rekke innsatsfak-torer. Lange komplekse verdikjeder, blant annetsom resultat av økt digitalisering, gir sterkeavhengigheter som bidrar til å gjøre grunnleg-gende nasjonale funksjoner sårbare.

Utvalgets målsetting med regulering av fore-byggende sikkerhet for objekter og infrastrukturer å beskytte kritisk infrastruktur og objekter somer nødvendig for å understøtte grunnleggendenasjonale funksjoner mot tilsiktede uønskede hen-delser. Dette innebærer å forebygge at hendelserinntreffer, og å sikre at konsekvensene dersomhendelser inntreffer blir så små som mulig.

En viktig målsetting er å oppnå et harmonisertsikkerhetsnivå, samtidig som det legges til rettefor fleksible sikkerhetstiltak tilpasset den enkeltevirksomhet og sektor.

En ytterligere målsetting er å sikre en sam-funnsøkonomisk lønnsom regulering. Dette inne-bærer at samfunnets kostnad ved å gjennomføresikringstiltak står i rimelig forhold til den nyttensamfunnet får ved risikoreduksjon. Samfunnsøko-nomisk lønnsomhet er nærmere omtalt underkapittel 4.5.1. Sikringstiltak må ses i sammenhengog på tvers av ulike samfunnssektorer, slik at til-tak iverksettes der det gir størst effekt. Slike vur-


deringer bør gjøres på tvers av virksomheter ogsamfunnssektorer.

En grunnleggende problemstilling er hvordanregelverket kan innrettes og hvordan myndig-hetsansvaret bør fordeles for best å a) forebyggeat tilsiktede uønskede hendelser rammer grunn-leggende nasjonale funksjoner, og b) sikre at konse-kvensene blir så små som mulig, dersom en hen-delse likevel inntreffer.

En annen problemstilling er hvordan man skalredusere sårbarhetene i samfunnet som følger avøkt avhengighet mellom ulike virksomheter ogsamfunnsfunksjoner, særlig i forbindelse meddigitalisering. Utvalget må ta stilling til hvordanman oppnår tversektoriell koordinering og harmo-nisering som gir et tilstrekkelig nasjonalt sikker-hetsnivå. Samtidig er det ønskelig at sektorenebeholder nødvendig autonomi og at det legges tilrette for fleksible og effektive risikoreduserendetiltak.

Som beskrevet i kapittel 6.7.6 er en grunnleg-gende problemstilling knyttet til det asym-metriske avhengighetsforholdet mellom ulikevirksomheter og grunnleggende nasjonale funksjo-ner. Enkelte sikkerhetstiltak vil kunne ha storsamfunnsøkonomisk nytte, men liten egenverdiog høy kostand for de virksomheter der tiltakenemå iverksettes. Dette er problematisk for denberørte virksomhet, blant annet i et konkurranse-perspektiv. Det er en utfordring å balansere tiltakslik at man hindrer unødig negative effekter forden enkelte virksomhet samtidig som man sikreret helhetlig og tilstrekkelig nasjonalt sikkerhets-nivå.


Forebyggende sikkerhet for kritisk infrastrukturog objekter av kritisk betydning for grunnleggendenasjonale funksjoner, er i dag regulert gjennomflere lover, forskrifter og andre bestemmelser. Deviktigste reguleringsregimene er illustrert i figur9.1. Reguleringen er delvis knyttet til sektorregel-verk og delvis til sektorovergripende regelverk.For forebyggende nasjonal sikkerhet er sikker-hetsloven mest sentral. Denne er i sin helhet rele-vant, og både informasjonssikkerhet, personell-sikkerhet, og kontroll av leverandører og med sik-kerhetsgraderte anskaffelser, er forhold som erav stor betydning for sikkerheten ved infrastruk-tur og objekter. Disse temaene er imidlertidomtalt i egne kapitler. Den delen av sikkerhetslov-

givningen som har størst direkte relevans her erobjektsikkerhetsregelverket.1

Dagens objektsikkerhetsregelverk regulereridentifisering og utpeking av objekter som omfat-tes av loven. Videre reguleres klassifiseringbasert på hvor viktige objektene er som grunnlagfor fastsettelse av krav til sikkerhetsnivå og kravtil beskyttelse/sikring av objekter. Det er naturligå ta utgangspunkt i disse temaene i en gjennom-gang av regelverket.

Hovedformålet med objektsikkerhetsregelver-ket er å gi en helhetlig og overordnet tilnærmingpå tvers av samfunnssektorene når det gjelderutvelgelse, beskyttelse og tilsyn med skjermings-verdige objekter. Disse er definert som «eiendomsom må beskyttes mot sikkerhetstruende virk-somhet av hensyn til rikets eller alliertes sikker-het eller andre vitale nasjonale sikkerhetsinteres-ser».2 Med eiendom forstås løsøre, bygninger,områder, naturmiljøet og andre stasjonære ogmobile objekter.3 Det fremkommer av forarbei-dene at dagens definisjon av skjermingsverdigobjekt også under visse omstendigheter dekkerlokaliteter der aktiviteter finner sted og bestemtepersoner oppholder seg:

1 Sikkerhetsloven, kapittel 5 og Forskrift av 22. oktober 2010om objektsikkerhet (objektsikkerhetsforskriften).

2 Sikkerhetsloven, § 3 første ledd nr. 12.3 Ot.prp. nr. 49 (1996–97).

Figur 9.1 Objektsikkerhet er i dag regulert i diverse regelverk.

Kilde: Nasjonal sikkerhetsmyndighet.

Gjeldende objektsikringsregimer

Objekter sikres med sikringsstyrker

Sikring er objekteiersplikt og ansvar.Objekteier skal hapermanent grunnsikring

A.Skjermingsverdigeobjekter ettersikkerhetsloven

B.Særregulertesektorobjekter

D.Forsvaretsnøkkelpunkter

C.Objekter omfattet av politiets objektsikrings-planverk


Det forutsettes at aktiviteter i seg selv kan væreskjermingsverdige, og vil indirekte kunne dek-kes av definisjonene her, ved at stedet aktivite-ten foregår pga aktiviteten vil være et skjer-mingsverdig objekt.

Definisjonene vil også i gitte situasjonerdekke bygninger eller områder hvor personerbefinner seg, utelukkende som følge av perso-nenes tilstedeværelse, dersom personene foreksempel har en slik funksjon i den nasjonalebeslutningsprosessen e.l. at det vil kunneskade rikets sikkerhet mv om deres tiltenktefunksjon elimineres eller på annen måte umu-liggjøres eller hemmes som følge av sikker-hetstruende virksomhet.4

Objektsikkerhet er regulert i sikkerhetslovenkapittel 5 og i forskrift om objektsikkerhet.Dagens regler trådte i kraft 1. januar 2011.5

Historisk har forebyggende sikkerhetstjenestevært rettet mot beskyttelse av informasjon, ikkeobjekter, noe også dagens sikkerhetslov bærerpreg av. Objektsikkerhetsregelverket er relativtnytt og regelverket har ikke fungert etter hensik-ten. Hovedutfordringen med dagens regelverk erat det har vært uenigheter mellom departemen-tene om hvordan utpeking av skjermingsverdigeobjekter skal praktiseres, og om hvordan dissebør sikres best mulig mot skade eller ødeleggelsepå en kostnadsmessig og balansert måte. Detteomtales blant annet i DSBs brev til utvalget.6

I forbindelse med implementeringen av objekt-sikkerhetsregelverket ble det gitt en frist for utpe-king og klassifisering av skjermingsverdige objek-ter, 31. desember 2012. Videre var det fastsatt enfrist for implementering av sikringstiltak innen 31.desember 2013. Det har vist seg vanskelig å eta-blere en tilstrekkelig ensartet praksis mellomdepartementene omkring utpeking av skjermings-verdige objekter. Uenigheter mellom ulike depar-tementer og andre myndigheter rundt dette,sammen med utviklingen i samfunnets sårbarhetog et endret trusselbilde, var noe av utgangspunk-tet for at regjeringen oppnevnte dette utvalget.

Utfordringene med dagens objektsikkerhets-regelverk gir seg også utslag i forbindelse medavhengigheter til andre objekter. I forskrift omobjektsikkerhet fremkommer det at dersom et

objekt er avhengig av et annet objekt for å opprett-holde egen funksjon, skal denne avhengighetenmeddeles den virksomheten som rår over detunderstøttende objektet.7

DSB har i sitt brev til utvalget8 gitt uttrykk forat det er en svakhet med dagens regelverk at det«gir lite insitament til å utvikle robuste systemer».Dette understøttes også av utredningen som FFIhar gjort på oppdrag fra utvalget.9

9.2.1 Utpeking av skjermingsverdige objekter etter sikkerhetsloven

Prinsippene for utvelgelse av skjermingsverdigeobjekter følger av sikkerhetsloven § 17. Det erhvert enkelt fagdepartement som er ansvarlig forå utpeke skjermingsverdige objekter innenfor sittmyndighetsområde. Det skal være en høy terskelfor utpeking, og det må dreie seg om objektersom etter en skadevurdering anses å være avvesentlig samfunnsinteresse. Utpekingen skalskje på grunnlag av en skadevurdering. Innenforlovens formål skal det særlig ses hen til objektets:

a) betydning for sikkerhetspolitisk krisehåndte-ring og forsvar av riket,

b) kritiske funksjoner for det sivile samfunn,c) objektets symbolverdi, ogd) muligheten for å utgjøre en fare for miljøet

eller befolkningens liv og helse.

Etter § 17 annet ledd skal det i skadevurderingenogså tas hensyn til hva som vil være en akseptabeltidsperiode for funksjonssvikt, muligheten til ågjenopprette funksjonalitet, og hensynet til objek-tets betydning for andre objekter.

Det er den enkelte virksomhet som eier ellerråder over et potensielt skjermingsverdig objektsom skal levere en dokumentert skadevurderingtil vedkommende fagdepartement, jf. forskrift omobjektsikkerhet § 2-1 annet ledd. Der det finnestilsynsorgan for sektoren, kan tilsynsorganet fore-slå objekter som skjermingsverdige uavhengig avobjekteiers vurdering.

NSM kan også foreslå skjermingsverdigeobjekter overfor departementene, jf. forskriften§ 2-1 tredje ledd. Utpeking skal ikke skje i større

4 Ot.prp. nr. 21 (2007–2008), 19. 5 Ibid., og Innst. O. nr. 33 (2007–2008), Innstilling fra for-

svarskomiteen om lov om endringer i lov 20. mars 1998 nr.10 om forebyggende sikkerhetstjeneste (sikkerhetsloven).

6 Brev fra Direktoratet for samfunnssikkerhet og beredskaptil sikkerhetsutvalget, «Innretning av ny sikkerhetslov -DSBs foreløpige vurderinger», 20.04.2016.

7 Objektsikkerhetsforskriften § 2-1 femte ledd.8 Brev fra DSB til sikkerhetsutvalget, «Innretning av ny sik-

kerhetslov – DSBs foreløpige vurderinger».9 Forsvarets forskningsinstitutt, Vurdering av forebyggende

sikkerhet innen kraft, petroleum og luftfart, FFI-rapport00702 (Kjeller: Forsvarets forskningsinstitutt 2016), elek-tronisk vedlegg nr. 3.


utstrekning enn nødvendig, jf. forskriften § 2-1fjerde ledd.

I forskriften § 2-1 femte og sjette ledd er detregulert hvordan man skal forholde seg dersom etobjekt er avhengig av andre objekter for å kunnefungere etter sin hensikt, og dersom et objektsom er vurdert som skjermingsverdig tilhører envirksomhet som ikke er underlagt sikkerhetslo-ven.

Myndigheten til å utpeke et objekt som skjer-mingsverdig er tillagt vedkommende fagdeparte-ment og ikke den enkelte virksomhet. Et argu-ment for dette er at departementet har en over-ordnet og mer helhetlig oversikt enn den enkeltevirksomhet kan forutsettes å inneha.

Som nevnt i kapittel 9.1 og i innledningen tilkapittel 9.2, har praksis ved innmelding av skjer-mingsverdige objekter til NSM vist at det er ulikeoppfatninger om hvor terskelen for utpeking ogklassifisering ligger. DSB understreker også atdette er en svakhet med dagens sikkerhetslov.10

9.2.2 Klassifisering av skjermingsverdige objekter etter sikkerhetsloven

Et skjermingsverdig objekt skal klassifiseres utfra den skade som kan oppstå dersom objektet fårredusert funksjonalitet eller blir utsatt for skade-verk, ødeleggelse eller rettstridig overtakelse somfølge av sikkerhetstruende virksomhet. Dagensregelverk etablerer tre klasser:

a) MEGET KRITISK nyttes dersom det kan fåhelt avgjørende skadefølger for rikets selvsten-dighet og sikkerhet og andre vitale nasjonalesikkerhetsinteresser om objektet får redusertfunksjonalitet eller blir utsatt for skadeverk,ødeleggelse eller rettsstridig overtakelse avuvedkommende.

b) KRITISK nyttes dersom det alvorlig kan skaderikets selvstendighet og sikkerhet og andrevitale nasjonale sikkerhetsinteresser omobjektet får redusert funksjonalitet eller blirutsatt for skadeverk, ødeleggelse eller retts-stridig overtakelse av uvedkommende.

c) VIKTIG nyttes dersom det kan skade riketsselvstendighet og sikkerhet og andre vitalenasjonale sikkerhetsinteresser om objektet fårredusert funksjonalitet eller blir utsatt for ska-deverk, ødeleggelse eller rettsstridig overta-kelse av uvedkommende.11

Fagdepartementet fastsetter klassifiseringsgra-den basert på en skadevurdering som er utarbei-det av virksomheten som eier eller råder overskjermingsverdig objekt, jf. objektsikkerhetsfor-skriften § 2-2. Det skal ikke brukes høyere klassi-fiseringsgrad enn nødvendig. Videre er det barede skjermingsverdige deler av objektet som skalomfattes av klassifiseringen, samtidig som objek-tet kan inndeles i forskjellige klassifiseringsgra-der. Det skal tas hensyn til objektets betydning forandre objekter, jf. forskriften § 2-2 tredje ledd.

Det skal foretas en omklassifisering av objek-tet ved endring av forhold som er relevante forden foreliggende skadevurderingen, jf. forskriften§ 2-3. Slik fastsettelse foretas av fagdepartemen-tet. Det er en forutsetning at objekteier melderinn forhold som tilsier en ny slik skadevurdering.

Innmelding av skjermingsverdige objekter tilNSM har vist at det kan være vanskelig å vurderehva som er et korrekt klassifiseringsnivå. Engrunn kan være at det er snakk om et relativt nyttregelverk.

NSM driver tilsyn og veiledning for å oppnå ensektorovergripende harmonisert tilnærming tilbruk av de ulike klassifiseringsnivåene. Det storeflertall av innmeldte objekter er vurdert til detlaveste klassifiseringsnivået VIKTIG. Enkeltevirksomheter savner en tydeligere beskrivelse avhva som er de dimensjonerende truslene for de til-tak som skal iverksettes i henhold til objektsikker-hetsbestemmelsene. Dette er ikke beskrevet i loveller forskrift i dag. Det er heller ikke omtalt i for-arbeidene utover en kort og generell henvisningtil at det må tas utgangspunkt i at mulige trusse-laktører er fremmede makter og internasjonaleterrororganisasjoner.12

NSMs tilsyn viser at etterlevelsen av regelver-ket er mangelfull. Blant annet er det store man-gler i gjennomføring av risikovurderingene somskal ligge til grunn for klassifiseringen, og det ermangel på kartlegging av avhengigheter.13

9.2.3 Plikt til å beskytte skjermingsverdige objekter etter sikkerhetsloven

Etter utpeking plikter objekteier å beskytte objek-tet med de nødvendige sikkerhetstiltak, jf. sikker-hetsloven § 17 b. Regelverket gir funksjonellekrav til sikringstiltak (grunnsikring), der tiltakeneskal bestå av en kombinasjon av barrierer, detek-sjon, verifikasjon og reaksjon. Objekt klassifisert

10 Brev fra DSB til sikkerhetsutvalget, «Innretning av ny sik-kerhetslov – DSBs foreløpige vurderinger».

11 Sikkerhetsloven § 17 a.

12 Ot.prp. nr. 21 (2007–2008), 13.13 Elgsaas og Schultz Heireng, Norges sikkerhetstilstand – en

årsaksanalyse av mangelfull forebyggende sikkerhet, 2014.


som MEGET KRITISK skal beskyttes slik at tapav funksjon, ødeleggelse eller rettsstridig overta-kelse avverges. Objekt klassifisert som KRITISKskal beskyttes slik at tap av funksjon eller ødeleg-gelse begrenses og rettsstridig overtakelse avver-ges. Objekt klassifisert som VIKTIG skal beskyt-tes slik at tap av vesentlig funksjon og ødeleggelsebegrenses.

Sikkerhetstiltakene skal også ta sikte på åredusere muligheten for etterretningsaktivitetmot objektet, jf. § 17 b tredje ledd.

Kongen kan bestemme at det kreves sikker-hetsklarering for den som skal gis tilgang tilobjekt klassifisert MEGET KRITISK eller KRI-TISK, jf. § 17 b fjerde ledd. Det er med andre ordikke noe krav om sikkerhetsklarering for perso-ner som gis tilgang til objekt klassifisert som VIK-TIG, jf. § 17 b fjerde ledd.

Kongen kan videre gi nærmere bestemmelserom planlegging og gjennomføring av sikkerhets-tiltak, herunder bruk av sikringsstyrker, jf. § 17 bfemte ledd. Etter objektsikkerhetsforskriften § 3-5skal objekteier som er ansvarlig for et skjermings-verdig objekt, legge til rette for at sikringsstyrkerkan forberede, øve og gjennomføre tiltak på ogved objektet for å beskytte dette.

Med unntak av at ansvarlig departement kanstille krav om sikkerhetsklarering for tilgang tilskjermingsverdig objekt,14 gir sikkerhetsloven idag ikke noen uttrykkelig hjemmel for å imple-mentere andre beskyttelsestiltak enn de tiltaksom objekteier selv kan iverksette i kraft av sinegen eierrådighet over objektet.

Som tidligere omtalt har praksis omkring inn-melding og klassifisering vist at det er ulike opp-fatninger mellom departementene om det skalforetas slik innmelding og klassifisering av objek-ter etter sikkerhetsloven. Dette gjelder særlig i detilfeller der man har eget sektorregelverk somanses å ivareta behov på tiltakssiden.

NSMs tilsyn har avdekket vesentlige mangler ioppfølgingen av objektsikkerhetsregelverket,både hva gjelder gjennomføring av sikkerhetstil-tak etter objektsikkerhetsforskriften og oppføl-ging av pålegg gitt i forbindelse med tilsyn. Man-glende oppfølging får sjelden konsekvenserutover pålegg.15

For å oppnå en nødvendig beskyttelse av skjer-mingsverdige objekter, kan det i særlige tilfellervære behov for å iverksette beskyttelsestiltakutover den egenbeskyttelse objekteier selv kan

etablere. Dette kan eksempelvis være tiltak for åbeskytte objektet mot uønsket kartlegging av detsfunksjonalitet eller sårbarheter. Stortinget har iforbindelse med behandlingen av Innst. 352 L(2015–2016) til Prop. 97 L (2015–2016) omendringer i sikkerhetsloven, vedtatt regjeringensforslag til ny bestemmelse § 5 a om varslingspliktog myndighet til å fatte vedtak ved risiko for sikker-hetstruende virksomhet.16 Denne bestemmelsengir virksomheter som får kunnskap om en plan-lagt eller pågående aktivitet som kan medføre enikke ubetydelig risiko for at sikkerhetstruendevirksomhet blir gjennomført, plikt til å varsle over-ordnet departement om dette. Kongen i statsråder gitt myndighet til å fatte nødvendige vedtak forå hindre slik sikkerhetstruende virksomhet.17


Ved siden av sikkerhetsloven er det flere lover,forskrifter og andre bestemmelser som regulererforebyggende sikkerhet for infrastruktur ogobjekter. Særlig relevant er regulering av sikringmot tilsiktede uønskede hendelser mot samfunns-funksjoner i sektorregelverk.

Som omtalt i kapittel 6.6 har DSB arbeidetmed å definere hva som inngår i samfunnets kri-tiske funksjoner, og utviklet en tilnærming tilhvordan disse skal sikres gjennom identifiseringog sikring av infrastruktur og innsatsfaktorer somer nødvendig for understøttelse. DSBs arbeid medkritiske samfunnsfunksjoner har en all hazards-til-nærming. Dette innebærer at kritikaliteten tilsamfunnsfunksjoner, innsatsfaktorer og infra-struktur utelukkende baseres på konsekvenserved bortfall, og ikke i hvilken grad de er sårbarefor ulike typer uønskede hendelser. Systematik-ken og arbeidet må ses i sammenheng med regu-leringen av forebyggende sikkerhet.

Sivilbeskyttelsesloven18 gir bestemmelser omsivile beskyttelsestiltak og beskyttelse av kritiskinfrastruktur. EUs EPCIP-direktiv er tatt inn i sivil-beskyttelsesloven og vil bli diskutert under.

Forebyggende sikkerhet omhandler bådegrunnsikring og forsterkningstiltak. Således erInstruks om sikring og beskyttelse av objekter vedbruk av sikringsstyrker også relevant.

14 Objektsikkerhetsforskriften § 3–6.15 Elgsaas og Schultz Heireng, Norges sikkerhetstilstand – en

årsaksanalyse av mangelfull forebyggende sikkerhet, 2014.

16 Prop. 97 L (2015–2016).17 Ibid.18 Lov 25. juni 2010 nr. 45 om kommunal beredskapsplikt,

sivile beskyttelsestiltak og Sivilforsvaret (sivilbeskyttelses-loven).


9.3.1 Sektorregelverk

Sikkerhetsutvalget har gitt Høyskolen i Oslo ogAkershus (HiOA) i oppdrag å kartlegge sektorre-gelverk som regulerer beskyttelse av objekter oginfrastruktur. HiOA har utarbeidet en rapport.19

HiOA har delt funn av sektorregelverk inn ifølgende områder (sektorer):

– CBRNE (chemical, biological, radiological,nuclear and explosive)

– Energi– Samferdsel– IKT-infrastruktur og informasjonssikkerhet– Elektronisk kommunikasjon (ekom)– Finans– Helse– Samordning

På alle områder, unntatt helse og til dels IKT er deti HiOAs arbeid gjort funn av sektorregelverk somregulerer sikring mot tilsiktede uønskede hendel-ser for samfunnsfunksjoner, infrastruktur ellerobjekter. Innretningen på regelverket varierer.

Bruk av klassifisering er benyttet i flere sam-menhenger i sektorlovgivningen, der ulike kate-gorier anlegg/virksomhet er underlagt ulike kravtil sikring. Klassifiseringen er som regel knyttet tilkritikalitet for samfunnet ved bortfall av tjenesteog funksjon. For ekom er det lagt opp til at objek-ter som faller inn i øvre klasse vil bli definert somskjermingsverdig objekt og således falle innunder sikkerhetslovens objektsikkerhetsbestem-melser. Bestemmelsen er fastsatt i klassifiserings-forskrifta,20 der anlegg klassifiseres i kategorieneA til D. I forskriften slås det fast at kategori A eromfattet av sikkerhetsloven.

For kraftforsyning er det også benyttet klassifi-sering av anlegg basert på kritikalitet ved bortfall,men her er det ikke bestemmelser som knytterobjekter til sikkerhetsloven gjennom klassifise-ring. Damsikkerhetsforskriften21 fastsetter krite-rier for kategorisering av damanlegg. Tilsvarendebenyttes klassifisering i forskrift om forebyg-gende sikkerhet og beredskap i energiforsynin-gen22 og i forskrift om sikring av havner,23 for-

skrift om sikring av havneanlegg,24 og i sikker-hetsforskriften25 til skipssikkerhetsloven.

Innenfor petroleumssektoren har det tradisjo-nelt vært fokus på HMS og safety med et velut-viklet regelverk på dette området. Selv om lovfes-tede krav til sikkerhet innen petroleumsvirksom-heten har vært HMS- og internkontrollbaserte, erdet ikke slik at man har unnlatt sikring mot tilsik-tede uønskede hendelser. Det har vært oppmerk-somhet om terrorfaren tilbake til 1970 tallet. Dettehar imidlertid vært håndtert i et annet spor, medinnsats fra politiets beredskapstropp og Forsva-rets spesialkommando (FSK).26 FSK ble etablert i1982 for å håndtere terrortrusselen mot oljeplatt-formene på sokkelen.27

Det er verdt å merke seg at det eksisterendesektorregelverket eksisterer sammen med gjel-dende sikkerhetslov, og at i den grad objekter erutpekt som skjermingsverdig objekt omfattes deav dette regelverket.

Forsvarets forskningsinstitutt (FFI) har påoppdrag fra Sikkerhetsutvalget foretatt en sikker-hetsfaglig vurdering av regelverket i tre ulike sek-torer.

Når det gjelder forebyggende sikkerhet forkritisk infrastruktur og kritiske samfunnsfunksjo-ner konkluderer FFI med at det er behov for etnasjonalt tverrsektorielt regelverk for utvelgelseav skjermingsverdige objekter, og at nasjonal kri-tisk infrastruktur og kritiske samfunnsfunksjonerbør inkluderes i regelverket.28

9.3.2 Identifisering av kritisk infrastruktur i henhold til KIKS

Direktoratet for samfunnssikkerhet og beredskap(DSB) har etablert en modell for sikkerhet i kri-tisk infrastruktur og kritiske samfunnsfunksjoner– KIKS-modellen.29 Denne modellen er basert på

19 Herbjørn Andresen, Kartlegging av sektorlovgivning somregulerer virksomheters tiltak mot tilsiktede hendelser, Høg-skolen i Oslo og Akershus, elektronisk vedlegg 1.

20 Forskrift 10. september 2012 om klassifisering og sikringav anlegg i elektroniske kommunikasjonsnett (klassifise-ringsforskrifta).

21 Forskrift 18. desember 2009 nr. 1600 om sikkerhet vedvassdragsanlegg (damsikkerhetsforskriften).

22 Forskrift 7. desember 2012 om forebyggende sikkerhet ogberedskap i energiforsyningen (beredskapsforskriften).

23 Forskrift 29. mai 2013 om sikring av havner.24 Forskrift 29. mai 2013 om sikring av havneanlegg.25 Forskrift 22. juni 2004 om sikkerhet, pirat- og terrorbered-

skapstiltak og bruk av maktmidler om bord på skip og flytt-bare boreinnretninger (sikkerhetsforskriften).

26 Herbjørn Andresen, Kartlegging av sektorlovgivning somregulerer virksomheters tiltak mot tilsiktede hendelser, Høg-skolen i Oslo og Akershus, elektronisk vedlegg 1.

27 Tor Jørgen Melien, Våre hemmelige soldater: norske spesial-styrker 1940–2012 (Oslo: Spartacus, 2012).

28 Forsvarets forskningsinstitutt, Vurdering av forebyggendesikkerhet innen kraft, petroleum og luftfart, FFI-rapport00702 (Kjeller: Forsvarets forskningsinstitutt 2016), elek-tronisk vedlegg nr. 3.

29 DSB, Sikkerhet i kritisk infrastruktur og kritiske samfunns-funksjoner – modell for overordnet risikostyring, 2012.


Infrastrukturutvalgets rapport.30 Basert på identi-fiseringen av kritiske samfunnsfunksjoner, kandet identifiseres hvilke systemer og anlegg som erhelt nødvendige for opprettholdelse av de aktuellefunksjonene. Infrastrukturutvalget oppstilte i sinutredning følgende modell for identifisering avkritisk infrastruktur. I henhold til modellen overvil identifisering av kritisk infrastruktur avhengeav tre kriterier:

1. avhengighet2. alternativer, og3. tett kobling

Første trinn er å vurdere avhengigheten av denaktuelle infrastrukturen. Med vurdering av avhen-gighet menes en kartlegging av hvilke samfunns-funksjoner som vil bli berørt av et bortfall av infra-strukturen, samt hvilke konsekvenser dette vil fåfor ivaretakelse av de verdiene som skal beskyt-tes. Desto større konsekvensene blir, desto mer

kritisk vil infrastrukturen være. Ekom-infrastruk-turen er et eksempel på en infrastruktur som enrekke kritiske samfunnsfunksjoner er avhengig avfor å opprettholde funksjonalitet. DSB har i rap-porten Risikoanalyse av cyberangrep mot ekom-infrastruktur31 vurdert hvordan kritiske sam-funnsfunksjoner påvirkes av et bortfall av ekom-nettet. Scenariet som ble lagt til grunn var at sen-trale noder i det landsdekkende transportnettetble satt ut av drift i en femdagersperiode. For enrekke samfunnsfunksjoner, herunder jernbane,luftfart, sentral kriseledelse og krisehåndtering,samt helse og omsorg, vil et utfall av ekom-nettetha store konsekvenser. DSB vurderte videre atnettokostnaden for et slikt utfall ville overstige 10milliarder kroner for de fem dagene.

Det andre trinnet vil være å vurdere alternati-ver. Med alternativer menes i henhold til DSBsrapport det som ofte kalles redundans i risikosty-ringssammenheng. Manglende alternativer tilsieren høy grad av kritikalitet. Et eksempel her kanvære energiforsyning. Infrastrukturutvalget viste isin utredning til at Norge har et stort antall kraft-verk spredt over hele landet, og at dette medførerat bortfall av ett kraftproduserende anlegg ikkeville få store konsekvenser for kraftleveransensett under ett. En infrastruktur med høy grad avredundans, vil således tale for en lavere grad avkritikalitet.

Det tredje trinnet vil være å vurdere grad avtett kobling. Et tett koblet system vil innebære atforstyrrelser ett sted i systemet får umiddelbarekonsekvenser for systemet som helhet. Høy gradav tett kobling tilsier høy grad av kritikalitet.Eksempler kan her være jernbane og lufttrafikk,som er avhengig av sentralisert styring i sann tidfor effektiv og sikker drift. Et annet eksempel erdigitale verdikjeder, eksempelvis innenfor ekom.Økende grad av digitalisering gir en økt sårbarheti denne forstand. I det digitale sårbarhetsutvalgetsutredning vises det til at et av kjennetegnene veddigitale verdikjeder, er at feil propagerer momen-tant og noen ganger på uforutsigbare måter. Someksempel nevnes at en feil hos en nettleverandørkan få hele betalingssystemet til å svikte umiddel-bart.32

DSBs arbeid med å etablere et rammeverk forKIKS har fokusert på overordnede kriterier foridentifisering av kritiske samfunnsfunksjoner ogkritisk infrastruktur. DSB har i sine to KIKS-rap-

30 NOU 2006: 6.

Figur 9.2 Kritisk infrastruktur.

Infrastrukturutvalgets utledning av kritisk infrastruktur ut frasamfunnets grunnleggende behov.Kilde: NOU 2006: 6, Når sikkerhet er viktigst.

Samfunnets grunnleggende behov

som blir dekket av


som er avhengig av ulike

Infrastrukturer

som blir vurdert ut fra

som gir et utgangspunkt for om det er

Avhengighet Alternativer Tett kobling

Kritisk Ikke kritisk

31 Direktoratet for samfunnssikkerhet og beredskap, Risikoa-nalyse av cyberangrep mot ekom-infrastruktur, – delrapporttil Nasjonalt risikobilde 2014.

32 NOU 2015: 13.


porter ikke omtalt aktuelle løsninger for kategori-sering av infrastruktur, hverken ut i fra type/funk-sjon eller ut i fra graden av kritikalitet.

9.3.3 Sivilbeskyttelsesloven og EPCIP

Sivilbeskyttelsesloven har til formål å beskytte liv,helse, miljø, materielle verdier og kritisk infra-struktur ved bruk av ikke-militær makt når Norgeer i krig, når krig truer, når Norges selvstendigheteller sikkerhet er i fare, og ved uønskede hendel-ser i fredstid. Den nye sivilbeskyttelsesloven blevedtatt i 2010. Den pålegger kommunene plikt til ålage helhetlige risiko- og sårbarhetsanalyser. Påbakgrunn av analysene skal det lages beredskaps-planer og gjennomføres øvelser.

Sivilbeskyttelsesloven gir bestemmelser omSivilforsvaret, tjenesteplikt i Sivilforsvaret, allmen-hetens bistandsplikt i akuttsituasjoner, kommunalberedskapsplikt, rekvisisjon av eiendom og rettig-heter, sivile beskyttelsestiltak og beskyttelse avkritisk infrastruktur. Kritisk infrastruktur define-res i loven som «de anlegg og systemer som erhelt nødvendige for å opprettholde samfunnetskritiske funksjoner som igjen dekker samfunnetgrunnleggende behov og befolkningens trygg-hetsfølelse». Definisjoner av kritisk infrastrukturog samfunnets kritiske funksjoner er ytterligerediskutert i kapittel 6.6 Kritisk infrastruktur og kri-tiske samfunnsfunksjoner.

Direktiv 2008/114/EF av 8. desember 2008om identifisering og utpeking av europeisk kritiskinfrastruktur og vurdering av behovet for åbeskytte den bedre (EPCIP-direktivet), er imple-mentert i sivilbeskyttelsesloven. Dette direktivetivaretar beskyttelse av europeisk kritisk infra-struktur og har således en klar grenseflate motdagens objektsikkerhetsregelverk.

Definisjonene som benyttes i direktivet er føl-gende:

Med «kritisk infrastruktur» menes anlegg,systemer eller deler av slike som er nødven-dige for å opprettholde sentrale funksjoner,menneskers helse, sikkerhet, trygghet og øko-nomiske eller sosiale velferd, og hvor driftsfor-styrrelse eller ødeleggelse av disse vil kunne fåbetydelige konsekvenser.

Med «europeisk kritisk infrastruktur»menes kritisk infrastruktur hvis driftsforstyr-relse eller ødeleggelse vil kunne få betydeligekonsekvenser for to eller flere EØS-stater.

Direktivet stiller krav til medlemsstatene om iden-tifisering og utpeking av europeisk kritisk infra-

struktur (EKI), og krav til etablering av visse til-tak. Kriteriene for identifisering av Europeisk kri-tisk infrastruktur er spesifisert i direktivets artik-kel 3. I tillegg til det grenseoverskridende krite-riet som fremkommer av definisjonen ovenfor, måeuropeisk kritisk infrastruktur oppfylle både sek-torbaserte kriterier og sektorovergripende krite-rier.

Det følger av endringer i sivilbeskyttelseslo-ven33 at de sektorbaserte kriteriene tar hensyn tilde særlige kjennetegn for de enkelte sektorer aveuropeisk kritisk infrastruktur. Disse kriteriene ergraderte, men skal være tilgjengelige for denaktuelle sektor.

De sektorovergripende kriteriene som skalbrukes for identifisering av europeisk kritiskinfrastruktur omfatter følgende:

– Forulykkede-kriteriet: en vurdering av detpotensielle antall omkomne eller sårede

– økonomisk effekt – kriteriet: en vurderingav størrelsen på det økonomiske tapet og/eller forringelse av varer og tjenester, her-under potensielle miljømessige konsekven-ser

– allmenne konsekvenser – kriteriet: en vur-dering av konsekvensene med hensyn tilbefolkningens tillit, fysiske lidelser og for-styrrelser av dagliglivet, herunder bortfallav vesentlige tjenester

Identifiseringsprosessen består av fire trinn. Enmulig europeisk kritisk infrastruktur som ikkeoppfyller kravene i ett av trinnene, anses ikke someuropeisk kritisk infrastruktur. En infrastruktursom oppfyller kravene på ett trinn, skal gjennomgåde neste trinnene i fremgangsmåten.34

Trinn 1: Hver EØS-stat skal anvende de sektor-baserte kriteriene for å foreta en første utvel-gelse av kritisk infrastruktur i en sektor.

Trinn 2: Hver EØS-stat skal anvende definisjo-nen av kritisk infrastruktur (se ovenfor) på enmulig europeisk kritisk infrastruktur identifi-sert i trinn 1. Betydningen av følgene vil bli fast-slått enten ved hjelp av nasjonale metoder for åidentifisere kritisk infrastruktur, eller ved hen-visning til sektorovergripende kriterier, på etegnet nasjonalt plan. Når det gjelder infrastruk-tur som leverer en viktig tjeneste, vil det bli tatt

33 Prop. 129 L (2011–2012), Endringer i sivilbeskyttelsesloven(gjennomføring av EPCIP-direktivet).

34 Ibid.


hensyn til tilgjengelige alternativer og til varig-heten av driftsavbruddet/gjenopprettingen.

Trinn 3: En EØS-stat som har utpekt kritiskinfrastruktur som oppfyller kravene i de to før-ste trinnene skal, videre vurdere om infrastruk-turen imøtekommer kravet om at driftsforstyr-relser eller ødeleggelse vil kunne få betydeligekonsekvenser for to eller flere EØS-stater. HverEØS-stat skal anvende det grenseoverskri-dende elementet i definisjonen av europeiskkritisk infrastruktur (jf. definisjonen av EKI)som har oppfylt kravene i de første to trinnenei denne fremgangsmåten. En mulig europeiskkritisk infrastruktur som oppfyller definisjo-nen, skal gjennom det neste trinnet i frem-gangsmåten. Når det gjelder infrastruktur somleverer en viktig tjeneste, skal det i vurderin-gen tas hensyn til tilgjengelige alternativer ogtil varigheten av driftsavbruddet/gjenoppret-tingen.

Trinn 4: Hver EØS-stat skal anvende de sektor-overgripende kriteriene på gjenstående muligeuropeisk kritisk infrastruktur. De sektorover-gripende kriteriene skal ta hensyn til hvoralvorlig følgene er, og når det gjelder infra-struktur som leverer en viktig tjeneste skal detvurderes tilgjengelige alternativer samt varig-heten av driftsavbruddet/gjenopprettingen. Enmulig europeisk kritisk infrastruktur som ikkeoppfyller de sektorovergripende kriteriene,skal ikke anses som europeisk kritisk infra-struktur. En mulig europeisk kritisk infrastruk-tur som har gjennomgått denne fremgangsmå-ten, skal bare meddeles til de EØS-stater somkan bli betydelig berørt av denne infrastruktu-ren.

Det følger videre av Prop. 129 L (2011–2012), atdet er sannsynlig at EKI også vil kunne væreutpekt som skjermingsverdig objekt etter objekt-sikkerhetsregelverket. Identifiserings- og utvel-gelsesprosessen i henhold til objektsikkerhetsre-gelverket ligner i stor grad på den prosessen somforetas ved utpeking og identifisering av EKI etterEPCIP-direktivet.

En EØS-stat som har identifisert EKI skalunderrette de andre EØS-statene som kan blibetydelig påvirket om infrastrukturens identitet,samt om årsakene til at denne utpekes som poten-siell EKI. Videre skal EØS-staten innlede bilate-rale og/eller multilaterale drøftelser med deberørte statene. Kommisjonen (ESA for Norgesdel) kan delta i disse diskusjonene, men har ikke

tilgang til detaljerte opplysninger som vil mulig-gjøre en utvetydig identifisering av en bestemtinfrastruktur.35

En EØS-stat som har grunn til å tro at den kanbli betydelig påvirket av en mulig EKI, men somikke er identifisert som sådan av den EØS-stat påhvis territorium denne infrastrukturen befinnerseg, kan underrette Kommisjonen/ESA om at denønsker å delta i bilaterale og/eller multilateraledrøftinger om saken.36

Når det gjelder krav til tiltak, avviker objekt-sikkerhetsregelverket under sikkerhetsloven fraEPCIP-direktivet til en viss grad. EØS-statene skalvurdere om hver utpekt EKI innen deres territo-rium har en operatørsikkerhetsplan eller tilsva-rende. En operatørsikkerhetsplan skal identifiserede kritiske aktiva innenfor infrastrukturen, samtpresisere hvilke sikkerhetsløsninger som er ellerskal bli iverksatt med henblikk på å beskytte den.Sikkerhetsplanen skal minst dekke følgende:

– Utpeking av viktige aktiva.– Gjennomføring av en risikoanalyse med grunn-

lag i alvorlige trusselscenarier, hver aktivassårbarhet og potensielle konsekvenser.

– Identifisering, utpeking og prioritering av mot-tiltak og prosedyrer med en sondering mellomgrunnsikringstiltak (permanente) og ulikepåbygningstiltak (graderte sikkerhetsforan-staltninger).

Grunnsikringstiltakene skal identifisere hvilkeinvesteringer og midler som er nødvendige forsikkerheten, og som er relevante å bruke tilenhver tid. Dette vil omfatte generelle tiltak, sliksom tekniske sikkerhetstiltak (herunder installe-ring av detektorer, adgangskontroll, samt beskyt-telses- og forebyggelsestiltak), organisatoriskesikkerhetstiltak (herunder varslingsprosedyrerog krisestyring), kontroll- og verifiseringstiltak,kommunikasjon, bevisstgjøring og opplæringsamt sikring av informasjonssystemer.37

Påbygningstiltakene kan aktiveres avhengigav risiko- og trusselnivået. Dersom det konstate-res at det allerede eksisterer sikkerhetsplanersom oppfyller minimumsnivået og disse jevnligajourføres, er det ikke nødvendig å foreta seg noeytterligere med hensyn til gjennomførelsen.38

Et viktig skille mellom sikkerhetsloven ogEPCIP-direktivet, er at sikkerhetsloven kun regu-

35 Ibid. 36 Ibid. 37 Ibid. 38 Ibid.


lerer egenbeskyttelse mot tilsiktede uønskedehendelser, mens EPCIP-direktivet omfatter bådetilsiktede og utilsiktede uønskede hendelser (allhazards-tilnærming). Justis- og beredskapsdepar-tementet er utpekt som kontaktpunkt for EKI iNorge (EPCIP Contact-point).

Sikkerhetsutvalget fikk presentert status forarbeidet med EPCIP på sin studiereise. Regelver-ket er nytt og det har vært tidkrevende å operasjo-nalisere direktivet. I 2012 var kun 20 objekter/infrastruktur identifisert som kritiske innen EU.Per oktober 2015 var ytterligere 76 objekter/infra-struktur identifisert. Utvelgelse og innrapporte-ring av EKI har allikevel ikke skjedd i den utstrek-ning EU’s DG Home Affairs mener er nødvendigfor tilstrekkelig sikkerhet. Et av tiltakene som devil iverksette for å bedre denne situasjonen er åtydeliggjøre den metodiske tilnærmingen for åkartlegge avhengigheter mellom ulike virksomhe-ter. Som et ledd i dette har DG Home Affairs utar-beidet et verktøy for å kartlegge gjensidige avhen-gigheter (GRASP-tool). Videre understreket DGHome Affairs at de vil vektlegge krav til å inklu-dere forebyggende sikkerhetstiltak på et tidlig sta-dium av planleggingen og utformingen av ny infra-struktur.

EU programmet Prevention, Preparedness andConsequence Management of Terrorism and otherSecurity-related Risks (CIPS) har som formål åbeskytte mennesker og kritisk infrastruktur frablant annet terrorangrep gjennom å forbedre ogstyrke beskyttelsen av kritisk infrastruktur. CIPSbidrar med kompetanse og veiledning og gir ogsåfinansieringsmuligheter for CIP-tiltak. Mellom2007 og 2012 ble over hundre ulike prosjekterfinansiert gjennom CIPS.39

9.3.4 Instruks om sikring og beskyttelse av objekter ved bruk av sikringsstyrker

Instruks om sikring og beskyttelse av objekterved bruk av sikringsstyrker fra Forsvaret og poli-tiet i fred, krise og krig, fastsatt ved kongelig reso-lusjon 24. august 2012 fastsetter bestemmelser foransvarsforhold og samarbeid om politiets og For-svarets objektsikring ved bruk av sikringsstyrker.Formålet med objektsikring er at viktige objekterskal opprettholde sin virksomhet og funksjonaliteti kritiske situasjoner.

Sentrale begreper i instruksen er blant annetobjekt, objektsikring, sikring og beskyttelse, nøk-kelpunkter og sikringsstyrker. Definisjonene somlegges til grunn er som følger:

Med objekter menes ethvert fysisk objekt somkrever sikring og beskyttelse ved bruk av sik-ringsstyrker fra politiet og Forsvaret i fred,krise og krig mot anslag og angrep av kriminelleller militær karakter. Objekter omfatter områ-der og fast og rørlig eiendom, uavhengig av omobjektene er offentlige eller private eller sivileeller militære. Med objektsikring og sikring ogbeskyttelse menes aktive operative tiltak sompotensielt kan innebære maktbruk ved bruk avstyrker rettet mot en konkret trussel.

Med sikringsstyrker menes personer ogenheter fra politiet eller Forsvaret som har tiloppgave å beskytte et objekt mot en mulig ellerkonkret trussel.

Med nøkkelpunkter menes sivile og mili-tære objekter og personer, som er av avgjø-rende betydning for forsvarsevnen og det mili-tære forsvar i krig, og som er å anse som lov-lige militære mål i krig, jf. artikkel 52 iTilleggsprotokoll I av 1977 til Genèvekonven-sjonene av 1949.

Forsvarets og politiets ansvar for objektsikring ihenhold til instruksen er uavhengig av forebyg-gende sikkerhetstiltak som følger av sikkerhetslo-vens objektsikkerhetsregelverk. Forsvaret ogpolitiet skal imidlertid ta hensyn til om objekteneer underlagt forebyggende grunnsikringsregleretter annet regelverk.

Forsvaret har ansvar for utpeking av militæreobjekter og nøkkelpunkter. Nøkkelpunkter kanvære både militære og sivile objekter. Videre harForsvaret ansvar for sikring av alle nøkkelpunkterog relevante militære objekter og deres umiddel-bare nærhet. Forsvaret foretar selv prioritering avsikringsstyrker til ulike objekter og nøkkelpunk-ter. Forsvarets operative hovedkvarter (FOH)skal ha total oversikt over nøkkelpunkter ogobjekter som er av særlig betydning for samfun-net, samt tilgjengelige sikringsstyrker innenforeget ansvarsområde.

Politiet har ansvar for utpeking og sikring avsivile objekter. Det er det enkelte politidistriktsom skal utpeke og planlegge sikring av objekterinnenfor sitt geografiske område. Politidirektora-tet (POD) skal ha total oversikt over objekter somer av særlig betydning for samfunnet, samt tilgjen-gelige sikringsstyrker i sivil sektor.

39 European Commission, Migration and Home Affairs, «Cri-tical infrastructure», http://ec.europa.eu/dgs/home-affairs/what-we-do/policies/crisis-and-terrorism/critical-infrastructure/index_en.htm (oppsøkt 14.09.2016).


Forsvaret, POD og NSM skal så langt det larseg gjøre ha innsyn i hverandres objektlister.

9.4 Fremmed rett

I internasjonal rett, og da særlig innenfor Europaer sektoransvarsprinsippet det rådende. Sektoran-svarsprinsippet gjelder også når det gjelder fast-settelse av bestemmelser for virksomheter medansvar for ulike deler av samfunnskritisk infra-struktur.

Det er varierende i hvor stor grad det er eta-blert et overordnet, tverrsektorielt koordinerings-ansvar og regelverk. Flere europeiske land, samtEU, har imidlertid en tverrsektoriell tilnærmingtil arbeidet med objektsikkerhet.

9.4.1 Beskyttelse av kritisk infrastruktur i EU

Gjennom EPCIP-direktivet fastsetter EU kriteri-ene for identifisering og utpeking av europeiskkritisk infrastruktur. Denne utvelgelses- og identi-fiseringsprosessen starter med vurderinger avinfrastruktur ut i fra sektorspesifikke og sektor-overgripende nasjonale hensyn. På denne måtengir EPCIP-direktivet også føringer for hvorledesden enkelte EØS-stat skal vurdere kritikaliteten tilegen infrastruktur.

EPCIP-direktivets viktigste funksjon er imid-lertid å sikre at grenseoverskridende avhengighe-ter mellom infrastruktur og innsatsfaktorer blirivaretatt, samt fastsette reglene for hvordan slikesaker skal løses.

EU-direktiv om tiltak for et høyt felles sikker-hetsnivå i nettverks- og informasjonssystemer iEU (NIS-direktivet),40 som er omtalt i kapittel8.4.5.2, er nylig blitt vedtatt i EU. Direktivet ersannsynligvis relevant også for EØS-land, men deter ikke vedtatt at dette skal gjelde også for Norge.Formålet med direktivet er å forbedre det indremarkeds funksjon, gjøre EU mer konkurranse-dyktig i en globalisert verden, skape tillit til digi-tale tjenester og bidra til økonomisk vekst iEuropa.

Som et ledd i dette stilles det krav til medlems-statene om å identifisere operatører av essensielletjenester som opererer på deres territorium.Fremgangsmåten som medlemsstatene skal følgefor å identifisere operatører av essensielle tjenes-

ter er beskrevet i direktivet. Alle virksomhetersom inngår i en liste over typer av virksomheterskal vurderes. Listen angir virksomheter i føl-gende sektorer:

– Energi– Transport– Helse– Bank– Finansmarkedsinfrastruktur– Drikkevannsforsyning og -distribusjon– Digital infrastruktur

Den fullstendige listen er gjengitt i NIS-direkti-vets, vedlegg 2 (Annex II).41 Medlemslandenekan også vurdere andre virksomheter enn de somer oppramset i listen.

Videre skal medlemslandene vurdere om føl-gende vilkår er oppfylt:

– Virksomheten må tilby en tjeneste som eressensiell for opprettholdelsen av kritiske sam-funnsmessige og/eller økonomiske aktiviteter.

– Tjenesteleveransen må være avhengig av nett-verk og informasjonssystemer, og en hendelsei tjenestens nettverk og informasjonssystemervil få en vesentlig forstyrrende virkning på leve-ransen.

Ved vurderingen av hva som er «vesentlig forstyr-rende virkning», skal både tverrsektorielle og sek-torspesifikke momenter tas i betraktning. Somomtalt i kapittel 8.4.5.2, stilles det krav til virksom-heter som er operatører av essensielle tjenesterom å gjennomføre sikkerhetstiltak.

Dersom dette direktivet gjøres gjeldende forNorge vil det gi føringer for hvordan operatører avessensielle tjenester skal identifiseres. Dette må iså fall ses i sammenheng med identifisering ogutpeking av kritisk infrastruktur og kritiske sam-funnsfunksjoner.

9.4.2 Beskyttelse av kritisk infrastruktur i NATO

Dagens trussel-, risiko, og sårbarhetsbilde vitnerom behovet for internasjonalt engasjement som etsupplement til nasjonal beredskap. NATOs sivileberedskapssystem ble gjennom 1990-tallet gradvisstyrket og omstrukturert. Fokuset på internasjo-nalt samarbeid vedrørende beskyttelse av kritiskinfrastruktur har særlig økt etter 11. september2001. Flere terroranslag mot tog- og undergrunns-40 «NIS-direktivet», http://eur-lex.europa.eu/legal-content/

EN/TXT/HTML/?uri=OJ:L:2016:194:FULL&from=EN(oppsøkt 14.09.2016). 41 Ibid.


systemer i Europa bidro videre til økt oppmerk-somhet rundt behovet for internasjonalt samar-beid om sikring av kritisk infrastruktur. Både EUog OSSE har økt sitt arbeid på feltet. Selv ombeskyttelse av kritisk infrastruktur (critical infra-structure protection (CIP)) tradisjonelt ikke er etkjerneområde for NATO, har det fått økt opp-merksomhet.42

NATOs arbeid med CIP inkluderer sikring avegne anlegg, og sikring for ivaretakelse av sam-funnsfunksjoner og infrastruktur som alliansen eravhengige av for å gjennomføre operasjoner (foreksempel utløst av artikkel 5). Alliansens formåler å kunne gjennomføre militære operasjoneruten at det går på bekostning av befolkningenstrygghet. Dette innebærer at sivilbefolkningensbehov er dekket før en eventuell militær opera-sjon iverksettes. For å gjennomføre eventuelleoperasjoner er NATO, på lik linje med nasjonalsta-ter, avhengig av for eksempel kritisk energiinfra-struktur. Avhengigheten av eksterne fossile ener-gikilder, gjør at redusert tilgjengelighet vil kunneføre til kollaps i kritisk infrastruktur. CIP spillerderfor en nøkkelrolle for NATOs energisikkerhet.

Norge følger NATOs krav til sikring av NATO-anlegg på norsk jord. Foruten sikring av NATOsegne anlegg i medlemsland, kan ikke alliansenpålegge sine medlemsland andre sikringstiltak.NATO har i motsetning til EU ikke som formål åregulere beskyttelse av kritisk infrastruktur, menstøtter opp om nasjonale planer ved å promoterehøye standarder for beredskap og konsekvens-håndtering. En målsetting er blant annet økt infor-masjonsdeling, økt trening og utdanning, samtbistand til utpeking av kritisk infrastruktur.NATOs arbeid med CIP har fått økt prioritet i alli-ansen. Under NATO-toppmøtet i Riga i 2006 bleNATOs rolle i CIP fremhevet, herunder arbeidetmed å beskytte befolkning, territorium, infra-struktur og forsvarsevne mot konsekvensene avterrorangrep.43

NATOs arbeid med CIP behandles i Civil Pro-tection Group (CPG), som er en av de fire faggrup-pene underlagt Civil Emergency Planning Commit-tee (CEPC). CEPC er den øverste komiteen for detsivile beredskapsarbeidet i NATO, og rapportererdirekte til Atlanterhavsrådet. DSB er Norgesrepresentant i CPG, som holder to plenumsmøterårlig.44

CEPC vedtok i 2003 et concept paper vedrø-rende CIP, og et veikart for det videre arbeidet.Målsettingen er å utvikle virkemidler for bedre åkunne møte utfordringer knyttet til hendelser somrammer kritisk infrastruktur.45

Første steg i CIP er å definere hva som ansessom kritisk infrastruktur. NATOs medlemslandhar ulike definisjoner som ofte reflekterer landetsprioriteter. Selv om det ikke finnes noen allmenndefinisjon, er kritisk infrastruktur vanligvis anleggog tjenester som er vitale for opprettholdelse avsamfunnets grunnleggende funksjoner, eller infra-struktur hvor bortfall vil nedsette samfunnetsfunksjonsevne.46

I noen land vektlegges særlig en infrastruk-turs kritikalitet basert på om de funksjonene denrepresenterer er vitale for samfunnet, mens andreland fokuserer mest på hvilken rolle infrastruktu-ren har og hvor alvorlig bortfall eller ødeleggelseav infrastrukturen vil være for samfunnet. Sist-nevnte tilnærming er mest vanlig, men land somFrankrike benytter den første tilnærmingen.47

I de fleste medlemsland har definisjonenutviklet seg til å inkludere et bredt spekter avinfrastruktur på tvers av et økende antall sektorer,fra de mer tradisjonelle sektorer som forsvar,transport og energi, til også å inkludere bank ogfinans, helse og IKT. Også infrastruktur som ikkeer kritisk for samfunnets funksjonsevne, men somhar en viktig symbolsk effekt, blir i økende gradansett som kritisk infrastruktur. Sektorer som i defleste av NATOs medlemsland anses som kritiske,inkluderer:

– Transportsystemer (fly, tog, vei og sjø).– Energiproduksjon og shipping.– Offentlige instanser og tjenester, herunder for-

svar, rettshåndhevelse og krisetjenester.– Informasjons- og kommunikasjonsteknologi.– Mat og vann.– Helsevesen og helsetjenester.– Finansielle institusjoner.48

Selv om det er stort sammenfall i hvilke sektorersom anses som kritiske, er det noen europeiskeland, herunder Østerrike og Sverige, som ikke

42 NATO Parliamentary Assembly, «The protection of criticalinfrastructures, 162 CDS 07 E rev 1», http://www.nato-pa.int/default.asp?SHORTCUT=1165 (oppsøkt 04.04.2016).

43 Ibid.

44 Direktoratet for samfunnssikkerhet og beredskap, «Siviltberedskapsarbeid i NATO», http://www.dsb.no/Global/Om%20DSB/Dokumenter/Vedlegg%20%C3%A5rsrap-port%20DSB%202013%20-%20Internasjonalt%20engasje-ment.pdf (oppsøkt 01.04.2016).

45 Ibid. 46 Ibid. 47 Ibid. 48 Ibid.


har noen offisielle lister over hvilke sektorer deregner som kritiske. CIP er en oppgave i risiko-håndtering hvor hovedmålet er å redusere risi-koen infrastrukturen står overfor til et akseptabeltnivå. Hvordan risikoen analyseres varierer noe fraland til land. De fleste europeiske land har en all-hazard tilnærming. Samtidig er det flere euro-peiske land, særlig England og Frankrike som harøkt fokus på tilsiktede uønskede hendelser, særligterrorisme.49

Når man vurderer mulige konsekvenser av enhendelse, er det vanskelig å sikre at alle konsekven-ser er inkludert i analysen. Avhengigheter bådeinnad i en sektor og på tvers av sektorer kan væresterke, særlig innen cyber-området. Mange nasjo-nale og internasjonale CIP-strategier er i utviklingfor å bedre imøtekomme disse utfordringene.

Ulike risikoreduserende tiltak kan enten væreknyttet til grunnsikring (permanente tiltak) ellerpåbygningstiltak som iverksettes basert på trus-selnivået. Beskyttelsestiltak i NATOs medlems-land kan kategoriseres i fire ulike kategorier:50

– Fysiske sikringstiltak– Elektroniske/cyber-tiltak– Personkontroll– Organisatoriske tiltak

9.4.3 Danmark

Danmark har som tidligere diskutert ikke noengenerell sektorovergripende lov om forebyg-gende sikkerhet, og heller ikke et sektorovergri-pende lovverk vedrørende beskyttelse av kritiskinfrastruktur.

Sektoransvaret er styrende for beskyttelse avkritisk infrastruktur i Danmark. Dette innebærer atalle myndigheter har ansvaret for beredskap i egensektor. De myndigheter som har ansvaret for kri-tiske samfunnsfunksjoner, som veier, jernbane, tele-forbindelse, helsevesen, og andre anlegg og funk-sjoner som er nødvendige for at samfunnet kan fun-gere arbeider systematisk med beredskap. Sektora-navarsprinsippet og bestemmelser om sivile sekto-rers planleggingsforpliktelser er forankret i dendanske beredskapslovens kapitel 5 (§§ 24-28).

Etter det utvalget har fått opplyst har Bered-skapsstyrelsen (underlagt Forsvarsministeriet) engenerell plikt til å veilede myndighetene omberedskapsplanleggingen, men har ikke et tverrs-ektorielt ansvar for myndighetenes virkemidleroverfor eiere og operatører av kritisk infrastruk-

tur. Beredskapsstyrelsen har en all hazards tilnær-ming til beskyttelse av kritisk infrastruktur. Dendanske Beredskapsstyrelsen har mange likhets-trekk med norske DSB og har i tett samarbeidmed direktoratet utviklet en metode for kartleg-ging av nasjonal kritisk infrastruktur. Modellenhar samme tilnærming som DSBs KIKS-modell.

Beredskapsstyrelsen har utarbeidet seks prin-sipper for sektoransvaret med utgangspunkt iberedskapslovens § 24, stk. 1., disse er:

1. Alle ministre skal sikre et forsvarligt bered-skab inden for deres eget ressortområde.

2. Sektoransvaret omfatter alle kritiske funktio-ner og opgaver, som er pålagt lovgivningsmæs-sigt, politisk eller administrativt.

3. Myndighedernes beredskabsplanlægning skalbygge på en løbende og systematisk risikosty-ringsproces, som er forankret i ledelsen.

4. Myndighederne skal forebygge større ulykkerog katastrofer, hvor det er muligt, håndteredem, når det er nødvendigt, og genoprette sam-fundets funktioner så hurtigt som muligt.

5. Myndighederne skal løbende overvåge risiko-billedet inden for egen sektor.

6. Myndighederne skal sammen med forsvaretfastlægge behovet for civil støtte til forsvaret.51

Utviklingen i det danske arbeidet tilpasses i taktmed utviklingen av EUs program for beskyttelseav kritisk infrastruktur (EPCIP). EU-regelverkstyrer i stor grad nasjonale krav, særlig når detgjelder EPCIP-direktivet som pålegger Danmark åidentifisere og utpeke europeisk kritisk infra-struktur (grenseoverskridende infrastruktur).EPCIP-direktivet er innarbeidet i den danskeberedskapsloven, likesom EPCIP-direktivet iNorge er implementert i sivilbeskyttelseslovensom beskrevet i kapittel 9.3.3. Den danske bered-skapsloven har flere likheter med den norskesivilbeskyttelsesloven da begge legger rammenefor lokale beredskapsplaner.

9.4.4 Sverige

Säkerhetsskyddslagen er Sveriges lov som regule-rer forebyggende sikkerhet. Sverige har også enbeskyttelseslov, Skyddslagen, som er relevant forobjekt- og infrastruktursikkerhet.

49 Ibid. 50 Ibid.

51 Beredskabsstyrelsen, «Beredskap i Danmark, Sektorenesberedskap», http://brs.dk/beredskab/idk/sektorernesberedskab/Pages/Sektorensberedskab.aspx(oppsøkt 14.09.2016).


Säkerhetsskyddslagen er i stor grad innrettetfor å sikre konfidensialitet for informasjon avbetydning for säkerhetskänslig verksamhet. Säker-hetsskyddslagen er som nevnt i kapittel 6.3.1under revisjon, og det er utarbeidet en StatensOffentlige Utredningar (SOU) der nytt lovgrunn-lag for forebyggende sikkerhet er utredet.52

Denne utredningen er utvalgets primære kilde foromtale av Sveriges regulering på området.

Säkerhetsskyddslagen omtaler ikke objekt- oginfrastruktursikkerhet som eget tema. Bestem-melser under andre tema regulerer imidlertidrelevante forhold. Det er særlig de deler somomhandler adgangsbegrensning (tillträdesbe-gränsning) som er relevant og vil bli diskutert her.De andre delene av säkerhetsskyddslagen, særligpersonellsikkerhet og informasjonssikkerhet, erogså relevant, men disse blir omtalt i NOUensøvrige tematiske kapitler.

I SOU 2015:25 understrekes behovet for åbeskytte informasjon som er av betydning forsäkerhetskänslig verksamhet ut i fra flere aspekterenn konfidensialitet. Utvalget som har utarbeidetrapporten foreslår å erstatte begrepet tillträdesbe-gränsning med begrepet fysisk säkerhet. De beskri-ver formålet med regulering av fysisk sikkerhetslik:

Med fysisk säkerhet ska avses sådana säker-hetsskyddsåtgärder som ska förebygga dels attobehöriga får tillträde till områden, byggnaderoch andra anläggningar eller objekt där de kanfå tillgång till säkerhetsskyddsklassificeradeuppgifter eller där verksamhet som av annananledning är säkerhetskänslig bedrivs, delsskadlig inverkan på sådana områden, byggna-der, anläggningar eller objekt.53

Skyddslagen med tilhørende forskrifter og forord-ninger er innrettet for å beskytte skyddsobjektermot sikkerhetstruende virksomhet, og fokusererpå samfunnsfunksjoner som er viktig i et sam-funnssikkerhetsperspektiv i fredstid. Skyddsobjektkan være bygninger, anlegg og områder, samtmilitære fartøy og luftfartøy. Disse skal beskyttesmot sabotasje, terrorisme, spionasje og andretrusler mot hemmelig virksomhet.

Formålet med Skyddslagens følger av 1 §Lagens syfte och skyddsändamål:

Denna lag innehåller bestämmelser om vissaåtgärder till förstärkt skydd för byggnader,andra anläggningar, områden och andra objektmot åtgärder till förstärkt skydd för byggna-der, andra anläggningar, områden och andraobjekt mot 1. sabotage, 2. terroristbrott enligt 2§ lagen (2003:148) om straff förterroristbrott,3. spioneri samt röjande i andra fall av hemligauppgifter som rör total-försvaret, och 4. grovtrån.

Lagen innehåller också bestämmelser omskydd för allmänheten mot skada som kan upp-komma till följd av militär verksamhet. 54

Beskyttelse av objekter og infrastruktur i svensklovgivning er altså delt mellom disse to lovene,som til sammen dekker mange av de samme for-hold som det norske objektsikkerhetsregelverketunder dagens sikkerhetslov. Dette er omtalt iSOU 2015:25:

Vi anser att den norska sikkerhetsloven inne-håller bestämmelser om objektssäkerhet sompå ett bra sätt skulle kunna tydliggöra förhål-landet mellan skydds- och säkerhetsskyddsla-gen. Sådana bestämmelser skulle dock kunnautformas genom tillämpningsföreskrifter. Viföreslår därför inte att någon bestämmelse omdetta tas in i en ny lag. Däremot är den nuva-rande hänvisningen till skyddslagen fortfa-rande relevant och bör därför kvarstå oförän-drad i en ny säkerhetsskyddslag.55

Videre er Sverige gjennom sitt medlemskap i EUforpliktet til å følge EPCIP-direktivet. Det er Myn-digheten for samhällsskydd ock beredskap(MSB) som er utpekt som nasjonalt kontaktpunktfor arbeidet med EPCIP. Dette innebærer at MSBskal samordne spørsmål om beskyttelse av kritiskinfrastruktur i Sverige, med andre medlemslandog med EU-kommisjonen.

I henhold til MSBs nettsider legger MSB tilgrunn en bredere forsåelse av begrepet sam-funnsviktig virksomhet enn det som ligger i defini-sjonen i EPCIP. Sverige har i likhet med Norgeennå ikke utpekt europeisk kritisk infrastruktur.

52 SOU 2015:25, Betänkande av Utredningen om säkerhets-skyddslagen.

53 Ibid., 361.

54 Sveriges riksdag, Skyddslag (2010:305), http://www.riks-dagen.se/sv/dokument-lagar/dokument/svensk-forfatt-ningssamling/skyddslag-2010305_sfs-2010-305 (oppsøkt:14.09.2016)

55 SOU 2015:25, 365


9.4.5 Storbritannia

Arbeidet med beskyttelse av kritisk infrastruktur iStorbritannia er forankret i Security Act (1989), ogivaretas av Centre for the Protection of NationalInfrastructure (CPNI), underlagt MI5. Ved å væreunder MI5 besitter CPNI stor kunnskap om trus-lene Storbritannia står overfor. Deres jobb er å fåimplementert vedtatt forebyggende sikkerhets-policy og sikkerhetsregimer både i offentlig ogprivat sektor, med målsetting om å minimererisiko og redusere sårbarhet med tanke på tilsik-tede hendelser. Dette gjelder fysisk objektsikring,personellsikkerhet og informasjonssikkerhet,inkludert cyber.

Storbritannia omtaler nasjonal infrastruktursom the national infrastructure og er definert som:

Those critical elements of infrastructure(namely assets, facilities, systems, networks orprocesses and the essential workers that ope-rate and facilitate them), the loss or compro-mise of which could result in:

a) major detrimental impact on the availabi-lity, integrity or delivery of essential services –including those services, whose integrity, ifcompromised, could result in significant loss oflife or casualties – taking into account signifi-cant economic or social impacts; and/or

b) significant impact on national security,national defence, or the functioning of thestate.56

Når det gjelder kritisk nasjonal infrastruktur defi-neres dette i Storbritania som følger:

Critical National Infrastructure comprises«those assets, services and systems thatsupport the economic, political and social life ofthe United Kingdom whose importance is suchthat loss could:

– cause large-scale loss of life;– have a serious impact on the national econ-

omy;– have other grave social consequences for

the community;– or be of immediate concern to the national

government.»57

Ansvarlig departement utpeker kritisk infrastruk-tur innenfor sitt område. Imidlertid har CPNI opp-syn med at definisjonene og klassifikasjonen avinfrastruktur er foretatt i henhold til gjeldendestandarder og praksis.

Utpeking i den enkelte sektor starter altsåmed det enkelte fagdepartement. Deretter blir detdialog og forhandling mellom eier av infrastruk-tur, CPNI og departementet som leder ut i imple-menterte sikkerhetstiltak.

CPNI holder oversikt over kritisk nasjonalinfrastruktur, og opererer med seks ulike nivåerav kritikalitet for infrastruktur basert på deres vik-tighetsgrad for samfunnet. De tre øverste nivåeneanses som kritiske. De lavere nivåer benyttesførst og fremst for å holde oversikt over katego-rier av infrastruktur som det kan være aktuelt åflytte til en av de høyere kategoriene dersom detskjer relevante endringer i samfunnet. Tilsva-rende kan også infrastruktur som vurderes å haendret status til mindre kritisk flyttes ned underden kritiske terskelen.

CPNI driver utadrettet og aktiv rådgivnings-virksomhet overfor både offentlige myndigheterog selvstendige rettssubjekter som eier eller for-valter kritisk infrastruktur, men har ikke myndig-het til å gi pålegg eller sette krav til sikringen avslik infrastruktur.

I noen tilfeller gir myndighetene økonomiskstøtte for å få kostbare sikringstiltak på plass vedutsatte objekter. Normalt vil det gis økonomiskkompensasjon etter dokumentert gjennomført til-tak. Storbritannia har også en forordning der sek-tormyndigheter kan få godkjent ulike økonomiskevirkemidler (eksempelvis skatter, avgifter oggebyrer) som flytter de økonomiske kostnadeneover på forbrukerne gjennom høyere priser på tje-nester.

9.5 Utvalgets vurderinger og forslag

9.5.1 Objekt- og infrastruktursikkerhet

Utvalget mener at objekter og infrastruktur somer av kritisk betydning for grunnleggende nasjo-nale funksjoner må beskyttes. Utvalget menerbåde begrepet skjermingsverdig objekt og skjer-mingsverdig infrastruktur bør benyttes.

Med begrepet skjermingsverdig objekt leg-ges følgende definisjon til grunn:

eiendom som må beskyttes mot tilsiktede uøn-skede hendelser av hensyn til opprettholdelseav grunnleggende nasjonale funksjoner. Eien-dom omfatter områder, bygninger, anlegg,

56 Center for the Protection of National Infrastructure(CPNI), «The national infrastructure», http://www.cpni.gov.uk/about/cni/ (Oppsøkt: 14.09.2016).

57 NATO Parliamentary Assembly, «The protection of criticalinfrastructures», 2016.


transportmidler eller annet materiell, ellerdeler av slik eiendom.

Utvalget mener at definisjonen av skjermingsverdigobjekt, på samme måte som i dagens sikkerhets-lov, under visse omstendigheter også skal dekkelokaliteter der aktiviteter finner sted og bestemtepersoner oppholder seg slik dette er omtalt i inn-ledningen til kapittel 9.2 og i forarbeidene til sik-kerhetsloven.58

Objekt slik det er benyttet i gjeldende sikker-hetslov dekker også infrastruktur. Utvalget serlikevel behov for å innføre begrepet infrastruktur,for å skape tydeligere skille mellom enkeltståendeobjekter og infrastruktur som del av et systemsom understøtter grunnleggende nasjonale funk-sjoner. Som tidligere omtalt, er det blitt fremhevetav en rekke instanser at det er behov for å utvikleobjektsikkerhetsregelverket slik at det gir bedrefleksibilitet i hvordan (og med hvilken type tiltak)et gitt sikkerhetsnivå skal oppnås. Det har særligblitt vektlagt behov for å stimulere til tiltak somøker redundans og resiliens for kritiske sam-funnsfunksjoner. Utvalget har lagt disse syns-punktene og argumentene til grunn for sin anbefa-ling om å innføre begrepet skjermingsverdig infra-struktur. Utvalget ser det også som naturlig åbenytte dette begrepet for å skape en klarere sam-menheng med DSBs KIKS-systematikk, samt forå etablere et begrepsapparat som samsvarerbedre med internasjonal begrepsbruk. Infrastruk-tur og kritisk infrastruktur går igjen som et offisi-elt begrep i EU, NATO og de fleste landene Norgehar et sikkerhetssamarbeid med.

Utvalget legger følgende definisjon til grunnfor skjermingsverdig infrastruktur:

anlegg og systemer som må beskyttes mot til-siktede uønskede hendelser av hensyn til opp-rettholdelse av grunnleggende nasjonale funk-sjoner.

Utvalget mener med dette at skjermingsverdiginfrastruktur er kritisk infrastruktur som måbeskyttes mot tilsiktede uønskede hendelser av hen-syn til opprettholdelse av grunnleggende nasjo-nale funksjoner. Utvalget oppfatter altså skjer-mingsverdig infrastruktur som en delmengde avkritisk infrastruktur, på samme måte som grunn-leggende nasjonale funksjoner oppfattes som endelmengde av kritiske samfunnsfunksjoner, slikdette er beskrevet i kapittel 6.7.3. Kritisk infra-struktur er definert som følger:

anlegg og systemer som er nødvendige for åopprettholde samfunnets grunnleggendebehov og funksjoner.

Det er behov for å regulere både skjermingsver-dige objekter og skjermingsverdig infrastruktur.Disse to begrepene er delvis overlappende, meningen av dem anses som tilstrekkelig dekkendefor det loven skal regulere. I forståelsen av begre-pet skjermingsverdig infrastruktur skal det leggesvekt på koblingene mellom relevante objekter ogsystemer som er nødvendig for å understøttegrunnleggende nasjonale funksjoner.

9.5.2 Fordeling av ansvar og myndighet

Utvalget har vurdert ulike modeller for å fordelemyndighet og ansvar for ulike oppgaver. Utfor-dringen er å finne en løsning som både ivaretarønsket om høy grad av sektorautonomi og samti-dig sikrer god tversektoriell koordinering av fore-byggende nasjonal sikkerhet.

I henhold til objektsikkerhetsregelverketunder dagens sikkerhetslov skal departementeneutpeke skjermingsverdige objekter på bakgrunnav objektenes: a) betydning for sikkerhetspolitiskkrisehåndtering og forsvar av riket, b) betydningfor kritiske funksjoner for det sivile samfunn, c)symbolverdi, og d) mulighet for å utgjøre en farefor miljøet eller befolkningens liv og helse. Detteinnebærer at departementene er forpliktet til åholde oversikt over kritiske samfunnsfunksjonerog deres sårbarheter på sine myndighetsområder.

Departementene har også i henhold til sam-ordningsresolusjonen omtalt i kapittel 3.4, ansvarfor å holde oversikt over kritiske samfunnsfunksjo-ner og deres sårbarheter på sine myndighetsom-råder. Utvalget mener det vil være hensiktsmessigå videreføre denne praksis, men mener det erbehov for at departementene bør ha et utvidet ogkonkretisert ansvar for å holde oversikt overobjekter og infrastruktur som har betydning forgrunnleggende nasjonale funksjoner, og ansvar forsikkerhetsnivået i egen sektor. Dette må ses isammenheng med det ansvar og de oppgaverutvalget har anbefalt at departementene skal ha idet generelle sikkerhetsarbeidet, beskrevet ikapittel 7.7.1.

Samtidig ser utvalget behov for å styrke Sik-kerhetsmyndighetens rolle som ansvarlig for åkoordinere sikkerhetstiltak på tvers av sektorer.Tversektoriell koordinering er å sikre et harmoni-sert sikkerhetsnivå, samt å sikre at sårbarheterknyttet til tversektorielle avhengigheter blir godtivaretatt. Samfunnsøkonomiske lønnsomhetsvur-58 Ot.prp. nr. 21 (2007–2008).


deringer bør vektlegges i NSMs arbeid på detteområdet. Denne tverrsektorielle koordineringenvil være viktig for å sikre at risikoreduserende til-tak iverksettes der hvor de gir mest nytte for sam-funnet, sett i forhold til samfunnets kostander vedå iverksette tiltaket. Dette slik at sårbarheter knyt-tet til tverrsektorielle avhengigheter blir håndterteffektivt i et nasjonalt perspektiv.

For at Sikkerhetsmyndigheten skal settes istand til å ivareta sin koordinerende og sektor-overgripende rolle, mener utvalget at det er nød-vendig å tydeliggjøre rapporteringsansvar oginformasjonsbehov for ulike etater og virksomhe-ter. Utvalget mener Sikkerhetsmyndigheten børarbeide med å finne effektive løsninger for rappor-tering og informasjonsforvaltning omkring skjer-mingsverdige objekter og infrastruktur. Dette børgjennomføres i nært samarbeid med DSBs arbeidmed kritiske samfunnsfunksjoner og kritisk infra-struktur, samt med berørte sektorer for å sikre ateventuelle sammenfallende informasjons- og rap-porteringsbehov blir godt koordinert.

9.5.3 Utpeking og klassifisering av skjermingsverdige objekter og infrastruktur

Utvalget mener en svakhet med dagens objektsik-kerhetsregelverk er at det ikke hviler noen for-pliktelse på departementer eller NSM om å holdeoversikt over objekter som er av en type som ernødvendig for understøttelse av kritiske samfunns-funksjoner, men som ikke er kritisk som enkeltob-jekt. Dette kan for eksempel skyldes tilstrekkeligredundans. Disse objektene vil derfor ikke væreunderlagt sikkerhetsloven. Dette leder til sårbar-het ved endringer i trusselbildet, eller annen sam-funnsutvikling, som fører til at objekter som falleri en slik gruppe sannsynligvis ikke raskt nok blirutpekt som skjermingsverdig etter dagens regel-verk, og dermed ikke i tilstrekkelig grad beskyt-tes med forebyggende sikkerhetstiltak.

I Storbritannia er det, som tidligere nevnt,CPNI som holder oversikt over kritisk infrastruk-tur. Der opererer man med seks ulike nivåer avkritikalitet for infrastruktur basert på deres viktig-hetsgrad for samfunnet. De lavere nivåer medfø-rer ikke eksplisitte krav til sikkerhetstiltak, menbenyttes først og fremt for å holde oversikt overen kategori infrastruktur som er aktuell for å flyt-tes til en høyere kategori dersom det skjer rele-vante endringer i samfunnet. Tilsvarende kanogså infrastruktur som endrer status til mindrekritisk flyttes under den kritiske terskelen. CPNI

fremhevet nytten av denne forordningen overforutvalget under utvalgets besøk i Storbritannia.

Utvalget mener at konseptet som CPNI benyt-ter i klassifiseringssammenheng er interessantfordi det ser ut til å gi høy grad av dynamikk iutpeking og klassifisering av objekter. Etter utval-gets oppfatning vil det samme kunne oppnås gjen-nom det ansvar som anbefales gitt til departemen-tene om å holde oversikt over hvilke virksomhetersom understøtter grunnleggende nasjonale funksjo-ner og kritisk infrastruktur, samt deres avhengig-heter av innsatsfaktorer fra andre virksomheterog andre sektorer. Dette betyr at departementenemå ha oversikt over både infrastruktur og objek-ter som er utpekt som skjermingsverdige, samtvirksomheter som leverer innsatsfaktorer somunderstøtter grunnleggende nasjonale funksjoner,men som ikke er utpekt som skjermingsverdigobjekt eller infrastruktur.

Utvalget mener også at innføringen av begre-pet skjermingsverdig infrastruktur i seg selv vilkunne bidra til å forbedre situasjonen, da summenav objekter som inngår i et system kan oppfattes åutgjøre en skjermingsverdig infrastruktur. Sikker-hetsmyndigheten vil ha en viktig rolle i den tverrs-ektorielle koordineringen. Det vil være behov forat prosessen med å kartlegge og utpeke skjer-mingsverdige objekter og infrastruktur, gis en merdetaljert regulering. Denne type prosessreglerbør gis i forskrifts form, og eventuelt ytterligereforklares og utdypes i understøttende veilednin-ger.

Utvalget mener det vil være hensiktsmessig åklassifisere skjermingsverdige objekter og infra-struktur basert på hvilke samfunnsfunksjoner deunderstøtter, og en skadevurdering ved redusertfunksjonalitet som grunnlag for fastsettelse avkrav til sikkerhetsnivå. Dagens sikkerhetslovbenytter klassifiseringsgradene MEGET KRI-TISK, KRITISK og VIKTIG. Utvalget mener dissebegrepene og nivåene er hensiktsmessige dabetegnelsene signaliserer skadepotensialet over-for myndigheter og andre med saklig behov forslik informasjon. Utvalget foreslår derfor åbenytte de samme begrepene og nivåene forskjermingsverdige objekter og infrastruktur.

Utvalget mener at begrunnelsen for klassifise-ringen vil inneholde viktig informasjon for sektor-myndigheter og Sikkerhetsmyndigheten i forbin-delse med tilsyn og kontroll med sikkerhetsnivåog gjennomførte sikkerhetstiltak. Utvalget menerderfor at denne informasjonen bør følge sektor-myndigheters og Sikkerhetsmyndighetens over-sikt over skjermingsverdige objekter og infra-struktur.


9.5.4 Gjennomføring av sikringstiltak

Utvalget mener at det i lovforslaget bør stillesfunksjonelle krav til sikkerhetstiltak fremfor spesi-fikke krav. Det bør være opp til sektormyndighet åavgjøre i hvilke grad det skal spesifiseres hvilketiltak som skal gjennomføres eller hvorvidt detførst og fremst skal pekes på for lavt sikkerhets-nivå på spesifikke områder og la det være opp tilvirksomheten å velge hvilke tiltak som skal gjen-nomføres. Etter utvalgets syn vil dette være denbeste løsningen for å bidra til at sikkerhetsnivåetblir på riktig nivå med så lav kostnad som mulig.Som tidligere nevnt, er det en forutsetning at aktu-elle sikkerhetstiltak mot objekter og infrastrukturi sum er samfunnsøkonomisk lønnsomme.

Virksomheter og myndigheter som skal vur-dere ulike sikkerhetstiltak, gjennomføre tiltakeller føre tilsyn med sikkerhetstilstanden, harbehov for tilgang til ekspertkunnskap. Dette vilvære nødvendig for å sikre at de tiltak som blirvalgt og iverksatt er effektive og tilpasset dagenstrusselbilde. I denne sammenheng vil det væreavgjørende å benytte seg av et bredt spekter avfagmiljøer med relevant kompetanse, nasjonalt oginternasjonalt. Det bør imidlertid tillegges en sen-tralisert funksjon å holde oversikt over slike fag-miljøer, samt å bidra til informasjonsutveksling ogsamarbeid, og å identifisere kunnskapshull ogbehov. Disse oppgavene vil naturlig kunne leggestil Sikkerhetsmyndigheten. Dette vil også væreviktig for at Sikkerhetsmyndigheten skal opprett-holde tilstrekkelig faglig tyngde, noe som vil værenødvendig for å ivareta det overordnede ansvaretfor forebyggende nasjonal sikkerhet.

Utvalget mener det bør påhvile den enkeltevirksomhet som omfattes av loven, gjennom å hafått utpekt skjermingsverdig infrastruktur ellerobjekter, å gjennomføre sikkerhetstiltak. Virksom-hetene må også ta kostnadene av sikkerhetstilta-kene. Kostnader ved slike sikkerhetstiltak bør ståi et rimelig forhold til det som oppnås ved tiltaket.

I enkelte tilfeller vil det ut fra samfunnetsbehov for sikkerhet kunne være nødvendig åpålegge omfattende sikkerhetstiltak for en spesi-fikk virksomhet eller i en samfunnssektor. Dettevil gagne samfunnet som helhet og ofte være nyt-tig for virksomheten som får pålegg. Dersom slikepålegg likevel medfører uforholdsmessig storbelastning for den aktuelle virksomhet eller sek-tor, sett i forhold til den egenverdi tiltakene harfor virksomheten/sektoren, kan det være behovfor å vurdere kompensatoriske tiltak. Som nevnt ikapittel 4.5, har staten et bredt spekter av virke-midler som kan benyttes for å oppnå god nasjonalsikkerhet, hvor økonomiske virkemidler er et avflere virkemidler. Utvalget ser det imidlertid ikkesom formålstjenlig å spesifisere eventuelle kom-pensatoriske tiltak i loven. For det tilfelle slikepålegg skulle bli nødvendig, bør dette så langtsom mulig søkes løst gjennom tett dialog mellomNSM, aktuelle sektormyndigheter og berørtevirksomheter.

Forebyggende sikkerhet omhandler bådegrunnsikring og forsterkningstiltak. Således erInstruks om sikring og beskyttelse av objekter vedbruk av sikringsstyrker, viktig å se i sammenhengmed sikkerhetsloven.


Kapittel 10

Personellsikkerhet

10.1 Innledning

Personellsikkerhet er et administrativt sikkerhets-tiltak som skal bidra til å sikre at personell somhar tilgang til sensitiv informasjon og sensitiveobjekter/infrastruktur, har den nødvendige lojali-tet, pålitelighet og tillit som er nødvendig i et sik-kerhetsmessig perspektiv.

Personellsikkerhet er et område hvor myndig-hetene gis hjemmel til å innhente og behandle tildels meget sensitive opplysninger om denenkelte, i den hensikt å vurdere hvorvidt vedkom-mende har nødvendig lojalitet og pålitelighet. Per-sonellsikkerhet har således klare grenseflater motenkeltindividets rettssikkerhet og personvern, oger derfor også et område som Stortingets kontrol-lutvalg for etterretnings-, overvåkings- og sikker-hetstjeneste (EOS-utvalget) følger nøye. Somnevnt i kapittel 5.6 har Evalueringsutvalget i sinutredning foreslått at EOS-utvalget, primært avkapasitetsmessige årsaker, ikke lenger bør førekontroll med avgjørelser om sikkerhetsklarering.Denne oppgaven foreslås i stedet lagt til et annetorgan, eksempelvis Sivilombudsmannen.1

Siden sikkerhetslovens ikrafttredelse har detvært en stor demografisk utvikling. Norge er i daget mangfoldig samfunn, og det er et politisk ønskeom at dette også gjenspeiles i offentlig forvalt-ning. Globaliseringen av samfunnet medførerogså at norske virksomheter i økende grad eravhengig av å hente inn nøkkelkompetanse frautlandet. Dette er en ønsket samfunnsutvikling.Samtidig kan dette også bidra til å skape nye sår-barheter.

Utvalgets målsetting med forslaget til regule-ring av personellsikkerhet er å legge forholdenetil rette for å forebygge og eventuelt avdekke utrotjenere som får tilgang til informasjon eller områ-der der skadepotensialet er stort. Eksempelvis erutenlandsk etterretning mot norske interesser, ogvil fortsette å være, en reell trussel mot grunnleg-gende nasjonale funksjoner. Personell med tilgang

til sensitiv informasjon eller til sensitive områder,vil kunne bli satt under press for å misbruke sliketilganger. Det er i denne sammenheng helt avgjø-rende at myndighetene kan forsikre seg om atpersonell som gis slike tilganger har den nødven-dige lojalitet og pålitelighet.

En annen målsetting med utvalgets forslag erat hensynet til den enkeltes rettssikkerhet og per-sonvern ivaretas i klareringsprosessen. En rekkeav hjemlene i dette regelverket er inngripendeoverfor den enkelte, og det er således sentralt atdet er etablert tilstrekkelige og tilfredsstillenderettssikkerhetsgarantier der slike inngrep er nød-vendige.

En grunnleggende problemstilling utvalgetmå ta stilling til, er om de senere års demogra-fiske endringer medfører behov for justeringer avregelverket for personellsikkerhet.

En annen utfordring med dagens klareringsin-stitutt, er at saksbehandlingstiden ved sikkerhets-klareringer i mange tilfeller er svært lang. Langsaksbehandlingstid, kombinert med klareringsin-stituttets inngripende karakter overfor denenkelte, er i seg selv en rettssikkerhetsmessigutfordring. I tillegg er det økonomisk kostbart forde virksomheter som er avhengige av den enkel-tes kompetanse i sitt daglige virke. En problem-stilling i denne sammenheng er hvorvidt det erinnretningen på dagens lovregulering som i segselv har en negativ innvirkning på saksbehand-lingstiden. I den utstrekning utfordringene knyt-tet til saksbehandlingstid skyldes regelverket, måutvalget vurdere hvorvidt det er mulig å innretteloven på en måte som understøtter behovet foreffektivitet.

En annen grunnleggende problemstillingutvalget må ta stilling til, er hvorvidt personellsik-kerhet bør reguleres i en sektorovergripende lov,eller om det er tilstrekkelig at regulering av dettefagfeltet overlates til de ulike sektorspesifikkeregelverkene. Herunder må utvalget vurderehvorvidt det eksisterer hjemler for personkontrolli aktuelt sektorregelverk, og hvorvidt disse i såfall vurderes som tilfredsstillende.1 Dok. 16 (2015–2016), 132 flg.



10.2.1 Tidligere revisjoner av personell-sikkerhet

Lov- og forskriftsverket om personellsikkerhethar blitt revidert to ganger siden det trådte i kraft i2001, i henholdsvis 2006 og 2011. Formålet medendringene har vært å styrke enkeltindividetsrettssikkerhet i klareringsprosessen, og å eta-blere mekanismer som sikrer at personer ikkesikkerhetsklareres i større utstrekning enn nød-vendig.

Forsvarsdepartementet besluttet sommeren2003 å opprette en arbeidsgruppe som skulle vur-dere sikkerhetslovens kapittel om personellsik-kerhet, samt personellsikkerhetsforskriften ogpraksis. Arbeidsgruppen fikk i oppdrag å fremmebegrunnede forslag til endringer i dette regelver-ket med sikte på å styrke den enkeltes rettssikker-het.

Arbeidsgruppen leverte sin rapport Grense-land mellom rettssikkerhet og personellsikkerhet,til Forsvarsdepartementet 1. mars 2004. I rappor-ten ble det foreslått flere lovendringer med siktepå styrking av rettssikkerheten i sikkerhetsklare-ringssaker. I tillegg foreslo arbeidsgruppen enreduksjon i antall klareringsmyndigheter.Arbeidsgruppen presenterte tre modeller for nyorganisering av klareringsmyndighetene, som allei forskjellig grad innebar en sentralisering av dem.

I Ot.prp. nr. 59 (2004–2005)2 fremmet Forsvars-departementet forslag om flere endringer i sikker-hetslovens kapittel om personellsikkerhet:

– Lovfesting av at tilknytning til andre stater kanvære relevant å legge vekt på i vurderingen avsikkerhetsmessig skikkethet.

– Hjemmel for å kunne sette vilkår for en sikker-hetsklarering i særlige tilfeller.

– Oppmyking av regelverket for klarering avutenlandske statsborgere.

– Nye saksbehandlingsregler knyttet til sikker-hetsklarering.

Forslaget ble vedtatt og lovendringene trådte ikraft 1. januar 2006.3

Enkelte av arbeidsgruppens forslag blebehandlet i Ot.prp. nr. 21 (2007–2008).4 For å har-monisere regelverket med de nye bestemmelseneom objektsikkerhet, ble det fremmet forslag om atsikkerhetslovens bestemmelser om sikkerhets-klarering skulle gis anvendelse for personer somskal gis tilgang til skjermingsverdige objekterklassifisert MEGET KRITISK eller KRITISK, ogat Kongen skulle gis fullmakt til å fastsette nær-mere regler om hvem som skal avkreves sikker-hetsklarering for de nevnte skjermingsverdigeobjektene.

I tillegg ble det foreslått en innstramming ibruken av sikkerhetsklarering i forhold til skjer-mingsverdig informasjon, i den hensikt å redu-sere antallet klareringssaker. Tidligere ble detstilt krav om at personell som ville kunne få til-gang til skjermingsverdig informasjon skulle sik-kerhetsklareres, noe som medførte at terskelenfor å sikkerhetsklarere ble for lav. Departementetforeslo derfor en justering av ordlyden, som inne-bar at det som hovedregel bare skulle igangsettessikkerhetsklarering for personell som skulle gistilgang til skjermingsverdig informasjon. Disselovendringene trådte i kraft 1. januar 2011.5

10.2.2 Tilgang til sikkerhetsgradert informasjon

Sikkerhetsloven § 19 omhandler vilkårene somskal være innfridd for at en person skal kunne fåtilgang til skjermingsverdig/sikkerhetsgradertinformasjon.

Det følger av bestemmelsens første ledd at enperson som skal gis tilgang til skjermingsverdiginformasjon, på forhånd skal autoriseres.

Personell som skal ha tilgang til skjermings-verdig informasjon gradert KONFIDENSIELTeller høyere, skal i tillegg sikkerhetsklareres førautorisering finner sted, jf. bestemmelsens annetledd. For personell som kun trenger tilgang tilinformasjon gradert BEGRENSET, er det såledesikke noe krav om sikkerhetsklarering.

Personell som gjennom sitt arbeid vil kunne fåtilgang til skjermingsverdig informasjon gradertKONFIDENSIELT eller høyere, skal sikkerhets-klareres dersom andre risikoreduserende tiltakfor å hindre at vedkommende ikke får tilgang tilslik informasjon, ikke med rimelighet lar seg gjen-nomføre, jf. loven § 19 tredje ledd. Bestemmelsen

2 Ot.prp. nr. 59 (2004–2005) Om lov om endringar i lov 20.mars 1998 nr. 10 om forebyggende sikkerhetstjeneste (sik-kerhetsloven).

3 Fastsatt ved kgl.res. 21. desember 2005 med heimel i lov17. juni 2005 nr. 81 om endringar i lov 20. mars 1998 nr. 10om forebyggende sikkerhetstjeneste (sikkerhetsloven).

4 Ot.prp. nr. 21 (2007–2008). 5 Fastsatt ved kgl.res. 22. oktober 2010 med hjemmel i lov

11. april 2008 nr. 9 om endringer i lov om forebyggende sik-kerhetstjeneste (sikkerhetsloven).


åpner således for å sikkerhetsklarere personellsom i utgangspunktet ikke skal ha tilgang til gra-dert informasjon, dersom vedkommende kan fåslik tilgang. I forarbeidene nevnes vakter, rengjø-ringspersonell og andre som gjennom sitt arbeider i en posisjon hvor en lett kan skaffe seg tilgangtil informasjon – selv om dette vil innebære bruddpå arbeidsinstruks eller lignende.6 En forutset-ning for at slikt personell skal sikkerhetsklareres,er at andre sikkerhetstiltak først skal være gjen-nomført for å redusere denne risikoen. Økono-miske og andre konsekvenser som en følge avgjennomføring av andre sikkerhetstiltak vil væreav betydning for om personellet skal klareres. Detunderstrekes i forarbeidene at tredje ledd er mentsom en snever unntaksregel, og at ikke enhverekstrakostnad oppfyller kravet til «ikke med rime-lighet lar seg gjennomføre».7

Av bestemmelsens fjerde ledd fremgår dethvilke sikkerhetsgrader det skal gjennomføressikkerhetsklarering for nasjonalt, og eventueltogså for tilsvarende sikkerhetsgrader i NATOeller annen internasjonal organisasjon:

– KONFIDENSIELT (eventuelt NATO CON-FIDENTIAL/tilsvarende)

– HEMMELIG (eventuelt NATO SECRET/til-svarende)

– STRENGT HEMMELIG (eventuelt COSMICTOP SECRET/tilsvarende)

I forarbeidene er det presisert at klarering for ennasjonal sikkerhetsgrad, ikke automatisk inne-bærer at vedkommende også er klarert for tilsva-rende sikkerhetsgrad fastsatt av en internasjonalorganisasjon, eksempelvis NATO. Dersom ved-kommende skal klareres for tilgang til internasjo-nalt gradert informasjon, må klareringsmyndighe-ten treffe uttrykkelig avgjørelse om dette.8 I prak-sis skjer dette ved at anmodende myndighet presi-serer i klareringsanmodningen at vedkommende isitt arbeid vil ha behov for tilgang til eksempelvisNATO-gradert informasjon.

10.2.3 Tilgang til skjermingsverdige objekter

I sikkerhetsloven § 17 b fjerde ledd er Kongen gittmyndighet til å bestemme hvorvidt det skal kre-ves sikkerhetsklarering etter reglene i lovenkapittel 6 for den som skal gis tilgang til skjer-mingsverdig objekt klassifisert MEGET KRITISKeller KRITISK.

Rundt problemstillingen om sikkerhetsklare-ring for tilgang til skjermingsverdige objekter,uttales det i forarbeidene at:

En avveining mot kostnadsmessige, sysselset-tingsmessige og personvernmessige forhold,kan imidlertid tilsi at kravet i enkelttilfeller oginnen enkelte sektorer vil medføre for inngri-pende konsekvenser, og av denne grunn ikkebør implementeres fullt ut. Sikkerhetsklare-ring vil heller ikke være et egnet virkemiddelfor alle kategorier av objekter. Det framstår pådenne bakgrunn som hensiktsmessig at det iloven kun etableres en forskriftshjemmel for ågjennomføre sikkerhetsklarering, og at denærmere bestemmelser gis i forskrifts form.9

I objektssikkerhetsforskriften er myndigheten tilå bestemme hvorvidt det skal kreves sikkerhets-klarering for personell som skal gis permanent til-gang til objekter klassifisert KRITISK ellerMEGET KRITISK, tillagt det enkelte fagdeparte-ment, jf. forskriften § 3-6 første ledd. Sikkerhets-klarering skal ikke foretas der dette ikke ansessom et egnet virkemiddel, og objekter måbegrunne behovet for klarering.

Dersom det kreves sikkerhetsklarering, skaltilgang til et objekt klassifisert KRITISK kreve sik-kerhetsklarering for KONFIDENSIELT eller høy-ere. For tilgang til objekt klassifisert MEGET KRI-

6 Ot.prp. nr. 49 (1996–97), 70.7 Ot.prp. nr. 21 (2007–2008), 46.

Boks 10.1 Autorisasjon og sikkerhetsklarering

Med autorisasjon menes i sikkerhetslovensforstand en «avgjørelse, foretatt av autorisa-sjonsansvarlig, om at en person etter forutgå-ende sikkerhetsklarering (med unntak for til-gang til informasjon sikkerhetsgradertBEGRENSET), bedømmelse av kunnskap omsikkerhetsbestemmelser, tjenstlig behov samtavlagt skriftlig taushetsløfte, gis tilgang tilinformasjon med angitt sikkerhetsgrad», jf.loven § 3 første ledd nr. 20.

Med sikkerhetsklarering menes «avgjø-relse, foretatt av klareringsmyndighet og byg-get på personkontroll, om en persons antattesikkerhetsmessige skikkethet for angitt sik-kerhetsgrad», jf. loven § 3 første ledd nr. 19.

8 Ot.prp. nr. 49 (1996–97), 70.9 Ot.prp. nr. 21 (2007–2008), 39.


TISK, kreves sikkerhetsklarering for HEMME-LIG eller høyere.

For besøkende som ledsages av autorisert per-sonell kreves det ikke sikkerhetsklarering, jf.bestemmelsens fjerde ledd. Det skal imidlertidkontrolleres at de besøkendes identitet er kor-rekt. For representanter for en annen stat, interna-sjonal organisasjon eller utenlandsk rettssubjekt,skal det i tillegg kontrolleres at vedkommendefaktisk representerer vedkommende stat/organi-sasjon/rettssubjekt.

10.2.4 Gjennomføringen av personkontroll

Før klareringsmyndigheten kan treffe en avgjø-relse om sikkerhetsklarering må det gjennomfø-res en personkontroll. Med personkontroll menesi denne sammenheng en innhenting av relevanteopplysninger til vurdering for sikkerhetsklare-ring, jf. sikkerhetsloven § 3 første ledd nr. 18. Per-sonkontrollen igangsettes ved at autorisasjonsan-svarlig – normalt den enkelte virksomhet – senderen anmodning om sikkerhetsklarering til klare-ringsmyndigheten, jf. loven § 20 første ledd.

Igangsettelse av personkontroll forutsetter atden det gjelder er informert, og har samtykket tilat en slik kontroll foretas, jf. bestemmelsens andreledd. I praksis vil den enkelte bli bedt om å fylle utet personopplysningsskjema som grunnlag forpersonkontrollen, som også gjelder som et sam-tykke for at informasjon innhentes fra en rekkeulike kilder. Vedkommende plikter i denne sam-menheng å gi fullstendige opplysninger om for-hold som antas å kunne være av betydning for vur-dering av sikkerhetsmessig skikkethet.

Dersom anmodningen om sikkerhetsklareringgjelder for sikkerhetsgrad HEMMELIG/tilsva-rende eller høyere, kan personkontrollen ogsåomfatte kontroll av nærstående personer som erknyttet til vedkommende ved familiebånd, jf.bestemmelsens tredje ledd. Personkontroll avnærstående ved anmodning om klarering forKONFIDENSIELT/tilsvarende, kan bare skje i«andre særlige tilfeller». I følge forarbeideneomfatter «nærstående personer som er knyttet tilvedkommende ved familiebånd» også ektefelle,samboer og registrert partner.10

Personkontrollen skal omfatte opplysningersom vedkommende klareringsmyndighet selv sit-ter inne med og opplysninger som fremgår vedavlesning av relevante offentlige registre, jf.bestemmelsens fjerde ledd første punktum. Kon-

gen er gitt myndighet til å bestemme hvilke regis-tre som er relevante for personkontroll, jf. femteledd første punktum.

Registeransvarlig for de ulike registrene plik-ter å utlevere registeropplysninger til NSMvederlagsfritt og uten hinder av lovbestemt taus-hetsplikt. Opplysningene skal meddeles skriftlig.

Personkontrollen kan også omfatte andre kil-der, herunder uttalelser fra tjenestesteder ellerarbeidsplasser, offentlige myndigheter eller opp-gitte referanser, jf. bestemmelsens fjerde leddfjerde punktum. I forarbeidene er det påpekt atopplysningsplikten for tidligere arbeidsgivere,offentlige myndigheter og oppgitte referanser,ikke går foran eventuell lovbestemt taushetsplikt.Normalt vil det imidlertid være en klar forutset-ning at den det gjelder har gitt samtykke til å inn-hente enhver opplysning om vedkommende utenhinder av taushetsplikten, for eksempel fra refe-ransepersoner som er ført opp i personopplys-ningsblanketten.11

Det er et totalforbud mot å innhente, regis-trere eller videreformidle opplysninger om ved-kommendes politiske engasjement, jf. bestemmel-sens femte ledd siste punktum.

I bestemmelsens sjette ledd slås det fast etstrengt krav til formålsbestemthet knyttet til deopplysninger som innhentes som ledd i person-kontrollen. Slike opplysninger skal ikke benyttestil andre formål enn vurdering av sikkerhetsklare-ring. Dersom det er påkrevet av hensyn til den

10 Ot.prp. nr. 49 (1996-–97), 70. 11 Ibid.

Boks 10.2 Registre for personkontroll

Med hjemmel i § 20 femte ledd har Kongen ipersonellsikkerhetsforskriften § 3-4 fastsatt atNSM i personkontrolløyemed kan kreve å fåutlevert opplysninger fra:

1. Reaksjonsregisteret 2. Straffesaksregisteret 3. Registre ved Politiets sikkerhetstjeneste 4. Det sentrale folkeregister (DSF) 5. Registre ved Skattedirektoratet 6. Registre ved Statens innkrevingssentral 7. Registre ved Utlendingsdirektoratet 8. NSMs egne registre 9. Private kredittopplysningsregistre

10. Tilsvarende registre i fremmede stater.


sikkerhetsmessige ledelse og kontroll av vedkom-mende, kan imidlertid opplysninger som frem-kommer under personkontrollen meddeles tilautorisasjonsansvarlig.

10.2.5 Vurderingsgrunnlaget for sikkerhetsklarering

Vurderingen av om en person skal sikkerhetskla-reres skal baseres på en konkret og individuellhelhetsvurdering, der alle tilgjengelige opplysnin-ger tas i betraktning. Klareringsmyndigheten plik-ter i denne forbindelse å sørge for at saken er sågodt opplyst som mulig før avgjørelse fattes. Sik-kerhetsklarering skal bare gis der det ikke fore-ligger rimelig tvil om vedkommendes sikkerhets-messige skikkethet, jf. sikkerhetsloven § 20 tredjeledd første og annet punktum, jf. første ledd førstepunktum.

Ved avgjørelsen av vedkommendes sikkerhet-smessige skikkethet, skal det bare legges vekt påforhold som er relevante for å vurdere den aktu-elle personens pålitelighet, lojalitet og sunne døm-mekraft med hensyn til behandling av sikkerhets-gradert informasjon. Bestemmelsen har en opplis-

ting av forhold som kan tillegges betydning forvurderingen i første ledd bokstav a til l.

Oppregningen i bestemmelsen er ifølge forar-beidene uttømmende, men bokstav l vil likevelfungere som en sikkerhetsventil for opplysningerav sikkerhetsmessig karakter som ikke lar seghenføre under de øvrige forhold som kan tilleggesbetydning.12

Det presiseres videre i forarbeidene at opplis-tingen ikke skal forstås som en prioritert rekke-følge av forhold som kan tillegges betydning.

Bokstav k om tilknytning til andre stater, kominn ved lovendring som trådte i kraft 1. januar2006. I forarbeidene beskrives endringen som enpresisering av at tilknytningen norske statsbor-gere måtte ha til andre stater, kan bli lagt vekt på ien vurdering av sikkerhetsmessig skikkethet.Begrepet tilknytning bør tolkes vidt i den forstandat ulik art av tilknytning vil kunne være relevant.Det kan for eksempel dreie seg om økonomiskeinteresser i en stat eller det kan være tale om atvedkommende har familiær tilknytning til staten.Det er likevel bare den tilknytning som er relevantfor den sikkerhetsmessige kvalifikasjonen til den

Boks 10.3 Relevante forhold for personkontroll

Opplysninger om følgende forhold kan tilleggesbetydning:

a) Spionasje, planlegging eller gjennomføringav sabotasje, attentat eller lignende, og for-søk på slik virksomhet.

b) Straffbare handlinger eller forberedelsereller oppfordringer til slike.

c) Forhold som kan lede til at vedkommendeselv eller nærstående personer som er knyt-tet til vedkommende ved familiebånd, utset-tes for trusler som innebærer fare for liv,helse, frihet eller ære med risiko for å kunnepresse vedkommende til å handle i strid medsikkerhetsmessige interesser.

d) Forfalskning av, eller feilaktig eller unnlattfremstilling om, faktiske forhold som ved-kommende måtte forstå er av betydning forsikkerhetsklareringen.

e) Misbruk av alkohol eller andre rusmidler. f) Enhver sykdom som på medisinsk grunnlag

anses å kunne medføre forbigående ellervarig svekkelse av pålitelighet, lojalitet ellersunn dømmekraft.

g) Kompromittering av skjermingsverdig infor-masjon, brudd på gitte sikkerhetsbestem-melser, nektelse av å gi personopplysningerom seg selv, unnlatelse av å gi autorisasjons-ansvarlig løpende underretning om egne for-hold av betydning for sikkerheten, nektelseav å gi taushetsløfte, tilkjennegivelse av ikkeå ville være bundet av taushetsløfte eller nek-telse av å delta i sikkerhetssamtale.

h) Økonomiske forhold som kan friste til utro-skap.

i) Forbindelse med innen- eller utenlandskeorganisasjoner som har ulovlig formål, somkan true den demokratiske samfunnsorde-nen eller som anser vold eller terrorhandlin-ger som akseptable virkemidler.

j) Manglende mulighet for gjennomføring aven tilfredsstillende personkontroll.

k) Tilknytning til andre stater. l) Andre forhold som kan gi grunn til å frykte

at vedkommende vil kunne opptre i stridmed sikkerhetsmessige interesser.

12 Ibid.


enkelte, som det kan legges vekt på i vurderingen.Graden av tilknytning vil også være av betyd-ning.13

NSM har i sin veileder til personellsikkerhet14

utdypet hvilke vurderingstema som er relevantefor bokstav a til l.

I bestemmelsens andre ledd slås det fast atpolitisk engasjement, herunder medlemskap i,sympati med eller aktivitet for lovlige politiskepartier eller organisasjoner og annet lovlig sam-funnsengasjement, ikke kan tillegges vekt vedvurderingen av den enkeltes sikkerhetsmessigeskikkethet.

I henhold til bestemmelsens tredje ledd tredjepunktum, skal sikkerhetssamtale gjennomføresder dette ikke anses som åpenbart unødvendig.Ved lovendringen som trådte i kraft 1. januar 2006ble kravet til sikkerhetssamtale forsterket. Førlovendringen skulle klareringsmyndigheten«søke å avklare uklare forhold, eventuelt gjennomå avholde sikkerhetssamtale». Den forsterkedeplikten til å avholde sikkerhetssamtale ble i forar-beidene begrunnet med en harmonisering medforvaltningsorganers utrednings- og informa-sjonsplikt i medhold av forvaltningsloven § 17, oginnebærer at klareringsmyndigheten bør gjen-nomføre en slik samtale dersom det er tvil omvedkommende skal gis klarering.15 Sikkerhets-samtale anses som en sentral rettssikkerhetsga-ranti hvor den enkelte gis anledning til kontradik-sjon. Samtidig kan en slik samtale oppleves gan-ske belastende for den enkelte. Disse forhold gjørat klareringsmyndighetens bruk av slike sikker-hetssamtaler følges tett av EOS-utvalget.

Negative opplysninger som innhentes somledd i personkontrollen om en persons nærstå-ende, skal bare tas i betraktning i den utstrekningdet antas at disse forholdene vil kunne påvirkeden sikkerhetsmessige skikketheten til den per-sonen det søkes om sikkerhetsklarering for, jf.bestemmelsens fjerde ledd.

Etter bestemmelsens femte ledd kan det i sær-lige tilfeller settes vilkår for sikkerhetsklarering.Hjemmelen til å kunne sette vilkår for en klare-ring kom som følge av lovendringen som trådte ikraft 1. januar 2006. I forarbeidene vises det til aten sikkerhetsklarering på vilkår kan bidra til enforholdsmessig avgjørelse der alternativet ellers

hadde vært å nekte klarering.16 Arbeidsgruppe-rapporten som lå til grunn for departementets lov-forslag sa følgende om forslaget:

Et problem med at dagens klareringer kan nyt-tes for tjeneste ved flere forskjellige etater, er atde nødvendigvis vil måtte gis på et mer gene-relt grunnlag enn om klarering ble gitt for enbestemt stilling. Ved sistnevnte alternativ vil enrisikovurdering kunne knyttes opp til den spe-sifikke stillingen eller oppdraget. Ettersom kla-reringsmyndigheten ikke kan vite i hvilkensammenheng klareringen kan tenkes benytteti fremtiden, vil klareringsmyndigheten i sinvurdering muligens ta med en hypotetiskmulighet for at en person med spesielle bindin-ger kan utløse høy sikkerhetsmessig risiko i engitt situasjon. Dette kan igjen medføre at klare-ringsmyndigheten nekter klarering selv omsannsynligheten for at risikosituasjonen skaloppstå, er liten. Et eksempel på dette kan væreen person med slike økonomiske eller famili-ære bindinger til et land at vedkommende let-tere kan bli utsatt for press til å handle i strid

13 Ot.prp. nr. 59 (2004–2005), 32.14 Veiledning til sikkerhetslovens kapittel 6 og forskrift om

personellsikkerhet, fastsatt av NSM med hjemmel i sikker-hetsloven § 26 annet ledd og forskrift om personellsikker-het.

15 Ot.prp. nr. 59 (2004–2005), 32. 16 Ibid.

Boks 10.4 EOS-utvalget om sikkerhetssamtaler

I EOS-utvalgets årsmelding for 2014 ga utval-get uttrykk for at det kunne være behov for enekstern evaluering av gjennomføringen av sik-kerhetssamtaler. EOS-utvalget hadde sett atkvaliteten på gjennomføringen av samtalenevarierte i de ulike klareringsmyndighetene, ogat enkelte samtaler kunne vært gjennomførtpå en mer tillitsskapende og målrettet måte.EOS-utvalget observerte blant annet at samta-lene ofte er svært omfattende og kan ha enavhørslignende form, noe som kan oppfattessom belastende for den omspurte.

I 2015 har EOS-utvalget hatt en løpendedialog med NSM om gjennomføring av sikker-hetssamtaler, og NSM har opplyst at manønsker å iverksette flere tiltak for å forbedreog videreutvikle klareringsmyndighetenesfagkompetanse på området. EOS-utvalget har iårsmeldingen for 2015 uttrykt at dette arbei-det vil følges tett, og at man i løpet av 2016 vilkontrollere flere sikkerhetssamtaler.

Kilde: EOS-utvalgets årsrapport for 2015 s. 24-26


med Norges sikkerhetsmessige interesserhvis vedkommende skal gjøre tjeneste i detaktuelle landet.17

Av forarbeidene fremgår det videre at bestemmel-sen ikke var tenkt brukt som en vanlig løsning.Regelen kunne tenkes brukt i situasjoner hvor enperson har tilknytning til andre stater som kangjøre det uheldig at vedkommende blir gitt engenerell klarering, som også kan benyttes foreksempel til tjeneste i den staten vedkommendehar tilknytning til. Bestemmelsen vil også kunnebrukes der vedkommende som blir klarert har etutenlandsk statsborgerskap. I disse tilfellene kandet være aktuelt å sette som vilkår at klareringenbare kan benyttes for en bestemt stilling eller i etgeografisk avgrenset område.18

10.2.6 Sikkerhetsklarering av utenlandske statsborgere

I medhold av sikkerhetsloven § 22 kan en uten-landsk statsborger gis sikkerhetsklarering etteren vurdering av hjemlandets sikkerhetsmessigebetydning og vedkommendes tilknytning til hjem-landet og Norge. Frem til lovendringen i 2006 varhovedregelen at utenlandske statsborgere nor-malt ikke skulle gis sikkerhetsklarering, med min-dre det forelå et særlig behov for å gi en uten-landsk statsborger tilgang til sikkerhetsgradertinformasjon. I forarbeidene til lovendringen bledet foreslått en viss oppmyking av denne bestem-melsen. Det ble samtidig presisert at bestemmel-sen fortsatt var en kan-regel, hvor de nærmereangitte vurderingstemaene er avgjørende forhvorvidt klarering gis.19

Vilkåret om vedkommendes tilknytning tilhjemlandet blir i stor grad de samme vurderin-gene som for tilknytning til en annen stat, jf. loven§ 21 første ledd bokstav k. Vilkåret om tilknytningtil Norge må baseres på en bred konkret vurde-ring, hvor et relevant moment vil være hvor lengevedkommende har bodd i Norge, og hvilke slekt-skapsforhold vedkommende har. I forarbeidenepresiseres at det ikke er ønskelig å sette absoluttekrav til oppholds- og arbeidstillatelse, men at dettekan være sentrale momenter i vurderingen av ved-kommendes tilknytning til Norge.

10.2.7 Klareringsmyndighet og autorisasjonsansvarlig

Etter gjeldende sikkerhetslov § 23 (som er vedtattendret, se under) er hvert enkelt departement kla-reringsmyndighet for personell på sitt myndig-hetsområde. Myndigheten kan delegeres, ogdette er i stor utstrekning gjort. Etter flere reduk-sjonsprosesser, sist i 2006, er det i dag totalt 42klareringsmyndigheter. Av disse er 5 innenfor for-svarssektoren (deriblant Etterretningstjenestenog Nasjonal sikkerhetsmyndighet), 7 innenforden dømmende makt (Høyesterett og lagmanns-rettene), samt 3 innenfor Stortingets organer(Stortingets presidentskap, Stortingets adminis-trasjon og Riksrevisjonen). I tillegg er Politietssikkerhetstjeneste egen klareringsmyndighet.For øvrig er det 26 ulike sivile klareringsmyndig-heter, som utgjøres av de enkelte departementeneog enheter disse har delegert klareringsmyndig-het videre til.

Klareringsmyndighetsstrukturen ble vurdertved revisjonen av sikkerhetsloven i 2006.20

Arbeidsgruppen som den gang ble nedsatt for å se17 Arbeidsgrupperapport, Grenseland mellom rettssikkerhet og

personellsikkerhet, avgitt til Forsvarsdepartementet 1. mars2004, 69–70.

18 Ot.prp. nr. 59 (2004–2005), 32. 19 Ibid. 20 Ibid, 29 flg.

Boks 10.5 Sikkerhetsavtale

Norge har sikkerhetsmessig samarbeid meden rekke andre stater, både allierte og andrestater. Som grunnlag for dette sikkerhetsmes-sige samarbeidet er det inngått sikkerhetsav-taler med de aktuelle statene. En sikkerhets-avtale omfatter alle relevante sikkerhetsmes-sige forhold knyttet til blant annet håndteringav sikkerhetsgradert informasjon og sikker-hetsklarering av personell.

Dersom utenlandske statsborgere inneharen sikkerhetsklarering fra et hjemland Norgehar et sikkerhetsmessig samarbeid med, vildenne sikkerhetsklareringen som regel leg-ges til grunn også for tilgang til norsk sikker-hetsgradert informasjon.

Dersom utenlandske statsborgere fra etland Norge har sikkerhetsmessig samarbeidmed ikke har sikkerhetsklarering fra hjemlan-det, vil Nasjonal sikkerhetsmyndighet inn-hente nødvendige personkontrollopplysningervia den aktuelle statens sikkerhetsmyndig-heter.


på regelverket la fram tre forslag til klarerings-myndighetsstruktur:

1. en desentralisert modell med utgangspunkt idagjeldende sikkerhetslov § 23,

2. to klareringsmyndigheter; en for sivil sektor ogen for militær sektor,

3. en felles klareringsmyndighet.

Forsvarsdepartementet besluttet den gang åbeholde eksisterende struktur. Det ble likevel gittklare føringer for at delegasjonspraksisen skullestrammes inn:

Departementet vil følgje med på den vidareutviklinga på dette feltet, og det vil bli ei sentraltilsynsoppgåve for Nasjonal sikkerhetsmyndig-het å følgje opp etterlevinga av regelen i § 23.Det er naudsynt at departementa i tida framet-ter strammar inn delegeringspraksisen. Der-som dette ikkje skjer, vil departementet eventu-elt måtte sjå på andre strukturløysingar, ogsådei modellane om ei eller to klareringssty-ringsmakter som er nemnde ovanfor.21

Forsvarsdepartementets oppfordring om åstramme inn delegasjonspraksisen har imidlertidhatt en begrenset virkning, og antallet klarerings-myndigheter har ikke blitt vesentlig redusert etterdenne lovrevisjonen.

Forsvarsdepartementet har derfor i Prop. 97 L(2015–2016) – Endringer i sikkerhetsloven (reduk-sjon av antall klareringsmyndigheter mv.) fore-slått at det opprettes to klareringsmyndigheter: énfor forsvarssektoren og én for de sivile sektorene,hvor henholdsvis Forsvarsdepartementet og Jus-tis- og beredskapsdepartementet har det overord-nede ansvaret. Forslaget medfører en betydeligreduksjon av antall klareringsmyndigheter, hvorden vesentligste endringen er en sentralisering avklareringsmyndighetene i sivile sektorer. I forsla-get ble det forutsatt at de tre EOS-tjenestene fort-setter å klarere eget personell, grunnet de særligeforhold som gjør seg gjeldende for disse tjenes-tene. Videre ble det åpnet for at andre enn EOS-tjenestene kan gis slik myndighet dersom særligegrunner tilsier det. Formålet med endringen var åøke kvaliteten og effektiviteten hos klarerings-myndighetene, noe som også vil bidra til økt retts-sikkerhet for den enkelte gjennom en mer enhet-lig praksis samt øke tilliten til klareringsinstituttethos allmennheten generelt. Kompleksiteten i kla-

reringssakene øker og det stilles stadig størrekrav til klareringsmyndighetenes kompetanse.

Det ble i tillegg forslått en strukturell endringav bestemmelsen, som ikke er ment å skulle inne-bære en realitetsendring.

Stortinget har i forbindelse med behandlingenav Innst. 352 L (2015–2016) til Prop. 97 L (2015–2016) om endringer i sikkerhetsloven, vedtattregjeringens forslag om å redusere antall klare-ringsmyndigheter.

10.2.8 Bortfall, tilbakekall, nedsettelse og suspensjon av sikkerhetsklarering og autorisasjon

Sikkerhetsklarert og autorisert personell har plikttil å holde autorisasjonsansvarlig orientert om for-hold som antas å være av betydning for vedkom-mendes sikkerhetsmessige skikkethet, jf. sikker-hetsloven § 24 første ledd. Eksempelvis vilendringer i sivilstatus, ileggelse av straffereaksjo-ner fra politi- og påtalemyndighet eller vesentligeendringer i den enkeltes økonomiske situasjon,være forhold som den enkelte plikter å orientereautorisasjonsansvarlig om. I NSMs veiledning tilpersonellsikkerhet uttrykkes det at endringer i deforhold som kan anses å gjelde § 21 første leddbokstav a til j som i praksis innebærer endringer i21 Ibid.

Boks 10.6 Forslag til ny § 23

§ 23 Autorisasjonsansvarlig og klareringsmyn-dighet

Autorisasjon kan gis dersom autorisasjons-ansvarlig ikke har opplysninger som gjør dettvilsomt om vedkommende sikkerhetsmessiger til å stole på. Autorisasjon gis normalt avvirksomhetens leder. Autorisasjon skal ikkegis før det foreligger melding om sikkerhets-klarering, med unntak for de tilfeller som erbeskrevet i § 19 tredje ledd, og en autorisa-sjonssamtale er avholdt. Nasjonal sikkerhet-smyndighet gir nærmere regler om autorisa-sjon og om hvem som er autorisasjonsansvar-lig.

Kongen utpeker en klareringsmyndighetfor forsvarssektoren og en for den sivile sekto-ren. Kongen kan utpeke andre klarerings-myndigheter når særlige grunner taler for det.Etterretnings- og sikkerhetstjenestene klare-rer eget personell.


forhold til det den enkelte har opplyst i personopp-lysningsblanketten, vil utløse en meldeplikt tilautorisasjonsansvarlig.

Dersom det fremkommer opplysninger somreiser tvil om en sikkerhetsklarert persons sikker-hetsmessige skikkethet, plikter klareringsmyn-digheten å vurdere hvorvidt klareringen skal til-bakekalles, nedsettes til et lavere klareringsnivåeller suspenderes, jf. bestemmelsens andre ledd.Klareringsmyndigheten skal også i slike situasjo-ner iverksette nærmere undersøkelser for åavklare forholdet. Forarbeidene gir ingen nær-mere veiledning om hvilke undersøkelser klare-ringsmyndigheten kan iverksette med hjemmel i§ 24.

Ved behandlingen av den såkalte FOST-sakenuttalte EOS-utvalget seg om grensedragningenmellom den enkelte virksomhets undersøkelse avsikkerhetstruende hendelser og klareringsmyn-dighetens ansvar for å iverksette undersøkelseretter § 24:

Grensen mellom virksomhetens generelleansvar for forebyggende sikkerhetstjeneste,herunder undersøkelse av sikkerhetstruendehendelser, og klareringsmyndighetens ansvarfor å iverksette undersøkelse av forhold somreiser tvil om en sikkerhetsklarert persons sik-kerhetsmessige skikkethet kan være vanskeligå trekke. Men som et utgangspunkt må detkunne sies at jo mer undersøkelsene retter segmot forhold rundt en person – og ikke undersø-kelse av konkrete hendelser – vil det tilliggeklareringsmyndigheten, dvs NSM i dennesaken, å gjennomføre undersøkelsene ettersikkerhetsloven § 24.22

Heller ikke EOS-utvalget går nærmere inn påhvilke virkemidler klareringsmyndigheten kanbenytte ved gjennomføring av undersøkelser ettersikkerhetsloven § 24. Det må antas at klarerings-myndigheten har den samme adgangen til å inn-hente personkontrollopplysninger som ved første-gangs- eller reklarering, herunder kontroll oppmot relevante registre, oppgitte referanser, samtgjennomføre nye sikkerhetssamtaler i den hensiktå avklare forholdene.

Dersom klareringsmyndigheten beslutter å til-bakekalle, nedsette eller suspendere en sikker-hetsklarering, skal en begrunnet melding om

dette oversendes NSM. I tillegg skal klarerings-myndigheten varsle autorisasjonsansvarlig umid-delbart om at slik beslutning er fattet, jf. bestem-melsens tredje ledd.

Tre forhold medfører etter bestemmelsensfjerde ledd at en persons autorisasjon automatiskbortfaller:

a) når personen fratrer den stilling som autorisa-sjonen omfatter,

b) når behovet for autorisasjon av andre grunnerikke lenger er til stede, eller

c) når vedkommende ikke lenger har tilstrekke-lig sikkerhetsklarering.

I tillegg skal autorisasjonsansvarlig vurdere å til-bakekalle, nedsette eller suspendere klareringendersom han eller hun får opplysninger som girgrunn til tvil om den autoriserte personens sikker-hetsmessige skikkethet, jf. bestemmelsens femteledd. Slik avgjørelse skal innberettes til klare-ringsmyndighet som har klarert vedkommende.Bestemmelsen gir etter sin ordlyd ikke autorisa-sjonsansvarlig hjemmel til å igangsette nærmereundersøkelser for å avklare forholdet. Det forut-settes da at vedkommendes klarering vurderes avklareringsmyndigheten uten ugrunnet opphold.23

Dersom klareringsmyndigheten opprettholdersikkerhetsklareringen, reises spørsmålet om auto-risasjonsansvarlig likevel kan opprettholde beslut-ningen knyttet til vedkommendes autorisasjon. Ifølge forarbeidene må en eventuell enighet omdette løses gjennom dialog mellom klarerings-myndigheten og autorisasjonsansvarlig. I ytterstekonsekvens må saken løses gjennom at den brin-ges opp på høyere nivå, i siste instans gjennomavgjørelse på regjeringsnivå. I følge forarbeideneviser imidlertid erfaring at slike konflikter ikkeinntreffer i praksis.

Det følger av bestemmelsens sjette ledd atNSM fastsetter generell gyldighetstid for sikker-hetsklareringer. I forarbeidene uttrykkes det at ensikkerhetsklarering bør være tidsbegrenset, dadet av sikkerhetsmessige hensyn vil væreregelmessig behov for å undersøke om det erkommet til nye opplysninger, eller skjeddendringer, som medfører at klarering må revurde-res. I personellsikkerhetsforskriften § 4-8 er dengenerelle gyldighetstiden for klarering satt til femår. Vernepliktig personell i Forsvaret klareres nor-malt sett for to år.

22 Dok. 18 S (2009–2010), Årsmelding til Stortinget fra Stor-tingets kontrollutvalg for etterretnings-, overvåkings- sik-kerhetstjeneste (EOS-utvalget), 30. 23 Ot.prp. nr. 49 (1996–97), 71.


10.2.9 Saksbehandlingsregler

Ved lovendringen i 2006 ble det innført en rekkenye saksbehandlingsregler med sikte på å bedreden enkeltes rettssikkerhet i klareringsprosessen.

Sikkerhetsloven § 25 første ledd slår fast at for-valtningsloven kapittel IV (om saksforberedelse)og V (om vedtaket) ikke gjelder for avgjørelserom sikkerhetsklarering eller autorisasjon.

Klareringsmyndigheten har en underretnings-plikt etter bestemmelsens andre ledd. Den somhar vært vurdert sikkerhetsklarert har rett til å bligjort kjent med resultatet, og ved en negativavgjørelse skal klareringsmyndigheten på egetinitiativ underrette vedkommende om resultatetog opplyse om klageadgangen. Med negativ avgjø-relse menes både der klarering nektes, og de tilfel-ler der klarering gis, men på et lavere nivå ennsøkt om.24 Negative avgjørelser i lovens forstandomfatter også de tilfeller der klareringsmyndighe-ten treffer avgjørelse om tilbakekallelse, nedset-telse og suspensjon av sikkerhetsklarering etterloven § 24.25

Begrunnelse for avgjørelsen skal som hovedre-gel gis samtidig med underretningen om utfalletav klareringssaken, jf. bestemmelsens tredje ledd.Det kan gjøres unntak for retten til begrunnelse,dersom dette vil innebære at det røpes opplysnin-ger som:

a) er av betydning for Norges eller dets alliertessikkerhet, forholdet til fremmede makter ellerandre vitale nasjonale sikkerhetsinteresser,

b) er av betydning for kildevern,c) det av hensyn til vedkommendes helse eller

hans forhold til personer som står denne nær,må anses utilrådelig at vedkommende fårkjennskap til,

d) angår tekniske innretninger, produksjonsme-toder, forretningsmessige analyser og bereg-ninger og forretningshemmeligheter ellers,når de er av en slik art at andre kan utnyttedem i sin næringsvirksomhet.

Opplysninger etter bokstav a vil typisk være infor-masjon som er sikkerhetsgradert av utsteder avinformasjonen.26

I forarbeidene presiseres det at unntaket i bok-stav b om kildevern etter omstendighetene ogsåvil kunne bli omfattet av bokstav a, men at det like-

vel vil kunne være en selvstendig unntakshjem-mel.27 I NSMs veiledning nevnes som eksempelopplysninger fra oppgitte eller supplerende refe-ranser, uttalelser fra tjenestesteder eller arbeids-plasser, samt etterretningsopplysninger fra nor-ske og utenlandske samarbeidende tjenester, ogopplysninger fra politiet om pågående etterfors-kning.

Eksempler på informasjon som kan unntasetter bokstav c er opplysninger om psykisk helse,rusmisbruk eller uttalelser der en nærståendeperson kommer med nedsettende uttalelser omden som søkes klarert.28

Bokstav d samsvarer i hovedsak med forvalt-ningslovens bestemmelse om taushetsplikt ombedriftshemmeligheter, jf. forvaltningsloven § 13første ledd nr. 2.

Etter bestemmelsens fjerde ledd skal klare-ringsmyndigheten i tillegg utarbeide en internsamtidig begrunnelse for den avgjørelse som fat-tes, hvor alle relevante forhold inngår, inkluderteventuelle forhold som er nevnt i bestemmelsenstredje ledd.

Loven § 25 a gir nærmere regler om vedkom-mendes innsynsrett i sin egen klareringssak. Detfremgår av bestemmelsens første ledd at innsyns-retten først inntrer etter at avgjørelse i klarerings-saken er fattet. I forarbeidene begrunnes en sliketterfølgende innsynsrett med at innsyn på et tidli-gere tidspunkt i særlig grad vil kunne påvirke ver-dien av en sikkerhetssamtale for klareringsmyn-digheten. Det legges til grunn at bestemmelsengir hjemmel for innsyn i det faktum klarerings-myndigheten legger til grunn i referatet fra sik-kerhetssamtalen. Innsynsretten gjelder ogsåeventuelle audiovisuelle opptak fra sikkerhets-samtalen.29

Unntakene fra innsynsretten i bestemmelsenstredje ledd er harmonisert med de unntak somgjelder i § 25 tredje ledd bokstav a til c. Unntaketfor interne dokumenter forutsettes i forarbeidenepraktisert på samme måte som tilsvarende unntaki forvaltningsloven.

Bestemmelsens tredje ledd fastslår at den somhar krav på innsyn etter anmodning skal gis enkopi av dokumentet. Når det gjelder gjennomsynav audiovisuelle opptak av sikkerhetssamtalen,skal dette skje ved oppmøte hos den aktuelle kla-reringsmyndigheten.

Dersom klareringsmyndigheten nekter en per-son innsyn i sin egen sak etter § 25 tredje ledd

24 Ot.prp. nr. 59 (2004–2005), 32. 25 Ot.prp. nr. 49 (1996–97), 71.26 Veiledning til sikkerhetslovens kapittel 6 og forskrift om

personellsikkerhet, 20.

27 Ot.prp. nr. 59 (2004–2005), 33.28 Ibid. 29 Ibid.


eller § 25 a annet ledd første punktum, har ved-kommende rett til å få oppnevnt en advokat for åivareta sine interesser i saken, jf. loven § 25 bannet ledd. Det er et vilkår for oppnevning avadvokat at vedkommende har uttømt klageadgan-gen for innsynssaken, og at klagefristen på selveklareringsavgjørelsen ikke har løpt ut. I følge for-arbeidene er det av hensyn til rettssikkerheten til-strekkelig at retten til advokat gjelder ved før-steinstansbehandlingen. Det er videre presisert iforarbeidene at ordningen kun gjelder for de tilfel-ler der vedkommende ikke får klarering i samsvarmed anmodningen.30

Forsvarsdepartementet skal i henhold tilbestemmelsens første ledd oppnevne en gruppeadvokater for dette formålet, som skal sikkerhets-klareres for tilgang til sikkerhetsgradert informa-sjon opp til og med STRENGT HEMMELIG.

Den oppnevnte advokaten skal gis tilgang tilbåde de faktiske opplysningene og den begrun-nelse som den som vurderes sikkerhetsklarertikke får, jf. bestemmelsens tredje ledd. Dette gjel-der imidlertid ikke for dokumenter som er utar-beidet for den interne saksforberedelsen ved kla-reringsmyndigheten eller klageinstansen.

Advokaten vil etter bestemmelsens fjerde leddha en rådgivende rolle i spørsmålet om hvorvidtvedkommende bør klage på en negativ avgjørelseom sikkerhetsklarering. I forarbeidene presiseresdet at advokaten vil ha taushetsplikt overfor egenklient, slik at de opplysningene advokaten får til-gang til etter tredje ledd ikke kan videreformidlestil den som skal klareres. Advokatens rolle er ogsåavgrenset slik at han eller hun ikke vil kunnerepresentere vedkommende i en eventuell klage-sak.31

Loven § 25 c slår i første ledd fast at bestem-melsene i forvaltningsloven kapittel VI om klagepå enkeltvedtak gjelder tilsvarende i klareringssa-ker med mindre annet følger av sikkerhetsloveneller forskrift om personellsikkerhet.

Bestemmelsens andre ledd presiserer at detbare er den personen en avgjørelse retter seg mot,som har klagerett. Videre presiseres hvilke avgjø-relser som kan påklages. Både negative avgjørel-ser, vilkår for sikkerhetsklarering og observa-sjonstid ved negativ avgjørelse, kan påklages tilklageinstansen. Det samme gjelder nektetbegrunnelse og avslag på begjæring om innsyn.

Klagen skal i tråd med forvaltningslovensbestemmelser sendes til den som har fattet avgjø-relsen i første omgang, jf. bestemmelsens tredje

ledd. Nasjonal sikkerhetsmyndighet er klagein-stans for avgjørelser som er truffet av andre klare-ringsmyndigheter. Dersom Nasjonal sikkerhet-smyndighet har behandlet saken i førsteinstans,vil Forsvarsdepartementet være klageinstans.

Klagefristen er i henhold til bestemmelsensfjerde ledd tre uker fra den dag underretning omavgjørelsen som kan påklages, har kommet fremtil vedkommende. Dersom det klages på nektetbegrunnelse eller avslag på begjæring om innsyn,så avbrytes også klagefristen for selve klarerings-saken. Ny klagefrist vil da løpe fra det tidspunktunderretning om avgjørelse vedrørende begrun-nelse eller innsyn er kommet frem til vedkom-mende, eller på annen måte er gjort kjent fordenne. I saker der advokat har gjennomgått sakenetter § 24 b løper ny klagefrist fra den dag rådetfra advokaten har kommet frem til vedkommende.

Loven § 26 gir Kongen og Nasjonal sikkerhets-myndighet hjemmel til å gi forskrifter og utfyl-lende bestemmelser om personellsikkerhet. I før-ste ledd gis Kongen myndighet til å gi forskrift omopprettelse av et sentralt register for klareringsav-gjørelser. I medhold av bestemmelsens andreledd gis Nasjonal sikkerhetsmyndighet myndig-het til å fastsette nærmere bestemmelser om per-sonellsikkerhet, herunder sikkerhetsklarering avbestemte kategorier personell, om arkivering,oppbevaring og forsendelse av dokumenter, samtom avholdelse av sikkerhetssamtaler.

10.3 Sektorregelverk

I sektorlovgivningen er det svært få eksempler påkrav til klarering, vandelsdokumentasjon ellerskikkethetsvurderinger for de som jobber medsikring av objekter og anlegg. Kravene til de somskal jobbe med sikkerhet er i de fleste tilfellerbegrenset til krav om kunnskaper og ferdigheter,og i noen grad krav til helse.32

De eksemplene man kan finne er på samferd-selsområdet.

10.3.1 Luftfartsloven

Personkontroll for personell i luftfarten reguleresi forskrift om sikkerhet i luftfarten.

Ansvarshavende for sikkerhet, deltakere i sik-kerhetsutvalg og personell som er teknisk ansvar-lig for sikkerhetsutstyr må inneha gyldig sikker-

30 Ibid.31 Ibid.

32 Herbjørn Andresen, Kartlegging av sektorlovgivning somregulerer virksomheters tiltak mot tilsiktede hendelser, Høg-skolen i Oslo og Akershus, elektronisk vedlegg 1, 17.


hetsklarering etter sikkerhetsloven kapittel 6, jf.forskriften § 13 første ledd bokstav a. I tillegg månevnte personell bestå bakgrunnssjekk for id-korttil lufthavn, jf. bestemmelsens bokstav c.

For personell som skal ha tilgang til sikker-hetsbegrensede områder ved norske lufthavner,er det et krav om at disse underlegges en bak-grunnssjekk. Formålet med slik bakgrunnssjekker å hindre at personer som kan representere enrisiko for sikkerheten i luftfarten gis adgang tillandingsplasser og luftfartsanlegg, eller godkjen-nes for sentrale posisjoner i luftfarten for øvrig.Bestemmelsene om bakgrunnssjekk skal ogsåbidra til å sikre allmennhetens tillit til sivil luftfart,jf. forskriften § 37.

Luftfartstilsynet foretar bakgrunnssjekk, jf.forskriften § 38 første ledd. Den gjelder for perso-nellgrupper som:

– skal ha id-kort som gir adgang til norsk luft-havn,

– skal ha id-kort fra norsk flyselskap,– er utpekt som sikkerhetsgodkjent fraktleveran-

dør som er ansvarlig for stedlig gjennomføringav sikkerhetsprogrammet,

– er utpekt av en kjent avsender for flyfrakt somstedlig ansvarlig for håndhevelse og kontrollmed gjennomføringen av sikkerhetskontrol-len,

– skal være instruktør,– skal være fraktkontrollant.

Bestemmelsene om bakgrunnssjekk er basert påKommisjonsforordning (EU) nr. 185/2010, somfastsetter de detaljerte bestemmelsene for gjen-nomføring av felles grunnleggende securitystan-darder for sivil luftfart i EØS-området. Forordnin-gens punkt 11.1.3 fastsetter hva en bakgrunns-sjekk skal inneholde. En bakgrunnssjekk skal:

– fastslå personens identitet på grunnlag avdokumentasjon,

– omfatte strafferegistre i alle bostedsstater desiste fem år,

– omfatte en oversikt over arbeid, utdanning ogoppholdssted de siste fem år.

Krav til dokumentasjon av identitet, samt utdan-nelse og ansettelsesforhold fremgår av forskriften§ 39. Søker må fremlegge kopi av gyldig legitima-sjon utstedt av offentlig myndighet hvor fødsels-nummer og bilde fremgår. Videre må søker opp-lyse om utdannelse og ansettelsesforhold de sistefem år. Hvis det foreligger udokumenterte perio-der på mer enn 28 dager, kan dette etter en hel-

hetsvurdering medføre at søker får avslag på søk-naden. Dersom de fremlagte opplysningene girgrunn til å anta at søker kan representere enrisiko for sikkerheten i luftfarten, skal søknadenavslås.

Etter forskriften § 40 stilles det krav om at detforetas en vandelskontroll på grunnlag av enuttømmende politiattest. Det er kun politiattestersom er utstedt i Norge eller i et annet EØS-landsom kan godtas, og attesten skal ikke være eldreenn 90 dager.

Dersom søker innehar gyldig sikkerhetsklare-ring etter sikkerhetsloven, skal denne anses for åoppfylle krav til vandel etter forskriften. Id-kortskal imidlertid ikke utstedes med lengre gyldig-het enn sikkerhetsklareringens varighet. Ny van-delskontroll skal gjennomføres minst hvert femteår.

Forskriften gir i §§ 42-51 detaljerte bestem-melser om gjennomføringen av bakgrunnssjekk,herunder hvilke strafferettslige reaksjoner somskal medføre avslag, karantenetid ved rettskraf-tige avgjørelser et cetera.

10.3.2 Skipssikkerhetsloven med forskrifter

For å hindre eller beskytte fartøyet mot terror-handlinger og piratvirksomhet, kan væpnet vakt-hold tas i bruk etter en risikovurdering og etterkonsultasjon med skipsføreren, jf. sikkerhetsfor-skriften § 20 første ledd.33 Sikkerhetsforskriftener fastsatt med hjemmel i skipssikkerhetsloven.34

Sikkerhetsforskriften stiller i § 20 annet leddbokstav b nr. 4 krav til personkontroll av en særliggruppe personell. Væpnede vakter må ha fylt 18år, kunne identifisere seg samt fremlegge vandel-sattest av nyere dato. Dersom vandelsattest ikkeer mulig å fremskaffe burde annen lignendebekreftelse eller referanse innhentes.

10.3.3 Jernbaneloven

Jernbaneloven fastsetter i § 3 d nærmere krav tilpersonell med oppgaver knyttet til sikkerhetenved jernbane, samt behandling av opplysninger.35

Etter bestemmelsens første ledd første punk-tum må «fører av rullende materiell og annet per-

33 Forskrift 22. juni 2004 nr. 972 om sikkerhet, pirat- og terror-beredskapstiltak og bruk av maktmidler om bord på skipog flyttbare boreinnretninger (sikkerhetsforskriften).

34 Lov 16. februar 2007 nr. 9 om skipssikkerhet (skipssikker-hetsloven).

35 Lov 11. juni 1993 nr. 100 om anlegg og drift av jernbane,herunder sporvei, tunnelbane og forstadsbane m.m. (jern-baneloven).


sonell som skal utføre oppgaver knyttet til sikker-heten ved jernbane […] oppfylle de vilkår som til-synsmyndigheten fastsetter om kvalifikasjoner,alder, helse, fysisk og psykisk skikkethet, vandel,edruskap, utdanning, opplæring og trening m.m.»

Kravene til kvalifikasjoner, helse, edruskap ogopplæring er omfattende og detaljerte i underlig-gende forskrifter. Det er imidlertid ikke gitt nær-mere regler som spesifiserer om, og i så fall ihvilke tilfeller, personkontroll, herunder eventuellvandelskontroll, skal gjennomføres.

10.4 Fremmed rett

10.4.1 NATO

Bestemmelser om beskyttelse av NATO sikker-hetsgradert informasjon er gitt i NATO SecurityPolicy (Council Memorandum, C-M(2002)49),som sammen med flere understøttende direktiverer bindende for Norge og de andre medlemslan-dene.

I C-M(2002)49 Enclosure B punkt 11-13 frem-går det at personer kan gis varig tilgang til gradertinformasjon etter en vurdering av en persons loja-litet og i hvilken grad man kan stole på vedkom-mende. For behandling av informasjon som ergradert RESTRICTED er det ikke nødvendig medsikkerhetsklarering, men det skal gis informasjonom hvilket ansvar som tilligger den enkelte. Forøvrig vises det til Enclosure C.

Det følger av Enclosure C, punkt 3, at perso-nell som skal ha tilgang til NATO-informasjon sik-kerhetsgradert NATO CONFIDENTIAL ellerhøyere, på forhånd er sikkerhetsklarert for detaktuelle nivå. Det skal foreligge en standard for ihvilken grad man kan stole på personer som skalfå tilgang til gradert informasjon, jf. punkt 1. Deter ikke krav til sikkerhetsklarering for NATORESTRICTED og dermed heller ikke bakgrunns-sjekk, jf. punkt 4. Imidlertid er det krav om at kunde som har tjenstlig behov for informasjonen, gistilgang, jf. punkt 6. Dette gjelder uavhengig av enpersons stilling eller rang. Videre er det krav omat alle orienteres om sikkerhetsprosedyrer oghvilket ansvar de har for å beskytte den graderteinformasjonen. Nærmere om hvem som har myn-dighet til å autorisere er ikke regulert i verkenEnclosure C eller det tilhørende Directive on Per-sonnel security (AC/35-D/2000-REV7).

10.4.2 Sverige

I Sverige skal det etter säkerhetsskyddslagen 11§ gjøres en säkerhetsprövning av personer som

deltar i virksomhet som er av betydning for riketssikkerhet eller som får tilgang til opplysningersom er viktige for beskyttelsen mot terrorisme.

Det tilligger den enkelte virksomhet somanmoder om personkontroll å fatte avgjørelse omen person skal sikkerhetsklareres. Den enkeltevirksomhet skal gjennom en analyse kartleggehvilke ansettelser som medfører behov for plasse-ring i en säkerhetsklass. Ansvaret for sikkerhets-prøvningen tilligger som hovedregel den virksom-heten som ansetter personen.

Sikkerhetsprøvning forutsetter ikke plasse-ring i säkerhetsklass etter 17 § i säkerhetsskyddsla-gen. Registerkontroll og særskilt personutred-ning er imidlertid forbeholdt situasjoner der deter tale om en ansettelse eller annen deltakelsesom skal plasseres i en sikkerhetsklasse. I tilleggskal det gjennomføres registerkontroll som ledd isikkerhetsprøvningen for virksomheter som haret særlig beskyttelsesbehov mot terrorhandlinger.

Personer som skal sikkerhetsprøves skal påforhånd samtykke i at registerkontroll og særskiltpersonutredning foretas, jf. 19 §. Et slikt samtykkeskal også anses for å gjelde fornyede kontroller ogutredninger så lenge som den kontrollerte skalinneha den aktuelle stillingen.

Etter 7 § 3 skal den enkeltes pålitelighet vurde-res ut fra et sikkerhetsmessig perspektiv. I med-hold av loven 11 § skal prøvningen klarlegge ompersonen antas å være lojal mot de interessene

Boks 10.7 Säkerhetsskyddslagen 17 §

En anställning eller ett annat sådant delta-gande i verksamhet som avses i 13 § förstastycket skall placeras i säkerhetsklass, om denanställde eller den som annars deltar i verk-samheten1. i stor omfattning får del av uppgifter som

omfattas av sekretess och är av synnerligbetydelse för rikets säkerhet (säkerhets-klass 1),

2. i en omfattning som inte är obetydlig får delav sådana uppgifter som avses i 1 (säker-hetsklass 2), eller

3. i övrigt får del av uppgifter som omfattas avsekretess och som är av betydelse förrikets säkerhet, om ett röjande av uppgif-terna kan antas medföra men för riketssäkerhet som inte endast är ringa (säker-hetsklass 3).


som skal beskyttes, og for øvrig pålitelig ut fra etsikkerhetsmessig perspektiv.

Registerkontroll innebærer at opplysninger fraen rekke nærmere angitte registre innhentes etterforutgående samtykke fra den som skal sikker-hetsprøves. Kun opplysninger som er relevantefor vurderingen av den enkeltes pålitelighet, ut fraet sikkerhetsmessig perspektiv, kan utleveres.Bedømmingen av hvilke opplysninger som harslik relevans gjøres av Säkerhets- og integritets-skyddsnämnden. Som hovedregel skal den det gjel-der få anledning til å uttale seg om opplysningersom fremkommer, før disse utleveres for sikker-hetsprøvning. Dette med unntak av opplysningersom er taushetsbelagte overfor den det gjelder.

En sikkerhetsklassifisert stilling i stat, kom-mune eller landsting kan, med visse unntak, bareinnehas av personer med svensk statsborgerskap,jf. 29 §. Regjeringen kan i særlige tilfeller gjøreunntak fra kravet om svensk statsborgerskap.

I forslaget til ny sikkerhetslov foreslås detblant annet en tilpassing av sikkerhetsklassifise-ring av stillinger, slik at denne tilsvarer klassifise-ringen av sikkerhetsgradert informasjon.36

I tillegg foreslås en bestemmelse om at sikker-hetsprøvning skal følges opp i den tiden vedkom-mende deltar i säkerhetskänslig virksomhet. For-slaget er ment å tydeliggjøre at sikkerhetsprøv-ning er en kontinuerlig prosess, som pågår heltfrem til en avsluttende samtale i forbindelse medfratreden fra stillingen.37 Som en forlengelse avdette, foreslås det også en tydeliggjøring av at detskal skje en løpende registerkontroll opp mot rele-vante registre så lenge vedkommende deltar isäkerhetskänslig virksomhet.38

10.4.3 Danmark

Personkontroll reguleres i Danmark av Sikker-hedscirkulæret.39

Det følger av Sikkerhedscirkulæret § 12 at sik-kerhetsgradert informasjon kun må gis til perso-nell som er sikkerhetsgodkjent for den aktuelle sik-kerhetsgrad. Dette kravet gjelder på alle grade-ringsnivåer.

Enhver offentlig myndighet er klareringsmyn-dighet for eget personell og for ansatte i private

selskaper som arbeider for den offentlige myndig-heten. Sikkerhetsgodkjenningen er avgrenset tilden konkrete stilling, og har kun gyldighet forden sikkerhetsgodkjente persons arbeid hos denaktuelle myndighet, jf. cirkulæret § 13 første ledd.Sikkerhetsgodkjenning skal kun gis til personersom gjennom sitt arbeid skal ha tilgang til sikker-hetsgradert informasjon eller der det er nødven-dig med hensyn til de funksjoner vedkommendeskal ivareta, jf. § 15 første ledd.

Politets Efterretningstjeneste (PET) gjennomfø-rer en sikkerhetsundersøkelse av den enkelte,som grunnlag for myndighetenes sikkerhetsgod-kjennelse for egne ansatte, jf. § 13 tredje ledd.PET følger seks spor i sine undersøkelser:40

– Personlig informasjon (tilgjengelige offentligeregistre)

– Kriminelt (politiets registre)– Sikkerhet (PETs interne register)– Sosialt (åpne kilder, sosiale medier etc)– Økonomisk (skatteopplysninger, kredittregis-

ter etc)– Kompetanse (henvendelse til tidligere arbeids-

givere)

Hvilke registre og kilder PET sjekker opp motavhenger av hvilket klareringsnivå det bes om.Ettersom PET har direkte tilgang til en rekke avde relevante registrene, er saksbehandlingstidenpå sikkerhetsklareringer vesentlig kortere enn iNorge.

Avgjørelse om sikkerhetsgodkjennelse skaltreffes på grunnlag av en konkret vurderingbasert på alle foreliggende opplysninger om per-sonen og dens nærstående, jf. § 14. Det skal idenne vurderingen særlig legges vekt på perso-nens lojalitet og pålitelighet i forbindelse medhåndtering av sikkerhetsgradert informasjon.Nektelse av sikkerhetsgodkjennelse kan påklagestil Justisministeriet.41

Offentlige myndigheter plikter å ha en ajour-ført liste over medarbeidere som innehar gyldigsikkerhetsgodkjennelse, herunder opplysningerom klassifikasjonsgrad, utstedelsesdato og gyldig-hetstid, jf. § 15 andre ledd. Tilgang til sikkerhets-gradert informasjon skal baseres på need-to-know-prinsippet, og den enkelte plikter å sikre at uved-kommende ikke får tilgang til slik informasjon, jf.§ 16.

Etter sikkerhetsgodkjennelse gjør PET fortlø-pende kontroller opp mot politiets straffesaksre-

36 SOU 2015:25, 539–540. 37 Ibid., 537–538.38 Ibid., 541–542.39 Cirkulære om sikkerhedsbeskyttelse af informationer af

fælles interesse for landende i NATO eller EU, andre klas-sificerede informationer samt informationer af sikkerhets-mæssig beskyttelsesinteresse i øvrigt (Sikkerhedscirkulæ-ret) (CIS nr 10338 af 17/12/2014).

40 Informasjon fra utvalgets studiebesøk i Danmark. 41 Ibid.


gistre og egne sikkerhetsregistre. Videre har denenkelte plikt til å opplyse om forhold av betydningfor sikkerhetsgodkjennelsen.42

10.4.4 Storbritannia

10.4.4.1 Personkontroll

I Storbritannia er det fire forskjellige nivåer forpersonkontroll, avhengig av den enkeltes behovfor tilgang til informasjon og/eller lokaliteter.43

Formålet med personkontrollen er dels å fåbekreftet den aktuelle personens identitet, og delså gi tilstrekkelig grad av sikkerhet for personenssikkerhetsmessige tillit, integritet og pålitelighet.

Det laveste nivået for personkontroll er Base-line Personell Security Standard (PBSS). PBSSomfatter alle statsansatte, herunder midlertidigansatte og innleid personell. Dette er ikke en sik-kerhetsklarering, men en kontroll som omfatteridentitetsbekreftelse, statsborgerskap og imigra-sjonsstatus, arbeidshistorikk de siste tre år, samten kontroll av strafferegisteret opp mot ferdigso-nede straffer. I tillegg må det redegjøres for even-tuelle utenlandsopphold på totalt mer enn seksmåneder siste tre år.

I tillegg til PBSS finnes det tre nivåer for sik-kerhetsklarering. Det laveste nivået er CounterTerrorist Check (CTC). CTC omfatter personellsom enten har tilgang til personer som vurderessærlig utsatt for terrorhandlinger, personell somgis tilgang til informasjon eller materiell av verdifor terrorister, eller personell som gis ueskorterttilgang til visse militære, sivile, industrielle ellerkommersielle områder som vurderes å ha en for-høyet risiko for terrorhandlinger. En forutsetningfor CTC-klarering er at vedkommende har værtgjennom PBSS. Vedkommende må videre fylle uten detaljert personopplysningsblankett. I tilleggblir det gjort en kontroll opp mot arbeidsgiversregistre, strafferegistre for både oppgjorte ogikke-oppgjorte straffbare forhold, samt kontroll avMI5s registre. Dersom det er uavklarte sikkerhet-smessige forhold knyttet til den enkelte, eller hvissikkerhetstjenesten anbefaler det, kan det ogsågjennomføres sikkerhetssamtale før avgjørelsefattes. Kontroll av tredjepersoner nevnt i person-opplysningsblanketten kan også gjennomføres.

Det skal gjennomføres en Security Check (SC)for personell som skal ha, eller gjennom sittarbeid kan få, tilgang til sikkerhetsgradert infor-

masjon eller andre verdier (assets) på nivå UKSECRET eller høyere, eller en internasjonal orga-nisasjon eller fremmed stats informasjon gradertKONFIDENSIELT eller høyere. I tillegg til de for-hold som kontrolleres under CTC, skal den enkel-tes kreditt- og finansielle forhold kontrolleres oppmot kredittopplysningsregistre. Også for dettenivået kan kontrollen omfatte tredjepersoner.

Det øverste klareringsnivået – Developed Vet-ting (DV) – omfatter personell som skal ha tilgangtil sikkerhetsgradert informasjon eller andre ver-dier (assets) på nivå UK TOP SECRET, eller infor-masjon med tilsvarende gradering fra en interna-sjonal organisasjon eller fremmed stat. For DVskal den enkelte, i tillegg til ordinær personopp-lysningsblankett, fylle ut et eget tilleggskjemasamt et skjema med økonomisk relaterte spørs-mål. I tillegg til de undersøkelser som gjøres forSC, skal det gjennomføres en full revisjon av denenkeltes personlige økonomi, et detaljert intervjumed Investigating Officer, samt ytterligere under-søkelser og samtaler med oppgitte referanser.Kontrollen for DV omfatter også tredjepersoner.

10.4.4.2 Beslutningsgrunnlag og prosedyrer

Sikkerhetsklarering kan gjennomføres ved rekrut-tering til en stilling som krever slik klarering, ellerfor allerede ansatt personell som får endredearbeidsoppgaver som forutsetter klarering. Ingener pålagt å underlegge seg en klareringsprosess,men for enkelte typer stillinger vil en gyldig sik-kerhetsklarering være en forutsetning.

Beslutninger om sikkerhetsklarering vil alltidbli tatt av et departement eller av politiet. Detoverordnede formålet med personkontrollen er åfå en forsikring om at den aktuelle personen erskikket til å sikkerhetsklareres, og at vedkom-mende ikke utgjør en sikkerhetsrisiko, herunderat det er lite sannsynlig at vedkommende vilkunne komme til å misbruke sin tilgang, gi etterfor press eller på annen måte bli fristet til å kom-promittere sikkerhetsgradert informasjon.

Avgjørelse om klarering skal baseres på enhelhetlig vurdering av all informasjon som inn-hentes gjennom personkontrollen, både positiveog negative forhold. Alle disse faktorene skal såvurderes opp mot sikkerhetsmessige krav til denaktuelle stillingen for å påse at vedkommende ersikkerhetsmessig skikket for det aktuelle klare-ringsnivået. Ved vurderingen av den sikkerhets-messige betydningen av forhold som avdekkesgjennom personkontrollen, er det forbudt å la per-sonlig eller kulturell forutinntatthet påvirke vurde-ringen.

42 Ibid. 43 Cabinet Office, HMG Personnel Security Controls, version

2.0 – April 2014.


Dersom klarering nektes eller tilbakekalles forallerede ansatt personell, plikter klareringsmyn-digheten å informere om avgjørelsen. Vedkom-mende har også krav på begrunnelse for avgjørel-sen, med mindre hensynet til nasjonal sikkerhettilsier at slik begrunnelse ikke kan gis. Vedkom-mende skal også informeres om klagemulighe-tene.

For personer som er en del av en rekrutte-ringsprosess, er det ikke noen plikt til å begrunnehvorfor vedkommende ikke får jobben. Dersomdenne avgjørelsen skyldes sikkerhetsmessige for-hold, bør vedkommende imidlertid bli informertom dette med mindre hensynet til nasjonal sikker-het tilsier at slik informasjon ikke kan gis.

10.4.4.3 Personhistorikk

For å ha et grunnlag for å kunne gjennomføre entilfredsstillende personkontroll, er det krav om atden aktuelle personen har hatt bosted i UK overen tilstrekkelig lang tidsperiode. Avhengig av hvil-ket klareringsnivå det søkes om vil det være kravom 3 – 10 års personhistorikk. Manglende person-historikk er ikke nødvendigvis i seg selv et hinderfor sikkerhetsklarering. Avgjørelsen skal tas påbakgrunn av den informasjonen som er tilgjenge-lig på det aktuelle tidspunktet.

10.4.4.4 Klageadgang

Nektelse eller tilbakekalling av sikkerhetsklare-ring for allerede ansatt personell kan i førsteomgang påklages til et internt klageorgan. Detinterne klageorganet, som består av personellsom ikke tidligere har hatt befatning med saken,har myndighet til å overprøve den opprinneligebeslutningen.

Dersom den interne klagerunden ikke førerfrem, vil vedkommende ha muligheten til åpåklage avgjørelsen til et eksternt klageorgan –the Security Vetting Appeals Panel. Det eksterneklageorganet kan behandle klager fra personellsom er ansatt i den aktuelle myndigheten ellerandre underlagte organisasjoner, samt personellsom er ansatt hos en leverandør til disse. Deteksterne klageorganet behandler ikke klagerknyttet til avslag på sikkerhetsklareringer irekrutteringsprosessen, det vil si før vedkom-mende er ansatt.

Både ansatt personell, og personer i rekrutte-ringsfasen, kan ta saken inn for arbeidsretten der-som de mener seg utsatt for ulovlig diskrimine-ring.

10.4.4.5 Informasjonsdeling

Informasjon som innhentes som ledd i personkon-troll skal oppbevares sikkert og ikke lengre ennnødvendig. Som grunnlag for innhenting av regis-teropplysninger i klareringssaker, kan relevantinformasjon deles med aktører som forestår inn-henting, eksempelvis sikkerhetstjenestene ogkommersielle tilbydere av kredittsjekk.

Etater som forestår sikkerhetsklarering kanoppbevare resultatene fra personkontrollen forpersonell som har blitt sikkerhetsklarert, samtpersonell som har fått avslag på klarering eller fåttdenne inndratt. Dersom vedkommende skifterarbeidsgiver kan slike opplysninger deles med nyarbeidsgiver, forutsatt at det foreligger krav omsikkerhetsklarering for den nye stillingen.

Resultatene fra personkontrollen kan ogsåbenyttes i den videre sikkerhetsmessige oppføl-gingen av den enkelte, for eksempel i forbindelsemed fornyelse av sikkerhetsklarering eller i for-bindelse med periodisk sjekk opp mot registre.

10.4.4.6 Jevnlig og periodisk kontroll

Gyldige sikkerhetsklareringer gjennomgås medjevne mellomrom for å sikre at eventuelleendringer av forutsetningene for klareringene fan-ges opp. Dette innebærer både at sikkerhetskla-rert personell med jevne mellomrom bes om åfylle ut en oppdatert personopplysningsblankett,og at informasjonen som klareringsmyndighetener i besittelse av blir sjekket opp mot oppdaterteregistre. En slik gjennomgang kan også gjennom-føres dersom det innrapporteres endringer i forut-setningene, eller slike endringer blir kjent for kla-reringsmyndigheten på annen måte.

10.5 Utvalgte tema

10.5.1 Innledning

Personellsikkerhet er det fagområdet innenforsikkerhetsloven det knytter seg mest praksis til.På årlig basis sikkerhetsklareres og reklareres ioverkant av 30 000 personer for stillinger som kre-ver tilgang til sikkerhetsgradert informasjon. I til-legg er det en rekke klagesaker knyttet til perso-ner som får avslag på anmodningen om sikker-hetsklarering, eller blir klarert for et lavere nivåenn det er søkt om.

Denne omfattende praksisen gjør også atmange av de virksomhetene som er underlagtloven, har oppfatninger om hvordan regelverket


fungerer i praksis og hvilke forhold det knytterseg størst utfordringer til.

Utvalget har gjennom sitt arbeid fått tilbake-meldinger om spesielt viktige forhold fra en rekkesentrale aktører, både i form av skriftlige innspillog gjennom møter utvalget har hatt. Noen av deforholdene som har blitt påpekt overfor utvalgeter knyttet til hvordan regelverket praktiseres idag, i større grad enn hvordan regelverket erutformet. Noen forhold er imidlertid av mer lov-givningsmessig art.

10.5.2 Utenlandsk statsborgerskap og tilknytning til andre nasjoner

Norge har de senere år endret seg på det demo-grafiske området. Migrasjonsmønstrene endres,og samfunn som frem til nylig ble sett på som rela-tivt homogene, fremstår i stadig større grad sommangfoldige, og ofte med familiebånd og/ellerutdanningsløp på tvers av landegrenser. Integre-ring er både et samfunnspolitisk mål og et virke-middel. Større mangfold i forvaltningen er også etuttalt politisk ønske.

I dag har både forvaltningen og privat virk-somhet nye muligheter for rekruttering av perso-ner med verdifull kompetanse om andre land, kul-turer og språk. Ikke minst er dette viktig for uten-rikstjenesten, hvis oppgaveløsning og analyse for-utsetter kultur- og samfunnsforståelse, geopolitiskkompetanse og språkkunnskaper, som ofte opp-nås gjennom tjenestegjøring eller studier i andreland.

Tradisjonelle norske næringer og virksomhe-ter får utenlandske eiere, relokaliseres og endrersammensetningen av personell, uavhengig av omvirksomhetens hovedkontor er plassert i Norge.For blant annet den norske utenrikstjenesten erdet av vesentlig betydning både å kunne represen-tere bredden av mangfoldet i Norge og å kunnenyttiggjøre seg den unike kompetansen dennetype personell har fra samfunn og kulturer, særligde som i stor grad skiller seg fra det vi har i Norgei dag.

Disse trendene medfører at nye personell-grupper har behov for tilgang til sensitiv, og ienkelte tilfeller sikkerhetsgradert, informasjonbåde innenfor privat og offentlig sektor. Statistikkfra Nasjonal sikkerhetsmyndighet for perioden2010–2012 viser at det behandles årlig ca. 2400–3200 saker hvor hoved- eller biperson har, ellerhar hatt, et utenlandsk statsborgerskap. Detteinkluderer også doble statsborgerskap.

Samtidig kan denne utviklingen også skapenoen nye sikkerhetsmessige sårbarheter. Lojali-

tets- og tilknytningsforholdene hos ansatte blirstadig mer komplekse, noe som vanskeliggjør devurderingene som klareringsmyndighetene mågjøre i klareringssaker hvor vedkommende er avutenlandsk opprinnelse eller på annen måte hartilknytning til en annen stat. Den økende grad avinternasjonalisering fører også til at konflikter iandre deler av verden potensielt også kan få storekonsekvenser nasjonalt, for eksempel gjennomradikalisering og fremmedkrigere, og en økt ter-rortrussel.44

I PSTs trusselvurdering for 2016, er PSTs vur-dering at utenlandske etterretningstjenester vilfortsette sitt arbeid i og mot Norge. Deres mål erå få tilgang til sensitiv og skjermingsverdig infor-masjon, påvirke politiske, økonomiske og forvalt-ningsmessige beslutninger og undersøke mulig-heter for å kunne sabotere kritisk infrastrukturved en eventuell fremtidig konflikt. Stadig flereborgere med opprinnelse fra stater som Norgeikke har et sikkerhetsmessig samarbeid med,arbeider i dag innenfor sektorer med tilgang tilsensitiv og skjermingsverdig informasjon, foreksempel nasjonale datasystemer. PST opplyser atde har flere rapporteringer på at slike borgere blirutsatt for trusler og press om å inngå et samarbeidmed hjemlandets sikkerhets- og etterretningstje-nester. I den grad fremmede etterretningstje-nester oppnår et slik samarbeid med personer påinnsiden, vurderes dette å være en svært effektivetterretningsmetode med et stort skadepotensialfor Norge.45

10.5.3 Mangelfull personhistorikk

Enkelte personellkategorier, særlig i utenrikstje-nesten og Forsvaret, har en tjeneste som inne-bærer kortere eller lengre stasjonering utenlands.Mange utenriksstasjoner, som ofte er store stasjo-ner med bistandsporteføljer, er lokalisert i landNorge ikke har et sikkerhetsmessig samarbeidmed.

I lys av tjenestens natur og at mange ansattehar langvarige opphold i utlandet, er det et betyde-lig antall ansatte i norsk utenrikstjeneste som haren utenlandsk ektefelle. Utenriksdepartementetanslår at opp mot 30 % av deres personell har enektefelle eller partner som enten har eller har hattutenlandsk statsborgerskap.

I henhold til loven § 20 første ledd bokstav j, ermanglende mulighet for å gjennomføre en tilfreds-stillende personkontroll et forhold som kan tilleg-

44 NSM, Sikkerhetsfaglig råd, 2015, 13. 45 PST, Trusselvurdering, 2016.


ges betydning ved vurderingen av den enkeltessikkerhetsmessige skikkethet. For personell someksempelvis har tjenestegjort ved en utenrikssta-sjon i et land Norge ikke har sikkerhetsmessigsamarbeid med, vil klareringsmyndigheten ikkekunne innhente opplysninger fra samarbeidendetjeneste i dette landet. Også for medfølgende tilutsendt personell kan kravet til observasjonstid/personhistorikk skape utfordringer dersom ved-kommende har, eller skal søke om, sikkerhetskla-rering.

I personellsikkerhetsforskriften § 3-6 er detslått fast som hovedregel at sikkerhetsmessigrelevant informasjon for de siste 10 år om perso-ner som inngår i personkontrollen må være til-gjengelig for å kunne gjennomføre en tilfredsstil-lende kontroll. Etter bestemmelsens andre leddkan imidlertid sikkerhetsklarering gis etter enindividuell helhetsvurdering, selv om kravet tilobservasjonstid ikke er oppfylt. Klareringsmyn-digheten skal i denne vurderingen legge vekt påom mangel på observasjonstid skyldes kortvarigeavbrudd, tjeneste for den norske stat eller huma-nitære organisasjoner, lav alder eller forhold avliten betydning for sikkerhetsmessig skikkethet.Kravet til personhistorikk er ytterligere utdypet isikkerhetsgraderte rundskriv utgitt av NSM.

10.5.4 Tverrsektoriell hjemmel for bakgrunnskontroll

Det er i dag ulike ordninger for bakgrunnskon-troll av personell som innehar, eller skal inneha til-gang til informasjon og/eller områder av sensitivkarakter. Som redegjort for under kapittel 10.3,synes regelverk i de ulike sektorene i liten grad ågi hjemmel for å gjennomføre slik kontroll.

Forsvarets forskningsinstitutt (FFI) skriver isin utredning til utvalget at:

Utro tjenere på innsiden av barrierer kanpåføre anlegget, øvrig personell og nasjonenstore utfordringer ved tradisjonelle terror-handlinger, eksempelvis bruk av eksplosiver.Samfunnskonsekvensen av en slik terrorhand-ling kan være meget stor, ikke minst økono-misk. Personell med tilgang til fysiske ellerelektroniske komponenter innen kritisk infra-struktur bør derfor klareres for tilgang. Vedhendelser eller trussel om hendelser, vil dennasjonale sikkerhetsmyndigheten ha behov fornært samarbeid med berørt bransje, hvilketofte involverer graderte opplysninger. Man-glende sikkerhetsklarering vil hemme ellerhindre et slikt samarbeid.

Rutiner og ordninger for klarering av perso-nell tilknyttet kritisk infrastruktur bør gjen-nomgås. Det er viktig å påpeke at dette ikke måpåføre tilsynsmyndigheter og selskaper enuhensiktsmessig belastning. Det anbefales atet tverrsektorielt organ gjennomfører person-klarering etter anmodning fra departemen-tene, og at denne klareringen ikke bør væremer omfattende enn det den enkeltes stil-lingskategori krever.46

FFI anbefaler på denne bakgrunn at:

Det bør pålegges bakgrunnssjekk av personellsom er ansatt, eller har tilgang til objekter og/eller systemer knyttet til kritiske samfunns-funksjoner. […] Klareringen bør gjennomføresetter samme kriterier for alle sektorer, og utfø-res av sentral klareringsmyndighet. Klareringbør skje for to hovedkategorier personell i) per-sonell med tilgang til sikkerhetsgradert ellersensitiv informasjon (sikkerhetsklarering), ogii) personell med adgang til anleggene, menuten behov for tilgang til sensitiv informasjon(adgangsklarering).47

I følge NSMs sikkerhetsfaglige råd benyttes sik-kerhetsklareringsinstituttet etter sikkerhetsloven,i mangel på andre muligheter til å få gjennomførten tilfredsstillende bakgrunnskontroll, også over-for personell som verken skal ha, eller vil kunnefå, tilgang til sikkerhetsgradert informasjon ellerskjermingsverdige objekter. Dette kan igjen føretil lengre saksbehandlingstid for personell sominnehar arbeidsoppgaver hvor sikkerhetsklare-ring er et absolutt krav. I tillegg medfører dette atpersonell blir utsatt for et større inngrep, enn hvasom er strengt nødvendig.

NSM har på denne bakgrunn anbefalt at detutredes en ny tverrsektoriell hjemmel og ordningfor bakgrunnskontroll av personell med sikte på åivareta legitime behov som vandelsattest ikke dek-ker eller alene er utilstrekkelig for.48

Justis- og beredskapsdepartementet har i sam-arbeid med Samferdselsdepartementet sett nær-mere på behovet for å bedre kontroll av de perso-ner som får tilgang til sikkerhetsbegrensedeområder på flyplasser.

46 Forsvarets forskningsinstitutt, Vurdering av forebyggendesikkerhet innen kraft, petroleum og luftfart, FFI-rapport00702 (Kjeller: Forsvarets forskningsinstitutt 2016), elek-tronisk vedlegg nr. 3, 59.

47 Ibid. 48 NSM, Sikkerhetsfaglig råd, 2015, tiltak 55.


Justis- og beredskapsdepartementet har bedtutvalget vurdere hvorvidt det er behov for bedrekontroll av personer som skal ha tilgang til sper-rede områder innenfor kritisk infrastruktur og kri-tiske samfunnsfunksjoner. Dette for å sikre at per-sonene ikke utgjør en sikkerhetsrisiko. Departe-mentet viser i sitt innspill til at de er kjent med atdet i Storbritannia gjennomføres en såkalt CounterTerrorist Check for personer som skal ha tilgang tilområder eller objekter som er risikoutsatt i terror-sammenheng. En tilsvarende ordning vil ifølgedepartementet kunne dekke behovet for en bedreog mer målrettet kontroll, med tilgang til et bre-dere informasjonsgrunnlag. Det vil også kunnesikre en løpende kontroll, og muligheten til å fratatilgang dersom det oppstår grunn til bekymring igodkjenningsperioden.

Forsvarsdepartementet har også i et skriftliginnspill bedt utvalget om å vurdere hensiktsmes-sigheten av og behovet for en forenklet sikkerhet-serklæring, jf. henvendelsen fra Justis- og bered-skapsdepartementet om Counter TerroristCheck.49

10.5.5 Digitalisert overføring av registeropplysninger

Innhenting av informasjon om personell som skalsikkerhetsklareres skjer i dag fra mange ulikeregistre. Sikkerhetsloven § 20 femte ledd førstepunktum gir Kongen myndighet til å fastsettehvilke registre som er relevante for personkon-troll. Med hjemmel i denne bestemmelsen er det ipersonellsikkerhetsforskriften § 3-4 første leddfastsatt hvilke registre NSM kan kreve å få utle-vert opplysninger fra.

Det følger videre av forskriften § 3-4 fjerdeledd at registereier plikter å utlevere opplysnin-gene uten unødig opphold, og at NSM kan avtalemed den enkelte registereier hvordan utleveringskal skje.

Det er i praksis stor variasjon med tanke påhvordan den enkelte registereier har innrettet segfor å kunne utlevere informasjon til NSM i person-kontrolløyemed. Prosessene er til dels manuelleog tidkrevende, noe som også får betydning forsaksbehandlingstiden for klareringssaker gene-relt.

Lang saksbehandlingstid kan ha mange nega-tive konsekvenser. Personell som ikke kan benyt-tes av arbeids- og oppdragsgivere grunnet man-glende sikkerhetsklarering, kan utgjøre en økono-misk kostnad ved at den enkelte virksomhet i

49 E-post fra Forsvarsdepartementet til utvalget, «Henven-delse fra FD til sikkerhetsutvalget», 23.05.2016.

Boks 10.8 Personkontroll i luftfartssektoren

I februar 2014 nedsatte Justis- og beredskaps-departementet og Samferdselsdepartementeten arbeidsgruppe bestående av de to departe-mentene, Politidirektoratet (POD), Politiets sik-kerhetstjeneste (PST), Nasjonal sikkerhetsmyn-dighet (NSM) og Luftfartstilsynet, for å se nær-mere på behovet for å utvide bakgrunnssjekkenav enkelte grupper personell.

Arbeidsgruppen anbefalte at flere elementerburde inngå i bakgrunnssjekken, inkludert ensjekk opp mot PSTs registre. Arbeidsgruppenanbefalte også at man burde kunne undersøke,og legge vekt på opplysninger om søkerens øko-nomi, helse og rusmisbruk i den grad det ansesrelevant. I visse tilfeller vil det kunne værebehov for å bruke sikkerhetsgradert informa-sjon fra PST i saksbehandlingen.

På bakgrunn av arbeidsgrupperapportenskisserte Samferdselsdepartementet tre ulikealternativer:

1. Nullalternativet, det vil si å fortsette meddagens løsning med bakgrunnssjekk hvertfemte år på bakgrunn av blant annet enuttømmende politiattest.

2. Gå videre med arbeidsgruppens forslag om åutvide informasjonsgrunnlaget for bakgrunns-sjekken.

3. Etablere en enklere form for sikkerhetsklare-ring for personer som skal ha tilgang til områ-der eller objekter som er risikoutsatt.

Justis- og beredskapsdepartementet har over-for utvalget meddelt at det antakelig er flere sek-torer enn luftfarten som kan ha behov for bedrekontroll av personer som får tilgang til områderinnenfor kritisk infrastruktur eller kritiske sam-funnsfunksjoner. Departementet har på dennebakgrunn anført at det er lite hensiktsmessigmed en sektorbasert tilnærming til problemstil-lingen.


ytterste konsekvens må leie inn annet og alleredesikkerhetsklarert personell for å utføre de aktu-elle arbeidsoppgavene. Saksbehandlingstiden kanogså få innvirkning på konkurranseevne. Det erogså en personlig belastning for den enkelte atklareringssaken trekker ut i tid, med den påføl-gende usikkerheten dette skaper.

NSM har i sitt sikkerhetsfaglige råd foreslåtten lovfesting av at NSM som hovedregel skalkunne kreve automatisert innhenting av opplys-ninger fra de aktuelle kilderegistrene.50 I utval-gets dialog med NSM har utvalget forstått at detmed automatisert kildeinnhenting primært menesdigitalisert overføring av registeropplysninger, imotsetning til de manuelle arbeidsprosessenebeskrevet over. Utvalget har lagt denne forståel-sen til grunn.

10.5.6 Personkontroll

Personkontroll opp mot aktuelle registre gir etøyeblikksbilde. En sikkerhetsklarering er normaltgyldig i 5 år, jf. personellsikkerhetsforskriften § 4-8 første ledd. Før utløpet av klareringens gyldig-hetstid må autorisasjonsansvarlig anmode om atvedkommende reklareres. I en reklareringssak vilNSM innhente oppdaterte opplysninger fra deaktuelle registrene, og eventuelle nye sårbarhetersom fremgår av registeropplysningene til denenkelte vil kunne avdekkes.

Det foreligger i dag ingen hjemmel for klare-ringsmyndigheten til å foreta regelmessig kon-troll av relevante registre, i den hensikt å avdekke

hvorvidt det har skjedd endringer av betydningfor den enkeltes sikkerhetsmessige skikkethet.NSM har i sitt sikkerhetsfaglige råd uttrykt at deti flere innsidesaker i forkant har vært tegn på atvedkommende har vært eller var i ferd med å blien utro tjener.51

Sikkerhetsklarert og autorisert personell plik-ter å holde autorisasjonsansvarlig orientert omforhold som antas å kunne være av betydning forvedkommendes sikkerhetsmessige skikkethet, jf.sikkerhetsloven § 24 første ledd. Dersom detimidlertid er tale om en utro tjener, vil plikten til åopplyse om relevante forhold trolig brytes.

NSM har på denne bakgrunn anbefalt at klare-ringsmyndigheten gis hjemmel til å gjennomføreregelmessig kildekontroll i klareringens gyldig-hetstid.52 Forsvarsdepartementet har i et innspilltil utvalget også bedt utvalget om å vurdere mulig-heten for denne typen regelmessig kildekon-troll.53

Både Danmark og Storbritannia har klare-ringsregimer som legger til rette for at klarerings-myndigheten kan foreta jevnlige kontroller oppmot relevante registre. I Danmark har PET mulig-het til å legge inn en såkalt KR-sperring isystemet, som gjør at PET får varsel dersom detinntrer forhold som kan ha betydning for vurde-ringen av den enkeltes sikkerhetsmessige skik-kethet.

I Sverige er det foreslått en eksplisitt hjemmelom at sikkerhetsprøvningen skal følges opp så

50 NSM, Sikkerhetsfaglig råd, 2015, tiltak 53.

Boks 10.9 Dagens system for innhenting av personkontrollopplysninger:

Nasjonal sikkerhetsmyndighet (NSM) har over-for utvalget meddelt at informasjonsinnhentin-gen i personkontrollprosessen er arbeidskre-vende som følge av manuelle prosesser bådehos NSM og hos de enkelte kildene.

NSM opplyser at det er stor variasjon mel-lom de ulike kildene. Enkelte tilbyr web-grense-snitt som gjør at NSM kan kjøre spørringer istørre volum mot registeret fra egne lokaler.Dette gir svar mer eller mindre umiddelbart, ogmedfører at NSM selv kan kjøre spørringer påen enkel måte, og så ofte det er behov. Dette girogså stor forutsigbarhet.

For en del andre kilder er innhentingenbasert på manuelle prosesser, hvor det fysisk

må transporteres en spørrefil med kurér tilregistereier (eller den som på vegne av register-eier utleverer). Spørringen fra NSM må der-etter lastes inn og svarfil sendes tilbake medkurér påfølgende dag.

For å effektivisere innhentingen er det fraNSMs side ønskelig å kunne kjøre spørring motalle kilder fra NSMs lokaler. Dette vil kunnebidra til større forutsigbarhet i forhold til leve-ranser, samt at kilderesultatene i prinsippet kaninnhentes samme dag som forespørselen kom-mer.

Kilde: NSM.

51 NSM, Sikkerhetsfaglig råd, 2015, 29. 52 NSM, Sikkerhetsfaglig råd, 2015, tiltak 53. 53 E-post fra Forsvarsdepartementet til utvalget, 23.05.2016.


lenge den sikkerhetssensitive virksomhetenpågår.54 Formålet med dette forslaget har vært åtydeliggjøre at sikkerhetsprøvning er en kontinu-erlig prosess. Kravet til oppfølging innebærerblant annet at opplysningene fra den opprinneligesikkerhetsprøvningen skal holdes oppdatert. Deter videre foreslått at det skal skje en løpende kon-troll av relevante registre så lenge sikkerhetssens-itiv virksomhet pågår (forslag 7 § annet ledd).


Opplysninger som er gitt til klareringsmyndighe-ten, og som innhentes gjennom personkontrollopp mot relevante registre, er underlagt et strengtkrav til formålsbestemthet. Det følger av sikker-hetsloven § 20 sjette ledd at opplysninger som ersamlet inn som ledd i personkontrollen ikke kaneller skal benyttes til andre formål enn vurderingav sikkerhetsklarering. Unntak fra dette kan kungjøres i de tilfeller det anses påkrevet å meddeleslike opplysninger til autorisasjonsansvarlig avhensyn til den sikkerhetsmessige ledelse og kon-troll av vedkommende. Kravet til formålsbestemt-het er ikke begrunnet i forarbeidene til sikker-hetsloven ut over at dette burde lovfestes.

NSM påpeker i sitt sikkerhetsfaglige råd atrisikoen for innsidere/utro tjenere har blitt merkompleks, og at sikkerhetsklarert personell harblitt mer eksponert for trusselaktører med bådeevne og vilje til å utnytte sårbarheter. I følge NSMtas det i dag, enten bevisst eller ubevisst, størrerisiko enn tidligere ved at det klareres og autorise-res flere personer som kan ha lojaliteter eller sår-barheter som kan utnyttes.

Dagens begrensninger i regelverket for delingav informasjon som innhentes som ledd i person-kontrollen, vanskeliggjør ifølge NSM mulighetenfor å kunne utveksle informasjon med PST ogeventuelle andre relevante aktører, om enkeltsa-ker. Dette medfører blant annet at PST ikke vil hatilstrekkelig evne til å gjøre målrettet oppfølgingav den økte restrisikoen som oppstår ved at mantar større risiko i klarerings- og autoriseringspro-sessen enn tidligere. Etter NSMs oppfatning, gjørdenne situasjonen at det må tas stilling til hvormye usikkerhet samfunnet aksepterer.

NSM har anbefalt at det bør fremmes forslagom endring av sikkerhetsloven § 20 sjette ledd,slik at NSM kan gi noe relevant informasjon fraklareringssaker til PST for at PST skal kunne iva-reta sitt ansvar for å forebygge og motvirke trus-

ler mot rikets sikkerhet eller andre grunnleg-gende nasjonale interesser.55

Justis- og beredskapsdepartementet har i etbrev til utvalget uttrykt bekymring for at personermed bakgrunn fra eller tilknytning til stater somdriver ulovlig etterretningsvirksomhet mot Norgeeller norske interesser, har tilgang til informasjonsom disse statene ikke bør få tilgang til. Behovetfor informasjonsutveksling mellom PST og NSMhar også blitt kommunisert til departementet frabegge disse myndighetene.56 Departementet støt-ter på denne bakgrunn NSMs forslag om endringav sikkerhetsloven § 20 sjette ledd.

Formålet med en slik informasjonsutvekslingvil være å forebygge at personer som er autorisertog klarert for sikkerhetsgradert informasjon, for-midler informasjon til skade for grunnleggendenasjonale interesser.

PST skal i henhold til politiloven § 17 b blantannet forebygge og etterforske overtredelser avstraffeloven kapittel 17 Vern av Norges selvsten-dighet og andre grunnleggende nasjonale interes-ser og overtredelser av sikkerhetsloven. En del avPSTs samfunnsoppdrag er å forebygge og mot-virke trusler fra utro tjenere. For å kunne gjøredette på en tilfredsstillende måte, er PST avhengigav å ha kunnskap om hvem som sikkerhetsklare-res og hvilke stillinger disse til enhver tid har.Etter dagens sikkerhetslov foreligger det ikkehjemmel for å kunne dele slik informasjon til PSTfra NSM og de enkelte klareringsmyndighetene.

I tillegg skal PST utarbeide trusselvurderingertil bruk for politiske myndigheter, jf. politiloven§ 17 c nr. 1, og PST har behov for å kunne sam-menstille informasjon for å kunne se og analyseretrender og utviklingstrekk. Eksempelvis kan detvære slik at selv om den enkelte klarering av per-soner for enkeltland ikke er bekymringsfull i segselv, kan summen av enkeltpersoner i bestemteposisjoner med tilknytning til land av bekymring,gi grunnlag for ulike typer forebyggende tiltakinnenfor rammene av gjeldende rettsgrunnlag.

En hjemmel for å kunne dele informasjon somfremkommer under personkontrollen og informa-sjon om hvem som blir klarert, og for hvilke stil-linger, med PST, vil medføre et inngrep i denenkeltes personvern. I henhold til prinsippet omformålsbestemthet skal personopplysninger kunsamles inn for bestemte formål, og skal i utgangs-punktet kun behandles i samsvar med det formå-let de i utgangspunktet ble samlet inn for. Behand-

54 SOU 2015:25.

55 NSM, Sikkerhetsfaglig råd, 2015, tiltak 57. 56 Brev fra Justis- og beredskapsdepartementet til utvalget,

16.06.2016, gradert KONFIDENSIELT.


ling av opplysninger til andre formål enn det deble samlet inn for, krever et selvstendig retts-grunnlag.


Personellsikkerhet er et sentralt virkemiddel for åkunne forebygge, og eventuelt avdekke, at utrotjenere får tilgang til informasjon eller områderhvor skadepotensialet er stort.

Dette er også den delen av forebyggende sik-kerhet som i størst grad gjør inngrep i den enkelteansattes personvern. I saksbehandlingen av klare-ringssaker innhentes det til dels meget sensitiveopplysninger om den personen som det søkes omklarering for, og det må stilles strenge krav tilhvordan denne informasjonen behandles.

Utvalget har som gjennomgående prinsipp atforslag som innebærer inngrep i den enkeltes rett-sikkerhet og personvern, skal være godt begrun-net, forholdsmessige og ha en sikkerhetsmessigeffekt som overstiger personvernulempene.

Personellsikkerhet må være strengt regulert,både av hensyn til de krav legalitetsprinsippet stil-ler til klare hjemmelsgrunnlag og kravene til til-fredsstillende rettssikkerhetsgarantier der detgjøres inngrep i personvernet. Regelverket forpersonellsikkerhet har vært gjenstand for engrundig revisjon i 2006, hvor hensynet til å sikreden enkeltes rettssikkerhet var førende for revi-sjonsarbeidet. Utvalgets syn er at de saksbehand-lingsreglene som er regulert i dagens sikkerhets-lov inneholder de nødvendige rettssikkerhetsga-rantiene for å sikre at den enkeltes rettigheter blirivaretatt gjennom klareringsprosessen. Utvalgetforeslår derfor å videreføre disse saksbehand-lingsreglene relativt uendret.

Utvalget er videre opptatt av hvilke forholdsom bør reguleres i et sektorovergripende regel-verk, og hvilke som kan overlates til de enkeltesamfunnssektorenes eget regelverk. Som et gene-relt utgangspunkt mener utvalget at personellsik-kerhet fremdeles bør reguleres i et sektorovergri-pende regelverk. En slik tilnærming vil bidra til åsikre et enhetlig sikkerhetsnivå på tvers av sam-funnssektorene, samtidig som det sikrer likebe-handling av ansatte i stillinger som krever klare-ring – uavhengig av hvilken samfunnssektor dearbeider innenfor. At en klarering etter sikker-hetsloven som utgangspunkt ikke er knyttet til enkonkret stilling, og at utvalget heller ikke foreslårat dette endres, taler også for å regulere personell-sikkerhet i en sektorovergripende lov.

Et annet sentralt prinsipp for utvalgets forslager å legge til rette for økt effektivitet i saksbehand-lingen. Utvalget er kjent med at saksbehandlings-tiden i klareringssaker er lang, noe EOS-utvalgetogså har påpekt i sine årsrapporter de senere år.EOS-utvalget påpekte i sin årsmelding for 2015 atsaksbehandlingstiden i mange saker er så lang atden medfører en uforholdsmessig inngripen ienkeltpersoners liv fra myndighetenes side. Utval-get legger til grunn for lovforslaget at regulerin-gen skal bidra til en effektivisering av saksbe-handlingen i klareringssaker.

10.6.1 Generelle betraktninger

På generelt grunnlag mener utvalget at dagensregelverk for personellsikkerhet i hovedsak kla-rer å balansere avveiningen mellom sikkerhets-messige hensyn på den ene siden og hensynet tilden enkeltes rettsikkerhet og personvern på denandre. Regelverket på lovs nivå har en fleksibel ogdynamisk tilnærming, der klareringssaker skalavgjøres på bakgrunn av en konkret helhetsvurde-ring. Dette gir mulighet til å vurdere den enkeltesak individuelt ut fra de særegne hensyn som gjørseg gjeldende. En del av de utfordringene som eridentifisert skyldes slik utvalget ser det, hvordanregelverket praktiseres. Den individuelle og kon-krete helhetsvurderingen lovgivningen leggeropp til, er i enkelte veiledninger og rundskriverstattet med en mer skjematisk tilnærming tilhvordan klareringssaker skal avgjøres. Utvalgethar samtidig forståelse for at en slik praksis harutviklet seg, særlig sett hen til det høye antall kla-reringsmyndigheter som finnes, og hvor noen kla-reringsmyndigheter har et meget lavt antall klare-ringssaker på årlig basis. Dette, kombinert med atklareringssakene blir stadig mer komplekse, gjørdet vanskelig å opprettholde den nødvendigekompetansen.

Utvalget støtter derfor den vedtatte endringenav klareringsmyndighetsstrukturen. En samlingav kompetansen i to klareringsmyndigheter erslik utvalget ser det, et viktig og riktig grep. Utval-gets forslag til endringer av personellsikkerhets-regelverket må også sees i lys av denne vedtattereduksjonen av klareringsmyndighetsstrukturen.Et avgjørende premiss for at utvalgets forslag skalfå den intenderte effekt, er robuste og kompe-tente klareringsmyndigheter som har de nødven-dige forutsetninger for å kunne gjøre en helhetligog individuell vurdering i den enkelte sak.

Utvalget har i lovforslaget foreslått endringerav både materiell og strukturell art. Forslagene til


strukturelle endringer er ment å innebære materi-elle endringer fra dagens rettstilstand.

For å gjøre lovens kapittel om personellsikker-het mer oversiktlig, har utvalget foreslått å samlebestemmelsene om autorisasjon og autorisasjons-ansvarliges plikter i egne bestemmelser. Tilsva-rende er foreslått for klarering og klareringsmyn-dighetenes plikter.

Utvalget foreslår videre å fjerne opplistingenav relevante forhold klareringsmyndighetene kanlegge vekt på ved vurderingen av den enkeltes sik-kerhetsmessige skikkethet (dagens lovs § 21 før-ste ledd bokstav a til l). Opplistingen i dagens lover etter utvalgets oppfatning for detaljert i en over-ordnet lov. Det sentrale vurderingskriteriet etterbestemmelsen er om vedkommende ut fra en kon-kret helhetsvurdering er sikkerhetsmessig skik-ket for tilgang til gradert informasjon eller skjer-mingsverdige objekter/infrastruktur. Vurderin-gen er avgrenset til de forhold som er relevantefor å vurdere vedkommendes pålitelighet, lojalitetog sunne dømmekraft. For øvrig vil det generelleforvaltningsrettslige forbudet mot å ta utenforlig-gende hensyn, også gjelde for klareringsmyndig-hetens behandling av klareringssaker. Listen overforhold som kan tillegges vekt bør slik utvalgetser det i stedet legges på forskriftsnivå. En for-skriftsregulering av slike detaljerte opplistingervil også gjøre regelverket mer dynamisk og let-tere å endre ved behov.

Utvalget foreslår at bestemmelsen om bruk avvilkår for klarering skilles ut som en egen bestem-melse og at det presiseres at dette også gir hjem-mel for å kunne klarere en person for en konkretstilling. Muligheten for bruk av stillingsklareringfølger i dag av forarbeidene til sikkerhetsloven.Utvalget mener at bruk av vilkår eller stillingskla-rering i gitte tilfeller kan være viktige sårbarhets-reduserende tiltak, som bør brukes aktivt deralternativet vil være å gi avslag på klareringsan-modningen. Forslaget innebærer således ingenmateriell endring av rettstilstanden, men en frem-heving av muligheten til å kunne gjøre konkretetilpasninger ut fra den sikkerhetsmessige situasjo-nen.

Den plikt som autorisert og klarert personellhar til å varsle om forhold av betydning, er ogsåforeslått skilt ut i en egen bestemmelse.

10.6.2 Utenlandske statsborgere og tilknytning til andre nasjoner

Norge har opplevd større demografiske endringersiden lovens ikrafttredelse. Som en konsekvens avdette ble det foretatt en viss oppmyking av sikker-

hetslovens regulering av adgangen til å sikker-hetsklarere utenlandske statsborgere i 2006.

Utvalget mener det er viktig at det mangfol-dige Norge også gjenspeiles i virksomheter somer av kritisk betydning for grunnleggende nasjo-nale funksjoner. Personer som har tilknytning tilandre nasjoner besitter kompetanse om andreland, kulturer og språk, som er verdifull for enrekke virksomheter. Samtidig mener utvalget aten slik tilknytning potensielt også kan medføre enøkt sikkerhetsmessig sårbarhet. PSTs trusselvur-deringer fremhever utenlandske etterretningstje-nesters mål om å få tilgang til sensitiv informa-sjon, blant annet for å undersøke mulighetene forå kunne sabotere kritisk infrastruktur ved eneventuell fremtidig konflikt. Tilknytningsforhol-det til en nasjon med slike målsettinger vil kunnesette personer i nøkkelstillinger under press.

Utvalget har vurdert hvorvidt dagens regel-verk er for restriktivt med tanke på klarering avutenlandske statsborgere eller norske statsbor-gere med tilknytning til andre nasjoner. I beggetilfeller legger lovens system opp til at avgjørelserom klarering skal baseres på en konkret helhets-vurdering der vedkommendes tilknytning til enannen nasjon, er et av flere relevante momenter idenne vurderingen. Tilknytning til en annen stater slik utvalget ser det et helt selvsagt og nødven-dig vurderingsmoment.

Utvalget vil derfor anbefale at tilknytning tilandre stater, som et av flere vurderingsmomenteri en konkret helhetsvurdering, videreføres i nysikkerhetslov. Utvalget erkjenner imidlertid at kla-reringssaker hvor vedkommende har tilknytningtil en annen stat, spesielt de stater som potensieltutgjør en etterretningstrussel mot norske interes-ser, er meget komplekse saker som stiller høyekrav til klareringsmyndighetenes kompetanse.Utvalget tror de vedtatte endringene i klarerings-myndighetsstrukturen kan bidra til å legge tilrette for et høyt kompetansenivå hos klarerings-myndighetene. Forslaget må også sees i sammen-heng med at utvalget foreslår å fremheve adgan-gen til å sette vilkår for en klarering eller innvilgeen klarering avgrenset til en konkret stilling (stil-lingsklarering).

Etter utvalgets oppfatning vil det ikke inne-bære urimelig forskjellsbehandling å sette vilkårfor en klarering, eller innvilge en stillingsklare-ring, der alternativet ville vært å avslå klarerings-anmodningen. Det sikkerhetsmessige aspektetmå imidlertid uansett være førende for hvorvidten person innvilges sikkerhetsklarering ellerikke. Dersom klarering på vilkår, eller stillingskla-rering, vurderes ikke å ha tilstrekkelig risikoredu-


serende effekt, må og skal klareringsanmodnin-gen avslås.

Når det gjelder klarering av personell utennorsk statsborgerskap, foreslår utvalget en juste-ring av bestemmelsen. Gjeldende bestemmelsehar blitt forstått og praktisert slik at en eller annenform for tilknytning til Norge, har vært et avgjø-rende kriterium for å kunne innvilge klarering.Dette har i praksis ført til at personer har fått nek-tet klarering, selv om vurderingen for øvrig ikkegir grunn til å betvile vedkommendes sikkerhets-messige skikkethet. Slik utvalget ser det, hardette vært en utilsiktet konsekvens av bestemmel-sen, og det foreslås derfor en justering av bestem-melsen som åpner for å kunne klarere utenland-ske statsborgere som ikke har en tilknytning tilNorge.

10.6.3 Mangelfull personhistorikk

Avgjørelser om klarering skal baseres på en kon-kret helhetsvurdering av hvorvidt vedkommendeer til å stole på. Slik utvalget ser det er mulighetenfor å gjennomføre en tilfredsstillende personkon-troll et av flere relevante forhold som kan tilleggesbetydning ved denne vurderingen. Hovedregelenom 10 års personhistorikk er regulert i personell-sikkerhetsforskriften § 3-6, hvor det også fremgårat det ut fra en individuell helhetsvurdering kangjøres unntak fra dette kravet.

Slik utvalget ser det gir regelverket på lov- ogforskriftsnivå tilstrekkelig fleksibilitet til å kunnegjøre unntak fra kravet til personhistorikk dergode grunner taler for dette. Det fremstår imidler-tid som at praktiseringen av dette unntaket, her-under rundskrivene som beskriver hvordan detteskal forstås, har en mer restriktiv og skjematisktilnærming enn lovog forskriftsreguleringenskulle tilsi.

En individuell vurdering av om det er grunn-lag for å gjøre unntak fra 10 års personhistorikk,forutsetter høy kompetanse hos de enkelte klare-ringsmyndighetene. Sett hen til dagens situasjon,hvor antallet klareringsmyndigheter er høyt ogkompetansenivået varierende, har utvalget forstå-else for at man i rundskrivene har lagt seg på enrestriktiv linje. Både Utenriksdepartementet ogLandsorganisasjonen har overfor utvalget påpektat denne praksisen er problematisk, spesielt forpersonell i utenrikstjenesten.

Den vedtatte endringen av klareringsmyndig-hetsstrukturen bør, slik utvalget ser det, ogsågjenspeiles i de ulike rundskrivene vedrørendepersonellsikkerhet. Økt kompetanse hos de gjen-værende klareringsmyndighetene innebærer også

at disse vil være bedre rustet til å kunne gjørekonkrete og individuelle helhetsvurderinger.

10.6.4 Tverrsektoriell hjemmel for bakgrunnskontroll

Som beskrevet over har en rekke sentrale aktørerpåpekt behovet for en tverrsektoriell hjemmel forbakgrunnskontroll, ut over det som følger avdagens klareringsinstitutt. Basert på gjennomgan-gen av relevant sektorregelverk, er utvalget prin-sipielt enig i at sektorregelverkene i liten gradregulerer personkontroll som et sikkerhetsmes-sig tiltak. Utvalget er også enig i at det på enkelteområder er behov for en hjemmel for personkon-troll utover det som eksisterer i dag.

Utvalget har vurdert hvorvidt det vil være til-strekkelig at det etableres en hjemmel for person-kontroll i relevante sektorregelverk. En fordelmed en slik tilnærming vil være at personkontrol-len kan begrenses til det som er nødvendig i denaktuelle sektor. Det vil da kunne gjøres sektorspe-sifikke tilpasninger, både med hensyn til omfangetav personkontrollen og med hensyn til hvilke for-hold som sjekkes. På den andre siden vil det væreen risiko for at regelverket praktiseres ulikt i deulike samfunnssektorene. Ut fra en sikkerhetsfag-lig vurdering vil det være uheldig dersom det ienkelte sektorer legges opp til et liberalt regimefor personkontroll, mens det i andre sektorer erstreng personkontroll. Dette vil føre til en uba-lanse mellom de ulike samfunnssektorene, somvil kunne øke sårbarheten. I tillegg vil det kunneinnebære en forskjellsbehandling ved at det ienkelte sektorer stilles lavere krav til sikkerhets-messig skikkethet enn i andre.

Utvalget anbefaler derfor at det i den nye sik-kerhetsloven etableres en hjemmel foradgangsklarering for personell som skal ha til-gang til objekter eller infrastruktur, eller deler avdisse, som er av kritisk betydning for grunnleg-gende nasjonale funksjoner. Det foreligger alle-rede i gjeldende sikkerhetslov en hjemmel for åkunne kreve sikkerhetsklarering for tilgang tilskjermingsverdige objekter klassifisert KRITISKeller MEGET KRITISK.

På samme måte som etter dagens objektsik-kerhetsforskrift, anbefaler utvalget at det enkeltefagdepartement gis hjemmel til å kunne fatte ved-tak om krav til adgangsklarering for tilgang tilnærmere angitte objekter eller infrastruktur.Dette er en naturlig konsekvens av utvalgets for-slag om at fagdepartementene gis det overord-nede ansvaret for forebyggende sikkerhet i egensektor, og vil gi departementene anledning til å


gjøre nødvendige sektorspesifikke tilpasningereller samfunnsøkonomisk lønnsomme prioriterin-ger innenfor eget myndighetsområde.

Utvalget har vurdert ulike alternativer for hvoromfattende en slik adgangsklarering bør gjøres.Det synes å være enighet om at en uttømmendepolitiattest ikke vil være tilstrekkelig ut fra et sik-kerhetsmessig perspektiv. Samtidig mener utval-get at en like omfattende prosess som en ordinærsikkerhetsklarering, både vil utgjøre et stort inn-grep i den enkeltes personvern og være megetressurskrevende å administrere. Utvalget leggerderfor til grunn for sitt forslag at personkontrollenfor adgangsklarering skal gjøres mindre omfat-tende enn for dagens sikkerhetsklareringsregimefor tilgang til gradert informasjon.

I tråd med Justis- og beredskapsdepartemen-tets syn, er utvalget av den oppfatning at person-kontrollen for adgangsklarering bør utformesetter de linjer man har i Storbritannia for en såkaltCounter Terrorist Check. En slik personkontroll giret bredere informasjonstilfang enn en uttøm-mende politiattest, men er samtidig mindre omfat-tende enn en ordinær sikkerhetsklarering. Hvilkeregistre som er aktuelle for en slik personkontrollbør, på lik linje med det opprinnelige klareringsin-stituttet, fastsettes på forskriftsnivå. Det vil imid-lertid være naturlig at en slik registersjekk omfat-ter PSTs registre, i tillegg til de registre som sjek-kes ved en uttømmende politiattest.

Når det gjelder gjennomføring av adgangskla-rering, ser utvalget store fordeler ved å bygge påde allerede etablerte strukturene. Den vedtatteendringen i klareringsmyndighetsstrukturen, vilogså gjøre dette mindre betenkelig. En slik løs-ning vil kunne gi økt effektivitet og høyere kom-petanse hos klareringsmyndighetene, samtidigsom det vil innebære økt rettssikkerhet for denenkelte. Det vil også være kostnadsbesparendesett opp mot alternativet – å etablere sektorviseregimer for personkontroll, hvor hver enkelt sam-funnssektor vil måtte bygge opp tilstrekkelig kom-petanse og ressurser.

Forslaget vil medføre økt ressursbruk. Antallklareringssaker vil øke, og for å kunne gjennom-føre en effektiv klareringsprosess vil det sannsyn-ligvis være behov for en økning i antall årsverksom skal behandle slike saker. En avgjørende for-utsetning er at de aktuelle klareringsmyndighe-tene dimensjoneres slik at de kan saksbehandlebåde sikkerhets- og adgangsklareringer, uten atdette går på bekostning av saksbehandlingstiden.Ettersom det vil være opp til det enkelte fagdepar-tement å avgjøre hvorvidt det skal settes krav til

adgangsklarering, er det vanskelig å si noe kon-kret om hvor mange stillinger dette vil gjelde. Enrekke stillinger vil imidlertid allerede i dag hakrav om sikkerhetsklarering fordi vedkommendei kraft av sin stilling vil ha behov for tilgang til gra-dert informasjon. Utvalget antar likevel at det vilbli en økning av antall klareringer som konse-kvens av at lovens virkeområde utvides.

Forslaget vil innebære personvernulemper forpersonell i stillinger hvor det settes krav til klare-ring. Klareringsinstituttet er i seg selv av inngri-pende karakter, hvor det blant annet innhentespersonopplysninger fra en rekke relevante regis-tre. Utvalget legger til grunn at det enkelte fagde-partement kun setter krav om adgangsklareringder dette er nødvendig og også har en reell sik-kerhetsmessig effekt.

Utvalget mener imidlertid at den sikkerhets-messige gevinsten ved å etablere en generellhjemmel for adgangsklarering, overstiger deulempene dette vil medføre kostnadsmessig ogfor den enkeltes personvern. Forslaget vil være etviktig bidrag til utvalgets målsetting om å legge tilrette for å kunne forebygge og eventuelt avdekkeutro tjenere.

Utvalget har også vurdert hvorvidt forslagetkan være i strid med tilbakevirkningsforbudet iGrunnloven § 97, dersom krav til adgangsklare-ring gjøres gjeldende for personell som alleredeer ansatt i en virksomhet som ikke tidligere harvært underlagt loven. Menneskerettighetsutval-get oppsummerte rettstilstanden for tilbakevir-kningsforbudet utenfor strafferettens område påfølgende måte:

Utenfor strafferettens område er det alminne-lig enighet om at § 97 ikke forbyr all tilbake-virkning. Et strengt tilbakevirkningsforbud vilvære til hinder for at lovgivningen holder trittmed samfunnsutviklingen, og det vil leggealvorlige begrensninger på lovgivning som sty-ringsinstrument. Hvorvidt den tilbakevirkendeloven er rettsstridig, dvs. i strid med Grunnlo-ven § 97, vil derfor måtte bero på en helhets-vurdering av situasjonen, jf. bl.a. plenumsavgjø-relsene i Rt-1996-1415 (Borthen), Rt-2007-1281(Ullern Terrasse) og Rt-2010-143 (rederiskatte-saken). I denne helhetsvurderingen vil enrekke faktorer spille inn, herunder vurderingerav den enkeltes behov for å forutberegne sinrettsstilling og lovgivers formål med å endrerettstilstanden. I tillegg vil mer konkrete fakto-rer som inngrepets art og styrke, berettigedeforventninger, behovet for lovendring, eventu-


elle overgangsregler, lovgivers egne vurderin-ger av grunnlovsmessighet m.m. spille inn vedvurderingen.57

De aktuelle vernede interessene med hensyn tilutvalgets forslag vil være den enkelte ansattesarbeidsforhold og arbeidsoppgaver. En negativklarering vil i ytterste konsekvens kunne medføreat vedkommende ikke vil kunne fortsette i sinjobb, dersom det ikke er mulig å omplassere ved-kommende til en annen stilling i samme virksom-het, som ikke krever slik adgangsklarering. Denenkelte ansatte vil naturlig nok ha en berettigetforventning om at han eller hun kan beholde sinstilling og arbeidsoppgaver. På den annen side vildet faktum at det foreligger forhold ved denenkelte som medfører at vedkommende ikke ersikkerhetsmessig skikket til å inneha den aktuellestillingen, etter utvalgets syn trekke i retning av atvedkommendes forventinger ikke bør tilleggesvesentlig vekt.

Mot den enkeltes interesser i å beholde stillin-gen, står hensynet til nasjonal sikkerhet – åbeskytte grunnleggende nasjonale funksjoner mottilsiktede uønskede hendelser. Klareringsinstitut-tet er, som nevnt, et helt sentralt virkemiddel for åkunne beskytte grunnleggende nasjonale funksjo-ner mot utro tjenere og ivareta hensynet til nasjo-nal sikkerhet. Etter utvalgets vurdering må desamfunnsmessige hensynene som ligger bak for-slaget om adgangsklarering, veie tyngre enn hen-synet til å ivareta den enkeltes interesser. Utvalgethar derfor kommet til at det ikke vil være sterkturimelig å gi forslaget tilbakevirkende kraft. I mot-satt fall vil lovforslaget få svært begrenset effektfor allerede tilsatt personell.

Den enkeltes rettssikkerhet i klareringspro-sessen vil være ivaretatt gjennom de allerede eta-blerte rettssikkerhetsgarantiene, herunder rettentil begrunnelse og til å påklage en negativ klare-ringsavgjørelse.

10.6.5 Digitalisert overføring av registeropplysninger

Basert på innspill fra NSM, har utvalget vurderthvorvidt registereiere bør pålegges å tilretteleggefor det NSM kaller automatisert kildeinnhenting. Iutvalgets dialog med NSM har utvalget fått forstå-elsen av at hovedutfordringen for NSM er at sam-handlingen med enkelte registereiere er basert påen manuell og tidkrevende prosess for å få over-sendt den aktuelle informasjonen som finnes i

registrene. Dette har igjen betydning for saksbe-handlingstiden i klareringssaker. Som nevnt ikapittel 10.5.5, har utvalget lagt til grunn at detNSM primært ønsker, er at de enkelte registerei-erne pålegges en plikt til å legge til rette for endigitalisert overføring av relevante registeropplys-ninger.

Utvalget mener generelt at det er viktig ålegge forholdene til rette for at saksbehandlingenav klareringssaker kan gå så raskt som mulig. Ensømløs samhandling mellom relevante aktørerinnen klareringsinstituttet, kan bidra til en slikeffektivisering. Slik utvalget har forstått det, erdenne manuelle og tidkrevende prosessen for inn-henting av opplysninger fra relevante registre, enav flaskehalsene i systemet.

Utvalget mener en digitalisert overføring avrelevante registeropplysninger vil kunne bidra tilå effektivisere klareringsregimet. En slik digitali-sert overføring vil også være mindre ressurskre-vende, både for NSM og de ulike registereierne.En forutsetning for en slik løsning er at det etable-res sikre kommunikasjonslinjer mellom NSM ogde aktuelle registereierne, som tilfredsstiller kra-vene for digital behandling av slik informasjon.Utvalget går i lovforslaget inn for å lovfeste enplikt for registereierne til å legge til rette for endigitalisert overføring av registeropplysninger fraregistereier til NSM.

Forslaget vil på kort sikt innebære økte inves-teringskostnader knyttet til å få etablert sikrekommunikasjonslinjer mellom NSM og de regis-tereierne som i dag ikke har slike kommunika-sjonslinjer med NSM, samt å tilrettelegge de aktu-elle registrene for en slik overføring. På lengresikt mener imidlertid utvalget at forslaget vil inne-bære en redusert ressursbruk knyttet til behand-ling av denne type saker, både hos NSM og deaktuelle registereierne. I et langsiktig samfunns-økonomisk perspektiv mener således utvalget atfordelene ved en slik løsning vil overstige ulem-pene ved en kostnadsmessig økning på kort sikt.

10.6.6 Personkontroll

Både NSM og Forsvarsdepartementet har anmo-det utvalget om å vurdere en hjemmel for ytterli-gere personkontroll ut over den personkontrollsom gjennomføres ved førstegangsklarering ogreklarering.

Utvalget har i sitt arbeid sett hen til hvordandette er regulert i andre, sammenlignbare nasjo-ner. Både Danmark og Storbritannia har klare-ringsregimer som legger opp til at relevante regis-tre kan kontrolleres når som helst i en klarerings57 Dok.16 (2011–2012), 137.


gyldighetstid, i den hensikt å avdekke hvorvidtdet skjer endringer av betydning for den enkeltessikkerhetsmessige skikkethet. I Sverige harekspertgruppen som utredet forslag til ny sikker-hetslov, anbefalt at det innføres et tydelig hjem-melsgrunnlag for slik regelmessig kontroll.

Utvalget mener det er en svakhet ved dagensregelverk at det ikke foreligger hjemmel for åkunne gjennomføre personkontroll ut over første-gangs- og reklarering. Dagens system er liteegnet til å kunne fange opp endringer i klarertpersonells sikkerhetsmessige skikkethet, ut overden enkeltes opplysningsplikt til autorisasjonsan-svarlig om slike forhold. Utvalget forslår derfor enhjemmel for å kunne iverksette ny personkontrollopp mot relevante registre når som helst innenforen klarerings gyldighetstid. Hensikten er å kon-trollere om det har skjedd endringer av betyd-ning. Ny personkontroll kan i henhold til bestem-melsen både gjøres på regelmessig basis og vedkonkret mistanke om at det har skjedd endringersom kan ha betydning for den enkeltes klarering.

Etter utvalgets oppfatning vil ikke forslaget havesentlige negative konsekvenser for den enkel-tes personvern. Hjemmel for å innhente slike opp-lysninger i klareringsprosessen eksisterer alle-rede i dag og er godt begrunnet. Muligheten for åoppdatere denne informasjonen på regelmessigbasis, eller ved mistanke om at det har skjeddendringer av betydning for den enkeltes sikker-hetsmessige skikkethet, vil dessuten være i trådmed personopplysningslovens krav om at person-opplysninger skal være korrekte og oppdaterte.Dersom en slik personkontroll innebærer at dettreffes en avgjørelse om suspensjon, nedsettelseeller tilbakekallelse av klareringen, vil den enkel-tes rettssikkerhet bli ivaretatt gjennom den eta-blerte klageadgangen.

Kombinert med forslaget om plikt til å legge tilrette for digitalisert overføring av kilderesultater,kan ikke utvalget se at forslaget vil ha store konse-kvenser verken for NSM eller de berørte registe-reierne.


Utvalget har vurdert hvorvidt det bør etableres enhjemmel for å kunne dele informasjon mellomSikkerhetsmyndigheten og Politiets sikkerhetstje-neste (PST). En slik hjemmel vil innebære et inn-grep i den enkeltes personvern. Informasjon omden enkelte vil kunne bli brukt til andre formålenn de primært var innhentet for, nemlig å vur-dere den enkeltes sikkerhetsmessige skikkethetknyttet til en konkret anmodning om klarering.

En slik hjemmel vil også kunne utfordre klare-ringsinstituttets grunnleggende innretning, hvorden enkeltes avgivelse av opplysninger til klare-ringsmyndigheten er tuftet på et prinsipp om atslike opplysninger behandles i fortrolighet. Det erimidlertid åpning allerede i dag for at klarerings-myndighetene kan dele informasjon med autorisa-sjonsansvarlig, der dette anses påkrevet av hen-syn til den sikkerhetsmessige ledelse og kontrollav vedkommende.

Formålet med klareringsinstituttet er nettoppå redusere risikoen for at sikkerhetsgradert infor-masjon kompromitteres, eller at adgang til sensi-tive områder misbrukes på en måte som kanskade grunnleggende nasjonale funksjoner. Slikkompromittering eller misbruk av tilgang, vil imange tilfeller være sammenfallende med over-tredelse av de straffebud PST har som oppgave åforebygge og etterforske. Innsidetrusselen er slikutvalget ser det både reell og overhengende.Dette bekreftes av PSTs trusselvurderinger og devurderinger som ligger til grunn for NSMs sikker-hetsfaglige råd. Formålet med en slik hjemmel forinformasjonsdeling vil være hensynet til beskyt-telse av grunnleggende nasjonale funksjoner.

Utvalget mener videre at en hjemmel til å deleslik informasjon vil kunne bidra til at PSTs fore-byggende arbeid blir mer målrettet. Dette vilkunne gi en sikkerhetsmessig gevinst, og vil væreet viktig virkemiddel for at PST skal kunne ivaretasine plikter.

Samlet sett mener utvalget at de sikkerhets-messige gevinstene som oppnås ved at PST settesbedre i stand til å kunne målrette sitt forebyggendearbeid, overstiger de personvernmessige konse-kvensene et slikt forslag medfører. En viktig retts-sikkerhetsgaranti for den enkelte vil være EOS-utvalgets kontroll med EOS-tjenestene. Utvalgetlegger til grunn at praktiseringen av denne typeinformasjonsdeling mellom Sikkerhetsmyndighe-ten og PST, vil ha et særlig fokus fra EOS-utvalget.

Av personvernmessige hensyn mener utvalgetat en slik hjemmel må avgrenses til det som erstrengt nødvendig for at PST skal kunne ivaretasine oppgaver etter politiloven. Utvalget foreslårderfor en begrenset hjemmel til å kunne deleinformasjon med PST, der dette er relevant ognødvendig etter politiloven § 17 b og § 17 c nr. 1.

Utvalget mener at prosedyren for deling avslik informasjon, bør være at PST initierer proses-sen ved å anmode Sikkerhetsmyndigheten omnærmere angitt informasjon om klarert personell.Eksempelvis kan generelle trender i trusselbildettilsi at PST har behov for en oversikt over klarertpersonell med tilknytning til en bestemt nasjon.


PST vil selv være best i stand til å vurdere hvilkeninformasjon som er nødvendig for å ivareta tjenes-tens oppgaver etter politiloven § 17 b og 17 c nr. 1.Dersom Sikkerhetsmyndigheten selv skal vur-dere når det er relevant og nødvendig å dele infor-masjon med PST, vil informasjonsdelingen i min-dre grad være knyttet opp til PSTs konkretebehov og vil kunne medføre at PST må håndterestørre mengder overskuddsinformasjon.

Videre mener utvalget at informasjonsdelin-gen bør begrenses til de opplysninger som er nød-vendige for at PST skal kunne ivareta sine opp-gaver. Gjennom personkontrollen innhentes deten stor mengde opplysninger fra en rekke for-skjellige registre. En generell hjemmel for delingav opplysninger som fremkommer under person-kontrollen, vil slik utvalget ser det utgjøre et ufor-holdsmessig inngrep i personvernet.

Slik utvalget har forstått PSTs behov, er detsærlig tre typer opplysninger som er relevante ognødvendige for at tjenesten skal kunne ivaretasine oppgaver. For det første gjelder dette infor-masjon om vedkommendes identitet og klare-ringsstatus. Personell som ikke får innvilget klare-ring, vil heller ikke få tilgang til sikkerhetsgradertinformasjon eller til områder hvor det stilles kravom slik klarering.

For det andre vil opplysninger om vedkom-mendes tilknytning til andre nasjoner, entendirekte eller via nærstående, være relevant ognødvendig informasjon i denne sammenheng. Deter denne tilknytningen som kan danne grunnlagetfor at vedkommende potensielt blir utsatt forpress, og som således er inngangskriteriet for atPST skal kunne anmode om informasjon.

For det tredje bør opplysninger om vedkom-mendes tjenestested gjøres tilgjengelig for PST.Dette for å kunne målrette det forebyggendearbeidet, og å kunne kartlegge og analysere tren-der og utviklingstrekk. Eksempelvis vil en statsom kommer i søkelyset på grunn av atomkraft ogreaktorteknologi kunne utgjøre en slik trend.

Utvalget har også vurdert hvorvidt PSTsanmodning bør kunne rettes mot de enkelte klare-ringsmyndighetene, eller mot Sikkerhetsmyndig-heten som forvalter av det sentrale registeret forklareringsavgjørelser. Etter utvalgets vurderingvil det være mest hensiktsmessig at PST har ettenkelt kontaktpunkt inn mot klareringsinstituttet.Dette vil kunne bidra til å sikre en god samhand-ling og en ensartet praksis for deling av slik infor-masjon. Det vil også redusere behovet for å eta-blere saksbehandlerkapasitet hos de ulike klare-ringsmyndighetene til å håndtere slike anmodnin-ger. Et annet forhold som taler for en slik løsning,

er at informasjon om hvilke fokusområder PSThar for sitt forebyggende arbeid i seg selv er sens-itiv informasjon, hvor spredningen bør begrensestil et minimum.

En slik klart avgrenset hjemmel til å kunnedele informasjon med PST vil, slik utvalget serdet, ikke utgjøre et uforholdsmessig inngrep i denenkeltes personvern sett opp mot den sikkerhets-messige gevinsten som oppnås ved tiltaket. Atavgrensningen gjøres i loven, vil også gjøre detforutsigbart for den enkelte hvilken informasjonsom kan deles med PST. For å ytterligere styrkeforutsigbarheten for den enkelte, mener utvalgetat det uttrykkelig bør fremgå av personopplys-ningsblanketten den enkelte fyller ut som grunn-lag for klareringsprosessen, at nærmere angittinformasjon vil kunne deles med PST. For alleredeklarert personell bør myndighetene orienteresærskilt om at det gis anledning for å dele slikinformasjon med PST. En måte dette kan gjørespå er at klareringsmyndighetene sender en gene-rell orientering til aktuelle virksomheter, og berom at denne informasjonen videreformidles tilautorisert personell.

En slik lovhjemmel forutsetter også at NSMssentrale klareringsregister innrettes på en slikmåte at de aktuelle opplysningene fremgår, og atde enkelt kan hentes ut fra registeret. Det forut-setter også at de autorisasjonsansvarlige påleggesen plikt til å innrapportere til NSM hvilket perso-nell som har blitt autorisert i den enkelte virksom-het, slik at opplysninger om dette kan legges inn idet sentrale klareringsregisteret. En slik rapporte-ringsplikt vil også medføre at endring av tjeneste-sted vil fanges opp av NSM, ved at ny arbeidsgivervil innrapportere at vedkommende har blitt autori-sert for tilgang til sikkerhetsgradert informasjon ivirksomheten.

Slik utvalget ser det, vil en slik innrapporte-ring, uavhengig av PSTs behov for å benytte slikinformasjon i sitt forebyggende arbeid, styrke per-sonellsikkerheten i Norge gjennom en bedre opp-følging av, og kontroll med, klarert personellsskifte av tjenestested. Utvalget mener uansett deter en svakhet med dagens klareringsinstitutt atdet ikke eksisterer mekanismer som gjør at Sik-kerhetsmyndigheten har en oppdatert oversiktover hvor klarert personell til enhver tid tjeneste-gjør.

Forslaget vil ha noen kostnadsmessige konse-kvenser for Sikkerhetsmyndigheten i form avbehov for saksbehandlerkapasitet til å kunnehåndtere anmodninger fra PST. I tillegg vil detsentrale registeret for klareringsavgjørelser måttetilpasses slik at nødvendig og relevant informa-


sjon fremgår av registeret, og enkelt kan hentes utav dette. Forslaget vil også ha noen kostnadsmes-sige konsekvenser for autorisasjonsansvarlig,

knyttet til plikten til å innrapportere opplysninger.For PSTs vedkommende vil forslaget sannsynlig-vis ikke innebære slike kostnader.


Kapittel 11

Sikkerhetsgraderte anskaffelser

11.1 Innledning

Regelverket for sikkerhetsgraderte anskaffelserer et viktig verktøy for å kunne sikre at leverandø-rer som gis tilgang til sikkerhetsgradert informa-sjon eller til skjermingsverdige objekter, er sik-kerhetsmessig til å stole på. Dette både for å sikreat sikkerhetsgradert informasjon blir håndtert påen forsvarlig måte, og for å sikre at tilgang tilskjermingsverdige objekter ikke misbrukes på enmåte som kan ha alvorlige skadefølger.

Utvalgets målsetting med regelverket for sik-kerhetsgraderte anskaffelser er å sikre at regel-verket gir et tilstrekkelig hjemmelsgrunnlag til åkunne undersøke om leverandører til virksomhe-ter av kritisk betydning for grunnleggende nasjo-nale funksjoner er sikkerhetsmessig skikket.Samtidig må regelverket ikke være innrettet på enslik måte at det i vesentlig grad kompliserer, for-sinker eller fordyrer virksomhetenes anskaffel-sesprosesser.

En grunnleggende problemstilling utvalgethar måttet ta stilling til er om dagens regelverk,med de vedtatte endringene i henhold til Prop. 97L (2015–2016), har en balansert og hensiktsmes-sig tilnærming når det gjelder sikkerhetshensynpå den ene siden og bedriftsøkonomiske hensynpå den andre.

En annen grunnleggende problemstillingutvalget har måttet ta stilling til er hvorvidt utval-gets innretning på den nye loven, herunder utvi-delsen av lovens virkeområde, nødvendiggjørendringer i regelverket om sikkerhetsgraderteanskaffelser.


Sikkerhetsloven kapittel 7 gir nærmere bestem-melser om sikkerhetsgraderte anskaffelser. Ensikkerhetsgradert anskaffelse er i loven § 3 førsteledd nr. 17 definert som en:

anskaffelse, foretatt av anskaffelsesmyndighetsom innebærer at leverandøren av varen ellertjenesten vil kunne få tilgang til skjermingsver-dig informasjon eller objekt, eller som inne-bærer at anskaffelsen må sikkerhetsgraderesav andre årsaker.

Anskaffelsesmyndighet er definert som «et for-valtningsorgan som har til hensikt å anskaffe,eller har anskaffet, varer eller tjenester fra et retts-subjekt som ikke er et forvaltningsorgan», jf.loven § 3 første ledd nr. 16.

Leverandører i sikkerhetsgraderte anskaffel-ser blir automatisk underlagt sikkerhetslovensbestemmelser, jf. loven § 2 annet ledd. Regelver-ket om sikkerhetsgraderte anskaffelser berørerderfor i stor grad selvstendige rettssubjekter.Regelverket etablerer de nødvendige sikkerhets-mekanismer når selvstendige rettssubjekter erleverandører av varer eller tjenester til et forvalt-ningsorgan eller en virksomhet som er underlagtsikkerhetsloven.

Nærmere bestemmelser om sikkerhetsgra-derte anskaffelser er regulert i forskrift om sik-kerhetsgraderte anskaffelser.1

11.2.1 Sikkerhetsavtale

Ved sikkerhetsgraderte anskaffelser skal det inn-gås en sikkerhetsavtale mellom anskaffelsesmyn-digheten og leverandøren.

Sikkerhetsavtalen formaliserer sikkerhets-messige aspekter i forbindelse med en sikkerhets-gradert anskaffelse, og skal legge til rette for atlokale forhold, praktisk gjennomføring og detaljerav betydning for sikkerheten, kan reguleres til-fredsstillende.2

Før en leverandør kan få tilgang til skjermings-verdig informasjon, må sikkerhetsavtale være inn-gått, jf. sikkerhetsloven § 27 første ledd. Ved til-

1 Forskrift 1. juli 2001 nr. 753 om sikkerhetsgraderte anskaf-felser.

2 Nasjonal sikkerhetsmyndighets veileder, 6.


gang til skjermingsverdig objekt er det bare kravom sikkerhetsavtale dersom Nasjonal sikkerhet-smyndighet krever det eller det av andre grunnerer nødvendig å sikkerhetsgradere anskaffelsen.

Dersom en oppdragsgiver skal inngå en sik-kerhetsavtale med en utenlandsk leverandør, kandet først skje etter godkjenning fra Nasjonal sik-kerhetsmyndighet, jf. § 27 første ledd tredje punk-tum. Hva sikkerhetsavtalen skal inneholde, følgerav forskrift om sikkerhetsgraderte anskaffelser§ 2-5. Leverandøren er omfattet av sikkerhetslo-vens bestemmelser uavhengig av om det inngåsen sikkerhetsavtale, men sikkerhetsavtalen tyde-liggjør og operasjonaliserer de sikkerhetskravsom gjelder for den enkelte anskaffelse.3

11.2.2 Leverandørklarering

Dersom leverandøren skal gis tilgang til skjer-mingsverdig informasjon gradert KONFIDENSI-ELT eller høyere, eller dersom det av andre grun-ner anses nødvendig, skal det gjennomføres enleverandørklarering for å vurdere leverandørenssikkerhetsmessige skikkethet, jf. loven § 28.Nasjonal sikkerhetsmyndighet er klareringsmyn-dighet for leverandørklareringer.

Leverandørklarering skal kun gis dersom detikke foreligger rimelig tvil om leverandørens skik-kethet. Ved avgjørelse om leverandøren anses sik-kerhetsmessig skikket skal det bare legges vektpå forhold som er relevante for å vurdere leveran-dørens evne og vilje til å utøve forebyggende sik-kerhetstjeneste etter bestemmelsene i eller i med-hold av loven.4

I vurderingen skal også personkontroll av per-soner i leverandørens styre og ledelse inngå, jf.forskriften § 3-1 nr. 1. Leverandøren skal videre gialle relevante opplysninger av betydning for klare-ringsspørsmålet, jf. § 28 tredje ledd. Opplysnings-plikten er nærmere regulert i forskriften § 3-2.

En leverandør som innehar en leverandørkla-rering skal uten ugrunnet opphold orientereNasjonal sikkerhetsmyndighet om endringer istyre eller ledelse, forandringer i eierstrukturen,flytting av lokaliteter og utstyr, åpning av gjelds-forhandlinger eller begjæring om konkurs, og omandre forhold som kan ha betydning for leveran-dørens sikkerhetsmessige skikkethet. Hvis for-holdene anses å representere en sikkerhetsrisikosom ikke kan elimineres gjennom forebyggendesikkerhetstiltak, kan Nasjonal sikkerhetsmyndig-

het inndra leverandørklareringen, jf. § 28 fjerdeledd, jf. forskriften § 3-3.

Det følger videre av § 28 fjerde ledd sistepunktum at skjermingsverdig informasjon ellerobjekt ikke kan overføres til ny eier eller inngå ibobehandling ved gjeldsforhandling eller kon-kurs, med mindre Nasjonal sikkerhetsmyndighethar samtykket til dette.5

Saksbehandlingsreglene i sikkerhetslovenkapittel 6 om personellsikkerhet, herunderbestemmelsen om begrunnelse og klage, gjelderså langt de passer for leverandørklaringer, jf. § 28femte ledd.

11.2.3 Varighet av leverandørklarering

Regjeringen har i Prop. 97 L (2015–2016) foreslåttat leverandørklarering gis etter anmodning fra enanskaffelsesmyndighet, men med en tidsbegren-set varighet. Forslaget innebar en endring fra opp-dragsbasert til tidsbasert leverandørklarering.Systemet med klarering for hvert enkelt oppdragvar ifølge regjeringen for tungvint, og genererteet unødvendig høyt antall søknader om leveran-dørklarering. Leverandørklarering for det enkelteoppdrag var også i utakt med praksis i en delandre land, samt med internasjonalt regelverk.

Det nærmere tidsrommet leverandørklarerin-gen skal gjelde er foreslått regulert som en for-skriftshjemmel, som gir Kongen myndighet til åbestemme den generelle gyldighetstiden for slikeklareringer. I forarbeidene antydes det en varig-het på fem år, tilsvarende den generelle varighets-tiden for personellklareringer.6

Stortinget har, i forbindelse med behandlingenav Innst. 352 L (2015–2016) til Prop. 97 L (2015–2016), vedtatt regjeringens forslag om tidsbasertleverandørklarering.

11.2.4 Anskaffelser til kritisk infrastruktur

Regjeringen har videre i Prop. 97 L (2015–2016)fremmet forslag om en ny lovbestemmelse (§ 29a) som pålegger virksomheter som eier eller rårover kritisk infrastruktur en plikt til å gjøre enrisikovurdering ved anskaffelser til slik infrastruk-tur, og en påfølgende myndighet for Kongen istatsråd til å treffe vedtak om å nekte anskaffelsengjennomført eller sette nærmere vilkår for anskaf-felsen.

Om begrunnelsen for forslaget skriver depar-tementet følgende:

3 Ot.prp. nr. 49 (1996–97), 62.4 Ibid., 63.

5 Ibid.6 Prop. 97 L (2015–2016), 50.


Globalisering og økt internasjonalisering avvare og tjenestehandelen har ført til at eiere avkritisk infrastruktur, i større utstrekning enntidligere, bruker utenlandske selskaper somleverandører til norsk kritisk infrastruktur.Utstrakt bruk av utenlandske leverandører erpotensielt problematisk fordi det kan medføreen forhøyet risiko for spionasje og sabotasje tilskade for norske interesser. Samfunnets økteavhengighet av kritisk infrastruktur gjør atdenne problemstillingen trolig vil få stadigstørre relevans framover.7

I det opprinnelige høringsforslaget foreslo For-svarsdepartementet en absolutt varslingsplikt tilansvarlig fagdepartement dersom en anskaffelsetil kritisk infrastruktur som virksomheten eiereller rår over kunne innebære en ikke ubetydeligrisiko for rikets selvstendighet og sikkerhet ellerandre vitale nasjonale sikkerhetsinteresser.

I høringen ble det også foreslått en ny bestem-melse i sikkerhetsloven § 2, for å kunne fange oppeiere av kritisk infrastruktur som ikke var under-lagt sikkerhetsloven fra før.

På bakgrunn av høringsinnspillene foreslodepartementet i Prop. 97 L (2015–2016) noenhovedendringer fra det opprinnelige lovforslaget.8

For det første ble det foreslått å lovfeste at dennye bestemmelsen skulle gjelde alle virksomhetersom foretar anskaffelser til kritisk infrastruktur,uavhengig av om virksomheter er underlagt sik-kerhetslovens øvrige bestemmelser.

Kritisk infrastruktur i sikkerhetslovens for-stand ble foreslått definert som «anlegg ogsystemer som er nødvendige for å opprettholdesamfunnets grunnleggende behov og funksjo-ner».9

For det andre ble den absolutte varslingsplik-ten, foreslått endret til en uttrykkelig plikt forvirksomhetene til å foreta risikovurderinger vedanskaffelser til kritisk infrastruktur. Varslingsplik-ten til ansvarlig departement vil først inntre der-som virksomheten ønsker å gjennomføre enanskaffelse som innebærer en ikke ubetydeligrisiko for sikkerhetstruende virksomhet.

I forlengelsen av endringen av den absoluttevarslingsplikten foreslo også departementet enpresisering om at virksomhetene ikke behøver åvarsle myndighetene dersom virksomhetene selviverksetter risikoreduserende tiltak som fjernerrisikoen, eller gjør denne ubetydelig.

Ansvarlig fagdepartement som mottar et var-sel, skal som utgangspunkt innhente rådgivendeuttalelser fra relevante organer. I forarbeidenenevnes Politiets sikkerhetstjeneste, Etterretnings-tjenesten og Nasjonal sikkerhetsmyndighet somaktuelle organer. Etter å ha samlet inn nødvendiginformasjon, kan saken avgjøres av departementeti dialog med den aktuelle virksomheten. For dettilfelle at departementet kommer til at anskaffel-sen ikke bør gjennomføres, eller det bør stillesnærmere vilkår for gjennomførelsen, skal sakenfremmes for Kongen i statsråd. Det presiseres atet vedtak fra Kongen i statsråd må være innrettetpå en slik måte at lovens formål ivaretas. I forar-beidene presiseres det at formålsbegrensningenblant annet vil innebære at det ikke er hjemmelfor å gripe inn ved risiko for industrispionasje somkun er egnet til å skade en enkeltbedrifts forret-ningsvirksomhet.10

Stortinget har, i forbindelse med behandlingenav Innst. 352 L (2015–2016) til Prop. 97 L (2015–2016), vedtatt regjeringens forslag om plikt til ågjennomføre en risikovurdering ved anskaffelsertil kritisk infrastruktur og påfølgende vedtaks-myndighet for Kongen i statsråd.


11.3.1 Lov om offentlige anskaffelser

Alle offentlige anskaffelser i Norge reguleres avanskaffelsesloven11 med tilhørende forskrifter,herunder forskrift om offentlige anskaffelser12

(FOA) og forskrift om forsvarsog sikkerhetsan-skaffelser13 (FOSA).

Formålet med regelverket er å bidra til øktverdiskapning i samfunnet ved å sikre mest muligeffektiv ressursbruk ved offentlige anskaffelserbasert på forretningsmessighet og likebehand-ling, jf. anskaffelsesloven § 1.

FOSA gjennomfører EUs direktiv om forsvarsog sikkerhetsanskaffelser i norsk rett. Direktivethar som formål å etablere en ny europeisk lovgiv-ningsramme for inngåelse av sensitive offentligekontrakter på forsvarsog sikkerhetsområdet.Direktivet er ment å skape mer åpenhet omkringanskaffelsene på dette området.

7 Ibid., 51. 8 Ibid., 63.9 Ibid., 77.

10 Ibid., 65. 11 Lov 16. juli 1999 nr. 69 om offentlige anskaffelser (anskaf-

felsesloven).12 Forskrift 7. april 2006 nr. 402 om offentlige anskaffelser

(FOA). 13 Forskrift 4. oktober 2013 nr. 1185 om forsvarsog sikker-

hetsanskaffelser (FOSA).


Felles for regelverket om offentlige anskaffel-ser er at det som utgangspunkt kun gjelder forstatlige, kommunale og fylkeskommunalemyndigheter og offentligrettslige organer, jf.loven § 2. Regelverket får således ikke anvendelsefor selvstendige rettssubjekter, eksempelvis pri-vate virksomheter, som ikke omfattes av loven § 2.

Loven gjelder ikke for anskaffelser som kanunntas etter EØS-avtalen artikkel 123, jf. § 4.

Om forholdet mellom regelverket for offentligeanskaffelser og sikkerhetslovens bestemmelserom sikkerhetsgraderte anskaffelser, skriver For-svarsdepartementet i Prop. 97 L (2015–2016) at:

[f]or offentlige oppdragsgivere må regelverketom sikkerhetsgraderte anskaffelser sees isammenheng med regelverket for offentligeanskaffelser. En sikkerhetsgradert anskaffelseer i utgangspunktet omfattet av [anskaffelses-loven] og [forskrift om forsvarsog sikker-hetsanskaffelser]. Nevnte lov og forskrift gjel-der imidlertid ikke der en anskaffelse kan unn-tas med hjemmel i EØS-avtalen artikkel 123.14

11.3.2 Sektorspesifikt anskaffelsesregelverk

I kraftsektoren har energiloven og beredskapsfor-skriften egne bestemmelser om anskaffelser ienergiforsyningen. Det følger av beredskapsfor-skriften § 6-5 at KBO-enheter som setter ut opp-drag til leverandører og andre med oppdrag foreller i energiforsyningen, skal påse at disse er for-pliktet til å etterleve bestemmelsene om informa-sjonssikkerhet og taushetsplikt for sensitiv infor-masjon. Beredskapsmyndigheten15 fører tilsynmed etterlevelsen av disse bestemmelsene ogsåoverfor leverandørene. I medhold av forskriften§ 6-6 kan anbudsinnbydelser og lignende begren-ses når det er nødvendig for å hindre at sikker-hetsgradert eller sensitiv informasjon om energi-forsyningen blir offentlig tilgjengelig gjennomanbudsdokumentene.

I finanssektoren har finanstilsynsloven § 4 cnærmere bestemmelser om meldeplikt til Finans-tilsynet ved utkontraktering av virksomhet.Finanstilsynet kan sette vilkår for utkontrakterin-gen eller gi foretaket pålegg om å ikke iverksetteeller å avslutte oppdraget, dersom tilsynet finnerat utkontraktering skjer i et omfang eller på enmåte som ikke kan anses forsvarlig, vanskeliggjør

tilsynet, eller for øvrig er i strid med bestemmel-ser gitt i eller i medhold av lov.


Etter utvalgets vurdering er det fortsatt behov forregelverk for sikkerhetsgraderte anskaffelser.Regelverket er et viktig virkemiddel for å kunnesikre at leverandører til virksomheter av kritiskbetydning for grunnleggende nasjonale funksjoner,sikkerhetsmessig er til å stole på. Regelverket forsikkerhetsgraderte anskaffelser bør såledesgjelde for alle virksomheter som omfattes avloven.

Utvalget støtter det vedtatte lovforslaget medendring fra oppdragsbasert til tidsbasert leveran-dørklarering. Endringen vil, slik utvalget ser det,være et viktig bidrag for å effektivisere proses-sene knyttet til sikkerhetsgraderte anskaffelser.Endringen medfører også at regelverket er mer itråd med hvordan dette er regulert i andre sam-menlignbare nasjoner. For norske leverandører vilen tidsbasert leverandørklarering også gjøre detlettere å konkurrere om oppdrag på det interna-sjonale markedet.

Utvalget støtter også innretningen på den fore-slåtte bestemmelsen om anskaffelser til kritiskinfrastruktur. Innretningen med at virksomheteneplikter å gjennomføre en risikovurdering vedanskaffelser er, slik utvalget ser det, også i trådmed den innretning utvalget har på forslaget til nysikkerhetslov. De øvrige endringene utvalget fore-slår, særlig når det gjelder de foreslåtte mekanis-mene om deling av trusselinformasjon, også settevirksomhetene i bedre stand til å kunne gjøre enforsvarlig risikovurdering ved slike anskaffelser.

Utvalget mener imidlertid at plikten til å gjørerisikovurderinger, må avgrenses til de virksomhe-ter som faktisk omfattes av loven, det vil si de virk-somheter som råder over skjermingsverdige objek-ter eller skjermingsverdig infrastruktur. Utvalgetsforslag til utvidelse av lovens virkeområde, vil med-føre at virksomheter som råder over infrastrukturav kritisk betydning for grunnleggende nasjonalefunksjoner vil bli underlagt loven. Hvorvidt detteinnebærer at alle virksomheter som er ment åomfattes av den foreslåtte § 29 a, også omfattes avbestemmelsen i utvalgets lovforslag, vil avhenge avhvilke vurderinger departementene og Sikkerhets-myndigheten gjør når det gjelder vedtak overforvirksomheter som skal underlegges loven.14 Prop. 97 L (2015–2016), 48.

15 Norges vassdrag- og energidirektorat (NVE).


Kapittel 12

Eierskapskontroll

12.1 Innledning

I henhold til utvalgets mandat skal utvalget:

…vurdere behov for regulering/kontroll over-for selskaper som håndterer informasjon, tek-nologi og/eller fysiske aktiva av betydning forsamfunnets sikkerhet, herunder håndteringenav endringer i statens eller andres eierskap islike selskaper. Dette kan være selskaperinnen forsvarssektoren eller i sivil sektor.

Stadig større deler av det som tradisjoneltutgjorde en integrert del av statens virksomhet,og som således lå innenfor alminnelig instruk-sjonsmyndighet og kontroll, ivaretas i dag av selv-stendige rettssubjekter. Grunnleggende nasjonalefunksjoner er derfor i økende grad avhengig avunderstøttelse fra private selskaper for å kunneopprettholde evnen til å ivareta sine oppgaver.Dette kan føre til en økt sårbarhet for grunnleg-gende nasjonale funksjoner. For private selskaper,hvor staten ikke har eierinteresser som sikrer enviss grad av kontroll, eksisterer det i dag ingenhjemmel for en generell kontroll med eierskapet iselskapene.

Utvalgets målsetting er å sikre at staten har til-strekkelige og riktige virkemidler for å kunneregulere selskaper som håndterer informasjon,teknologi eller fysiske aktiva av kritisk betydningfor grunnleggende nasjonale funksjoner. Engrunnleggende forutsetning for utvalget i dennesammenheng, er at de virkemidler som gjøres til-gjengelig for staten ikke samtidig i vesentlig gradinnskrenker selskapenes muligheter til å konkur-rere i et globalt marked.

En grunnleggende problemstilling i dennesammenheng er hvorvidt eksisterende regelverk,både dagens sikkerhetslov og regelverk på til-grensende områder, gir tilstrekkelige virkemidlerfor å kunne håndtere denne sårbarheten.

En annen grunnleggende problemstilling erhvorvidt en generell hjemmel for å kontrollereeierskapet i slike selskaper, vil få den tilsiktede

effekt – uten at dette samtidig får uforholdsmessigstore konsekvenser for selskapenes konkurranse-dyktighet.

12.2 Gjeldende rett

Det finnes en rekke regelverk som har til hensiktå kontrollere eierskapet i norske selskaper. Ingenav regelverkene har imidlertid som formål åhjemle en generell kontroll med eierskapet i stra-tegisk viktige selskaper.

Konkurranseloven1 har som formål å fremmekonkurranse for derigjennom å bidra til effektivbruk av samfunnets ressurser. Konkurransetilsy-net kan i medhold av konkurranseIoven § 16 forbyforetakssammenslutninger som vil føre til ellerforsterke en vesentlig begrensning av konkurran-sen i strid med lovens formål. Konkurranseloven§ 17 gir nærmere bestemmelser om Konkurranse-tilsynets myndighet vedrørende fusjonskontrollgjennom å definere hva som utgjør en foretaks-sammenslutning. En av formene for foretakssam-menslutning er gjennom et såkalt kontrollerverv,jf. § 17 annet ledd. Kontroll defineres i § 17 tredjeledd som «mulighet til å utøve avgjørende innfly-telse over et foretaks virksomhet».

Børsloven2 har som formål å legge til rette foreffektive, velordnede og tillitvekkende markederfor finansielle instrumenter, jf. børsloven § 1.Loven § 17 gir nærmere bestemmelser om eier-kontroll i regulert marked som ikke er børs.Erverv som fører til at erververen kan bli eier aven betydelig eierandel i slike markeder, kan baregjennomføres etter at melding om dette på for-hånd er sendt til Finanstilsynet. Med betydeligeierandel menes i denne sammenheng direkteeller indirekte eierandel som representerer minst

1 Lov 5. mars 2012 nr. 12 om konkurranse mellom foretak ogkontroll med foretakssammenslutninger (konkurranselo-ven).

2 Lov 29. juni 2007 nr. 74 om regulerte markeder (børslo-ven).


10 prosent av aksjekapitalen eller stemmene, ellerpå annen måte gjør det mulig å utøve betydeliginnflytelse over forvaltningen av selskapet, jf.loven § 17 første ledd annet punktum. Finanstilsy-net kan nekte slikt erverv dersom aksjeeier ikkeanses egnet til å sikre en god og fornuftig forvalt-ning av foretaket, jf. § 17 tredje ledd.

Industrikonsesjonsloven3 har som formål at lan-dets vannkraftressurser skal forvaltes til beste forallmennheten. Dette skal sikres gjennom offentligeierskap på statlig, fylkeskommunalt og kommu-nalt nivå, jf. industrikonsesjonsloven § 1 førsteledd. Etter industrikonsesjonsloven § 2 kan pri-vate eie kraftproduksjon så lenge det offentlige«direkte eller indirekte innehar minst to tredelerav kapitalen og stemmene og organiseringen erslik at det åpenbart foreligger reelt offentlig eier-skap» (konsolideringsmodellen). Industrikonse-sjonslovens bestemmelser om åpenbart reeltoffentlig eierskap legger en klar restriksjon påmulighetene for å selge kraftproduksjon til private(herunder utenlandske) eiere.

Det finnes i tillegg regelverk av sektorovergri-pende karakter, som har elementer av kontrollmed eierskap, men da knyttet til leverandører ikonkrete anskaffelser og ikke til strategisk viktigeselskaper som sådan.

Sikkerhetsloven kapittel 7 om sikkerhetsgraderteanskaffelser regulerer anskaffelser hvor leveran-døren kan få tilgang til skjermingsverdig informa-sjon eller skjermingsverdig objekt, jf. sikkerhets-loven §§ 27 og 28. I forbindelse med en leveran-dørklarering plikter den aktuelle leverandøren ågi alle opplysninger som antas å være av betyd-ning for klareringsspørsmålet. I dette ligger ogsået krav om at leverandøren plikter å opplyse omblant annet eierstruktur. Leverandøren skal ogsåuten ugrunnet opphold orientere Nasjonal sikker-hetsmyndighet om endringer i styre eller ledelse,forandringer i eierstrukturen, flytting av lokalite-ter og utstyr etc., jf. § 28 fjerde ledd. Regelverketer imidlertid avgrenset til konkrete anskaffelser,og er således mindre egnet for å ivareta mer gene-relle behov for kontroll med eierskapet i strate-gisk viktige selskaper. For en mer utførlig omtaleav regelverket for sikkerhetsgraderte anskaffel-ser vises det til kapittel 11.

Regjeringens forslag til innføring av en lovbe-stemmelse om varslingsplikt og myndighet til åfatte vedtak ved anskaffelser til kritisk infrastruk-tur, se omtalen av § 29 a i kapittel 11.2.4, foreslås idet vesentlige videreført i utvalgets lovforslag.

Som nevnt i kapittel 11.3.2 har kraftsektorenen egen regulering av anskaffelser til energiforsy-ningen. Det følger av beredskapsforskriften § 6-6at anbudsinnbydelser og lignende skal begrensesnår det er nødvendig for å hindre at sikkerhets-gradert eller sensitiv informasjon om energiforsy-ningen blir offentlig tilgjengelig gjennom anbuds-dokumentene.

12.2.1 Tidligere lov om erverv av nærings-virksomhet

12.2.1.1 Ervervsloven

Norge hadde frem til EØS-avtalens ikrafttredelsekonsesjonslovgivning om godkjenning av eier-skifte, som diskriminerte mellom norske og uten-landske statsborgere.

Etter at Norge sluttet seg til EØS-avtalen, vardet ikke lenger lovlig å opprettholde et diskrimi-nerende regelverk hvor bare utenlandskebedriftsoppkjøp i Norge krevde konsesjonsbe-handling. Dette, i tillegg til at det gamle konses-jonsregelverket var blitt utdatert, medførte behov3 Lov 14. desember 1917 nr. 16 om erverv av vannfall mv.

(industrikonsesjonsloven).

Boks 12.1 Utstyrsdiversitet

Det digitale sårbarhetsutvalget har i sin utred-ning påpekt at manglende diversitet i utstyrs-leverandørmarkedet innen ekominfrastruktu-ren er en kilde til sårbarhet. Konkurranselov-givningen vil i noen grad kunne bidra til å for-hindre monopolleverandører, men Sårbarhets-utvalget mener at denne lovgivningen ikke itilstrekkelig grad har klart å forhindre at deter en ensidighet i visse utstyrsleverandører.

Sårbarhetsutvalget har i denne forbindelseanbefalt at Nkom, i samråd med Konkurranse-tilsynet, bør ta initiativ til å utrede hvorvidtman i dag har tilstrekkelige virkemidler for åivareta dette forholdet. Det blir også vist til atdenne problemstillingen bør tas med i utfor-mingen av ny sikkerhetslov.

Nkom har i sin høringsuttalelse, datert 15.mars 2016, uttalt at konkurranselovgivningenikke er egnet til å oppnå formålet hva gjelderutstyrsdiversitet. Nkom støtter forslaget om atproblemstillingen bør tas med i utformingenav ny sikkerhetslov.

Kilde: NOU 2015: 13, 115.


for å utvikle et nytt og moderne regelverk som varbedre tilpasset reguleringsbehovet vedrørendeeierskifte i næringslivet. Resultatet av denne pro-sessen var ervervsloven4 som trådte i kraft 1.januar 1995.

Ervervsloven gjaldt for erverv av eiendeler inorske foretak, samt erverv av aktiva som innebarovertakelse av næringsvirksomhet i Norge, jf.loven § 1 første ledd. Ervervsloven har ikke etklart definert formål, verken i loven eller i forar-beidene. Det følger av forarbeidene at loven førstog fremst var ment å dekke de behovene myndig-hetene hadde for kontroll på og styring med eier-skifte i norsk næringsliv, være preventiv overforuseriøse investorer, bidra til å vedlikeholde syssel-setting og bosetting i distriktene, samt sikre infor-masjon om eierstrukturene i norsk næringsliv.5

Ervervsloven var basert på et meldepliktsys-tem, hvor de som ervervet eiendeler i et norsk

foretak hadde meldeplikt avhengig av omfangetpå oppkjøpet. Meldeplikten gjaldt både for nasjo-nale og utenlandske oppkjøpere. Meldeplikteninntrådte ved erverv som medførte at erververenble innehaver av «mer enn en tredel eller minst enhalvdel, eller minst to tredeler av samtlige eieran-deler eller av stemmeberettigede eierandeler», jf.loven § 4 første ledd. Meldeplikten ble bare utløsti de tilfeller der foretaket hadde:

– over 50 tilsatte, eller– en omsetning siste år på over 50 millioner kro-

ner, eller– mottatt offentlig støtte til forskning og utvik-

ling på over 5 millioner kroner til minst etenkeltprosjekt gjennom de siste åtte årene.

Oppkjøpet skulle meldes til departementet innen30 dager etter at bindende avtale om erverv varinngått, jf. loven § 9. Etter at oppkjøpet var meldttil departementet, hadde departementet en fristpå 30 dager til å vurdere ervervet, jf. loven § 10.Dersom departementet ikke ga skriftlig meldingom behov for ytterligere informasjon eller at opp-kjøpet ville bli underlagt nærmere vurdering etterloven kapittel 6, innen fristen på 30 dager, ble opp-kjøpet ansett som godkjent.

Dersom departementet hadde grunn til å antaat oppkjøpet kunne ha vesentlige negative virknin-ger for foretaket, bransjen eller samfunnet forøvrig, herunder sysselsettingsmessige virkninger,kunne oppkjøpet undergis nærmere vurdering, jf.§ 13. Med mindre allmenne hensyn talte imot,skulle oppkjøpet godkjennes. Dersom godkjen-ning ikke ble gitt, kunne departementet påleggeoppkjøperen å avhende de eierandeler eller aktivadet meldepliktige oppkjøpet omhandlet innen ennærmere angitt frist, jf. § 17.

Etter loven kapittel 7 hadde departementetogså hjemmel til å fastsette nærmere bestemte vil-kår som av allmenne hensyn var nødvendig for atoppkjøpet skulle kunne godkjennes.

Brudd på de plikter som påhvilte erververetter loven var sanksjons- og straffebelagt etterloven kapittel 8. Brudd på meldeplikten, fristover-sittelse eller nekting av erverv kunne sanksjone-res etter loven § 19, herunder ileggelse av tvangs-mulkt, pålegg om salg og gjennomføring avtvangssalg. Avgivelse av uriktige og/eller ufull-stendige opplysninger kunne sanksjoneres etter§ 20. Ved brudd på vilkår etter loven kapittel 7,kunne departementet ilegge tvangsmulkt inntilforholdet ble brakt i orden, jf. § 21. Forsettlig elleruaktsom overtredelse av loven var også straffbe-lagt med bøter, jf. loven § 22.

4 Lov 23. desember 1994 nr. 79 om erverv av næringsvirk-somhet (ervervsloven).

5 Ot.prp. nr. 62 (2001–2002) om lov om oppheving av lov omerverv av næringsverksemd, 10.

Boks 12.2 Historikk

Frem til 1888 hadde både utlendinger og nor-ske statsborger fri tilgang til å erverve eien-domsrett og bruksrett til fast eiendom iNorge. Fra 1888 kom den første konsesjonslo-ven – statsborgerrettsloven – som innførte engenerell konsesjonsplikt for utenlandske per-soner og selskap som ervervet norsk eien-dom. Loven var begrunnet i frykten for atfremmede land og statsborgere skulle kjøpeopp store områder i Norge. Etter hvert bleogså ønsket om å bevare viktige naturressur-ser som vannfall, mineralforekomster ogskogseiendommer en viktig motivasjon forlovgivningen.

Etter en omfattende lovrevisjonsprosess i1917 ble konsesjonsreglene strammet inngjennom en ny konsesjonslov (industrikonse-sjonsloven). En viktig endring var at ervervav aksjer og andeler i selskap ble underlagtkonsesjonsplikt dersom selskapene haddeeiendomsrett eller bruksrett som medførtekonsesjonsplikt ved direkte erverv. Konse-sjonsplikten gjaldt kun for utenlandske retts-subjekter som ervervet fast eiendom.

I 1974 ble industrikonsesjonsloven erstat-tet av en ny allmenn konsesjonslov.


12.2.1.2 Opphevelsen av ervervsloven

I Ot.prp. nr. 62 (2001–2002) fremmet Nærings- ogfiskeridepartementet forslag om å oppheve erver-vsloven. En forutgående evaluering av lovenhadde vist at det reelle behovet for å kontrollereeierskifte var lite fordi det sjelden var knyttet dra-matiske endringer til slike skifter. Det ble vist til atde strukturelle endringene i næringslivet først ogfremst skjedde som følge av endringer i markeds-forhold og lignende, og uavhengig av eierskifte.

Departementet hadde siden lovens ikrafttre-delse og frem til 31. desember 2001 mottatt mel-ding om til sammen 2147 erverv. Av disse melde-pliktige ervervene hadde 13 erverv vært oppe tilnærmere prøving etter loven kapittel 6. Ingen avdisse hadde resultert i at godkjenning ble nektet.For åtte av sakene ble det stilt vilkår for godkjen-ningen.

Etter departementets vurdering var det ikkelenger et reelt behov for norske myndigheter åkontrollere eierskifte i norsk næringsliv. Lovenhadde ikke vært et effektivt virkemiddel for åsikre næringsvirksomhet i Norge, slik intensjonenmed loven var. Departementet pekte videre på atloven hadde utspilt sin rolle i dagens samfunnmed fri flyt av både kapital, virksomhet ogarbeidskraft på tvers av landegrensene. En sær-norsk regulering på dette feltet kunne etter depar-tementets oppfatning ikke sies å ha hatt deønskede virkningene, verken for norske myndig-heter eller for norsk næringsliv, inkludert norskearbeidstakere.

Departementet viste også til at loven haddemedført et unødvendig byråkrati, og at den skapteuforutsigbarhet for eventuelle investorer. I tilleggpåførte loven norsk næringsliv både direkte ogindirekte kostnader.

Departementet viste til at ervervsloven i noenutstrekning hadde blitt benyttet til å få informasjonom eierens planer med selskaper, og dermedberedskapssituasjonen. Det ble imidlertid lagt tilgrunn at loven primært ikke hadde dette formålet.Andre hensyn som loven delvis hadde dekket,mente departementet kunne ivaretas uten erverv-sloven. Hva gjaldt hensynet til sikkerhet og bered-skap, vurderte departementet at dette ikke var denavgjørende grunnen for å etablere ervervsloven:

På bakgrunn av høyringssvara meiner departe-mentet at det ut frå beredskaps- og tryggleiks-omsyn ikkje er komme fram avgjerandegrunnar som tilseier at ervervslova ikkje kan

opphevast. Departementet viser til at bered-skapsaspektet ikkje var den avgjerande grun-nen til å etablere ervervslova. Ervervslova vilderfor langt frå vere noko fullgodt alternativnår ein skal løyse problematikken som høy-ringsinstansane peiker på. Slike omsyn bør,slik FO/S og DSB tek til orde for, i staden inn-arbeidast i og bli tatt omsyn til i samband medein framtidig revisjon av tryggleiks- og bered-skapsregelverket. Departementet meiner der-for at det ikkje føreligg tungtvegande grunnartil å avvente opphevinga av ervervslova til annaregelverk på området er komme til.6

Stortinget opphevet loven med virkning fra 1. juli2002.7

6 Ibid., 26. 7 Besl.O. nr. 80 (2001–2002), jf. Innst. O. nr. 72 (2001–2002)

og Ot.prp. nr. 62 (2001–2002).

Boks 12.3 EFTAs åpningsbrev til Norge

EFTAs overvåkningsorgan (EFTA Surveil-lance Authority (ESA)) sendte den 24. mars2000 et såkalt åpningsbrev til Norge, hvor detble hevdet at ervervsloven var i strid medEØS-avtalen. ESA hevdet at det hadde skjedden utvikling innenfor EF-retten, og at detmåtte innfortolkes et rent diskrimineringsfor-bud i EØS-avtalen artikkel 31 og 40. Et restrik-sjonsforbud omfattet også nasjonale, ikke-diskriminerende regler som hindret ellergjorde det vanskelig å utøve de grunnleg-gende frihetene, blant annet etablering og friflyt av kapital. Slike nasjonale regler kunneetter ESAs oppfatning bare godtas dersom devar begrunnet med tvingende allmenne hen-syn, og dersom de ikke var i strid med propor-sjonalitetsprinsippet.

Norge hevdet i sitt svarbrev til ESA atEØS-reglene ikke forbød andre restriksjonerenn de som innebærer forskjellsbehandling påbakgrunn av nasjonalitet. Det ble videre hev-det at dersom det ble lagt til grunn at detforelå et restriksjonsforbud etter artikkel 31og 40, så kunne ervervsloven begrunnes itvingende allmenne hensyn.

Ervervsloven ble opphevet før ESA kon-kluderte i saken.


12.3 Fremmed rett

12.3.1 Innledning

En rekke nasjoner har regler om myndighetskon-troll med investeringer i landet ut fra sikkerhets-messige hensyn. Hvilke typer virksomheter somer gjenstand for kontroll er i varierende gradangitt i de enkelte nasjoners regelverk. Noennasjoner praktiserer frivillig melding til myndig-hetene, mens andre pålegger erververen melde-plikt dersom nærmere vilkår er oppfylt.

I den videre fremstillingen gis en oversikt overrelevant regelverk i USA, Storbritannia, Canada,Frankrike og Finland. Danmark og Sverige harikke regelverk som regulerer denne type myndig-hetskontroll, men omtales kort nedenfor. Frem-stillingen er basert på en rapport fra Advokatfir-maet Wikborg, Rein & Co til Sikkerhetsutvalget.8

12.3.2 USA

12.3.2.1 Kontroll av utenlandske investeringer i nasjonale virksomheter – CFIUS

I USA fører Committe on Foreign Investment in theUS (CFIUS) (heretter også benevnt som Komi-teen), kontroll med transaksjoner som medførerkontrollovertakelse. Lovgrunnlaget for CFIUS sinvirksomhet består av Defense Production Act(1950) Section 721, Executive Order 11858, Fore-ign Investment and National Security Act (FINSA)og CFR Part 800 (heretter kalt Part 800).

Komiteen vurderer om kontrollovertagelsenvil kunne true nasjonal sikkerhet. I den grad deter tilfellet, skal transaksjonen forbys med mindredet lar seg gjøre å fremforhandle en avtale medpartene som løser problemet. Det er frivillig åinngi melding til Komiteen, men Komiteen kangripe inn på eget initiativ og pålegge vilkår ellerforby kontrollovertagelsen.

I de tilfellene der det ikke inngis frivillig mel-ding er CFIUS avhengig av å få kunnskap om rele-vante transaksjoner på andre måter. Dette skjerved at CFIUS sjekker pressemeldinger, meldingertil Securities and Exchange Commission og andreoffentlige notifikasjoner og meldinger til offent-lige myndigheter for å få en oversikt over transak-sjoner som er gjennomført eller som planlegges.

12.3.2.2 Relevante transaksjoner

Hvilke typer transaksjoner som er gjenstand forkontroll er regulert i Part 800, Subpart C,§ 800.301. Transaksjoner som rammes er:

a) en transaksjon som medfører eller kan med-føre at en U.S business (heretter nasjonal virk-somhet) blir kontrollert av en utenlandskperson,

b) en transaksjon som innebærer at en uten-landsk person overdrar sin kontroll over ennasjonal virksomhet til en annen utenlandskperson,

c) en transaksjon som medfører eller kan med-føre at en utenlandsk person får kontroll overen del av en virksomhet (entity) eller av eneiendel (assets), så fremt denne utgjør ennasjonal virksomhet, og

d) et joint venture eller lignende, der en av par-tene kommer inn med en nasjonal virksomhetog en utenlandsk person kan kontrollere dennasjonale virksomheten gjennom joint ventu-ret.

Lån eller lignende til en nasjonal virksomhetomfattes i utgangspunktet ikke, med mindre låne-forholdet kan foranledige kontrollovertagelse,eksempelvis der lånet er konvertibelt eller der lån-giver vil kunne overta virksomheten/eiendelerved mislighold, jf. §§ 800.303 og 800.304, jf.§ 800.206.

En transaksjon er i § 800.224 definert som enforeslått eller gjennomført foretakssammenslut-ning, ervervelse eller overtakelse (takeover). Detkan gjelde eierskapsinteresser, ervervelse avstemmeandeler, fullmakt fra en person med stem-meandeler, foretakssammenslutning eller konsoli-dering, opprettelse av joint venture og langvarigeleasingavtaler hvor leietaker i det vesentlige tref-fer alle forretningsmessige beslutninger som gjel-der driften av den leasede enheten.

Det er kontrollendringer i nasjonal virksomhetsom omfattes. Hva som utgjør en nasjonal virk-somhet er definert i Part 800 § 800.226. Enhverenhet som er involvert i handel mellom statene iUSA omfattes, men det gjelder kun den delen avvirksomheten som er involvert i slik handel.

En enhet er nærmere definert som enhverfilial, avdelingskontor eller underavdeling, kompa-niskap, forening, eiendom/bo, fond, selskap ellerdel av et selskap eller organisasjon (uansett hvil-ket lands lov den er underlagt), jf. § 800.211.Videre omfattes aktiva, uavhengig av om det erskilt ut som egen juridisk enhet, som drives av en

8 Wikborg, Rein & Co, Oversikt over utenlandsk lovgivningom myndighetskontroll med endret eierskap over virksomhe-ter som håndterer informasjon, teknologi og/eller fysiskeaktiva av betydning for samfunnets sikkerhet; EØS-rettsligeskranker for innføring av tilsvarende regler i Norge, elektro-nisk vedlegg 2.


av de forannevnte som et foretak på en bestemtlokalitet eller som leverer bestemte produktereller tjenester. Som enhet regnes også enhvermyndighet (herunder utenlandsk eller ameri-kansk myndighet eller lokale myndigheter ogderes respektive departementer, etater og virk-somheter).

Dette innebærer at reglene favner svært vidt,og det avgjørende er ikke virksomhetens organi-sering eller hvilket lands lover den er underlagt,men hvorvidt den driver handel eller virksomhetinnenfor USA. Det er heller ikke noe krav at detgjelder virksomhet innenfor bestemte bransjer.

Det er kun transaksjoner der en utenlandskperson kan oppnå kontroll i den ovennevnte nasjo-nale virksomhet som omfattes.

Utenlandsk person er definert i § 800.216 somenhver utlending, utenlandsk myndighet ellerutenlandsk enhet, eller enhver enhet som enutlending, utenlandsk myndighet eller utenlandskenhet har kontroll over.

12.3.2.3 Kontrollbegrepet

Kontrollbegrepet reguleres nærmere i Part 800§ 800.204. Hvorvidt det foreligger kontroll berorikke alene på eierandel eller antall styremedlem-mer, men på om man har makt til å bestemme(«the power (…) to determine, direct, or decide») iviktige saker (important matters), som nærmereeksemplifisert i bestemmelsen. Bestemmelsenlister også opp diverse vetorettigheter som i segselv ikke vil være tilstrekkelig til å gi en mindre-tallsaksjonær kontroll, jf. bestemmelsens bokstavc. Andre former for minoritetsvern vil bli vurdertkonkret (bokstav d).

Bestemmelsen minner mye om kontrollbegre-pet i norsk konsernrett med den forskjellen at lov-giver, i stedet for å overlate til praksis og domsto-lene å fastlegge dens nærmere innhold, har tattstilling til hvorvidt en rekke typeeksempler skalomfattes eller ikke.

Boks 12.4 National Industrial Security Program

USA har også et nasjonalt sikkerhetsprogram(National Industrial Security Program (NISP))som har til formål å beskytte hemmeligstempleteller sensitiv informasjon som personell får til-gang til i sitt arbeid med kontrakter, program-mer, anbud eller forsknings- og utviklingspro-sjekter for amerikanske myndigheter. Program-met foreskriver et samarbeid mellom myndighe-tene og private aktører, og er etablert i medholdav Executive Order 12829 section 6. NISP forval-tes av Defense Security Service (DSS), en etatunder USAs forsvarsdepartement. I vurderingenav om et selskap skal få tilgang til hemme-ligstemplet eller sensitiv informasjon, foretarDSS en Facility Security Clearance (leveran-dørklarering).

Virksomheter der utenlandske personer hareierinteresser reguleres av FOCI-retningslin-jene (Foreign Ownership, Control or Influence).Følgende virksomheter omfattes av regelverket:

a) nasjonale selskaper der en utenlandsk per-son har interesser (i form av eierskap ellerpå annen måte), og

b) vedkommende har direkte eller indirekteadgang til å bestemme eller styre et selskaps

virksomhet på en måte som kan medføre atuvedkommende kan få tilgang til hemme-ligstemplet informasjon, eller som kanpåvirke utførelsen av en hemmeligstempletkontrakt.

Selskaper som omfattes av regelverket får iutgangspunktet ikke sikkerhetsklarering og vildermed ikke kunne inngå i NISP. Selskapet kanimidlertid treffe tiltak for likevel å få sikkerhets-klareringen, såkalte mitigation instruments,eksempelvis gjennom overføring av stemmean-deler til en amerikansk statsborger.

Det ovennevnte regelverk og prosedyrenefor klarering foregår i utgangspunktet paralleltmed kontrollen av utenlandske investeringer inasjonale virksomheter, og det er tale om toseparate regelverk med selvstendig og separathåndheving. Imidlertid vil CFIUS i praksis leggevekt på eventuelle tiltak som selskapet har iverk-satt for å oppnå sikkerhetsklarering i sin vurde-ring. Tiltak som er godkjent under FOCI kanvære avgjørende for om CFIUS klarerer transak-sjonen, og det er anbefalt å gjennomgå NISP- ogFOCI-prosessen før transaksjonen meldes tilCFIUS.


12.3.2.4 Vurdering av inngrepsbehov: Momenter

De overordnede vurderingstemaene for hvorvidten transaksjon bør vurderes nærmere og eventu-elt forbys eller tillates på vilkår, er i henhold til§ 800.501:

a) om en utenlandsk person kan komme til åoverta kontrollen i en nasjonal virksomhet,

b) om det godtgjøres (credible evidence) at enutenlandsk person med kontroll over en sliknasjonal virksomhet kan tenkes å ville utførehandlinger som vil kunne true nasjonal sikker-het, og

c) om nasjonal lovgivning, foruten Section 721 ogthe International Emergency Economic PowersAct, gir tilstrekkelig beskyttelse mot denpotensielle trusselen/faren.

Det følger videre av § 800.503 at meldte transak-sjoner skal undersøkes nærmere dersom deomfattes av § 800.301 (jf. kapittel 12.3.2.2), og etmedlem av Komiteen mener de truer nasjonal sik-kerhet, eller den aktuelle fagetaten (lead agency)anbefaler undersøkelse. Transaksjonen skal alltidundersøkes nærmere hvis den vil medføre at kon-troll overtas av en utenlandsk myndighet ellerdersom den vil medføre at en utenlandsk personfår kontroll over kritisk infrastruktur (criticalinfrastructure).

Kritisk infrastruktur er definert i § 800.208som et system eller eiendel (asset), fysisk eller vir-tuelt, som er så vesentlig eller nødvendig for USAat funksjonssvikt eller ødeleggelse vil svekkenasjonal sikkerhet.

Øvrige faktorer som kan tas i betraktning ivurderingen av om nasjonal sikkerhet trues, erdetaljert opplistet i Section 721, (f) og omfatterblant annet produksjon i USA som er nødvendigfor Forsvaret; nasjonal industris evne og kapasitettil å dekke Forsvarets behov; betydningen av uten-landske personers kontroll av nasjonal industri ogkommersiell aktivitet for USAs evne og kapasitettil å ivareta nasjonal sikkerhet etc.

Ovennevnte regler suppleres av CFIUS’ egneretningslinjer for saksbehandlingen. Av dissefremgår det at den nasjonale virksomhetens art ogden utenlandske personens identitet skal tas ibetraktning i vurderingen av hvorvidt nasjonalsikkerhet kan bli truet som følge av transaksjo-nen.

12.3.2.5 Saksbehandlingen

CFIUS vurderer hvorvidt en transaksjon omfattesav regelverket og hvorvidt det bør treffes tiltak, jf.§ 800.501 og FINSA section 5. Det følger også avsistnevnte at en utpekt underenhet kan gjøre vur-deringen på vegne av Komiteen. CFIUS hadde pået tidspunkt etter 2007 hele ni underliggendeenheter. Komiteen ledes formelt av finansmi-nisteren, og består for øvrig av en rekke relevanteministre og etatsledere. Komiteen skal møtes ihenhold til presidentens pålegg eller ved innkal-ling fra møteleder.

Presidenten skal forelegges en rapport der-som Komiteen mener at transaksjonen bør utset-tes eller forbys, dersom Komiteen er i tvil ellerikke klarer å treffe en beslutning eller dersomKomiteen ønsker at presidenten tar beslutningen.

Selskaper som skal gjennomføre en transak-sjon kan gi frivillig melding til Komiteen.

Transaksjoner som ikke notifiseres ved frivil-lig melding kan bli fanget opp gjennom Komiteensegne undersøkelser. Dersom Komiteen etter slikeundersøkelser oppdager en transaksjon somKomiteen anser for å være omfattet av regelver-ket, og Komiteen har grunn til å tro at transaksjo-nen kan ha betydning for nasjonal sikkerhet, kanKomiteen kreve (request) nødvendig informasjonfra partene. Dersom Komiteen basert på mottattinformasjon kommer til at transaksjonen bør mel-des, kan Komiteen kreve at det inngis melding, jf.§ 800.401. Partene har da informasjonsplikt, jf.§ 800.701, og dersom informasjonsplikten ikkeoverholdes, kan Komiteen innhente informasjo-nen ved stevning til retten eller med andre midler,jf. 50 U.S.C. App. 2155(a).

Det er klare regler for hva en melding skalinneholde for å kunne saksbehandles. Parteneoppfordres til å kontakte Komiteen på forhånd,blant annet for å sørge for at meldingen inne-holder all nødvendig informasjon, og for at Komi-teen skal få oversikt over saken, jf. § 800.401. Inn-holdskravene er detaljerte og følger av § 800.402.

Fra og med beslutning om at meldingen opp-fyller formkravene er tatt har Komiteen 30 dagerpå vurdere om transaksjonen skal undersøkesnærmere, jf. § 800.502 (b). Partene skal ha infor-masjon om at melding er inngitt og at undersø-kelse er igangsatt, jf. § 800.503. Dersom Komiteenvelger å undersøke transaksjonen nærmere, skaldette gjennomføres innen nye 45 dager, jf.§ 800.506.

Komiteen kan i løpet av denne perioden frem-forhandle avtale eller pålegge vilkår som partene itransaksjonen må oppfylle for å unngå svekkelse


av nasjonal sikkerhet. Avtale eller vilkår skalbygge på en risikobasert analyse foretatt av Komi-teen, jf. Section 721 (I) (1) (A) og (B).

Presidenten skal forelegges en rapport der-som Komiteen mener at transaksjonen bør utset-tes eller forbys, dersom Komiteen er i tvil ellerikke klarer å treffe en beslutning, eller dersomKomiteen for øvrig ønsker at presidenten tarbeslutningen. Presidenten har 15 dager på å treffeen beslutning, jf. FINSA section 6.

Partene har anledning til å trekke meldingenetter nærmere bestemmelser i § 800.507. Det måblant annet søkes om Komiteens tillatelse til åtrekke meldingen. Tillatelse kan gis på nærmerefastsatte vilkår etter Komiteens vurdering. Eteksempel er pålegg om prosedyrer som må gjen-nomføres for at Komiteen skal kunne følge medpå sakens videre utvikling.

Ettersom det er frivillig å inngi melding, er detheller ikke noe formelt gjennomføringsforbudeller krav om forhåndsgodkjenning. Men etter-som myndighetene kan gripe inn på eget initiativ,må partene i en transaksjon selv vurdere risikoenfor dette og planlegge transaksjonen deretter, her-under regulere risikoen for inngrep.

Det synes noe uklart i hvilken grad CFIUS’avgjørelser kan påklages. Regelverket gir ikke iseg selv anvisning på klagemuligheter. Men i enavgjørelse den 15. juli 2014 kom en domstol til atCFUIS’ saksbehandling ikke ga partene tilstrek-kelige kontradiksjonsmuligheter, og det ble dahenvist til 5th Amendment og dens bestemmelserom due process.

§ 800.801 gir CFIUS hjemmel for administrativileggelse av mulkt (penalty) ved grov uaktsomeller forsettlig inngivelse av uriktige eller mangel-fulle opplysninger, og ved inngivelse av falsk full-makt der dette er påkrevd. Brudd kan medførebøter på opptil USD 250 000 per overtredelse.

Sanksjonene utelukker ikke at det i tillegg kanreageres etter andre sivile eller strafferettsligeregler, jf. bestemmelsens bokstav g. Bøtene kaninndrives ved å reise sak for føderale domstoler, jf.bokstav f.

Etter Section 721 bokstav m er CFIUS pålagt åutgi en årlig rapport til Kongressen med statistikkog informasjon om hvem som har gitt melding,hvilke typer bransjer, meldinger som er trukket,vilkår og avtaler, samt en redegjørelse for pågå-ende vurderinger av transaksjoner som kan habetydning for utenlandske personers kontroll avnasjonale selskaper som driver med forskning ogutvikling eller produserer kritisk teknologi.

Fra Komiteens årsrapport for 2013 følger detat det ble inngitt 97 meldinger som ble ansett som

relevante transaksjoner og dermed gjenstand fornærmere vurdering. Av disse gjennomførte Komi-teen etterfølgende undersøkelser i 48 av tilfellene.Fra 2011 til 2013 ble det avtalt eller pålagt vilkår i27 av tilfellene.

Selskapenes overholdelse av avtaler og vilkårfølges opp blant annet ved periodisk rapporteringtil myndighetene, besøk fra myndighetene, grans-kning gjennomført av tredjeparter, etterforskningog forebyggende tiltak ved mistanke om vil-kårsbrudd.

12.3.3 Storbritannia

The Industry Act fra 1975 gir i Part II myndighe-tene hjemmel for å gripe inn ved utenlandsk kon-trollovertagelse over viktige produksjonsvirksom-heter (important manufacturing undertakings),forutsatt at overtakelsen er i strid med nasjonaleinteresser (Art. 13 (1) (b)). Interesser skal forståssom interesser knyttet til «public policy, publicsecurity or public health» (Art. 13 (7)).

Finner myndighetene grunn til å gripe inn,kan de forby, begrense eller fastsette vilkår forovertakelsen, jf. Art. 13 (1) (b) (i) og (ii), men i til-legg også selv overta eierskap til virksomheten(Art. 13 (2)). I sistnevnte tilfelle må det svareserstatning, jf. Art. 16 (6) og Art. 19. Avgjørelsenkan bringes inn for voldgift, jf. Art. 20.

Per oktober 2015 hadde myndighetene ennåikke benyttet seg av muligheten til å gripe innetter disse bestemmelsene.

The Enterprise Act fra 2002 angir i Part 3,Chapter 2, at myndighetene kan stoppe eller settevilkår for sammenslåinger (mergers) og overta-kelse av britiske selskaper, hvis transaksjonen måanses å stride mot offentlige interesser (publicinterest consideration), jf. Art. 42.

Slike offentlige interesser omfatter nasjonalsikkerhet, jf. Art. 42, jf. Art. 58, som igjen viser tilpublic security som definert i EUs Fusjonsforord-ning (EC 139/2004) art. 21 (4).

Myndighetene kan videre gripe inn ved over-takelse av en enhet som har vært leverandør tilmyndighetene og som dermed er i besittelse avforsvarsrelatert informasjon, jf. Art 59 (1), jf. (2),(3) og (8). Ellers omfattes også tilfeller som ettermyndighetenes egen oppfatning må anses å væreen fare for offentlige interesser, jf. Art. 42 (3).

Bestemmelsen nevner ikke utenlandsk kon-trollovertakelse spesifikt og tar i utgangspunktetsikte på å regulere foretakssammenslutningerutfra konkurranserettslige betraktninger. Menloven forstås slik at også utenlandske investerin-


ger i seg selv, kan utgjøre en trussel mot offent-lige interesser.

Myndighetene har hittil grepet inn seks gan-ger med hjemmel i denne loven med henvisningtil nasjonale sikkerhetsinteresser. Samtlige sakergjaldt hensynet til beskyttelse av militært sensitivinformasjon. Alle transaksjonene ble tillatt på vil-kår, blant annet i form av krav knyttet til forsy-ningssikkerhet og beskyttelse av gradert informa-sjon.

Regelverket under Entreprise Act 2002 forval-tes av Competition and Markets Authority (CMA)siden 2014 (før dette av Office of Fair Trading(OFT)). Transaksjoner som i beløp overstigervisse terskelverdier er meldepliktige. Men når detgjelder nasjonal sikkerhet, kan myndighetenegripe inn på eget initiativ mot transaksjoner uav-hengig av transaksjonens størrelse.

Storbritannia praktiserer for øvrig kontrollover virksomheter gjennom direkte eierskap avkontrollerende aksjeposter, herunder såkalte goldenshares, det vil si mindre aksjeposter med spesielletilknyttede vedtektsfestede rettigheter. Gjennomslike poster kan myndighetene blant annetbegrense størrelsen på andres aksjebeholdning iselskapet, blokkere utenlandsk overtakelse ogkontrollere utnevnelsen av styremedlemmer.Praksisen med golden shares har vært kritisert oger redusert de siste årene.

12.3.4 Canada

Investment Canada Act (ICA) fra 1985 retter segdirekte mot utenlandske investeringer i Canada.Disse blir vurdert opp mot en generell net benefittest, og siden 2009 vurderes det i tillegg særskiltom investeringen kan være skadelig for nasjonalsikkerhet.

Reglene er inntatt i lovens Part IV.1 og fåranvendelse når en investering gjøres av en non-Canadian, jf. definisjonen i lovens Art. 3. For sel-skaper synes essensen å være hvorvidt det er kon-trollert (direkte eller indirekte) av kanadiske bor-gere. Det er således uten betydning at kjøpersel-skapet er et kanadisk selskap dersom det er eid avutlendinger. I tilfeller av spredt eierskap hvor detvil være vanskelig å fastslå fra hvilke land eiernekommer fra eller hvor virksomheten ikke kan sieså bli styrt av aksjonærene (eksempelvis børsno-tert selskap uten noen dominerende aksjonærer),vil det være krav om at 2/3 av styremedlemmenemå være kanadiske borgere for å gå klar avreglene.

Hvis investeringen gjøres av en non-Canadian,skal det sendes inn melding dersom det gjelder

etablering av ny virksomhet eller ved overtakelseav kontroll over en kanadisk virksomhet, jf. lovensArt. 11. I sistnevnte tilfelle vil transaksjonen bligjenstand for vurdering (review) dersom denbeløpsmessig overstiger visse terskler. Terskel-verdiene avhenger blant annet av om målselska-pet er eller blir overtatt av en WTO-investor, ellerav en statlig kontrollert investor, og av om det eren kulturrelatert virksomhet (cultural business), jf.loven Art. 14.

For så vidt gjelder utenlandsk statlig kontrol-lert investor er det gitt egne retningslinjer forsaksbehandlingen. Det følger av disse at sliketransaksjoner vil være gjenstand for visse til-leggsundersøkelser. Myndighetene vil såledesforsikre seg om at virksomheten vil bli drevetetter kommersielle prinsipper og basert på kana-diske prinsipper for god virksomhetsstyring (cor-porate governance).

Hva som utgjør kontrollovertakelse er utførligregulert i Art. 28. Det er en presumsjon for kon-trollovertakelse i tilfelle overtakelse av mellom 1/3 og 50 % av aksjene, med mindre det godtgjøresat dette ikke gir faktisk kontroll (control-in-fact).Dette vil være praktisk ved børsnoterte selskaperhvor største aksjonær har en slik aksjebehold-ning. Indirekte kontrollovertakelse, herunder avutenlandsk morselskap, ser også ut til å væreomfattet. Overtakelse av utenlandsk selskap medkanadisk avdeling som ikke er organisert som etselskap (muligens tilsvarende norsk NUF) ram-mes derimot ikke.

Hovedtema for vurderingen er hvorvidt inves-teringen vil være en net benefit for Canada, jf. Art.16. Relevante momenter i den vurderingen erlistet opp i Art. 20 og inkluderer blant annet effek-ten på (i) økonomisk aktivitet i Canada (herunderpå sysselsetting), (ii) produktivitet, effektivitet,teknologisk utvikling mv. i Canada, (iii) konkur-ransen i Canada og (iv) Canadas evne til å konkur-rere i globale markeder. Vurderingen kan slå utforskjellig avhengig av politiske føringer knyttettil bestemte bransjer. Eksempelvis skal det ikkevære adgang til utenlandske overtakelser innen-for film- og forlagsbransjen. Overtakelse innenforandre bransjer kan tenkes begrenset med grunn-lag i reglene om nasjonal sikkerhet.

Uavhengig av hvorvidt det skal gjøres enreview som nevnt ovenfor, det vil si uansett trans-aksjonens størrelse, skal det vurderes om investe-ringen kan være skadelig for nasjonal sikkerhet.Dette er regulert særskilt i lovens Part IV.1.Senest innen 45 dager etter at melding eller søk-nad om review er mottatt, skal myndighetenevarsle den utenlandske investoren om at transak-


sjonen eventuelt vil bli gjenstand for en slik vurde-ring. Transaksjonen skal deretter stilles i bero, jf.Art. 25.2 (2).

Også der transaksjonen allerede er gjennom-ført, for eksempel med bakgrunn i at det ikke varmeldingsplikt i utgangspunktet, vil myndighetenekunne ta initiativ til kontroll ved å varsle parteneom at det skal iverksettes en vurdering utfra hen-synet til nasjonal sikkerhet. Melding om dette måi så fall gis innen 45 dager etter gjennomføring avtransaksjonen.

Adgangen til å vurdere en transaksjon etterPart IV.1 gjelder også andre former for investerin-ger enn nyetablering og kontrollovertakelse, her-under erverv av ikke-kontrollerende eierandeler,se Art. 25.1 (c).

I vurderingen skal det tas stilling til hvorvidtinvesteringen «could be injurious to nationalsecurity», jf. Art. 25.2 (1). Begrepet nationalsecurity er ikke definert nærmere i loven, og detlegges da opp til en bred skjønnsutøvelse i prakti-seringen av reglene. Det gjelder heller ingenbeløpsmessige terskelverdier når det gjøres ennational security review.

Beslutningene treffes av den aktuelle fagstats-råden og/eller regjeringen (Governor in Council).I prinsippet kan enhver type beslutning som vur-deres som tilrådelig for å beskytte nasjonaleinteresser treffes, i loven eksemplifisert som (i)forbud, (ii) tillatelse på vilkår og (iii) krav omnedsalg til en ikke-kontrollerende eierandel, jf.Art. 25.4 (1). Eksempler på vilkår kan være at enviss andel av styremedlemmene (vanligvis 25 %)og ledelsen må være kanadiske.

Avgjørelsene kan ikke påklages, men kanpåankes etter reglene i Federal Courts Act, jf. Art.25.6.

Så langt er få transaksjoner blitt stoppet i med-hold av ICA med bakgrunn i hensynet til nasjonalsikkerhet, men det antas at flere er blitt avlystunderveis i saksbehandlingen.

I forlengelsen av ICA har Canada i tillegg vissesektorbaserte reguleringer som også gir anled-ning til å ta hensyn til nasjonal sikkerhet. Dissegjelder i all hovedsak skifte av eierskap eller lisen-soverføringer innenfor blant annet uranproduk-sjon, transport, kulturvirksomhet, telekommuni-kasjon og kringkasting. Dessuten er den finansi-elle servicesektoren gjenstand for generelleeierskapsrestriksjoner som også kan berøre uten-landske transaksjoner. I tillegg er enkelte selska-per underlagt egne lover, eksempelvis Air Canadaog Canadian National Railway.

12.3.5 Frankrike

Frankrike har detaljerte regler om myndighets-kontroll med utenlandske investeringer i landetutfra hensynet til nasjonale interesser, herunderrelatert til nasjonal sikkerhet. Reglene finnes iCode Monétaire et Financier, Titre V om finansiellerelasjoner med utlandet, jf. første kapittel, ArticlesL151-1 til L151-4.

Article L151-1 fastslår innledningsvis et hoved-prinsipp om at finansielle relasjoner mellomFrankrike og utlandet skal være uten restriksjo-ner.

Etter Article L151-2 gis myndighetene hjem-mel til å gi nærmere bestemmelser om at det skalføres kontroll med visse typer transaksjoner utfrahensynet til nasjonale interesser:

a) valutatransaksjoner, overføring av kapital overlandegrensen og alle typer oppgjør over gren-sen,

b) beføyelser over franske eiendeler i utlandet,c) utenlandske investeringer i Frankrike (også

nedsalg), ogd) import og eksport av gull og alle andre vesent-

lige overføringer av eiendeler inn til eller ut avFrankrike.

Kontroll kan utøves i form av krav om meldeplikt,krav om forhåndsgodkjennelse eller ved at trans-aksjonen undersøkes i ettertid.

Article L151-3 oppstiller krav om forhåndsgod-kjennelse av visse utenlandske investeringer ogmå anses å være en særregulering av den tilsva-rende henvisningen i L151-2. Formålet med kon-trollen er å sikre beskyttelse av nasjonale interes-ser.

Etter Article L151-3 I, siste setning, skal detgis nærmere bestemmelser om hvilke virksom-hetsområder som skal være gjenstand for obliga-torisk forhåndsgodkjennelse. Slike bestemmelserer gitt i Dekret nr. 2005-1739 av 30. desember 2005som endret ved Dekret nr. 2014-479 av 14. mai2014. Endringsdekretet fra 2014 omtales gjernesom Alstomdekretet. I hovedsak omfattes nå sek-torene/virksomhetsområdene pengespill, tekno-logi, forsvar/våpen, infrastruktur (energi, trans-port, telekom og vann) og helse, nærmere spesifi-sert i dekretets Article R153-2.

Der investoren har tilknytning til EU gjelderdet tilleggsbestemmelser, se nedenfor i kapittel12.3.5.1.

Hva som er relevante investeringer er angitt iR153-1 og omfatter:


a) overtakelse av kontroll slik dette er definert iL233-3 i Code de Commerce over et fransk sel-skap (entreprise),

b) direkte eller indirekte overtakelse av hele ellerdeler av en fransk filial, eller

c) passering av 33,33 % direkte eller indirekteeierskap over egenkapitalen eller stemmeret-tighetene i et fransk selskap.

Alternativ c gjelder ikke for investeringer innenforEU.

Etter loven er det departementet som førerkontroll med aktuelle investeringer (L151-3 I).Etter dekretets R153-7 kan investoren kontaktedepartementet med sikte på å få en forhåndsavkla-ring av hvorvidt den aktuelle investeringen ermeldepliktig. Departementet skal da gi svar innento måneder. Manglende svar på en slik forespørseler ikke å anse som bekreftelse på at det ikke ermeldeplikt.

Meldingen skal inneholde informasjon omblant annet investorens forretningssted, hvemsom kontrollerer investoren, identiteten til aksjo-nærer med mer enn 5 % aksjer/stemmer, styre-medlemmers navn og adresse etc.

Etter R153-8 skal meldingen besvares innen tomåneder etter at fullstendig søknad er mottatt.Manglende svar er å anse som godkjennelse avtransaksjonen. Fristen kan forlenges dersom detbes om supplerende informasjon. Det praktiseresen åpen dialog mellom investoren og myndighe-tene med uformelle konsultasjoner underveis isaksbehandlingen hvor investoren kan gis mulig-het til å justere søknaden.

En eventuell godkjennelse kan gis på vilkår, jf.L151-3 II. Etter R153-9 kan det stilles som vilkårfor tillatelsen at investoren må besørge virksom-heten videreført, herunder industriell kapasitet,kapasitet knyttet til forskning og utvikling, know-how, forsyningssikkerhet med videre. Prinsippetom forholdsmessighet skal hensyntas ved fastset-telse av vilkårene. Overholdelse av vilkårene kon-trolleres av det aktuelle fagdepartementet.

Etter R153-10 skal søknaden avslås hvis (i) deter sterke grunner til å anta at investoren vil kunnebegå overtredelser av nærmere bestemte straffe-bud eller (ii) der aktuelle vilkår knyttet til en even-tuell tillatelse anses utilstrekkelige til å ivaretahensynet til nasjonale interesser.

Avslag kan bringes inn for franske domstoler,men ikke direkte for EU-domstolen. Per 2008 vardet ikke gitt avslag på noen søknader.

Der påkrevd forhåndsgodkjennelse ikke erinnhentet, kan myndighetene stoppe eller rever-sere transaksjonen, jf. Article L151-3 III. Før slikbeslutning treffes, skal den utenlandske investo-ren gis anledning til å uttale seg. Ved brudd påreglene eller pålegg kan det ilegges et gebyr påinntil det dobbelte av den ulovlige investeringen.Størrelsen på gebyret skal være proporsjonal medalvoret i overtredelsen.

Etter lovens Article L151-4 er enhver avtaleeller forpliktelse som direkte eller indirekte gjen-nomfører (réalise) en utenlandsk investering der

Boks 12.5 Alsomdekretet Article R153-2:

1. Pengespill.2. Privat sikkerhet.3. Forskning, utvikling, eller produksjon av

midler for å benyttes i ulovlig virksomhet; iterroristaktiviteter eller i patogener ellergift.

4. Utstyr for overvåkning av korrespondanseog samtaler.

5. Testing og sertifisering av sikkerheten forIT-produkter og -systemer.

6. Produksjon av varer eller tilførsel eller ser-vicetilbud for å besørge sikkerheten i IT-systemer.

7. Gjenstander og teknologi med dobbeltbruksområde, både sivilt og militært.

8. Krypteringsverktøy og -tjenester.9. Aktiviteter utført av firmaer som er

betrodd nasjonale forsvarshemmeligheter,spesielt i forbindelse med forsvarskontrak-ter eller sikkerhetsklausuler.

10. Forskning, produksjon, eller handel medvåpen, ammunisjon, krutt, og eksplosivertil militære- eller krigsformål.

11. Aktiviteter utført av virksomheter medkontrakter som angår design eller tilførselav utstyr for Forsvarsdepartementet, entendirekte eller som underleverandør, for åprodusere eller tilføre en tjeneste for en avsektorene referert til i punkt 7 til 10 oven-for.

12. Andre aktiviteter knyttet til materiell, pro-dukter eller tjenester essensielle for offent-lig ro og orden, sikkerhet og forsvaret avlandet, nemlig forsyning av elektrisitet,gass, hydrokarboner og andre energikil-der, vann, transport, elektronisk kommuni-kasjon, militære anlegg og installasjoner,samt helsesektoren.


påkrevd forhåndsgodkjennelse ikke er gitt å ansesom en nullitet (nul).

12.3.5.1 Særlig om investeringer innenfor EU

I Alstom-dekretet fra 2014, sondres det mellominvestorer med og uten tilknytning til EU. R153-3til 153-5 gjelder de med, mens R153-2 gjelder deuten EU-tilknytning.

Det føres kontroll med overtakelser innenforvirksomhetsområdene som er listet i R153-2 nr. 8-12 (det vil si militært/våpen og viktig infrastruk-tur) for begge kategoriene av investorer, jf. R153-2og R153-4. Det samme gjelder for nr. 2-7, men detgjelder da særskilte tilleggsvilkår når investorenhar EU-tilknytning. Disse tilleggsvilkårene følgerav R153-5. Terskelen for utøvelse av kontroll erdermed høyere for nr. 2-7 når det dreier seg ominvestorer med EU-tilknytning.

Særreglene for investeringer innenfor EU gjel-der der den aktuelle investoren faller innenfor enav følgende tre kategorier (jf. R153-4 og 153-5):

a) fysisk person fra et EU-land eller fra et EØS-land med skatteavtale med Frankrike,

b) selskap (entreprise) med forretningssted (siègesocial) i et slikt land, eller

c) fysisk person med fransk statsborgerskap sombor i et slikt land.

Etter R153-3, som gjelder investorer med EU-til-knytning, er alternativet passering av 33,33 % i segselv ikke å anse som en relevant investering idenne sammenheng. Investeringen må såledesenten innebære overtakelse av kontroll som defi-nert i Code de Commerce eller overtakelse av filial.

12.3.6 Finland

Den finske Lag om tillsyn över utlänningars före-tagsköp fra 2012 regulerer utlendingers adgang tilå overta innflytelse over visse finske foretak.Nasjonale sikkerhetsinteresser er et av grunnla-gene for kontrollen. Loven hjemler kontroll medutlendingers overtakelse av finske foretak. Hen-sikten med kontrollen er å ivareta ytterst viktigenasjonale interesser, jf. § 1. I § 2 defineres dettenærmere slik:

tryggande av landets försvar eller säkerstäl-lande av allmän ordning och allmän säkerhet ienlighet med artiklarna 52 och 65 i fördragetom Europeiska unionens funktionssätt när detföreligger ett verkligt och tillräckligt allvarligthot mot ett grundläggande samhällsintresse.

Kontroll skal etter § 4 føres med overtakelse avförsvarsindustriföretag. Försvarsindustriföretag er i§ 2 nr. 4 definert som sammenslutning eller virk-somhet som produserer eller leverer forsvarsma-teriell eller andre tjenester eller produkter som erviktige for det militære forsvaret. I tillegg omfattesvirksomheter eller sammenslutninger som i Fin-land tilvirker produkter med dobbelt anvendelses-område (dual use), som omfattes av det finskeeksportkontrollregelverket.

I tillegg føres kontroll med andre sammenslut-ninger eller virksomhet som av andre grunneranses å være en kritisk organisasjon med tanke påbeskyttelse av samfunnets vitale funksjoner.

Kontroll er aktuelt der investoren faller innen-for en av følgende kategorier, jf. § 2 nr. 3:

a) en utlänning som inte har sin bosättnings-ort i en stat som hör till Europeiska unionen(EU) eller Europeiska frihandelssamman-slutningen (EFTA),

b) en sammanslutning eller stiftelse som intehar sin hemort i någon av EU:s ellerEFTA:s medlemsstater,

c) en sammanslutning eller stiftelse som harsin hemort i någon av EU:s eller EFTA:smedlemsstater men i vilken en utlänningsom avses i a-punkten eller en sammanslut-ning eller stiftelse som avses i b-punkteninnehar minst en tiondedel av det röstetalsom samtliga aktier i ett aktiebolag medföreller som utövar motsvarande faktisktinflytande i en annan sammanslutning ellerrörelse.

Ved kjøp av en försvarsindustriföretag, omfattes itillegg investorer innenfor EU, nærmere bestemt(§ 2 tredje avsnitt):

sådana fysiska personer samt sammanslutnin-gar och stiftelser som har sin bosättningsorteller hemort i någon annan av EU:s medlems-stater än Finland eller i någon av EFTA:s med-lemsstater. Detsamma gäller sådana finländskasammanslutningar och stiftelser där en fysiskperson eller en sammanslutning eller stiftelsesom har sin bosättningsort eller hemort inågon annan av EU:s medlemsstater än Fin-land eller i någon av EFTA:s medlemsstaterinnehar minst en tiondedel av det röstetal somsamtliga aktier i aktiebolaget medför eller somutövar motsvarande faktiskt inflytande i sam-manslutningen eller rörelsen.


Loven regulerer företagsköp og omfatter transak-sjoner som resulterer i passering av en tidel, entredel eller halvparten av stemmene i det aktuelleselskapet. Loven har detaljerte regler om hvordanman beregner andelen stemmer som transaksjo-nen resulterer i, jf. § 2 nr. 5. Lovens § 6 oppstillervisse unntak.

Tilsynet føres av Arbeids- og næringsdeparte-mentet, jf. § 3. Nødvendige opplysninger innhen-tes fra andre aktuelle myndigheter. Transaksjo-nen skal godkjennes så lenge den ikke anses åvære i strid med ytterst viktige nasjonale interesser.Avgjørelsen treffes av departementet eller avstatsrådet (regjeringen), jf. §§ 3 og 4.

Foretakskjøp innenfor forsvarssektoren ermeldepliktige og må forhåndsgodkjennes, jf. § 4.Ved kjøp av foretak utenfor forsvarssektoren erdet frivillig å melde, jf. § 5.

Søknaden skal i begge tilfeller inneholde allenødvendige opplysninger om målselskapet, denutenlandske investoren og transaksjonen. Detteomfatter eierskapsstruktur i målselskapet før ogetter gjennomføring, samt eierskap over investo-ren. Det skal også opplyses om investorens videreplaner for målselskapet.

Etter § 5, andre avsnitt, er det hjemmel for å gipålegg om at ikke meldte transaksjoner likevel måmeldes. Myndighetene må da kreve fremlagt rele-vant informasjon senest tre måneder etter å ha fåttkjennskap til transaksjonen.

Utenfor forsvarssektoren vil meldingen ansessom automatisk godkjent dersom myndigheteneikke (i) innen seks måneder etter mottak av nød-vendige opplysninger beslutter fortsatt utredningi saken eller (ii) innen tre måneder overførersaken til behandling i statsråd (det vil si i praksisinnstiller på avslag), jf. § 5 siste avsnitt.

Ved avslag vil investoren bli pålagt å selge segned til under 10 % (eventuelt ned til en høyere eie-randel som det tidligere er gitt tillatelse til). Etterdette kan investoren ikke stemme for en for størreandel på selskapets generalforsamling (eller til-svarende), og de overskytende aksjene skal hellerikke tas i betraktning når det for å treffe en gyldigbeslutning kreves samtykke fra en viss andel avselskapets aksjer. Avslag kan påankes etter § 9.

12.3.7 Sverige og Danmark

Hverken Sverige eller Danmark ser ut til å haregler om tilsyn med utenlandsk overtakelse avkontroll over virksomheter ut fra hensynet til åskulle ivareta nasjonale sikkerhetsinteresser.

Det disse landene har av regler på området erknyttet til konkurranserettslig kontroll med fore-

takssammenslutninger og kontroll med eierskapinnenfor finanssektoren. Men som i Norge erdette styrt av andre hensyn enn hensynet til nasjo-nal sikkerhet, og hvorvidt eierne er utenlandskeer i utgangspunktet i seg selv uten relevans.

12.4 EØS-rettslige forpliktelser

EØS-avtalen er en viktig rammefaktor for hvordannorsk regelverk knyttet til eierskapskontroll kanutformes.

Lovgivning som innebærer utøvelse aveierskapskontroll vil, avhengig av investeringensom skjer, kunne innebære inngripen enten i eta-bleringsretten (EØS-avtalen artikkel 319) ellerden frie bevegelighet for kapital (EØS-avtalenartikkel 40). Dersom investeringen innebærer ateieren får kontroll over selskapet, er investerin-gen beskyttet av etableringsretten. Dersom inves-teringen ikke resulterer i kontroll, er investerin-gen beskyttet av retten til fri bevegelighet for kapi-tal.

Utgangspunktet er at det vil være i strid medEØS-avtalen å diskriminere eiere fra andre EØS-stater. Dette forbudet gjelder også restriksjonersom rammer det å foreta investeringer i selskap,selv om regelen rammer likt for innenlandske ogutenlandske eiere. Forbudet mot restriksjonergjelder blant annet prosessuelle krav til melde-plikt, godkjenning etc.

Lovgivning som diskriminerer eiere fra andreEØS-stater må begrunnes i aktuelle unntaksbe-stemmelser i EØS-avtalen. Lovgivning som inne-bærer restriksjoner eller som rammer norske ogutenlandske eiere likt vil kunne begrunnes isåkalte allmenne hensyn.

Selv om nasjonal lovgivning vil innebære endiskriminerende behandling av utenlandske EØS-eiere og dermed i utgangspunktet være ulovlig, vildet i helt spesielle tilfeller i medhold av unntakenei EØS-avtalens artikkel 123, artikkel 32 og artikkel33 (og tilsvarende for den frie bevegelighet avkapital) kunne være anledning til å gripe inn ogutøve kontroll med endringer i eierskap når detteer nødvendig av hensyn til sikkerhetsinteresser.

12.4.1 EØS-avtalen artikkel 123

EØS-avtalen har i likhet med Traktaten om deneuropeiske unions virkemåte (TEUV) en bestem-melse som gir unntak fra avtalens øvrige bestem-

9 Agreement on the European Economic Area (EEA Agree-ment). Trådt i kraft 1. januar 1994.


melser dersom det er nødvendig av sikkerhets-hensyn.

EØS-avtalen artikkel 123 lyder:

Bestemmelsene i denne avtale skal ikke hindreen avtalepart i å treffe tiltak:

a) som den anser nødvendig for å hindrespredning av opplysninger som er i stridmed dens vesentlige sikkerhetsinteresser,

b) som angår produksjon av eller handel medvåpen, ammunisjon og krigsmateriell ellerandre varer som er uunnværlige for for-svarsformål, eller forskning, utvikling ellerproduksjon som er uunnværlig for forsvars-formål, såfremt disse tiltak ikke endrer kon-kurransevilkårene for varer som ikke erbestemt for direkte militære formål,

c) som den anser vesentlig for sin sikkerhet itilfelle av alvorlig indre uro som truer denoffentlige orden, i krigstid eller ved alvorliginternasjonal spenning som innebærer enfare for krig, eller for å oppfylle forpliktelserden har påtatt seg med sikte på å opprett-holde fred og internasjonal sikkerhet.

Det kan være aktuelt å begrunne kontroll medeierskap i alle tre bokstavene. Bokstav a gir unn-tak fra EØS-avtalen for forhold hvor det vil væreskadelig i seg selv at informasjon blir kjent. Dettevil eksempelvis kunne være aktuelt ved endringeri eierskapet til selskaper som har kontrakter medForsvaret om kapasiteter som ikke er offentligkjent. Inntreden av nye eiere vil da kunne medføreat det blir kjent at Forsvaret får levert en tjenesteeller en vare med visse kapabiliteter. Bokstav bkan være aktuell der det er nødvendig at det utø-ves eierskapskontroll med en av Forsvarets leve-randører av våpen, ammunisjon, krigsmateriell,eller andre varer som er uunnværlig for forsvars-formål. Bokstav c vil kunne begrunne unntak for åivareta andre vesentlige sikkerhetsinteresser.

Dersom det er aktuelt å anvende EØS-avtalenartikkel 123, må unntaket påberopes i det enkeltetilfellet, og det må begrunnes konkret.

Myndigheten som påberoper seg unntaket harbevisbyrden for at vilkårene i unntaksbestemmel-sen er oppfylt, jf. EU-domstolens avgjørelse C-615/10.

I EU-domstolens avgjørelse C-414/97, Kommi-sjonen mot Spania, la EU-domstolen til grunn atdet må foretas en konkret vurdering av om vesent-lige sikkerhetsinteresser gjør det nødvendig medet unntak. Saken gjaldt offentlige anskaffelser,

men tilsvarende vil gjelde ved kontroll av eier-skap.

På bakgrunn av det som ble fastslått i dennevnte avgjørelsen, uttaler Kommisjonen i sin for-tolkningsmeddelelse om anvendelsen av davæ-rende artikkel 296 på offentlig innkjøp av forsvars-materiell (tilsvarer nåværende TEUV artikkel346):

The Treaty therefore contains strict conditionsfor the use of this derogation, balancing Mem-ber States’ interests in the field of defence andsecurity against the fundamental principles andobjectives of the Community. The aim of theseconditions is to prevent possible misuse and toensure that the derogation remains an excep-tion limited to cases where Member Stateshave no other choice than to protect theirsecurity interests nationally.

The Court of Justice has consistently madeit clear that any derogation from the rulesintended to ensure the effectiveness of therights conferred by the Treaty must beinterpreted strictly. Moreover, it has confirmedthat this is also the case for derogations appli-cable «in situations which may involve publicsafety». In Commission v Spain, the Courtruled that articles in which the Treaty providesfor such derogations (including Article 296TEC) «deal with exceptional and clearly defi-ned cases. Because of their limited character,those articles do not lend themselves to a wideinterpretation».

I følge Kommisjonens meddelelse skal unntaketsom et utgangspunkt tolkes restriktivt. Samtidigunderstreker Kommisjonen også at det er «theMember States’ prerogative to define their essen-tial security interests and their duty to protectthem». Likevel må medlemsstatene ikke «abusethis flexibility».

For å oppfylle vilkårene må behovet som skalbeskyttes som nevnt gjelde «essential interests of(…) security». Det fremgår av meddelelsen atandre hensyn, særlig industrielle og økonomiske,ikke kan rettferdiggjøre bruk av artikkel 123, selvom de er forbundet med vesentlige sikkerhetsin-teresser. Det må være hensyn til sikkerhetsin-teresser og ikke norsk industri som kan begrunneinngripen.

Den konkrete vurderingen av dette (det vil siav behovene) må foretas nasjonalt, og ut fra nasjo-nale forhold. Likevel tilføyes det at «[a]t the sametime, Member States’ security interests shouldalso be considered from a European perspective.


They may vary, e.g. for geographical or historicalreasons».

Ved spørsmålet om anvendelsen av unntaketmå det foretas en konkret vurdering i den enkeltesak. Det må vurderes hvilken sikkerhetsinteressesom skal beskyttes, hva som er sammenhengenmellom sikkerhetsinteressen og inngrepet i eier-skapet for det relevante selskapet, og endelighvorfor det er nødvendig å kontrollere eierskapetfor å verne om sikkerhetsinteressen.

Som nevnt over, skal det ved denne vurderin-gen uansett også legges til grunn at det er opp tilmedlemsstatene å definere sine vesentlige sikker-hetsinteresser, og deres behov for å beskyttedisse. Dette innebærer at statene har en relativtvid skjønnsmargin ved fastleggelsen av hva somligger i sikkerhetsinteressen. Dette er blant annetlagt til grunn i sak C-252/01 premiss 30. Sakengjaldt anskaffelse av flyfotografering hvor EU-domstolen uttalte:

It is not disputed that the Kingdom of Belgiumis responsible for protecting the security notonly of its national installations but also of theinstallations of international organisations wit-hin its territory, such as NATO. It is thereforefor the Belgian authorities to lay down thesecurity measures necessary for the protectionof such installations.

EU-domstolen gikk så imidlertid i premiss 31-35gjennom hvilke sikkerhetskrav som ble stilt oghvordan dette var egnet til å oppnå formålet, doguten å foreta en særlig intensiv prøving.

EU-domstolens tidligere praksis, herunder C-252/01, som ga medlemsstatene svært storskjønnsfrihet i anvendelsen av TEUV artikkel 346(og tidligere tilsvarende bestemmelsene), er imid-lertid i senere tid blitt skjerpet inn. EU-domstolenprøver nå i større utstrekning om bruk av unnta-ket er nødvendig og proporsjonalt. I C-615/10,Korkein, uttalte EU-domstolen i premiss 45:

the Member State which seeks to take advan-tage of that Treaty provision can show that it isnecessary to have recourse to the derogationprovided for in that provision in order to pro-tect its essential security interests (see, to thateffect, inter alia, Commission v Finland, para-graph 49) and whether the need to protectthose essential interests could not have beenaddressed within a competitive tenderingprocedure such as that specified by Directive2004/18.

I en artikkel av Baudouin Heuninckx skriver for-fatteren om sak C-252/01:10

On the other hand, the ECJ ruled that theexemption cannot be invoked if less restrictiveor disproportionate measures could be used topreserve the confidentiality of the informationto be provided under the contract and still allowthe use of competitive tendering. Such measu-res could include requirements for the tende-rers to sign non-disclosure agreements and tocomply with applicable security regulations.

Selv om det er statenes eget ansvar å definere hvasom ligger i deres vesentlige sikkerhetsinteres-ser, kan unntaket altså kun anvendes hvis det erstrengt nødvendig for å ivareta sikkerhetsinteres-sene, og sikkerhetsinteressen ikke kan vernesgjennom tiltak som ikke er i strid med EØS-avta-len, eller på mindre inngripende måte.

I EU-domstolens sak C-3/88, Re Data Proces-sing, hadde Italia i en anskaffelse av IT-tjenesteranført at det var nødvendig å kreve at tilbydereskulle ha italiensk offentlig eierskap fordi deansatte hos leverandøren ville ha tilgang til straf-fesaksdata. EU-domstolen konkluderte med atdette ikke var nødvendig fordi dette kunne sikresved å pålegge straffesanksjonert taushetsplikt forde ansatte hos leverandøren.

I sak C-324/93, Evans Medical, antydet EU-domstolen til at det kanskje ikke var nødvendigmed begrensninger på import av narkotiske lege-midler dersom man kunne oppnå betryggendeforsyningssikkerhet gjennom å stille krav til leve-randørene.

12.4.2 EØS-avtalen artikkel 32 og 39

EØS-avtalen artikkel 32 og 39 gir et unntak fra denfrie etableringsretten og den frie bevegelighetenav tjenester for virksomhet som innebærer utø-velse av offentlig myndighet. Unntaket gjelderetter sin ordlyd selv om det private selskapet kunleilighetsvis utøver offentlig myndighet, men detgår trolig en nedre grense. Unntaket innebærer atEØS-avtalen ikke får anvendelse for regulering avslik virksomhet. I motsetning til unntaket i EØS-avtalen artikkel 123 (nasjonal sikkerhet) og artik-kel 33 (offentlig orden, folkehelse og offentlig sik-kerhet) hvor unntaket kun kan påberopes dersomdet er nødvendig og forholdsmessig, gjelder unn-

10 Baudouin Heuninckx «Lurking at the Boundaries: Applica-bility of EU law to Defence and Security Procurement»,PPLR3 (2010), 97.


taket for utøvelse av offentlig myndighet utennoen slike krav.

Norge har i regelverket om offentlige anskaf-felser innført et unntak fra plikten til å følge for-skrift om offentlige anskaffelser ved tildeling avoppdrag som innebærer utøvelse av offentlig myn-dighet.

12.4.3 EØS-avtalen artikkel 33

EØS-avtalen artikkel 33 fastsetter at bestemmelseom etableringsretten:

skal ikke hindre at bestemmelser om særbe-handling av fremmede statsborgere får anven-delse når de er fastsatt ved lov eller forskrift ogbegrunnet med hensynet til offentlig orden,sikkerhet og folkehelsen.

Bestemmelsen har til en viss grad et overlappendeanvendelsesområde med EØS-avtalen artikkel123. Kontroll med eierskap i selskaper som hånd-terer informasjon, teknologi og/eller fysiskeaktiva av betydning for samfunnets sikkerhet, spe-sielt i sivil sektor, vil dermed kunne være unntattEØS-avtalen etter både artikkel 123 og 33.

EU-domstolen behandlet i sak C-54/99, Scien-tologikirken, et spørsmål om en fransk lovbestem-melse var forenlig med den frie bevegelighet avkapital. Frankrike hadde på det tidspunktet en lovsom innebar en meldeplikt og krav om tillatelsefor utenlandske investeringer som kunne utgjøreen fare for offentlig orden, folkehelsen og offent-lig sikkerhet.

EU-domstolen uttalte at lovgivningen innebaren begrensning på samhandelen. Domstolen kon-staterte at:

selv om medlemsstaterne i det væsentlige harfrihed til i overensstemmelse med deres natio-nale behov at bestemme, hvad hensynet til denoffentlige orden og den offentlige sikkerhedkræver, må begrundelserne imidlertid i fælles-skabsretlig sammenhæng og særligt i detomfang, de skal retfærdiggøre en fravigelse afdet grundlæggende princip om frie kapitalbe-vægelser, fortolkes strengt, således at deresrækkevidde ikke ensidigt kan fastlægges afden enkelte medlemsstat uden fællesskabsin-stitutionernes kontrol.

I forlengelsen ble det uttalt:

Den offentlige orden og den offentlige sund-hed kan således kun påberåbes, når der fore-

ligger en virkelig og tilstrækkelig alvorlig trus-sel mod et grundlæggende samfundshensyn.

Det måtte foretas en nødvendighets- og forholds-messighetsvurdering av behovet for reguleringen.Med henvisning til tidligere praksis viste EU-dom-stolen til at en må foreta en inngående vurderingav om det er nødvendig med forhåndsgodkjen-ning av investeringer, men påpekte at det kan ten-kes tilfeller hvor dette vil være forenlig. Dette vilgjelde der etterfølgende mulighet for kontrollikke er tilstrekkelig.

Den franske lovgivningen ble imidlertid felt daden var for vag. Kravet om forutgående tillatelsegjaldt helt generelt for enhver investering somkunne utgjøre en fare for den offentlige sunnhetog offentlige orden uten noen nærmere presise-ring. Dette innebar at det ikke var mulig å forutbe-regne sin rettsstilling, og dermed ikke mulig åvurdere når det måtte innhentes forutgående tilla-telse. Frankrike har gjennom det såkalte Altstom-dekretet revidert sin lovgivning til å bli vesentligmer treffsikker.

Portugal ble i sak C-367/98, Kommisjonenmot Portugal, dømt for brudd mot EU-retten ved åha en lovbestemmelse om krav til forhåndsgod-kjenning ved kjøp av visse portugisiske selskaper.EU-domstolen uttalte i premiss 50:

As regards a scheme of prior administrativeauthorisation of the kind at issue in the presentcase, the Court has previously held that such ascheme must be proportionate to the aim pur-sued, inasmuch as the same objective could notbe attained by less restrictive measures, in par-ticular a system of declarations ex post facto(see, to that effect, Sanz de Lera, paragraphs 23to 28; Konle, paragraph 44; and Case C-205/99Analir and Others [2001] ECR I-1271, para-graph 35). Such a scheme must be based onobjective, non-discriminatory criteria whichare known in advance to the undertakings con-cerned, and all persons affected by a restrictivemeasure of that type must have a legal remedyavailable to them (Analir, cited above, para-graph 38).

12.4.4 Rettighetshavere etter EØS-avtalen – forholdet til eiere fra tredjeland

Rettighetshavere for etableringsretten etter EØS-avtalen er både fysiske EØS-borgere og selskaperi andre EØS-stater, jf. EØS-avtalen artikkel 34. Enjuridisk person etablert i en annen EØS-stat reg-nes dermed i utgangspunktet som en EØS-borger


uavhengig av statsborgerskapet til eierne av sel-skapet. Dersom en skulle innføre lovgivning somskiller mellom eiere med og uten EØS statsbor-gerskap, vil selskaper i et annet EØS-land, somhar eiere med ikke-EØS statsborgerskap, regnessom en eier innenfor EØS-området.

For kapital har TEUV artikkel 63 en revidertog oppdatert regulering sammenlignet med EØS-avtalen artikkel 40, hvor det oppstilles et forbudmot restriksjoner på kapitalbevegelser både mel-lom medlemsstatene, og mellom medlemsstateneog tredjestater. Her er det antatt å være en for-skjell mellom EØS-avtalen og rettstilstanden forEU-medlemmer. I forhold til den frie bevegelighetav kapital, så er dermed EØS-avtalen, i motsetningtil TEUV, ikke til hinder for å diskriminere moteiere utenfor EØS-området.

12.4.5 Krav til utforming av lovgivningen

Inngripen i disse spesielle tilfellene vil kreve lov-hjemmel. I kravet til nødvendighet ligger det atformålet ikke kan oppnås på mindre inngripendemåte og dermed ikke går ut over det som er nød-vendig for å oppnå formålet. Kravet til forholds-messighet innebærer at interessene som inngre-pet skal beskytte må stå i rimelig forhold til gra-den av forstyrrelse av det indre markedet.

Eksempelvis vil en meldeplikt, kombinert medet gjennomføringsforbud inntil godkjennelse ergitt, i seg selv ha en begrensende effekt på andreEØS-lands eieres investeringer i Norge. Tilsva-rende vil en usikkerhet om hvilke selskaper somer underlagt kontroll med eierskapet eller usik-kerhet om vilkårene for når det vil bli grepet innkunne ha en begrensende effekt på investerings-lysten i Norge.

Lovgivningen må dermed utformes slik at denkun rammer de tilfellene hvor unntakene fra EØS-avtalen gir adgang til inngripen, er tilstrekkeligpresis om hvilke selskaper den rammer og hvasom vil være vilkårene for når det vil skje inngri-pen slik at investorer kan forutberegne sin retts-stilling, og ikke unødvendig pålegger meldeplikteller andre prosessuelle plikter på investeringer iselskaper hvor det ikke er adgang til å føre kon-troll.

En slik lovhjemmel vil måtte fortolkes som ensnever unntaksbestemmelse. Det vil måtte doku-menteres godt i den enkelte sak hvorfor det ernødvendig å gripe inn. Inngripen kan kun skje avhensyn til sikkerhetsinteresser. Det vil være ettotalforbud mot å foreta inngripen for å ivaretanæringspolitiske interesser.

12.5 Eierskapsmeldingen

12.5.1 Innledning

Gjennom Meld. St. 27 (2013–2014) Et mangfoldigog verdiskapende eierskap, har regjeringen frem-lagt hovedretningen for regjeringens politikk for åfremme et mangfoldig eierskap i norsk næringslivog for statens eierskap.

Eierskapet kan ha stor betydning for verdi-skapningen og konkurransekraften i et selskap.Hva som utgjør en god eierskapssammensetningvil avhenge av en rekke faktorer, herunder mar-kedsutviklingen, virksomhetenes utvikling ogkarakter, samt med eiernes forutsetninger ogholdning til risiko. Ulike faser i et selskaps utvik-ling fordrer forskjellige behov, og ulike eiere harsom regel ulike forutsetninger for å bidra tildenne utviklingen.

Virksomheters evne til omstilling og innova-sjon er en grunnleggende forutsetning for åkunne håndtere en økt endringstakt i næringsli-vet. Dette stiller også krav til eierne, som premiss-givere for selskapenes virksomhet og som beslut-ningstakere ved større endringer.

Eierskap har betydning for hvordan selskaperstyres og drives. I Eierskapsmeldingen beskrivesutviklingen de siste tiår som en utvikling mot etmer fragmentert eierskap i børsnoterte selskaper.Dette, kombinert med blant annet høy endrings-takt i markedet, gjør det mer krevende å opprett-holde strategiske konkurranseposisjoner og evnetil verdiskapning over tid. Oppmerksomheten moteiernes og selskapenes samfunnsansvar har ogsåøkt, og i etterkant av finanskrisen har det ogsåvært en utvikling mot økt bevissthet om den lang-siktige verdiutviklingen av selskaper.

Den teknologiske utviklingen har også med-ført at selskaper i større grad må forholde seg tilstadig raskere endringer i omgivelsene, noe somvil kunne være utfordrende med et tungt statligeierskap.

12.5.2 Privat eierskap som hovedregel

Regjeringen Solberg har i Eierskapsmeldingenfremhevet at privat eierskap etter regjeringen syner, og bør være hovedregelen i norsk næringsliv.Statlig eierskap bør begrunnes særskilt.

Privat eierskap omfatter alt eierskap som ikkeer offentlig, det vil si der stat, fylkeskommuneeller kommune ikke er den dominerende eier.

Offentlig eierskap inkluderer ifølge Eierskaps-meldingen både de tilfeller hvor det offentlige hardirekte eierskap i norske selskaper og indirekte


eierskap i utenlandske og norske selskaper. Sta-tens pensjonsfond utland og Statens pensjonsfondNorge er eksempler på indirekte statlig eierskap. Imotsetning til direkte eierskap, forvaltes investe-ringene ut fra et finansielt porteføljeperspektiv, ogikke ut fra et strategisk eierperspektiv i detenkelte selskap.11

Det fremheves i meldingen at private eiereofte kan ivareta egne preferanser og eiendom, ogutøve et mer direkte personlig eierskap, enn sta-ten som utøver eierrollen på vegne av fellesska-pet. Det vil normalt også være færre beslutnings-ledd mellom eiere og ledelse i selskapet nåreieren er privat. Private eiere vil også ofte ha enstørre nærhet til og kunnskap om det markedetselskapet opererer i, og vil gjerne ha sterkereinsentiver for effektiv drift og høy avkastning, ennhva en statlig eier har.

I meldingen blir det også pekt på enkeltepotensielle utfordringer knyttet til statlig eierskap.For det første kan et statlig eierskap innebære enpotensiell konflikt mellom eierskapet og statensøvrige roller. For det andre vil et omfattende stat-lig eierskap kunne medføre fare for en maktkon-sentrasjon, som igjen kan svekke privat sektor. Ogfor det tredje er det begrensninger i den industri-elle kompetansen hos staten som eier. Alle disseforholdene taler etter regjeringens syn for åbegrense det statlige eierskapet i kommersielleselskaper, og stryke det private eierskapet.

12.5.3 Begrunnelser for statlig eierskap

Staten forvalter i dag direkte eierskap i om lag 70selskaper gjennom ti ulike departementer. Eier-skapet varierer i størrelse, fra store børsnoterteselskaper til heleide selskaper med rene sektorpo-litiske mål. Det er også stor variasjon når det gjel-der hvilke sektorer disse selskapene opererer i.Selskapsrettslig er disse virksomhetene uliktorganisert, herunder aksjeselskap, allmennaksje-selskap, statsforetak, helseforetak eller andretyper særlovselskaper.

I Eierskapsmeldingen angis det fire forholdsom etter regjeringens oppfatning kan begrunnestatlig eierskap.

For det første vil hensynet til korrigering avmarkedssvikt kunne begrunne statlig eierskap.Med markedssvikt menes at det oppstår et avvikmellom privat- og samfunnsøkonomisk lønnsom-het. Enkelte varer og tjenester bør eller må, ut fraet samfunnsperspektiv, produseres på en annen

måte enn gjennom et marked med fri konkur-ranse, eksempelvis ved produksjon av fellesgoderpå områder hvor det er naturlige monopoler. Detnorske strømnettet trekkes frem som eksempelpå et område hvor det er betydelige stordriftsfor-deler som medfører et naturlig monopol. Statligkontroll med den nasjonale infrastrukturen somdet sentrale strømnettet utgjør, trekkes også fremsom et forhold som begrunner statlig eierskap.

Et annet forhold som kan begrunne statligeierskap er hensynet til nasjonal forankring av vik-tige selskaper, hovedkontorfunksjoner og nøkkelkom-petanse. Fra samfunnets side kan det være ønske-lig å opprettholde visse typer virksomhet i Norge.Statlig eierskap trekkes frem som et virkemiddelfor å opprettholde hovedkontor i Norge. Dette sik-res ved å eie minimum en tredjedel av et selskap,som medfører at staten har negativt flertall medhensyn til endringer av selskapets vedtekter. Etannet mål som trekkes frem er å sikre kontrollmed at det fortsatt foregår produksjon av varer ogtjenester av betydning for nasjonal sikkerhet, leve-ringssikkerhet eller for å ivareta nasjonal suvere-nitet. Hensynet til slik strategisk produksjon harmedført statlig eierengasjement ved flere ulikevirksomheter, blant annet Kongsberg GruppenASA og Nammo AS.

Hensynet til å sikre en forsvarlig forvaltning avfelles naturressurser, som fiskeri og havbruk, vann-kraft og petroleum har tradisjonelt vært bruktsom begrunnelse for statlig eierskap. I Eierskaps-meldingen diskuteres det hvorvidt statlig eier-skap er et nødvendig virkemiddel for å oppnå mål-settingene. Stedsspesifikke naturressurser kanvanskelig flyttes ut av landet, og staten vil såledesuavhengig av eierskap ha en viss kontroll medressursene gjennom annen regulering. Statligeierskap kan imidlertid benyttes som virkemiddelfor å sikre at forvaltningen av ressursene skjer tilfellesskapets beste, og for å sikre at inntekteneknyttet til disse ressursene tilfaller fellesskapet ogikke få enkeltaktører.

En fjerde begrunnelse for statlig eierskap ersektorpolitiske og samfunnsmessige hensyn. Påenkelte områder har staten et særskilt ønske omstyring og kontroll, herunder muligheten til åendre vilkår raskt. Statens særskilte ansvar for åivareta god nasjonal infrastruktur som blant annetflyplasser og strømnett trekkes frem som eksem-pler i denne sammenheng. Sektorpolitiske hensynligger også til grunn for statlige sykehus, blantannet for å sikre forsvarlige helsetjenester til helebefolkningen uavhengig av den enkeltes beta-lingsevne. Statlig eierskap kan også sees i lys aven målsetting om lik tilgang og sikker forsyning

11 Meld. St. 27 (2013–2014), Et mangfoldig og verdiskapendeeierskap, 36.


av visse basistjenester, uavhengig av etterspørsel,bosted, betalingsvilje og -evne og annen status.

I meldingen påpekes det at det bør vurderesfor hvert enkelt tilfelle om eierskap er det mesteffektive virkemidlet for å oppnå aktuelle mål,eller om man ved bruk av alternative virkemidlerkan oppnå det samme. Bruk av rettslige regule-ringsinstrumenter, som blant annet konsesjonsre-gler, lover og forskrifter, har gradvis erstattet statligeierskap som virkemiddel for ivaretakelsen avdefinerte mål. Konsesjonsbestemmelser kan sikreat nødvendige tjenester er forsvarlige og tilgjenge-lige for allmennheten, uten at tjenestetilbyderneer offentlig eid. Andre alternativer er å knytte sub-sidier til bestemte handlingsmønstre, kontraktssty-ring og statlige anskaffelser av varer og tjenester.Kontraktsstyring kan innebære kommersielleavtaler med private leverandører om produksjonav bestemte varer eller tjenester, eller fastsatt prisoverfor brukerne, mot vederlag til staten. Gjen-nom anskaffelsesregelverket kan staten sette kravtil tilbud og vilkår for gjennomføring av oppdraget,som også kan sikre måloppnåelse for blant annetsektorpolitiske målsettinger.

12.5.4 Kategorisering av selskapene i det direkte eierskapet

I Eierskapsmeldingen er de selskapene som sta-ten eier direkte kategorisert i fire ulike kategorier.Utgangspunktet for kategoriseringen har værtstatens begrunnelser og mål for det direkte stat-lige eierskapet.

1. Selskaper med forretningsmessige mål omhand-ler de selskapene hvor staten kun har forret-ningsmessige mål med eierskapet, og hvoreierforvaltningen har som eneste formål åmaksimere statens investeringer. Innen kate-gori 1 har regjeringen blant annet kategorisertFlytoget AS, Mesta AS og SAS AB.

2. Selskaper med forretningsmessige mål og nasjo-nal forankring av hovedkontor omhandler sel-skaper hvor staten både har forretningsmes-sige mål med eierskapet, og et mål om å opp-rettholde norsk forankring av selskapeneshovedkontor og tilhørende hovedkontorfunk-sjoner. For å ivareta sistnevnte må vil det iutgangspunktet være tilstrekkelig at stateninnehar en eierandel på over en tredjedel.Innen kategori 2 har regjeringen blant annetkategorisert Kongsberg Gruppen ASA, Nam-mom AS, Norsk Hydro ASA, Statoil ASA ogTelenor ASA.

3. Selskaper med forretningsmessige mål og andrespesifikt definerte mål omhandler selskaperhvor staten, i tillegg til forretningsmessige mål-setninger, kan ha behov for å legge enkelteføringer for utøvelse av virksomheten. For atdet ikke skal skapes tvil om at slike selskaperdrives på forretningsmessig grunnlag, vil densektorpolitiske styringen hovedsakelig ivare-tas gjennom reguleringer, konsesjonsregler ogforretningsmessig statlige kjøp fra selskapene.Innen kategori 3 har regjeringen blant annetkategorisert Aerospace Industrial Main-tenance Norway SF12, NSB AS, Posten NorgeAS og Statkraft SF.

4. Selskaper med sektorpolitiske målsettingeromhandler selskaper hvor statens eierskaphovedsakelig har sektorpolitiske formål. Someier vil staten vektlegge at de sektorpolitiskemålene nås mest mulig effektivt. Innen kate-gori 4 har regjeringen blant annet kategorisertAndøya Space Center AS, Avinor AS, GasscoAS, Norsk Helsenett SF, Norsk Rikskringkas-ting AS, Petoro AS, Space Norway AS, StatnettSF, samt de regionale helseforetakene.

12.6 Nasjonal forsvarsindustriell strategi

Forsvarsdepartementet fremmet i Meld. St. 9(2015–2016) Nasjonal forsvarsindustriell strategi,regjeringens politiske plattform for å bidra til åopprettholde og videreutvikle norsk forsvarsin-dustri.13

12 Nå AIM Norway AS.13 Meld. St. 9 (2015–2016), Melding til Stortinget – Nasjonal

forsvarsindustriell strategi.

Boks 12.6 Stortingsbehandlingen av Eierskapsmeldingen

Vedtak X

Stortinget ber om at regjeringen, dersom statensom eier skulle forelegges og delta i en beslut-ning om en endring i Kongsberg GruppenASAs struktur (salg av deler av selskapet ellerlignende), tar med i sine vurderinger hensynettil å ivareta forsvarsmessig kompetanse og virk-somhet med tanke på nasjonal sikkerhet.

Kilde: Innst. 140 S (2014–2015).


Kapasitet innenfor viktige teknologiske kom-petanseområder, er vesentlig for å kunne sikreforsvarssektoren riktig materiell og kompetansetil rett tid. En tilgjengelig norsk kapasitet på detteområdet øker Norges evne til å ivareta nasjonalsikkerhet på områder der særnorske forhold kre-ver særlig kompetanse.

Ulike regjeringers strategi for forsvarsindus-trien har variert gjennom tiden, men behovet foren norsk forsvarsindustri, med kompetanse innenstrategisk viktige områder, har hele tiden liggetfast.

I meldingen beskrives sikkerhetssituasjonenpå følgende måte:

NATO er hjørnesteinen i norsk sikkerhetspoli-tikk. Alliansetilknytningen er viktig foravskrekkingsformål, og alliert medvirkning vilvære særlig viktig i håndteringen av sikker-hetspolitiske kriser eller hvis det skulle inn-treffe væpnet konflikt. Samtidig må Norge selvvære i stand til å ivareta sine interesser i freds-tid, hevde egen suverenitet, drive myndighets-utøvelse, utøve krisehåndtering og om nødven-dig kunne håndtere innledende faser av enkonflikt.14

Norsk forsvarsindustris betydning for ivareta-kelse av nasjonale sikkerhetsinteresser, er i mel-dingen fremhevet på tre sentrale områder.

For det første er det viktig å opprettholde kom-petanse på områder som er av sentral betydningfor Norge. Norges topografi er vesensforskjelligfra andre nasjoner i Vest-Europa. Forsvarets evnetil å operere i nærområdene, forutsetter en tilpas-ning til disse særegne forholdene. Det er derfornødvendig å opprettholde og videreutvikle kom-petansen innenfor norsk forsvarsindustri på disseområdene. I tillegg har Norge i den del tidligeresituasjoner valgt nasjonale løsninger for anskaf-felse av materiell. Vedlikehold og oppgradering avdette materiellet, forutsetter at norsk forsvarsin-dustri opprettholder relevant kompetanse.

Et annet forhold som er av betydning er sår-barheten innenfor moderne kommunikasjons-systemer. I meldingen vises det til de senere årsovervåknings- og avlyttingsskandaler, og at det idenne sammenheng er viktig å ha nasjonal kon-troll på enkelte kritiske kommunikasjonssystemerog kritisk teknologi, eksempelvis nasjonal høygra-dert krypteringsteknologi.

På områder som er kritiske i beredskapssam-menheng, vil det være avgjørende å sikre en til-

strekkelig materiell- og forsyningssikkerhet for åkunne ivareta nasjonal sikkerhet i en krise-/krigs-situasjon. Etter regjeringens syn vil det ikke væreen tilfredsstillende løsning at slik forsyningssik-kerhet, utelukkende baseres på en annen statseller utenlandsk aktørs evne og vilje til å kunnelevere de varer og tjenester som er nødvendigefor å opprettholde et forsvarlig nivå på nasjonalsikkerhet og beredskap:

Dersom nødvendig kompetanse, produksjons-og vedlikeholdskapasitet på enkelte spesieltkritiske områder ikke er tilgjengelig innen-lands, kan resultatet – tross vårt NATO-med-lemskap og nære tilknytning til enkelte allierte– bli en uakseptabel avhengighet av en annenstat eller utenlandsk leverandør. Dette vilkunne få konsekvenser for forsyningssikkerhe-ten, og dermed medføre en innskrenkning avvår nasjonale handlefrihet.15

12.7 Sentrale eierandelsgrenser i aksjelovgivningen

12.7.1 Innledning

Forholdet mellom aksjeselskaper/allmennaksje-selskaper og selskapets eiere (aksjeeiere/aksjo-nærer) reguleres av henholdsvis aksjeloven16 ogallmennaksjeloven.17

Aksjelovgivningen bygger på en klar rollede-ling mellom eierne og selskapsledelsen. Denalminnelige forvaltningen av selskapet hørerunder styret og selskapets daglige leder, jf. aksje-loven (asl)/allmennaksjeloven (asal) § 6-12.

Aksjeeierne utøver den øverste myndighet avselskapet gjennom generalforsamlingen, jf. asl/asal § 5-1 første ledd. Aksjeeiernes mulighet til åpåvirke styringen av selskapet er således gjennomdeltakelse i generalforsamlingen. Aksjelovgivnin-gen legger imidlertid begrensninger på hva slagstype beslutninger generalforsamlingen kan fatte,jf. asl/asal § 5-21 om misbruk av generalforsamlin-gens myndighet. Formålet med denne bestem-melsen er å sikre minoritetsaksjonærenes rettig-heter overfor majoriteten. Generalforsamlingenkan etter § 5-21 ikke treffe noen beslutning som eregnet til å gi visse aksjeeiere eller andre en urime-lig fordel på andre aksjeeieres eller selskapetsbekostning.

14 Ibid., 9.

15 Ibid. 16 Lov 13. juni 1997 nr. 44 om aksjeselskaper (aksjeloven).17 Lov 13. juni 1997 nr. 45 om allmennaksjeselskaper (all-

mennaksjeloven).


Utgangspunktet i aksjeretten er at hver aksjehar en stemme, jf. asl § 5-2 første ledd første punk-tum (asal § 5-4 første ledd første punktum).Denne tilnærmingen er et utslag av likhetsgrunn-setningen, som er lovfestet i asl/asal § 4-1 førsteledd første punktum. Selskapets vedtekter kanimidlertid inneholde bestemmelser om stemme-rettsbegrensninger. I aksjelovgivningen godtas totyper stemmerettsbegrensninger. For det førstekan stemmerettsbegrensninger knyttes til person,jf. asl § 5-3 første ledd annet punktum (asal § 5-4første ledd annet punktum).18 For det andre kandet i selskapets vedtekter fastsettes at aksjene i enaksjeklasse ikke skal gi stemmerett eller habegrenset stemmevekt, jf. asl § 5-3 første leddtredje punktum (asal § 5-4 første ledd tredje punk-tum).19

Gjennom generalforsamlingen vil aksjonær-ene kunne treffe en rekke sentrale og strategiskebeslutninger med virkning for selskapet. I det føl-gende gjennomgås de eierandelsgrensene som ersentrale i aksjelovgivningen.

12.7.2 Eierandelsgrenser

Hovedregelen i aksjeselskapsretten er at beslut-ninger fra generalforsamlingen krever flertall(alminnelig flertall) av de avgitte stemmene, jf.asl/asal § 5-17 første ledd første punktum. Flertal-let beregnes ut fra avgitte stemmer, det vil si ut fraantall aksjer representert på generalforsamlingen.Står stemmetallet likt, er møteleders stemmeavgjørende. En eierandel på over halvparten avaksjekapitalen sikrer således normalt kontrollmed beslutninger som krever alminnelig flertallav de avgitte stemmer. Dette er beslutninger somgodkjenning av årsregnskap (asl § 5-5 og asal § 5-6) og beslutninger om utdeling av utbytte tilaksjonærene (asl/asal § 8-2 første ledd). Ogsåvalg av medlemmer til selskapets styre kreveralminnelig flertall på generalforsamlingen, jf. asl/asal § 6-3 første ledd. Selskapets styre har ansva-ret for den alminnelige forvaltningen av selskapet,

og kontroll på hvem som velges inn i styret vilsåledes kunne være av stor betydning for en eier.

Fra hovedregelen om alminnelig flertall er deten rekke unntak. For en del viktige avgjørelserkrever aksjelovgivningen kvalifisert flertall.

For endring av selskapets vedtekter kreves totredjedels flertall, både av avgitte stemmer og avden aksjekapitalen som er representert på gene-ralforsamlingen, jf. asl/asal § 5-18 første leddannet punktum. I aksjeselskapslovgivningen erdet fastsatt noen minstekrav til hva vedtektene måinneholde, herunder lokalisering av forretnings-kontor og selskapets virksomhet, jf. asl/asal § 2-2første ledd. To tredjedels flertall kreves også vedbeslutninger om fusjon eller fisjon, vedtak om for-høyelse og nedsettelse av aksjekapitalen, opptakav konvertible lån, vedtak om omdanning og ved-tak om oppløsning.

En eierandel på over en tredjedel av aksjekapi-talen og en tilsvarende andel av stemmene pågeneralforsamlingen vil således gi negativ kon-troll med de beslutninger som krever to tredjedelsflertall. Ved negativ kontroll vil eieren såledeskunne motsette seg vesentlige beslutninger somfor eksempel flytting av hovedkontor, andre ved-tektsendringer etc.

En annen gruppe beslutninger som kreverkvalifisert flertall følger av asl/asal § 15-19. Fordisse beslutningene er kravet til kvalifisert flertallytterligere skjerpet ved at det kreves tilslutningfra aksjeeiere som utgjør mer enn ni tideler av denaksjekapital som er representert på generalfor-samlingen, i tillegg til flertall som for vedtekt-sendringer (to tredjedels flertall av avgitte stem-mer). Dette gjelder blant annet beslutninger sominnebærer at aksjeeiernes rett til utbytte eller tilselskapets formue reduseres på annen måte ennved bestemmelse som nevnt i § 2-2 annet ledd.20

Noen beslutninger krever enstemmighet frasamtlige fremmøtte aksjeeiere, jf. asl/asal § 5-20.Dette gjelder beslutninger som omhandler heltgrunnleggende rettsposisjoner aksjeeierne haroverfor selskapet, herunder kommer aksjeeiernesforpliktelser i forhold til selskapet, enkeltebegrensninger i adgangen til å overdra ellererverve aksjer, beslutning om at aksjer kan væregjenstand for tvungen innløsning, at rettsforholdetmellom tidligere likestilte aksjer endres samt ataksjeeiernes rett til utbytte eller til selskapets for-mue reduseres.

18 I praksis sondres det mellom tre typer stemmerettsbe-grensninger knyttet til person: kvotebegrensninger, kvote-terskler og progressive stemmerettsbegrensninger.

19 I praksis brukes ofte betegnelsen A-aksjer og B-aksjer omdenne type stemmerettsbegrensninger. Det kan være fleregrunner til at et selskap opererer med forskjellige aksje-klasser. En grunn kan være at man i et selskap ønsker ennasjonal kontroll med styringen, men tilførsel av uten-landsk kapital. Kilde: Geir Woxholth, Selskapsrett 5. utgave(Oslo: Gyldendal Norsk Forlag), 191.

20 Asl/asal § 2-2 annet ledd omfatter tilfeller der selskapetikke skal ha til formål å skaffe aksjeeiere økonomiskutbytte.



Globaliseringen av kapitalmarkedene medfører atutenlandske aktører i økende grad investerer inorske selskaper. Dette er også en konsekvens avNorges EØS-rettslige forpliktelser til å sikre fribevegelighet for kapital (EØS-avtalen artikkel 40).

Utvalget har vurdert hvorvidt eksisterenderegelverk gir tilstrekkelige virkemidler for åkunne ha kontroll med virksomheter som håndte-rer informasjon, teknologi og/eller fysiske aktivaav betydning for grunnleggende nasjonale funk-sjoner. Etter utvalgets vurdering gir regelverketfor sikkerhetsgraderte anskaffelser i en vissutstrekning mulighet til å kunne ha kontroll. Gjen-nom leverandørklareringer, vil Sikkerhetsmyndig-heten få innsikt i leverandørens eierstrukturer ogvil kunne avslå klarering der disse eierstruktu-rene utgjør en risiko for at grunnleggende nasjo-nale funksjoner kan bli skadelidende. Leverandø-rene plikter også å opplyse om endringer i eier-strukturene i klareringens gyldighetstid, slik atSikkerhetsmyndighetene vil kunne trekke tilbakeen leverandørklarering der eierskapskonstellasjo-nene utvikler seg i en retning som utgjør en øktsikkerhetsmessig risiko. Sikkerhetsgraderteanskaffelser vil således kunne avbøte en del avutfordringene knyttet til bruk av utenlandske leve-randører i understøttelsen av grunnleggendenasjonale funksjoner. At Stortinget også har ved-tatt at slike leverandørklareringer skal kunne gisfor en lengre tidsperiode, og ikke bare for denkonkrete anskaffelsen, er også positivt i dennesammenheng. Når det gjelder håndtering av sens-itiv og sikkerhetsgradert informasjon og/ellerteknologi, vil dette regelverket kunne bidra til åredusere sårbarheten ved å bruke utenlandskeaktører.

Likevel mener utvalget at dette regelverketikke alene vil kunne sikre at grunnleggende nasjo-nale funksjoner ikke blir skadelidende ved at stra-tegisk viktige selskaper helt eller delvis blir kjøptopp av utenlandske aktører. Særlig gjelder dettehensynet til forsyningssikkerhet og beredskap.Selskaper som leverer varer eller tjenester av kri-tisk betydning for grunnleggende nasjonale funk-sjoner, vil som utgangspunkt kun ha en kontraktu-ell forpliktelse til slik levering. I en krise- ellerkrigssituasjon hvor det sannsynligvis vil væreknapphet på tilgjengelige ressurser vil det, slikutvalget ser det, ikke være en tilfredsstillende løs-ning at Norge har basert nødvendig kompetanse,eller produksjons- og vedlikeholdskapasitet påenkelte spesielt kritiske områder, utelukkende påutenlandske leverandører. Ved knapphet på res-

surser må man være forberedt på at en slik kon-traktuell forpliktelse ikke vil bli overholdt. Beho-vet til leverandørens hjemstat kan i slike tilfellerbli prioritert. Særlig vil dette gjelde i de tilfellerselskapets hjemstat er en stat Norge ikke har etsikkerhetsmessig samarbeid med.

Utvalgets vurderinger er at myndighetene idag ikke har tilstrekkelig virkemidler for å kunnesikre nasjonal kontroll med strategisk viktige sel-skaper. Regelverket for sikkerhetsgraderteanskaffelser, vil ikke alene kunne avbøte de utfor-dringene som ble skissert innledningsvis. Utval-get mener derfor det er behov for en mekanismesom setter myndighetene i stand til å kunne kon-trollere eierskapet i slike selskaper.

Utvalget har vurdert ulike løsninger for hvor-dan en slik mekanisme bør innrettes. Både avhensyn til Norges EØS-rettslige forpliktelser, ogav hensyn til det enkelte selskaps konkurranse-evne i et globalt marked, mener utvalget at enmekanisme for å kunne kontrollere eierskapet måvære en snever unntaksbestemmelse, som kunanvendes der dette er tvingende nødvendig for åkunne ivareta sikkerheten for grunnleggendenasjonale funksjoner. Utvalget har i denne sam-menheng sett hen til hvordan dette er regulert iandre nasjoner vi vanligvis sammenligner ossmed. Danmark og Sverige har ikke en slik typeregulering. De fleste andre nasjoner utvalget harundersøkt, har imidlertid en eller annen form formekanisme for å kunne kontrollere eierskapet istrategisk viktige selskaper. Praksis fra henholds-vis USA og Storbritannia viser også at slike meka-nismer også blir benyttet, om enn i et megetbegrenset omfang. I USA ble det i tidsperioden2011–2013 satt nærmere vilkår i 27 av de sakenesom ble undersøkt, jf. kapittel 12.3.2.5, og i Stor-britannia har reguleringen i The Enterprise Act(2002) blitt benyttet til å sette nærmere vilkår forerverv i seks tilfeller, jf. kapittel 12.3.3.

Som nevnt innledningsvis er det særlig hensy-net til forsyningssikkerhet og beredskap, behovetfor å beholde og videreutvikle kritisk kompetanseog behovet for å beholde nasjonal kontroll på sik-kerhetsgradert eller annen sensitiv informasjon,som kan begrunne en kontroll med eierskapet ienkelte selskaper. Utvalget mener derfor at enslik hjemmel bør være konkret avgrenset til åomfatte virksomheter som er av kritisk betydningfor grunnleggende nasjonale funksjoner, jf. utval-gets lovforslag § 1-2 første ledd bokstav a til e. Foren nærmere beskrivelse av hva som menes medgrunnleggende nasjonale funksjoner, vises det tilomtalen i kapittel 6.7.


I utgangspunktet vil det være i strid mot EØS-avtalen å diskriminere mot eiere fra andre EØS-stater. Selv om nasjonal lovgivning vil innebære endiskriminerende behandling av utenlandske EØS-eiere og dermed i utgangspunktet være ulovlig, vildet i helt spesielle tilfeller i medhold av unntakenei EØS-avtalen artikkel 123, artikkel 32 og artikkel33 (og tilsvarende for den frie bevegelighet avkapital) kunne være anledning til å gripe inn ogutøve kontroll med endringer i eierskap når detteer nødvendig av hensyn til sikkerhetsinteresser.Utvalget mener en slik klart avgrenset hjemmelfor å utøve eierskapskontroll, kan begrunnes iEØS-avtalens artikkel 123.

Den konkrete avgrensningen til virksomheterav kritisk betydning for grunnleggende nasjonalefunksjoner oppfyller, slik utvalget ser det, kravettil presisjon i lovgivningen. I tillegg ivaretas kravettil forholdsmessighet mellom interessene det tassikte på å beskytte (grunnleggende nasjonalefunksjoner) og den forstyrrende innvirkning enslik regulering kan få for det indre markedet iEU/EØS.

Bestemmelsen er ment å være en snever unn-taksbestemmelse, og myndighetene vil måtte

dokumentere godt i den enkelte sak hvorfor deter nødvendig å gripe inn. Inngripen kan kun skjeav hensyn til sikkerhetsinteresser. Bestemmelsemå ikke brukes for å ivareta andre interesser, her-under næringspolitiske interesser.

Av hensyn til bestemmelsens inngripendekarakter, mener utvalget at vedtaksmyndighetenetter bestemmelsen bør legges til Kongen i stats-råd. Dette vil også være i tråd med øvrige inngri-pende vedtaksbestemmelser som foreslås i loven.Utvalget mener videre at saksbehandlingen avslike saker bør baseres på de samme strukturenesom øvrige inngripende vedtaksbestemmelsene,det vil si at det enkelte fagdepartement har ansva-ret for å vurdere og eventuelt saksforberede forKongen i statsråd.

I de tilfeller det fattes vedtak om å nekte ellerstille vilkår for et erverv av eierandeler i virksom-heten, kan dette få betydelige konsekvenser forselskapet og eierne. Utvalget mener imidlertid atden sikkerhetsmessige gevinsten som oppnås vedat staten har mulighet til å gripe inn i ekstraordi-nære tilfeller, i et bredere samfunnsperspektivoverstiger den ulempen dette vil ha for de virk-somheter som rammes.

248 NOU 2016: 19 2016Samhandling for sikkerhet

Del IVSærlige merknader og lovforslag


Kapittel 13

Merknader til de enkelte bestemmelsene

Kapittel 1 – Formål og virkeområde

§ 1-1 Lovens formål

Bestemmelsen angir formålet med loven.I bestemmelsens første ledd slås det for det før-

ste fast at den skal bidra til å trygge «Norges suve-renitet, territorielle integritet og demokratiskestyreform». Angivelsen av disse sikkerhetspoli-tiske interessene, er ikke en uttømmende oppreg-ning av de grunnleggende nasjonale interesseneloven tar sikte på å trygge, men er en fremhevingav de interessene det er avgjørende å ivareta.Suverenitet og territoriell integritet skal per defi-nisjon være uavkortet, med de begrensninger ogtilpasninger som følger av Norges folkerettsligeforpliktelser, herunder EØS-avtalen. Ingen andreland eller organisasjoner skal kunne frata Norgeråderett over egne anliggender. Landets øverstestatsorganer må ha handlefrihet og kontroll innennorsk territorium. Videre innebærer suverenitetevne til å hevde nasjonens interesser internasjo-nalt ved at Norge fører en selvstendig og egendefi-nert utenrikspolitikk. En forsvarlig beskyttelse vilvære avgjørende for å opprettholde rettsstatensog demokratiets grunnleggende verdier.

Begrepet tilsiktede uønskede hendelser er nær-mere forklart i kapittel 6.7.4. I likhet med dagenssikkerhetslov tar loven sikte på å beskytte grunn-leggende nasjonale funksjoner mot terrorhandlin-ger, sabotasje og spionasje. Loven er imidlertidikke avgrenset til å gjelde for bare disse truslene.Det er de tilsiktede uønskede hendelsene somkan utgjøre en trussel mot grunnleggende nasjo-nale funksjoner, det tas sikte på å beskytte mot.Denne avgrensningen vil i seg selv være styrendefor hvilke typer tilsiktede hendelser som vil væreaktuelle. Eksempelvis vil annen alvorlig kriminali-tet, herunder organisert kriminalitet, også kunneha store skadefølger for grunnleggende nasjonalefunksjoner.

Begrepet grunnleggende nasjonale funksjonerer grundig behandlet i kapittel 6.7.2. Begrepet erment å være en rettslig standard som vil bli endreti takt med den generelle samfunnsutviklingen, og

formes i tråd med den systematikken loven forøvrig legger opp til når det gjelder identifiseringav slike funksjoner og deres understøttende ele-menter.

Virkemidler som er tilgjengelige for å sikregrunnleggende nasjonale funksjoner, kan påsamme tid gjøre at de samme interessene og ver-diene det tas sikte på å beskytte kommer underpress. I bestemmelsens andre ledd er det derforpresisert at sikkerhetstiltak som iverksettes for åivareta lovens formål, skal gjennomføres på enmåte som er «forenlig med grunnleggenderettsprinsipper og verdier i et demokratisk sam-funn». Med grunnleggende rettsprinsipper og ver-dier menes blant annet hensynet til den enkeltespersonvern og rettssikkerhet. I dette ligger enpresiseringen av at det kun er de sikkerhetsmes-sige tiltakene som er nødvendige og forholdsmes-sige, og har en dokumentert effekt, som skaliverksettes. Det ligger også en plikt til å vurderealternative og mindre inngripende tilnærmingertil å oppnå samme effekt.

§ 1-2 Lovens virkeområde

Bestemmelsen angir lovens saklige virkeområde.Virksomhetsbegrepet i loven, jf. bestemmel-

sens første ledd, omfatter alle former for virksom-het, uavhengig av eierskap og organisasjonsform,og er således en videreføring av gjeldende sikker-hetslovs virksomhetsbegrep. Ved vurderingen avom en virksomhet omfattes av loven er det utenbetydning om det er tale om et privat selskap,foretak, forvaltningsorgan, forvaltningsbedrift, ethel- eller deleid statlig selskap, statsforetak, ideellorganisasjon, stiftelse eller annet.

Et vilkår for at virksomheter omfattes av lovener at disse råder over nærmere angitt informasjon,informasjonssystemer objekter eller infrastruktur.Det avgjørende for hvorvidt en virksomhet råderover vil måtte avgjøres konkret i hvert enkelt til-felle, ut fra en vurdering av om virksomheten haren faktisk og reell innflytelse/påvirkningsmulig-


het over informasjonen, informasjonssystemet,objektet eller infrastrukturen.

Hva som menes med informasjon er nærmereomtalt i merknaden til § 5-1.

Hva som menes med informasjonssystem ernærmere omtalt i merknaden til § 6-1.

Hva som menes med objekt og infrastruktur ernærmere omtalt i kapittel 9.5.1.

Også virksomheter som driver aktivitet av kri-tisk betydning for grunnleggende nasjonale funk-sjoner vil være omfattet av loven. Eksempelvis vilselskaper som har en nøkkelkompetanse som erav betydning for slike kunne tenkes å bli omfattetav loven. Normalt vil virksomheter som driver slikaktivitet, også ha en eller annen form for råderettover informasjon, informasjonssystemer, objektereller infrastruktur, slik at de uansett vil falle innunder lovens virkeområde.

I begrepet kritisk for grunnleggende nasjonalefunksjoner ligger et kvalitetskrav. Det er ikke til-strekkelig at virksomheter leverer innsatsfaktorerfor grunnleggende nasjonale funksjoner, for at deskal falle inn under loven. Det er kun de aktørenesom har en så sentral rolle for funksjonene at demå anses som avgjørende for evnen til å opprett-holdelse av funksjonsdyktighet, som vil omfattes.Avgjørende for vurderingen er hvilken betydningbortfall eller svekkelse av virksomheten har forden funksjonen som virksomheten understøtter.Den nærmere vurderingen av hvilke virksomhe-ter som konkret vil falle inn under lovens virkeom-rådet må gjøres konkret, jf. loven § 2-1 om depar-tementenes plikter. Se for øvrig kapittel 6.7.5 og7.7.1.

For en nærmere omtale av de interessene somer listet opp i første ledd bokstav a til e, vises det tilkapittel 6.7.2.

Bokstav a til c er identisk med straffeloven§ 121 første ledd bokstav a til c. Praksis knyttet tilforståelsen av de ulike forholdene i straffeloven,vil således også være relevante for forståelsen avtilsvarende forholdene i sikkerhetsloven.

Kongen i statsråd er i bestemmelsens andreledd gitt myndighet til å gi nærmere forskrifterom lovens virkeområde. Myndigheten kan ikkedelegeres, jf. den nærmere omtalen av dette ikapittel 7.7.10.

§ 1-3 Særbestemmelser om lovens virkeområde

I motsetning til gjeldende sikkerhetslov § 2 femteledd, gjøres det ikke direkte unntak for Stortingetog dets organer. Bestemmelsens første ledd slår istedet fast at loven gjelder for Stortinget og detsorganer i den utstrekning Stortinget bestemmer

det. Det forutsettes at Stortinget gjør et formeltvedtak om spørsmålet.

Bestemmelsens andre ledd er en videreføringav det vedtatte forslaget i Prop. 97 L (2015–2016)om en lovfesting av en langvarig og fast praksisom at det ikke stilles krav om sikkerhetsklareringog autorisasjon for regjeringens medlemmer ogdommere i Høyesterett.

Bestemmelsens tredje ledd er en videreføringav gjeldende lov § 2 fjerde ledd om særregler forsikkerhetsklarering etter domstolloven og straffe-prosessloven.

Bestemmelsens fjerde ledd er en videreføringav gjeldende lov § 2 andre ledd om at leverandørertil sikkerhetsgraderte anskaffelser automatisk eromfattet av loven.

Bestemmelsens femte ledd er i hovedsak envidereføring av gjeldende lov § 2 sjette ledd, medde tilpasninger som er nødvendige i en moderni-sert lov. Med bilandene menes Bouvet-øya, PeterI’s øy og Dronning Maud Land, jf. lov 27. februar1930 nr. 3 § 1.

Kapittel 2 – Myndigheter etter loven

§ 2-1 Departementenes ansvar og myndighet etter loven

Bestemmelsen etablerer lovens systematikk for åidentifisere hvilke grunnleggende nasjonale funk-sjoner som omfattes av loven og en systematikkfor å kartlegge virksomheter som har en sentralrolle i understøttelsen av slike funksjoner.

Bestemmelsens første ledd slår fast at hvertenkelt departement er ansvarlig for forebyggendesikkerhet innenfor sitt myndighetsområde. Depar-tementenes myndighetsområde vil følge den tilenhver tid sittende regjerings fordeling av ansvarmellom statsrådene og de ulike departementene.Dette innebærer både at de ansvarlige departe-mentene gis myndighet til å fatte vedtak overforvirksomheter i egen sektor, og et særlig ansvar forå følge opp at det skjer et forsvarlig forebyggendesikkerhetsarbeid i sektoren. Ved endring avdepartementsstrukturen, forutsettes det at regje-ringen tar stilling til mulige konsekvenser for for-deling av myndighetsområder etter loven.

Første ledd bokstav a til c slår fast departemen-tenes fremgangsmåte for å identifisere og fattevedtak overfor de virksomheter som skal omfattesav loven. Det foreslås her en modell som består avtre trinn.

Departementene skal i henhold til bokstav a,først identifisere hvilke grunnleggende nasjonalefunksjoner som finnes innenfor eget myndighets-område. Med holde oversikt over menes at departe-


mentenes identifisering skal være en dynamiskprosess som må oppdateres ved behov.

På bakgrunn av departementenes oversiktover grunnleggende nasjonale funksjoner, plikterdepartementene etter bokstav b, å identifisere ogholde oversikt over virksomheter som er avvesentlig betydning for understøttelsen av slikefunksjoner.

Det at en virksomhet identifiseres som en virk-somhet av vesentlig betydning innebærer ikke atdet påhviler virksomheten plikter etter loven. Deter imidlertid viktig at departementene til enhvertid har en oversikt over hvilke innsatsfaktorergrunnleggende nasjonale funksjonene er avhen-gige av for å kunne opprettholde sin funksjonali-tet. Generelle samfunnsmessige endringer, ellerendringer i det gjeldende trusselbildet, kan ogsåmedføre at virksomheter som tidligere ikke harblitt ansett som kritiske, blir det. Systematikkendet legges opp til i bestemmelsen er ment å skullelegge til rette for at slike endringer blir fanget opp.

Ut fra den totale oversikten over grunnleg-gende nasjonale funksjoner og virksomheter avvesentlig betydning for disse, skal departementettreffe enkeltvedtak overfor de virksomheter somer av kritisk betydning for de aktuelle funksjo-nene, jf. bestemmelsen første ledd bokstav c. Vedvurderingen av om en virksomhet er av kritiskbetydning må det sees hen til virkeområdebestem-melsen i § 1-2, herunder om den aktuelle virksom-heten råder over informasjon, informasjons-systemer, objekter eller infrastruktur, eller driveraktivitet, av slik betydning for grunnleggendenasjonale funksjoner.

I bestemmelsens andre ledd første punktumpålegges departementene en varslingsplikt til devirksomheter departementet har til hensikt åtreffe vedtak overfor, jf. forvaltningsloven § 16. Enslik forutgående varsling vil gi den aktuelle virk-somheten mulighet til å kunne fremme sine syns-punkter, før vedtak treffes. Bestemmelsens andreledd andre punktum, slår fast at selvstendige retts-subjekter har rett til å påklage departementetsvedtak etter første ledd bokstav c. Med selvsten-dige rettssubjekter menes enhver virksomhet somet departement ikke innehar alminnelig instruk-sjons-, organisasjons- og kontrollmyndighet over-for, i praksis alle virksomheter som ikke er en delav staten som rettssubjekt. For selvstendige retts-subjekters klageadgang, gjelder forvaltningslo-vens kapittel VI.

I bestemmelsens tredje ledd pålegges departe-mentene å holde Sikkerhetsmyndigheten orien-tert om oversikter og vedtak som fattes etter før-ste ledd bokstav a til c. Formålet med denne

bestemmelsen er å legge til rette for at Sikkerhet-smyndigheten skal kunne ivareta sitt ansvar etter§ 2-2.

I bestemmelsens fjerde ledd første punktum gisSikkerhetsmyndigheten en forslagsrett overforansvarlig departement. Sikkerhetsmyndighetenhar et sektorovergripende ansvar etter § 2-2, og vilkunne se gjensidige avhengigheter på tvers avsamfunnssektorene, som det enkelte departementikke nødvendigvis har forutsetninger for å identifi-sere. I tillegg vil Sikkerhetsmyndigheten kunnepåpeke mangler i departementenes identifiseringav, og vedtak overfor, virksomheter.

Dersom det aktuelle departement velger åikke følge de forslag Sikkerhetsmyndighetenkommer med, gis Sikkerhetsmyndigheten i fjerdeledd andre punktum rett til å bringe saken inn forTvisteorganet dersom Sikkerhetsmyndighetenvurderer departementets unnlatelse som uforsvar-lig. At departementets unnlatelser må være ufor-svarlig innebærer at terskelen for hvilke unnlatel-ser som kan bringes inn for Tvisteorganet, vilvære høy. Hva som vil være uforsvarlig i den kon-krete sak, må også ses i sammenheng med denrettslige standarden i § 4-1 tredje ledd, semerknad til denne.

I bestemmelsens femte ledd gis Kongen i stats-råd myndighet til å fastsette nærmere bestemmel-ser om departementenes ansvar og myndighet. Atmyndigheten legges til Kongen i statsråd inne-bærer at forskriftsmyndigheten etter bestemmel-sen, ikke kan delegeres.

§ 2-2 Sikkerhetsmyndigheten

Bestemmelsen angir Sikkerhetsmyndighetensansvar og myndighet etter loven. I praksis vilfunksjonen som sikkerhetsmyndighet ivaretas avden aktøren som får delegert myndigheten fra for-valtningsansvarlig departement.

I bestemmelsens første ledd første punktum slåsdet fast at Sikkerhetsmyndigheten har det sektor-overgripende ansvaret for forebyggende sikker-hetsarbeid i medhold av loven. Sikkerhetsmyndig-hetens ansvar griper ikke inn i de enkelte departe-mentenes ansvar innen eget myndighetsområde.Med sektorovergripende ansvar menes i førsterekke ansvaret for at forebyggende sikkerhetsar-beid etter loven har en helhetlig tilnærming ogansvaret for å koordinere sikkerhetsarbeidet mel-lom ulike departementer og ulike relevante sek-tormyndigheter. Sikkerhetsmyndighetens ansvarer nærmere konkretisert i første ledd bokstav a tile.


Etter bokstav a plikter Sikkerhetsmyndighetenå påse at det føres tilsyn med de virksomhetersom er underlagt loven. De nærmere reglene omtilsyn følger av loven kapittel 3.

Bokstav b regulerer Sikkerhetsmyndighetensråd- og veiledningsansvar etter loven. Sikkerhets-myndigheten skal ha en aktiv rolle når det gjelderkonkret rådgivning overfor virksomhetene. Foren nærmere omtale av råd- og veiledningspliktenvises det til kapittel 7.7.3.

Bokstav c omhandler Sikkerhetsmyndighetensansvar for å utarbeide generelle veiledninger ogrundskriv innen de ulike fagområdene lovenomfatter. Plikten til å utarbeide denne type infor-masjon er en sentral fagmyndighetsoppgave.

I bokstav d pålegges Sikkerhetsmyndigheten åholde en tverrsektoriell og nasjonal oversikt overde funksjoner og virksomheter som er blitt identi-fisert av departementene etter § 2-1 første leddbokstav a til c. Plikten til å holde en slik tverrsek-toriell oversikt er en sentral del av Sikkerhetsmyn-dighetens sektorovergripende ansvar, og vil ogsådanne grunnlaget for Sikkerhetsmyndighetensforslagsrett overfor departementene når det gjel-der virksomheter som bør underlegges loven.

Den tverrsektorielle oversikten innbefatterogså et særskilt ansvar for å identifisere gjensi-dige avhengigheter på tvers av samfunnssektorerog på tvers av virksomheter, slik at denne typeavhengigheter kan synliggjøres overfor de ansvar-lige departementene.

I bokstav e er Sikkerhetsmyndigheten gittmyndighet til å kunne treffe enkeltvedtak overforvirksomheter som ikke anses å falle inn under etdepartements ansvarsområde. Myndigheten kor-responderer med departementenes myndighetetter § 1-2 første ledd bokstav c, og skal fange oppde virksomheter som ikke naturlig tilhører enklart definert samfunnssektor. Et eksempel her vilkunne være virksomheter innen satellittbasertetjenester, hvor det i dag er til dels uoversiktligeansvarslinjer, se kapittel 7.4.8.

Bestemmelsens andre ledd slår fast at vars-lingsplikten og klageretten etter § 2-1 andre leddgjelder tilsvarende for Sikkerhetsmyndighetensvedtak overfor virksomheter.

§ 2-3 Informasjon om trusselvurderinger og risikohåndtering

Bestemmelsen omhandler Sikkerhetsmyndighe-tens ansvar for å legge til rette for, og koordinere,informasjon om trusselvurderinger. At bestem-melsen er innrettet som en tilretteleggings- ogkoordineringsplikt, skyldes primært at Sikkerhet-

smyndigheten ikke vil ha full råderett over alltrussel- og sikkerhetsinformasjon. For informa-sjon som utarbeides av andre relevante aktører,herunder Politiets sikkerhetstjeneste og Etterret-ningstjenesten, vil det i siste instans være opp tildisse tjenestene hvorvidt de har anledning til ådele denne informasjonen. All informasjonsut-veksling etter denne bestemmelsen må skjeinnenfor rammene av lovbestemt taushetsplikt oginnenfor rammene av den enkelte aktørs lovmes-sige adgang til å dele slik informasjon.

Etter bestemmelsens første ledd plikter Sikker-hetsmyndigheten å legge til rette for at sektor-myndigheter og virksomheter som er underlagtloven, får tilgang til informasjon som er nødvendigfor å sette disse i stand til å etterleve sine plikteretter loven, eksempelvis virksomhetenes plikt til ågjennomføre risiko- og sårbarhetsanalyse, jf. § 4-3.

Som nevnt ovenfor er det flere aktører som haransvar for å utarbeide ulike former for trusselvur-deringer og annen sikkerhetsrelevant informa-sjon. Etter bestemmelsens andre ledd påleggesSikkerhetsmyndigheten å koordinere tilgjengelig-gjøring av slik informasjon. I tillegg skal Sikker-hetsmyndigheten påse at det etableres nødven-dige arenaer for informasjons- og erfaringsutveks-ling. Av hensyn til de ulike samfunnssektorenessæregenheter og ulike behov, kan det være hen-siktsmessig å ha sektorvise fora for slik erfarings-og informasjonsutveksling.

§ 2-4 Nasjonal responsfunksjon for alvorlige dataangrep

Bestemmelsen er en videreføring av det vedtatteforslaget i Prop. 97 L (2015–2016) til lovfesting avNorCERT og varslingssystemet for digital infra-struktur, jf. lovforslaget § 9 første ledd bokstav eog § 10a.

Bestemmelsen er ikke ment å innebære noenmateriell endring fra det opprinnelige lovforslaget,se kapittel 7.3.3 og 7.7.6.

§ 2-5 Vedtaksmyndighet for Kongen i statsråd

Bestemmelsen er i det vesentlige en videreføringav det vedtatte forslaget om vedtaksmyndighet forKongen i statsråd i Prop. 97 L (2015–2016), jf. lov-forslaget § 5a andre ledd. Bestemmelsen gir Kon-gen i statsråd myndighet til å fatte vedtak om åstanse, begrense eller endre aktiviteter som med-fører skadevirkninger på grunnleggende nasjo-nale funksjoner. Med stor grad av sannsynlighetmenes at det må foreligge mer enn alminneligsannsynlighetsovervekt for at den aktuelle aktivi-


teten kan medføre slik skade. Hvorvidt sannsyn-lighetskravet er oppfylt må vurderes konkret.

I bestemmelsens andre ledd slås det fast atvedtak etter bestemmelsen skal være proporsjo-nalt med den risiko som aktiviteten utgjør.

Dersom saken av hensyn til potensielle skade-virkninger ikke kan utredes tilstrekkelig før ved-tak treffes, skal det i medhold av bestemmelsensfjerde ledd gjennomføres en etterfølgende saksbe-handling med sikte på å rette slik mangler.

For en nærmere omtale av bestemmelsen,vises det til kapittel 7.7.8.

Bestemmelsen må også sees i sammenhengmed virksomhetenes varslingsplikt etter § 4-6 før-ste ledd bokstav c, jf. tredje ledd.

§ 2-6 Klage og tvisteløsning

Bestemmelsen gir nærmere anvisning på hvordanklager og tvister etter loven skal behandles.

I bestemmelsens første ledd første punktum slåsdet fast at vedtak som fattes med hjemmel i lovensom hovedregel kan bringes inn for Tvisteorganetfor forebyggende sikkerhet. Tvisteorganet er nær-mere omtalt i merknaden til § 2-7. I første leddandre punktum gjøres det for det første unntak forde vedtak som fattes med hjemmel i §§ 2-5, 9-4eller 10-1. Felles for de opplistede vedtakshjem-lene er at myndighet til å fatte vedtak er lagt tilKongen i statsråd. Disse vedtakene kan ikkepåklages, men tvister kan på vanlig måte bringesinn for domstolene for overprøving. I tillegg gjø-res det unntak for vedtak som nevnt i andre ledd.

I bestemmelsens andre ledd slås det fast atvedtak fattet i medhold av lovens kapittel 8 ompersonellsikkerhet, kan påklages til Sikkerhets-myndigheten, og til departementet der Sikkerhet-smyndigheten er klareringsmyndighet. Dette eren videreføring av gjeldende sikkerhetslovs regu-lering av klagemuligheten for klareringssaker, sede særlige merknadene til lovens kapittel 8.

I bestemmelsens tredje ledd slås det fast at for-valtningslovens kapittel VI gjelder for selvsten-dige rettssubjekter klageadgang etter loven. Detfølger av bestemmelsens første og andre ledd atklageinstansen er henholdsvis Tvisteorganet ogSikkerhetsmyndigheten. Dette er unntak frahovedregelen i forvaltningsloven § 28 første ledd.For virksomheter som er underlagt departemen-tenes alminnelige instruksjons- og kontrollmyn-dighet gjelder ikke klageadgangen.

§ 2-7 Tvisteorgan for forebyggende nasjonal sikkerhet

I bestemmelsen gis det nærmere prosedyrereglerfor utpeking av Tvisteorganet og for oppnevningav organets medlemmer. Tvisteorganets organise-ring og myndighet er nærmere omtalt i kapittel7.7.7.

I bestemmelsens andre ledd slås det fast at detved oppnevning av medlemmer til tvisteorganet,også skal legges vekt på kompetanse innen per-sonvern og rettssikkerhet. Tvisteorganet er en sen-tral rettssikkerhetsgaranti for selvstendige retts-subjekter som blir underlagt loven ved enkeltved-tak, og det er derfor viktig at tvisteorganet bestårav medlemmer som besitter kompetanse som errelevant for selvstendige rettssubjekter, i tillegg tilsikkerhetsfaglig kompetanse.

Av bestemmelsens fjerde ledd fremgår det attvisteorganet skal avgi en årlig rapport. Formåletmed slik rapportering er dels å gi allmennheteninformasjon om Tvisteorganets virke og dels å girelevante aktører mer konkret informasjon ompraksis av betydning. Rapporteringen bør derforinnrettes slik at i hvert fall deler av innholdet eregnet for offentliggjøring.

Kapittel 3 – Tilsyn etter loven

§ 3-1 Tilsyn med virksomheter

Bestemmelsen regulerer fordeling av tilsynsan-svar etter loven.

I bestemmelsens første ledd slås det fast at Sik-kerhetsmyndigheten skal føre tilsyn med departe-mentenes gjennomføring av loven.

I bestemmelsens andre ledd gis ansvarligdepartement myndighet til å bestemme at tilsyns-funksjonen etter loven kan ivaretas av en sektor-myndighet. Med ansvarlig departement menes idenne sammenheng det departement som i med-hold av § 2-1 har det overordnede ansvaret forforebyggende sikkerhet i den aktuelle samfunns-sektoren. Et vilkår for at departementet kan treffeen slik beslutning er at det finnes en sektormyn-dighet i den aktuelle samfunnssektoren som haren tilsynsfunksjon «som omfatter beskyttelse avinformasjon, informasjonssystemer, objekter ellerinfrastruktur». At oppregningen er alternativ,innebærer at tilsynsfunksjonen ikke trenger åomfatte alle elementer. Hvorvidt tilsynsmyndighe-ten skal tillegges en sektormyndighet beror på enhelhetsvurdering, hvor det blant annet må tas stil-ling til om den aktuelle sektormyndigheten harnødvendig sikkerhetsfaglig kompetanse til å iva-reta tilsynsansvaret på en forsvarlig måte.


I bestemmelsens tredje ledd slås det fast at Sik-kerhetsmyndigheten skal ha tilsynsansvaret isamfunnssektorer der det ikke finnes sektor-myndigheter som nevnt i andre ledd. Denne til-synsfunksjonen er basert på samarbeidsmodelleni § 3-2.

Sikkerhetsmyndigheten skal i henhold tilbestemmelsens fjerde ledd føre tilsyn med de sek-tormyndighetene som er tillagt tilsynsansvar imedhold av andre ledd. Tilsynsansvaret overforsektormyndighetene må sees i sammenheng medSikkerhetsmyndighetens sektorovergripendeansvar og ansvaret for å påse at det føres tilsynmed gjennomføringen av lovens bestemmelser, jf.§ 2-2 første ledd bokstav a.

§ 3-2 Sikkerhetsmyndighetens samarbeid med sektormyndigheter

Bestemmelsen regulerer samhandlings- og koor-dineringsplikten mellom Sikkerhetsmyndighetenog relevante sektormyndigheter innen de ulikesamfunnssektorene. Bestemmelsen må sees isammenheng med fordeling av tilsynsansvaretetter § 3-1.

Bestemmelsens første ledd slår fast en samar-beidsplikt mellom Sikkerhetsmyndigheten, sek-tormyndigheter tillagt tilsynsansvar etter loven ogandre relevante myndigheter som har tilsynsfunk-sjoner etter annet regelverk.

Bestemmelsens andre ledd slår fast et prinsippom at gjennomføring av tilsyn, så langt det ermulig, skal samordnes og koordineres mellomSikkerhetsmyndighet og aktuelle tilsynsmyndig-heter. Dette gjelder både i forhold til tilsyns-myndigheter med oppgaver som nevnt i § 3-1andre ledd, og for andre tilsynsmyndigheter somfører tilsyn på andre områder. Formålet medbestemmelsen er å etablere en koordineringspliktmellom tilsynsorganer, slik at den totale belastnin-gen for tilsynsobjektene ikke blir høyere ennstrengt nødvendig. En slik koordinering kan skjepå flere måter, enten ved at tilsyn samordnes slikat det gjennomføres felles samtidige tilsyn ellerved at det avtales hvilke tidspunkter tilsyn skalskje på, slik at tilsynsobjektene ikke blir utsatt forto ulike tilsyn over en kort tidsperiode.

Etter bestemmelsens tredje ledd skal samarbei-det mellom Sikkerhetsmyndigheten og sektor-myndighet tillagt tilsynsansvar etter § 3-1, formali-seres gjennom en samarbeidsavtale. En slik sam-arbeidsavtale bør som minimum omhandleansvarsfordelingen mellom partene og hvordanden konkrete samhandlingen mellom dem skalskje.

I bestemmelsens fjerde ledd gis Sikkerhet-smyndigheten myndighet til å utarbeide og vedli-keholde grunnleggende kriterier for tilsyn etterloven (bokstav a) og forestå opplæring av sektor-myndighetenes tilsynspersonell (bokstav b). Enforutsetning for at Sikkerhetsmyndigheten skalkunne ivareta sitt sektorovergripende ansvar etter§ 2-2, er at myndigheten gis en mulighet til åpåvirke hva det skal føres tilsyn med, hvordandette skal gjøres, samt mulighet til å sikre at til-synspersonellet har den nødvendige kompetan-sen. Med «grunnleggende kriterier for tilsyn etterloven» menes overordnede føringer som sikrer atlovens formål ivaretas på en forsvarlig måte, ogsåder tilsynsansvaret er delegert til aktuelle sektor-myndigheter. Sektormyndighetene vil samtidig haadgang til å supplere disse overordnede føringenemed spesifikke kriterier som er tilpasset denenkelte samfunnssektor.

Bestemmelsens femte ledd første punktumregulerer Sikkerhetsmyndighetens adgang til ådelta i forberedelse og gjennomføring av sektor-myndighetenes tilsyn. Sikkerhetsmyndighetensrett til å delta er dels begrunnet i det sektorover-gripende ansvaret, og dels Sikkerhetsmyndig-hetens behov for innsikt i den enkelte samfunns-sektor. Gjennom deltakelse på tilsyn vil Sikkerhets-myndigheten både kunne kvalitetssikre at tilsynskjer på en sikkerhetsmessig forsvarlig måte ogkunne bidra med sin sikkerhetsfaglige kompe-tanse. Etter femte ledd andre punktum kan sektor-myndigheten anmode Sikkerhetsmyndighetenom bistand til forberedelser og/eller gjennomfø-ring av tilsyn. Samhandlingen mellom Sikkerhets-myndigheten og sektormyndighetene, herundereventuell deltakelse på tilsyn, bør fortrinnsvisreguleres i samarbeidsavtalen mellom partene, jf.bestemmelsens tredje ledd. Sikkerhetsmyndighe-tens adgang til å kreve å delta, vil således fungeresom en sikkerhetsventil for de tilfeller der det utfra sikkerhetsfaglige hensyn anses nødvendig.

Bestemmelsen sjette ledd regulerer sektor-myndighetenes rapporteringsplikt til Sikkerhets-myndigheten. Formålet med rapporteringsplik-ten er å sikre at Sikkerhetsmyndigheten får til-gang til nødvendig informasjon for å kunne ivaretasitt sektorovergripende ansvar. Noen tilsynsaktivi-teter vil være løpende, andre periodiske og atterandre hendelsesbaserte. I tillegg vil det kunnevære tale om både stedlige tilsyn og dokumentba-serte tilsyn, muligens også maskinelt baserte til-syn (testing). Det vil ikke foreligge noen rapporte-ringsplikt i alle slike tilfeller, derav henvisningentil at plikten er begrenset til rapportering av hoved-funn. De nærmere reglene for hvilke typer tilsyns-


aktiviteter som skal rapporteres bør konkretise-res på forskriftsnivå, jf. bestemmelsens sjuendeledd.

§ 3-3 Generelle prinsipper for tilsyn

Bestemmelsen angir de generelle prinsippene forgjennomføring av tilsyn etter loven. Bestemmel-sen gjelder både for Sikkerhetsmyndigheten ogfor sektormyndigheter tillagt tilsynsansvar etterloven.

I bestemmelsens første ledd slås det fast at til-syn etter loven skal skje på en slik måte at det vir-ker minst mulig forstyrrende på daglig drift. Til-syn kan være en belastning for de virksomhetersom utsettes for dette, både ved at det er ressur-skrevende for tilsynsobjektene å forberede tilsynog ved at stedlig tilsyn potensielt kan medføre atden daglige drift blir redusert i den tidsperiodentilsynet pågår. En god forutgående dialog, derdette er mulig uten å undergrave formålet med til-synet, vil i de fleste tilfeller kunne redusere unød-vendig merarbeid og potensiell negativ innvirk-ning på daglig drift.

Bestemmelsens andre ledd angir en formålsav-grensning for bruk av opplysninger som tilsyns-myndigheten innhenter som ledd i tilsynet.

Tredje ledd er en presisering av at forvaltnings-lovens bestemmelser om taushetsplikt gjelder fortilsynspersonellet. I den utstrekning personelletfår informasjon som er sikkerhetsgradert ettersikkerhetsloven, vil personellet også ha taushets-plikt om slik informasjon, jf. § 5-3 andre ledd.

§ 3-4 Stedlig tilsyn

Gjennomføring av stedlige tilsyn forutsetter at til-synsmyndigheten får tilgang til tilsynsobjektet,enten det er informasjon, objekt eller infrastruk-tur.

Bestemmelsens første ledd fastslår at tilsyns-myndigheten kan kreve å få tilgang der dette ernødvendig for en forsvarlig gjennomføring av til-synet.

Bestemmelsens andre ledd slår fast at tilsynsom hovedregel skal varsles skriftlig. Med nor-malt varsles tas det forbehold om at forutgåendevarsel i enkelte tilfeller ikke vil være mulig ellerønskelig, da dette vil kunne undergrave formåletmed tilsynet.

§ 3-5 Tilsynsmyndighetens behandling av personopplysninger

Bestemmelsen inneholder særlige bestemmelserom tilsynsmyndighetens behandling av person-opplysninger. Bestemmelsen i § 4-7 om person-opplysningsvern gjelder generelt for all behand-ling av personopplysninger etter loven.

Som ledd i tilsynsvirksomheten vil tilsynsmyn-digheten kunne få tilgang til personopplysninger,enten fordi det er behov for å behandle slike opp-lysninger eller som overskuddsinformasjonsammen med annen informasjon som er relevantfor gjennomføring av tilsyn.

Bestemmelsens første ledd etablerer et gene-relt hjemmelsgrunnlag for behandling av person-opplysninger der dette er nødvendig for å utføretilsynsoppgavene etter loven.

I bestemmelsens andre ledd slås det fast at til-synsmyndighetens behandling av personopplys-ninger kun kan skje der dette etter konkret vurde-ring fremstår som nødvendig og proporsjonalt iforhold til det inngrepet behandlingen represente-rer. Bestemmelsen er en lovfesting av nødvendig-hets- og proporsjonalitetsprinsippet.

I tredje ledd gis det nærmere prosedyrereglerfor tilsynsmyndighetenes behandling av person-opplysninger. Som hovedregel skal personopplys-ninger kun behandles ved hjelp av virksomhetensegne informasjonssystemer. Tilsynsmyndighetenkan kun kreve kopi av personopplysninger i denutstrekning dette er nødvendig for å påvise elleravkrefte lovbrudd. Dersom det tas slik kopi avpersonopplysninger plikter tilsynsmyndigheten åvarsle virksomheten om at dette er gjort.

§ 3-6 Pålegg

Bestemmelsen regulerer vilkårene for at det skalkunne ilegges pålegg etter loven, samt hvordanpåleggsmyndigheten er fordelt.

I bestemmelsens første ledd slås det fast at tovilkår må være oppfylt for at det skal kunne ileg-ges pålegg etter loven. For det første må det være«utvilsomt at tiltaket er nødvendig» for å ivaretalovens formål. Med dette menes at den sikker-hetsmessige effekten ved pålegg om å iverksettesikkerhetstiltak må kunne dokumenteres medhøy grad av sannsynlighet. For det andre må dekostnadene som påføres virksomheten som følgeav pålegget «stå i et rimelig forhold til det som kanoppnås». Med dette menes at det må foretas enkonkret vurdering av om nytten som kan oppnåsfor samfunnet, står i et rimelig forhold til de kost-nadene pålegget fører med seg. Dette slik at sik-


kerhetstiltakene som pålegges ikke antas å bliuforholdsmessig kostbare for den enkelte virk-somhet. Vilkåret må sees i sammenheng med § 4-1 andre ledd.

Bestemmelsens andre ledd fordeler påleggs-myndigheten mellom Sikkerhetsmyndigheten ogrelevante sektormyndigheter, hvor påleggsmyn-digheten tilligger den aktøren som er tillagt til-synsansvaret i medhold av § 3-1.

I medhold av bestemmelsen tredje ledd er Sik-kerhetsmyndigheten gitt myndighet til å ileggesektormyndigheter pålegg. Et vilkår for å kunneilegge slike pålegg er at det vurderes som nødven-dige å sikre at lovens formål ivaretas.

I bestemmelsens fjerde ledd første punktumslås det fast at pålegg kan påklages til Tvisteorga-net. Dette gjelder også når Sikkerhetsmyndighe-ten har gitt pålegg til en sektormyndighet. Forselvstendige rettssubjekter gjelder forvaltningslo-ven kapittel VI, jf. fjerde ledd andre punktum.

Kapittel 4 – Generelle krav til forebyggende sikkerhet

§ 4-1 Plikt til å gjennomføre sikkerhetstiltak

Bestemmelsen regulerer de generelle pliktene tilå gjennomføre sikkerhetstiltak for virksomhetersom er underlagt loven ved enkeltvedtak, jf. §§ 2-1første ledd bokstav c og 2-2 første ledd bokstav e.

Bestemmelsens første ledd understreker atforebyggende risikoreduserende tiltak mot tilsik-tede uønskede hendelser omfatter både tiltak somreduserer sannsynligheten for at hendelsen inn-treffer (bokstav a) og tiltak som reduserer konse-kvensene av hendelsen ved å redusere skadeom-fanget (bokstav b). Nødvendig reduksjon av risikooppnås ved å vurdere og iverksette enkeltståendetiltak eller kombinasjoner av flere typer tiltak.Kombinasjoner av tiltak vil ofte være aktuelt. Til-tak kan være av en art som direkte reduserersannsynligheten for at hendelser rammer et spesi-fikt objekt eller en infrastruktur. Eksempler pådette er ulike former for barrierer, systemer fortidlig deteksjon av uønskede hendelser, verifika-sjonssystemer og ulike former for reaksjon for åstoppe eller redusere omfanget av slike hendelser.Reduksjon av risiko kan også bestå av tiltak somreduserer skadevirkningene dersom en hendelseinntreffer. Dette kan enten være tiltak som base-res på økt redundans eller økt resiliens, eller kom-binasjon av slike tiltak. Høy redundans innebærerat det er flere enheter eller delsystemer sombidrar til å opprettholde funksjonen. Dersom noenav enhetene eller delsystemene mister sin funk-sjon vil de øvrige kunne fylle funksjonen til den

eller de som er falt ut, og dermed forhindre alvor-lige konsekvenser. Høy resiliens betyr at funksjo-nen har stor evne til å raskt gjenopprette normal-tilstand dersom hele eller deler av funksjonen blirpåvirket av en hendelse. Summen av tiltak somforhindrer at hendelser inntreffer, gir redundansog resiliens, er det som gjør et system robust.

Som grunnlag for virksomhetens sikkerhetstil-tak skal virksomheten gjøre en risiko- og sårbar-hetsanalyse, jf. bestemmelsen første ledd førstepunktum og § 4-3.

Begrepet forsvarlig sikkerhetsnivå er en rettsligstandard som trekker opp de ytre rammene forhvilket handlingsrom virksomheten har når detgjelder etablering av sikkerhetstiltak. Innholdet iden rettslige standarden er nærmere omtalt ikapittel 7.7.9.

Sikkerhetstiltakene for å oppnå et forsvarligsikkerhetsnivå skal inkludere alle tiltak for å iva-reta lovens formål, herunder informasjonssikker-het, fysisk sikkerhet og personellsikkerhet, samtandre relevante sikkerhetstiltak. Det er kombina-sjonen av relevante tiltak som er avgjørende forom virksomheten kan sies å ha et forsvarlig sik-kerhetsnivå, ikke de ulike tiltakene vurdert hverfor seg. For enkelte virksomheter vil det væreumulig, eller uforholdsmessig kostbart, å etableresikkerhetstiltak som gjør at tilsiktede uønskedehendelser blir forhindret. Redundante systemervil imidlertid kunne redusere risikoen for at slikehendelser får kritiske konsekvenser, slik at kravettil forsvarlig sikkerhetsnivå er oppfylt.

I bestemmelsens andre ledd slås det fast atvirksomheten, ved vurderingen av hvilke sikker-hetstiltak som skal gjennomføres, skal foreta enforholdsmessighetsvurdering mellom kostna-dene ved tiltakene og den sikkerhetsmessigeeffekten som oppnås. Slike vurderinger må imid-lertid gjøres innenfor rammen av det som skal tilfor å oppnå et forsvarlig sikkerhetsnivå etter førsteledd.

Bestemmelsens tredje ledd presiserer at derisiko- og konsekvensreduserende tiltakene somiverksettes for å motvirke tilsiktede uønskedehendelser, kan sees i sammenheng med behov fortiltak for å håndtere annen type risiko. Med dettemenes i første rekke at virksomheten bør ha enhelhetlig tilnærming til forebyggende sikkerhetved operasjonaliseringen av krav som følger avsikkerhetsloven og annet regelverk som stillerkrav til sikkerhet generelt eller innen en sektor.Tiltak for å forebygge tilsiktede uønskede hendel-ser (security) og tiltak for å forebygge mot uhellog skadelige naturhendelser (safety), bør medandre ord så langt som mulig sees i sammenheng


med hverandre. Et vilkår for at slik planlegging oggjennomføring kan sees i sammenheng, er at kra-vene etter sikkerhetsloven oppfylles.

§ 4-2 Sikkerhetsstyring

Bestemmelsens første ledd første punktum slår fastat forebyggende sikkerhet er et ledelsesansvar.Myndigheten til å følge opp det forebyggende sik-kerhetsarbeidet bør kunne delegeres, men en godforankring hos ledelsen er avgjørende for et godtog tilstrekkelig prioritert sikkerhetsarbeid.

Bestemmelsens andre ledd presiserer at virk-somheten har et ansvar for opplæring av eget per-sonell, og en påseplikt overfor underleverandørerog andre oppdragstakere. Formålet med bestem-melsen er å uttrykkelig slå fast at en virksomhetikke kan utkontraktere ansvaret for det forebyg-gende sikkerhetsarbeidet. Leverandører til sik-kerhetsgraderte anskaffelser vil ha en selvstendigplikt til å iverksette forebyggende sikkerhetstil-tak, jf. § 1-3 fjerde ledd og loven kapittel 9.

§ 4-3 Risiko- og sårbarhetsanalyse

Bestemmelsens første ledd regulerer virksomhe-tens plikt til å gjennomføre en risiko- og sårbar-hetsanalyse (ROS-analyse) som grunnlag for virk-somhetens forebyggende sikkerhetstiltak etterloven. ROS-analysen er et godt verktøy for en sys-tematisk kartlegging av en virksomhets risiko ogsårbarhet. ROS-analysen skaper bevissthet ogkunnskap om risiko- og sårbarhetsnivået og dan-ner grunnlaget for målrettet å kunne unngå/redu-sere risiko og sårbarhet mot tilsiktede uønskedehendelser. Analysen gir også grunnlag for priori-teringer og en vurdering av hvilke tiltak som børiverksettes.

ROS-analysen danner med andre ord funda-mentet for virksomhetens gjennomføring av sik-kerhetstiltak og sikkerhetsstyring for øvrig. Enforutsetning for å kunne gjøre en tilfredsstillendeROS-analyse er at de ulike virksomhetene blir satti stand til å forstå hvilket trusselbilde som tilenhver tid er gjeldende. Bestemmelsen må såle-des sees i sammenheng med Sikkerhetsmyndig-hetens plikt til aktiv rådgivning og veiledning, jf.§ 2-2 første ledd bokstav b og Sikkerhetsmyndig-hetens plikt til å tilrettelegge og koordinere til-gjengeliggjøring av trusselinformasjon og annensikkerhetsrelevant informasjon, jf. § 2-3.

I bestemmelsens andre ledd pålegges virksom-heten å gjennomgå, og om nødvendig revidere,ROS-analysen på jevnlig basis. Arbeidet med ROS-analysen skal være en dynamisk prosess, som

skal ta høyde for endringer i gjeldende trusselsitu-asjon, virksomhetens sårbarheter eller andre sik-kerhetsrelevante endringer. Når, og hvor ofte, envirksomhet må gjennomgå ROS-analysen vil i storgrad være situasjonsbetinget.

Sikkerhetsmyndigheten, eller den sektormyn-dighet som er gitt tilsynsansvar etter loven, plikteretter bestemmelsens tredje ledd, å bistå virksom-heten med råd og veiledning dersom det anmodesom dette, jf. også § 2-2 første ledd bokstav b. Somhovedregel vil plikten til å gi råd og veiledningetter bestemmelsen følge fordelingen av tilsynsan-svaret etter § 3-1. Det vil imidlertid kunne væreforhold som gjør at ansvarsfordeling bør eller måvære annerledes. For enkelte sektormyndighetervil eksempelvis EØS-rettslige forpliktelser settebegrensninger for hvor langt sektormyndighetenkan gå i forhold til konkret rådgivning overforvirksomheter i egen sektor. Hvorvidt det er Sik-kerhetsmyndigheten eller aktuelle sektormyndig-heter som skal bistå virksomheten i slike situasjo-ner, bør fastlegges i samarbeidsavtalen mellomdem, jf. § 3-2 tredje ledd.

§ 4-4 Krav til dokumentasjon

Bestemmelsen regulerer virksomhetens plikt til ådokumentere det forebyggende sikkerhetsarbei-det. Formålet med bestemmelsen er å legge tilrette for at tilsyn med virksomhetene etter lovenkapittel 3 kan gjennomføres på en effektiv og hen-siktsmessig måte.

I bestemmelsens første ledd bokstav a påleggesvirksomheten å dokumentere at risiko- og sårbar-hetsanalyse, jf. § 4-3, er gjennomført. I henhold tilbestemmelsens første ledd bokstav b skal virksom-heten også dokumentere at nødvendige tiltak eriverksatt med sikte på å redusere sannsynlighetenfor, og konsekvensene av, tilsiktede uønskedehendelser. Omfanget av dokumentasjon som ernødvendig for å ivareta formålet med bestemmel-sen, bør fastsettes i forskrift, jf. bestemmelsensandre ledd.

Virksomhetens dokumentasjon etter bokstav aog b, vil være sensitiv og sannsynligvis sikker-hetsgradert informasjon, og må behandles deret-ter både av virksomheten selv og av tilsynsmyn-dighetene, jf. loven kapittel 5.

§ 4-5 Øvelser

Bestemmelsen regulere virksomhetenes plikt til ågjennomføre øvelser etter loven.

I første ledd slås det fast at slike øvelser skalgjennomføres regelmessig. Med regelmessig menes


at øvelser skal gjennomføres med en slik frekvensat formålet med bestemmelsen ivaretas. Formåletmed å gjennomføre øvelser er dels å teste om eta-blerte sikkerhetstiltak fungerer etter hensikten.Dels er formålet å vedlikeholde og videreutviklekompetansen til virksomhetens personell i hånd-teringen av tilsiktede uønskede hendelser motvirksomheten. Evaluering etter gjennomførtøvelse skal gi et grunnlag for å vurdere behovetfor å gjøre nødvendige endringer i virksomhete-nes sikkerhetstiltak, og for å vurdere behovet forå styrke personellets kompetanse.

§ 4-6 Varsling

Bestemmelsen regulerer virksomhetenes vars-lingsplikt til tilsynsmyndighetene. En forutsetningfor at myndighetene skal kunne ha oversikt oversikkerhetstilstanden i de ulike samfunnssekto-rene, og om nødvendig iverksette tiltak for å redu-sere risikoen, er at myndighetene får rettidig ogtilstrekkelig informasjon om hendelser av betyd-ning. Formålet med bestemmelsen er å legge tilrette for at myndighetene kan ivareta sitt overord-nede ansvar.

I bestemmelsens første ledd slås det fast at virk-somhetene plikter å varsle tilsynsmyndigheteneomgående i fire tilfeller. Med omgående menes idenne sammenheng at virksomhetene skal sendevarsel så raskt det lar seg gjøre.

Første ledd bokstav a regulerer de tilfeller derdet er klarlagt at en tilsiktet uønsket hendelse fak-tisk er gjennomført. Et første vilkår for at vars-lingsplikten skal inntre er at den aktuelle hendel-sen er rettet mot den aktuelle virksomheten. I til-legg er det et vilkår at hendelsen kan ha betyd-ning for virksomhetens «evne til å ivareta sineoppgaver knyttet til grunnleggende nasjonalefunksjoner». Det vil således kun være de hendel-sene som kan få negativ innvirkning på virksom-hetens evne til å understøtte de aktuelle funksjo-nene, som det skal varsles om.

Etter første ledd bokstav b inntrer varslingsplik-ten også der det er en begrunnet mistanke om athendelser som nevnt i bokstav a, er gjennomførteller planlagt. I begrepet begrunnet mistanke lig-ger et krav om at det må være en viss grad avsannsynlighet før varslingsplikten inntrer. Der detforeligger en mistanke om at en slik hendelse erplanlagt, vil virksomheten uansett ha en egeninte-resse i å varsle myndighetene slik at nødvendigetiltak for å avverge hendelsen kan iverksettes.

Første ledd bokstav c regulerer varslingsplik-ten for de situasjonene som kan utløse Kongen i

statsråds vedtaksmyndighet etter § 2-5. For ennærmere omtale av hvilke situasjoner bestemmel-sen tar sikte på å regulere vises det til merknadentil § 2-5, samt den nærmere omtalen i kapittel 7.2.3og 7.7.8.

I første ledd bokstav d pålegges virksomheteneen varslingsplikt der det har skjedd brudd på kravtil sikkerhet i loven kapittel 5, 6 eller 7, med tilhø-rende forskrifter. Varslingsplikten inntrer uavhen-gig av årsaken til at sikkerhetsbruddet har skjedd.

I bestemmelsens andre ledd slås det fast atvirksomhetens varsel etter første ledd skal sendesbåde til sektormyndigheter som er tillagt til-synsansvar, jf. § 3-1, og til Sikkerhetsmyndighe-ten. For at Sikkerhetsmyndigheten skal kunneivareta sitt sektorovergripende ansvar, er det nød-vendig at denne har en tilstrekkelig informasjons-tilgang om relevante hendelser også i samfunns-sektorer der den ikke har et direkte tilsynsansvar.Ved at Sikkerhetsmyndigheten får tilgang til var-sel fra alle samfunnssektorer, vil denne også hamuligheten til å kartlegge og holde oversikt overtrusler som rammer flere samfunnssektorer paral-lelt, samt gi nødvendig råd, veiledning og tidligvarsling til samfunnssektorer som enda ikke erberørt av de aktuelle truslene. Det vil imidlertidvære sektormyndighetene med tilsynsansvar etter§ 3-1 som har det primære ansvaret for å følge oppde varsler som kommer fra virksomheter i egensektor.

Etter bestemmelsens tredje ledd skal tilsynsmyn-dighetene som mottar varsel etter første ledd bok-stav c, uten ugrunnet opphold videresende slikevarsel til ansvarlig departement for vurdering avenkeltvedtak etter § 2-5. Hva som ligger i utenugrunnet opphold må avgjøres konkret. Et varseletter første ledd bokstav c, skal videresendes såsnart som mulig etter at tilsynsmyndigheten hartilstrekkelig informasjon om saken. Det kan ten-kes situasjoner der tilsynsmyndigheten har behovfor ytterligere informasjon fra virksomheten, førde har et tilstrekkelig informasjonsgrunnlag til åformidle videre.

I bestemmelsens fjerde ledd slås det fast atvarslingsplikten skal etterleves, selv om detteinnebærer videreformidling av opplysninger som iutgangspunktet er omfattet av lovbestemt taus-hetsplikt. Sett hen til de funksjoner og interesserloven tar sikte på å beskytte, er det avgjørende attaushetsplikt etter annet regelverk ikke er til hin-der for varsling om slike tilsiktede uønskede hen-delser.


§ 4-7 Behandling av personopplysninger

Bestemmelsen slår fast at behandling av person-opplysninger som ledd i forebyggende sikker-hetsarbeid, skal skje i samsvar med prinsippene ipersonvernforordningen art. 5, med de unntaksom følger av forordningen art. 23. Bestemmelsengjelder for all behandling av personopplysninger,slik dette er definert i art. 4 (1) og (2) i nevnte for-ordning. Bestemmelsen forutsetter at de som eransvarlige for behandling av personopplysninger(behandlingsansvarlig), jf. art. 4 (7), som ledd ietterlevelse av loven setter seg inn i og brukernevnte bestemmelser aktivt.

For en nærmere omtale av personvernforord-ningen vises det til kapittel 5.3.2.

Kapittel 5 – Informasjonssikkerhet

§ 5-1 Sikkerhetsgradert informasjon

Bestemmelsen er i stor grad en videreføring avtidligere lov § 11. Den grunnleggende systematik-ken med skadevurdering, sikkerhetsgradering ogmerking er den samme.

Første ledd fastslår hvem som har plikt til åforeta skadevurdering, sikkerhetsgradering ogmerking av informasjon.

Skadevurderingen, som angis i bestemmelsenbokstav a til d, er bestemmende for hvilken infor-masjon som skal sikkerhetsgraderes og dermedbeskyttes etter loven.

Innholdet i begrepet informasjon videreføres,slik dette er definert i dagens sikkerhets lov § 3første ledd nr. 3, og nærmere forklart i forarbei-dene.1

Begrepet informasjon skal forstås vidt. Måteninformasjonen er tilvirket på og hvilken forminformasjonen har er ikke relevante momenter ivurderingen av om noe er informasjon. Begrepetomfatter for eksempel informasjon i form avfysiske dokumenter, digitale og maskinlesbaresignaler, film, lydopptak og muntlige opplysnin-ger. I vurderingen av om noe skal anses som infor-masjon skal det legges vekt på om det er egnet tilå tilføre en trusselaktør kunnskap som dennedirekte eller indirekte kan benytte til å skadegrunnleggende nasjonale funksjoner.

Plikten til å merke sikkerhetsgradert informa-sjon gjelder ikke der merking i praksis er umulig.Det gjelder for eksempel for informasjon somikke har en fysisk tilstand, slik som muntlige opp-lysninger. Merkingsplikt inntrer imidlertid for

den som bringer informasjonen over i et formatder merking er mulig.

Ordlyden i bestemmelsen skiller seg noe fratidligere lov. Endringen innebærer at man vedskadevurderingen må ta hensyn til skadepotensia-let for hele lovens virkeområde, se nærmere imerknad til § 1-2. Tidligere lov nevnte eksplisitthensynene til vitale sikkerhetsinteresser og allier-tes sikkerhet. Slike hensyn er fortsatt relevante, jf.§ 1-2.

Tema for skadevurderingen og dermed ominformasjonen skal sikkerhetsgraderes, er i hvil-ken grad en trusselaktør, dersom denne blir kjentmed informasjonen, kan påføre grunnleggendenasjonale funksjoner skade. Vurderingen vil værebestemmende for i hvilken grad informasjonenskonfidensialitet må beskyttes. Er konklusjonen atkonfidensialitetsbrudd ikke i noen grad kan fåskadefølger, jf. bokstav d, for grunnleggendenasjonale funksjoner, skal informasjonen ikke sik-kerhetsgraderes. Informasjonen skal dermed hel-ler ikke beskyttes etter bestemmelsene i sikker-hetsloven kapittel 5. Dette utelukker ikke at infor-masjonen ikke skal beskyttes etter andre regler,for eksempel personopplysningsloven eller bered-skapsforskriften.

Innholdet i og forholdet mellom de ulike sik-kerhetsgradene for øvrig videreføres, herundertilknytningen til NATO-systemet. Forarbeidene tiltidligere lov er fortsatt relevante. Endringen fraskade i tidligere lov bokstav b og c til skadefølge iny lov, er kun en språklig justering som ikke inne-bærer realitetsendring. Det samme gjelder end-ringen i bokstav d) fra medføre i tidligere lov til få iny lov. Se også kapittel 8.2.1 som beskriver nær-mere området for BEGRENSET.

Sondringen mellom skjermingsverdig og sik-kerhetsgradert informasjon videreføres ikke.

Sikkerhetshensyn skal være styrende for nød-vendighetsvurderingen etter andre ledd førstepunktum. Bestemmelsen skal sikre at det faktiskforetas en grundig vurdering av beskyttelsesbe-hovet og at andre relevante hensyn, slik somoffentlighetsprinsippet, tas i betraktning.

Fjerde ledd er en videreføring av gjeldenderett.

Se for øvrig kapittel 8.5.1, 8.6.1 og 8.6.2.

§ 5-2 Beskyttelse av sikkerhetsgradert informasjon

Bestemmelsen fastsetter en beskyttelsesplikt forden virksomhet som rår over informasjonen.Denne plikten er noe annet og mer enn det somfølger av § 5-4 om taushetsplikt, som retter segmot enkeltpersoner med tilgang til informasjonen.1 Ot.prp. nr. 49 (1996–97), 66 og 68.


Bestemmelsen gjelder kun for sikkerhetsgra-dert informasjon, jf. § 5-1. Sikkerhetstiltakene skalivareta både konfidensialiteten (bokstav a), inte-griteten (bokstav b) og tilgjengeligheten (bokstavc) til informasjonen. En konkret helhetsvurderingav behovet for beskyttelse av det enkelte element,må ligge til grunn for å kunne iverksette passendesikkerhetstiltak.

Nødvendighetsvurderingen vil i stor gradavhenge av de nærmere bestemmelser ombeskyttelse som blir fastsatt i forskrift. NATO-reglene setter minstekrav for beskyttelse av infor-masjon innen de enkelte sikkerhetsgradene, somvil måtte være felles for alle som behandler sikker-hetsgradert informasjon. Utover dette er det opptil Kongen å avgjøre om og eventuelt i hvilkenutstrekning sikkerhetskravene skal gjelde nasjo-nalt og tverrsektorielt. Se nærmere om dette ikapittel 7.7.10.

Ivaretakelse av tilgjengelighet skal i førsterekke vurderes opp mot virksomhetens egetbehov. Bestemmelsen må imidlertid ses i sam-menheng med lovens system for øvrig og sam-funnssikkerhetsprinsippet om samvirke. Det føl-ger av dette en plikt til å vurdere om andre virk-somheter har behov for den informasjonen somvirksomheten besitter – også kalt responsibility toshare.

§ 5-3 Tilgang til og taushetsplikt for sikkerhetsgradert informasjon

Første ledd fastsetter uttømmende og absolutte vil-kår for å kunne overlate sikkerhetsgradert infor-masjon til en annen. Nærmere om autorisasjon føl-ger av § 8-1.

Etter andre ledd plikter man å opprettholdetaushet når det gjelder sikkerhetsgradert informa-sjon i alle andre tilfeller enn det som følger av før-ste ledd. Den som skal overlate sikkerhetsgra-derte informasjon til en annen må forvisse seg omat vilkårene er oppfylt.

«Enhver som får tilgang til» i andre ledd omfat-ter også den som har utstedt eller på annen måtetilvirket informasjonen. Oppregningen «arbeid,oppdrag, verv eller aktivitet» skal omfatte alle rela-sjoner til virksomheten som i noen grad er forma-lisert, der noen gjør noe på vegne av virksomhe-ten.

Bestemmelsen er en videreføring av gjeldenderett og forarbeidene til tidligere lov er relevante.Endringene innebærer ikke realitetsforskjell fratidligere sikkerhetslov.

§ 5-4 Tekniske sikkerhetsundersøkelser

Bestemmelsen er en videreføring av gjeldenderett. Begrepet avtitting er erstattet med innsyn,uten at det er ment å utgjøre en realitetsforskjell.

Kapittel 6 – Informasjonssystemsikkerhet

Kapittel 6 inneholder regler om hvilke informa-sjonssystemer som skal beskyttes etter loven,hvem som har ansvar for beskyttelsen og hvilkesikkerhetstiltak som kan og hvilke som skal iverk-settes. Det legges også enkelte føringer for gjen-nomføringen av sikkerhetstiltakene. Loven regu-lerer kun forhold som er felles for alle skjermings-verdige informasjonssystemer. Forskriftshjem-lene åpner for at Kongen kan gi både sektor- ogsystemtilpassede bestemmelser.

Mens informasjonssikkerhet handler om åbeskytte den verdien som informasjonen repre-senterer, handler informasjonssystemsikkerhet omå beskytte den funksjonen eller oppgaven somsystemet skal ivareta. For å oppnå et forsvarlignivå for informasjonssystemsikkerheten må ogsåverdien av informasjonen som behandles isystemet vurderes.

§ 6-1 Skjermingsverdige informasjonssystemer

Bestemmelsen innfører begrepet skjermingsver-dige informasjonssystemer som en samlebeteg-nelse for alle informasjonssystemer som omfattesav og skal beskyttes etter sikkerhetsloven.

Med begrepet informasjonssystem menessystemer som anvendes for å løse en oppgaveeller utføre en funksjon i en organisasjon. Detomfatter menneskelige, organisatoriske og tek-niske ressurser, metoder og teknikker.2

Informasjonssystem skal i sikkerhetsloven for-stand forstås vidt. Begrepet omfatter både manu-elle og digitale informasjonssystemer, og favneralt fra saksbehandlingssystemer, kontorstøtte-systemer og rene kommunikasjonssystemer tilkontroll- og styringssystemer.3

2 Arild Jansen og Dag Wiese Schartum (red.), Informasjons-sikkerhet: Rettslige krav til sikker bruk av IKT (Bergen: Fag-bokforlaget 2005), 62.

3 Jf. også lov 21. juni 2013 nr. 61 om forbud mot diskrimine-ring på grunn av nedsatt funksjonsevne (diskriminerings-og tilgjengelighetsloven) § 14 første ledd: «Med informa-sjons- og kommunikasjonsteknologi (IKT) menes tekno-logi og systemer av teknologi som anvendes til å uttrykke,skape, omdanne, utveksle, lagre, mangfoldiggjøre og publi-sere informasjon, eller som på annen måte gjør informasjonanvendbar».


Bokstav a gjelder alle informasjonssystemersom, hvis de slutter å fungere eller får redusertfunksjonalitet, har en negativ innvirkning på virk-somhetens evne til å levere sine kritiske tjenestereller funksjoner. Avgjørende for om et system skalbeskyttes etter loven er hvilken rolle systemet harved virksomhetens produksjon av tjenester somer av kritisk betydning for grunnleggende nasjo-nale funksjoner. Hvilke typer oppgaver systemetutfører er også relevant, men ikke avgjørende.

Bokstav b omfatter informasjonssystemer sombehandler sikkerhetsgradert informasjon. Der-med videreføres beskyttelsen av de systemer somper i dag kalles godkjente informasjonssystemer.Selve begrepet videreføres ikke.

Med begrepet behandler menes alle former forbehandling av informasjon i et informasjonssys-tem, herunder transport, lagring og prosessering.

Ett system kan falle inn under både bokstav aog b. Se kapittel 8.5.2, 8.6.1 og 8.6.2 for nærmereomtale av skjermingsverdige informasjons-systemer.

§ 6-2 Beskyttelse av skjermingsverdige informasjonssystemer

Bestemmelsen fastsetter en plikt for virksomhe-ten til å beskytte virksomhetens skjermingsver-dige informasjonssystemer. Virksomhetens ROS-analyse, jf. § 4-3, vil danne grunnlaget for å angihvilke informasjonssystemer som skal beskyttesetter sikkerhetsloven.

Virksomheten plikter å oppnå et forsvarlig sik-kerhetsnivå for informasjonssystemene. Bokstav aog b konkretiserer hva som ligger i begrepet ved åangi hovedmålene for sikkerhetstiltakene. Ivareta-kelse av a og b må ses i sammenheng. Eksempel-vis er det ikke tilstrekkelig å bare se på grade-ringsnivået for et sikkerhetsgradert informasjons-system, se kapittel 8.6.2. ROS-analysen vil dannegrunnlaget for iverksettelse av de sikkerhetstiltaksom er mest hensiktsmessige for det enkelte sys-tem. Det vil kunne variere fra system til systemhva som skal til for å oppnå et forsvarlig sikker-hetsnivå.

§ 6-3 Godkjenning av skjermingsverdige informasjonssystemer

Bestemmelsen fastsetter at alle skjermingsver-dige informasjonssystemer, jf. § 6-1, må sikker-hetsgodkjennes. For informasjonssystemer, jf. § 6-1 bokstav a setter loven ikke krav om forhånds-godkjenning.

For informasjonssystemer som skal behandlesikkerhetsgradert informasjon, jf. § 6-1 b, videre-føres gjeldende rett. Slike systemer må godkjen-nes før de kan behandle sikkerhetsgradert infor-masjon.

Forskriftshjemmelen i tredje ledd åpner for åetablere flere ulike godkjenningsprosesser oggodkjenningsmyndigheter.

§ 6-4 Overvåking av skjermingsverdige informasjonssystemer

Sikkerhetsmessig overvåkning kan innebæremange former for sikkerhetstiltak. Særlig aktuelletiltak er logging av aktivitet i systemet, automati-serte alarmer og manuell sammenstilling og ana-lyse av innhentet data.

Som redegjort for i kapittel 8.6.4 er bestem-melsen i hovedsak en videreføring av gjeldendesikkerhetslov § 13a.

Første ledd oppstiller en plikt for virksomhetentil å foreta sikkerhetsmessig overvåkning av virk-somhetens skjermingsverdige informasjons-systemer, jf. § 6-1. Første ledd fastsetter dessutenformålet med overvåkningen. Med begrepeneforebygge og håndtere menes sikkerhetstiltak somomfatter hele livssyklusen til en tilsiktet uønskethendelse, herunder evne til å oppdage (detektere)og gjenopprette sikker tilstand etter hendelsen.Med tilsiktet uønsket hendelse menes forsøk påeller faktisk kompromittering av systemet.Bestemmelsens siste punktum erstatter gjeldendelov § 13a sikkerhetsrelevante hendelser uten at detinnebærer en realitetsendring.

Andre ledd gir dels en hjemmel og dels en plikttil lagring, registrering og analyse av ulike formerfor utveksling av informasjon.

For at ikke tiltaket skal bli uforholdsmessigbyrdefullt må omfanget av overvåkningen, her-under lagring og registrering, forankres i en nær-mere vurdering av det enkelte systems særegen-heter. Etter at behovet er kartlagt, trer plikten inntil å overvåke systemet i det omfang det er nød-vendig for å oppnå formålet med tiltaket. For nær-mere omtale av andre ledd, se kapittel 8.6.4.

Ved overvåkning av systemer som behandlerpersonopplysninger må andre og tredje ledd ses isammenheng. Tredje ledd stiller ytterligere krav tilat virksomheten foretar grundige vurderinger førtiltaket iverksettes.

For det første stilles det strengere krav til vur-deringen av formålsmessighet enn det som følgerav andre ledd. Videre må virksomheten i hvertenkelt tilfelle foreta en forholdsmessighetsvurde-ring der behovet for overvåkning ses i sammen-


heng med eventuelle personvernulemper av beho-vet for overvåkning. Omfanget av overvåkningenmå være begrunnet og nødvendig. Virksomhetenmå dessuten – der det er valgmuligheter – velgeden metoden som er minst inngripende for per-sonvernet til brukerne av systemet. I noen tilfellerkan for eksempel automatisert overvåkning medet innhold som er utilgjengelig for menneskervære mindre inngripende enn manuell overvåk-ning.

Etter fjerde ledd gis det hjemmel for å lagreinformasjon som er resultat av overvåkningen iinntil 5 år. Loven setter ikke begrensninger forbruken av informasjon som ikke er personopplys-ninger.

Femte ledd er med ett unntak en videreføringav gjeldende sikkerhetslov § 13a tredje ledd. § 6-4femte ledd inneholder også et andre punktum, derdet ilegges en plikt for den som overvåker til åbeskytte den informasjonen som blir kjent gjen-nom overvåkningsavtalen.

Sjette ledd er en videreføring av gjeldende sik-kerhetslov § 13a femte ledd. Her pålegges virk-somheten en informasjonsplikt i samsvar medpersonopplysningsloven § 19.

Sjuende ledd er en videreføring av gjeldendesikkerhetslov § 13a sjette ledd, men med noenpresiseringer.

§ 6-5 Kommunikasjons- og innholdskontroll av informasjonssystemer

Bestemmelsen er i all hovedsak en videreføring avgjeldende sikkerhetslov § 15 om monitoring.

Bestemmelsen pålegger ingen plikt for virk-somheten til å få gjennomført denne type kontroll.Ordningen skal kun være et supplement til øvrigerelevante sikkerhetstiltak, og et tilbud til de virk-somheter som ser behov for slik kontroll av sineinformasjonssystemer, jf. første ledd.

Andre ledd setter rammene for hvilke metodersom kan inngå i kontrollen. Både avlytting og avle-sing av informasjon tillates.

Bestemmelsen viderefører forbudet mot åkontrollere privat kommunikasjon og kommuni-kasjon med virksomheter som ikke omfattes avsikkerhetsloven, jf. fjerde ledd. Kontroll av kom-munikasjon mellom skjermingsverdige informa-sjonssystemer i ulike virksomheter som er omfat-tet av sikkerhetsloven er tillatt.

Tredje ledd skal sikre at virksomhetens ledelsekan foreta en grundig vurdering av behovet forkontrollen. I vurderingen må det tas hensyn bådetil sikkerhet og personvern.

Sjette ledd begrenser Sikkerhetsmyndighetensbehandling av informasjon som den blir kjent medgjennom kontrollen.

Se for øvrig kapittel 8.6.4

§ 6-6 Inntrengningstesting av skjermingsverdige informasjonssystemer

Bestemmelsen er i all hovedsak en videreføring avgjeldende sikkerhetslov § 15 om inntrengningste-sting.

Virksomheten plikter ikke å få gjennomførtinntrengningstesting. Ordningen skal være et til-bud til virksomheter som er omfattet av sikker-hetsloven. Det er opp til den enkelte virksomhet åvurdere behovet for tiltaket.

Virksomhetens orienteringsplikt etter førsteledd andre punktum er generelt utformet og inne-bærer at det er tilstrekkelig at de ansatte er klarover at slike kontroller tidvis kan forekomme.

Det følger av andre ledd en plikt til både å gjen-nomføre en vurdering av formålsmessigheten ogav forholdsmessigheten av sikkerhetstiltaket i detilfeller testingen gjelder informasjonssystemersom behandler personopplysninger.

Tredje ledd er en videreføring av gjeldende§ 15 tredje ledd, men inneholder også en presise-ring av hva informasjonen som kontrollinstansenblir kjent med, kan brukes til.

Bestemmelsens fjerde ledd skal sikre at deerfaringer Sikkerhetsmyndigheten gjør seg gjen-nom kontrollen blir dokumentert og videreført.

Femte ledd tilsvarer deler av dagens § 11-8 iinformasjonssikkerhetsforskriften. Rapporterin-gen må ses i sammenheng med Sikkerhetsmyn-dighetens plikter, jf. § 2-2. Hovedformålet er å for-bedre virksomhetens sikkerhet.

Forskriftsmyndigheten i sjette ledd fastslår atandre enn Sikkerhetsmyndigheten kan gjennom-føre inntrengningstesting.

Se for øvrig kapittel 8.6.4

Kapittel 7 – Objekt- og infrastruktursikkerhet

§ 7-1 Skjermingsverdige objekter og infrastruktur

Bestemmelsen regulerer departementenes, ogSikkerhetsmyndighetens, ansvar og myndighet tilå utpeke, klassifisere og holde oversikt over skjer-mingsverdige objekter og infrastruktur. Begre-pene skjermingsverdig objekt og skjermingsverdiginfrastruktur er nærmere omtalt i kapittel 9.5.1.

Bestemmelsen må sees i forlengelsen avdepartementenes, og Sikkerhetsmyndighetens,myndighet til å treffe enkeltvedtak etter § 2-1 før-ste ledd bokstav c og § 2-2 første ledd bokstav e.


Etter bestemmelsens første ledd gis departe-mentene myndighet til å utpeke og klassifisereskjermingsverdige objekter og infrastrukturinnen eget myndighetsområde. Hva gjelder skjer-mingsverdige objekter, er dette en videreføring avdepartementenes myndighet etter gjeldende sik-kerhetslov kapittel 5. Departementene påleggesogså en plikt til å holde oversikt over slike objek-ter og slik infrastruktur. Plikten må sees i sam-menheng med departementenes overordnedeansvar for forebyggende sikkerhet i egen sektor,jf. § 2-1 første ledd.

I bestemmelsens andre ledd gis Sikkerhet-smyndigheten tilsvarende myndighet og pliktoverfor objekter og infrastruktur som ikke liggerinnenfor et departements myndighetsområde, seogså merknad til § 2-2 første ledd bokstav e.

Etter tredje ledd har virksomheter som råderover objekter eller infrastruktur som blir utpektog klassifisert, de samme rettigheter til forutgå-ende varsling og klage, som for enkeltvedtak etter§§ 2-1 og 2-2, se merknad til disse bestemmelsene.

Fjerde ledd korresponderer med Sikkerhet-smyndighetens forslags- og klagerett etter § 2-1fjerde ledd, se merknad til denne bestemmelsen.

§ 7-2 Klassifisering

Bestemmelsen regulerer hvordan skjermingsver-dige objekter og infrastruktur skal klassifiseres.Myndighet til å klassifisere objekter og infrastruk-tur tilligger ansvarlig departement eller Sikker-hetsmyndighet, jf. § 7-1 første og andre ledd. For-målet med klassifisering av objekter og infrastruk-tur er dels at det er styrende for hvilke sikkerhets-tiltak som skal iverksettes, jf. § 7-3, og dels at detgir myndighetene anledning til å kunne prioriteremellom ulike objekt eller infrastruktur avhengigav graden av kritikalitet ved redusert funksjonali-tet.

Første ledd fastslår at klassifisering skal skje påbakgrunn av en skadevurdering der skadefølgenesom følge av redusert funksjonalitet skal være sty-rende for hvilket klassifiseringsnivå objektet ellerinfrastrukturen skal ha. Systematikken for klassi-fisering etter første ledd bokstav a til c bygger istor utstrekning på systematikken i gjeldende sik-kerhetslov § 17a, med de tilpasninger som er nød-vendige av hensyn til lovforslaget for øvrig.

Etter første ledd bokstav a skal MEGET KRI-TISK benyttes dersom redusert funksjonalitet kanfå helt avgjørende skadefølger for grunnleggendenasjonale funksjoner. Med redusert funksjonalitetmenes objektet eller infrastrukturens evne til åunderstøtte den aktuelle funksjonen. Begrepet

helt avgjørende skadefølger skal forstås på sammemåte som i § 5-1 første ledd bokstav a.

Etter første ledd bokstav b skal KRITISK benyt-tes dersom redusert funksjonalitet alvorlig kanskade grunnleggende nasjonale funksjoner.Begrepet alvorlig kan skade skal forstås på sammemåte som i § 5-1 første ledd bokstav b.

Etter første ledd bokstav c skal VIKTIG benyttesdersom redusert funksjonalitet kan skade grunn-leggende nasjonale funksjoner. Begrepet kanskade skal forstås på samme måte som i § 5-1 før-ste ledd bokstav c.

Bestemmelsens andre ledd første punktum slårfast at klassifiseringen skal skje på bakgrunn avvirksomhetens ROS-analyse, jf. §4-3. Som en kon-sekvens av dette er det nødvendig at ansvarligdepartement eller Sikkerhetsmyndigheten får til-gang til virksomhetens ROS-analyse i klassifise-ringsarbeidet. Departementene og Sikkerhet-smyndigheten plikter videre å begrunne klassifi-sering ut fra hvilke funksjoner som understøttesog konsekvensene for disse funksjonene dersomdet aktuelle objektet eller infrastrukturen fårredusert funksjonalitet.

I andre ledd andre punktum slås det fast atbegrunnelsen etter første punktum skal inngå idepartementenes og Sikkerhetsmyndighetenstotale oversikt over objekter og infrastruktur.Disse begrunnelsene vil være av sentral betyd-ning for Sikkerhetsmyndighetens mulighet til åkunne kvalitetssikre departementenes klassifise-ring av objekter og infrastruktur i medhold avbestemmelsen. Selve begrunnelsen vil i seg selvvære meget sensitiv informasjon, og vil måttebehandles deretter, jf. informasjonssikkerhetsbe-stemmelsene i loven kapittel 5.

I bestemmelsens tredje ledd presiseres det atklassifiseringsnivået kan være forskjellig for ulikedeler av et objekt eller en infrastruktur. I denutstrekning dette er tilfelle skal slike deler define-res som selvstendige objekter eller infrastruktur.Det er altså mulig å definere «objekt i objekt»,«infrastruktur i infrastruktur», «infrastruktur iobjekt» og «objekt i infrastruktur». Dette inne-bærer at det kan være ulike klassifiseringsnivåerfor ulike deler innad i samme objekt eller infra-struktur, med ulike beskyttelsesbehov. Sikker-hetstiltakene, jf. § 7-3, vil da også kunne differensi-eres avhengig av de ulike delenes klassifisering.

§ 7-3 Beskyttelse av objekter og infrastruktur

Bestemmelsen regulerer virksomhetenes plikt tilå iverksette sikkerhetstiltak for utpekt og klassifi-sert objekt eller infrastruktur. Bestemmelsen må


sees i sammenheng med de generelle kravene tilforebyggende sikkerhet etter § 4-1.

I henhold til bestemmelsens første ledd pliktervirksomheten å iverksette de sikkerhetstiltak somer nødvendige for å opprettholde et forsvarlig sik-kerhetsnivå. Begrepet forsvarlig sikkerhetsnivåviser tilbake på den rettslige standarden i § 4-1 før-ste ledd, og skal forstås på samme måte.

I bestemmelsens andre ledd første punktumpresiseres at det skal ses hen til det aktuelle klas-sifiseringsnivået og konsekvensene ved bortfalleller reduksjon av funksjonalitet. Andre ledd andrepunktum fastslår at sikkerhetstiltakene skal sees isammenheng og tilpasses det konkrete beskyttel-sesbehovet.

I bestemmelsens tredje ledd gis departemen-tene og Sikkerhetsmyndigheten myndighet til åtreffe vedtak om krav til adgangsklarering for til-gang til hele eller deler av objekt eller infrastruk-tur som er utpekt og klassifisert etter §§ 7-1 og 7-2. Hva som menes med adgangsklarering er nær-mere omtalt i merknaden til § 8-1 første leddandre punktum. Med tilgang menes i denne sam-menheng både fysisk og logisk tilgang til objekteller infrastruktur. For enkelte typer objekt ellerinfrastruktur vil det ikke være nødvendig medfysisk tilgang for å kunne gjøre skade, en logisk(digital) tilgang kan i noen tilfeller gi like godemuligheter til å gjøre skade av betydning forobjektets eller infrastrukturens funksjonalitet.

Hvorvidt det skal fastsettes krav omadgangsklarering for tilgang, må vurderes kon-kret for det enkelte objekt eller infrastruktur. Iden konkrete vurderingen må det særlig tas hen-syn til den sikkerhetsmessige effekten som opp-nås, sett opp mot hvor inngripende tiltaket vilvære overfor den aktuelle virksomheten og densansatte. Vedtak som nevnt i tredje ledd, som berø-rer selvstendige rettssubjekter, kan i medhold avfjerde ledd påklages til Tvisteorganet.

§ 7-4 Testing av sikkerhetssystemer

Bestemmelsen regulerer virksomhetens adgangtil å anmode Sikkerhetsmyndigheten om å gjøreforsøk på å forsere virksomhetens etablerte sik-kerhetstiltak for tilgang til skjermingsverdigobjekt eller infrastruktur. Bestemmelsen korre-sponderer med hjemmelen for inntregningste-sting av informasjonssystemer, jf. § 6-6.

Slik testing er et frivillig tilbud til den enkeltevirksomhet, og kan kun gjøres på anmodning fraledelsen i den aktuelle virksomheten. Formåletmed denne type testing er å forsøke å avdekkesvakheter ved de tiltak en virksomhet har iverk-

satt for å forhindre uvedkommendes tilgang tilobjektet eller infrastrukturen. Virksomhetens ori-enteringsplikt etter første ledd tredje punktum ergenerelt utformet og innebærer at det er tilstrek-kelig at de ansatte er klar over at slike kontrollertidvis kan forekomme.

Med tilgang menes i denne sammenheng bådefysisk og logisk (digital) tilgang til objektet ellerinfrastrukturen, jf. også merknaden til § 7-3 tredjeledd.

Bestemmelsens andre ledd hjemler behand-ling av personopplysninger ved testing, men fast-slår samtidig at det skal gjøres en nødvendighets-og forholdsmessighetsvurdering av behovet forslik behandling.

Bestemmelsens tredje ledd angir en formålsav-grensing for bruk av informasjon som testingengir tilgang til. Med informasjon menes i dennesammenheng både personopplysninger og opplys-ninger om virksomheten. Bestemmelsens formål– å forbedre virksomhetens sikkerhetsnivå – vilvære styrende for hva informasjonen kan benyttestil.

Etter bestemmelsens fjerde ledd plikter Sikker-hetsmyndigheten å avslutte operasjonen, dersomden lykkes i å forsere etablerte sikkerhetstiltak.

§ 7-5 Adgang til steder og områder

Bestemmelsen viderefører gjeldende sikkerhets-lov § 18a første ledd bokstav b og c, men i enmodernisert språkdrakt – og tilpasset den øvrigeinnretning på lovforslaget.

Gjeldende sikkerhetslov § 18a første ledd bok-stav a om forbud mot adgang til «forsvarsbygg og -anlegg hvor gjenstander av interesse for rikets for-svar fremstilles, istandsettes eller oppbevares»foreslås ikke videreført, da adgangen til å fastsetteslike forbud ivaretas av de øvrige delene av lovfor-slaget.

Endringene er ikke ment å gjøre realitets-endringer i dagens rettstilstand på området.

Kapittel 8 – Personellsikkerhet

§ 8-1 Når klarering og autorisasjon skal gjennomføres

Bestemmelsen regulerer når sikkerhetsklarering,adgangsklarering og sikkerhetsautorisasjon skalgjennomføres.

Med sikkerhetsklarering menes en avgjørelsefra klareringsmyndigheten om en persons antattesikkerhetsmessige skikkethet til å kunne hånd-tere sikkerhetsgradert informasjon opp til et gittsikkerhetsnivå.


Med adgangsklarering menes en avgjørelse fraklareringsmyndigheten om en persons antatte sik-kerhetsmessige skikkethet for tilgang til klassifi-serte områder innenfor skjermingsverdige objek-ter eller infrastruktur, jf. § 7-3 tredje ledd.

Med sikkerhetsautorisasjon menes avgjørelsefra autorisasjonsansvarlig i den enkelte virksom-het om at en person, etter en konkret helhetsvur-dering, gis tilgang til sikkerhetsgradert informa-sjon eller tilgang til klassifiserte områder innenobjekter eller infrastruktur.

Bestemmelsens første ledd slår fast at autorisa-sjon i medhold av § 8-2 skal gjennomføres for tokategorier personell. For det første gjelder dettefor personer som skal gis tilgang til sikkerhetsgra-dert informasjon, jf. første ledd første punktum.«Skal gis tilgang til» indikerer at vedkommendegjennom sitt arbeid har tjenstlig behov for tilgangtil slik informasjon. For det andre gjelder kravet tilsikkerhetsautorisasjon, i henhold til første leddandre punktum, personer som skal ha tilgang tilklassifiserte områder innen objekter og infra-struktur, der det er truffet vedtak etter § 7-3 tredjeledd. Med adgang menes både fysisk og logisk til-gang til slike objekter eller infrastruktur, semerknad til § 7-3. Adgangsklarering er ment åvære en mindre omfattende klareringsprosessenn sikkerhetsklarering for tilgang til sikkerhets-gradert informasjon, men samtidig mer omfat-tende enn en ordinær vandelskontroll.

Bestemmelsens andre ledd er en videreføringav gjeldende sikkerhetslov § 19 andre ledd, ogslår fast at personer som skal autoriseres for til-gang til sikkerhetsgradert informasjon gradertKONFIDENSIELT eller høyere, på forhånd skalsikkerhetsklareres.

I bestemmelsens tredje ledd slås det fast at per-sonell som innehar gyldig sikkerhetsklareringetter § 8-5, også skal anses adgangsklarert.Adgangsklarering er ment å være en mindreomfattende prosess enn sikkerhetsklarering, semerknad til § 8-5, og dersom sikkerhetsklareringallerede foreligger skal det legges til grunn at ved-kommende er sikkerhetsmessig skikket også foradgang til objekt eller infrastruktur.

Fjerde ledd gjelder personer som «vil kunne få»tilgang til sikkerhetsgradert informasjon. Bestem-melsen er en videreføring av gjeldende sikker-hetslov § 19 tredje ledd. Det er ikke et vilkår forsikkerhetsklarering at vedkommende faktisk vil fåtilgang til slik informasjon. I forarbeidene til gjel-dende sikkerhetslov vises det som eksempel tilvakter, rengjøringspersonell og andre som forut-setningsvis ikke skal ha tilgang til slik informa-sjon, men som gjennom sitt arbeid er i en posisjon

hvor en lett kan skaffe seg slik tilgang. Et vilkårfor sikkerhetsklarering av slikt personell er atandre risikoreduserende tiltak, eksempelvisadgangskontroll til lokaler der slik informasjonoppbevares, kan fjerne risikoen for at personelletkommer i en slik posisjon, jf. fjerde ledd andrepunktum.

Femte ledd er en videreføring av gjeldende lov§ 19 fjerde ledd, og skal forstås på samme måte.At en person sikkerhetsklareres for en nasjonalsikkerhetsgrad innebærer ikke at vedkommendeautomatisk er klarert for tilsvarende sikkerhets-grader fastsatt av internasjonale organisasjoner, jf.begrepet eventuelt i bokstav a til c.

§ 8-2 Sikkerhetsautorisasjon

Bestemmelsen regulerer hvem som har ansvaretfor autorisasjon etter loven, og det nærmere vur-deringstemaet for om personer kan gis autorisa-sjon.

Første ledd slår fast at virksomhetens leder eransvarlig for autorisasjon. Dette henger sammenmed at forebyggende sikkerhet er et ledelsesan-svar, jf. § 4-2 første ledd første punktum. Myndig-heten til å gi autorisasjon kan ved behov delege-res.

Bestemmelsens andre ledd slår fast at autorisa-sjonsansvarlig også har ansvaret for daglig sikker-hetsmessig ledelse og kontroll av autorisert per-sonell i virksomheten. Autorisasjonsansvarlig vilsom nevnt ovenfor normalt være virksomhetensleder. Myndigheten til å ha daglig sikkerhetsmes-sig ledelse og kontroll av personellet, vil i praksisfølges opp av den som har fått delegert myndighetetter første ledd, eksempelvis autorisert perso-nells nærmeste foresatte. Med sikkerhetsmessigledelse og kontroll menes blant annet ansvaret for åpåse at autorisert personell har tilstrekkelig opp-læring og kompetanse på forebyggende sikker-het, og å påse at personellet faktisk etterlever sik-kerhetsbestemmelsene i sitt daglige virke.

Bestemmelsens tredje ledd angir vurderingste-maet for avgjørelser om autorisasjon. Hvorvidtvedkommende er sikkerhetsmessig til å stole på,må baseres på en konkret helhetsvurdering av deopplysninger autorisasjonsansvarlig har tilgjenge-lig, og på det inntrykket som gis i autorisasjons-samtalen. Det kan heller ikke gis autorisasjon førdet foreligger melding om klarering der dette erpåkrevd etter § 8-1 andre ledd, det vil si ved autori-sasjon for tilgang til sikkerhetsgradert informa-sjon gradert KONFIDENSIELT eller høyere. Itredje ledd siste punktum presiseres det at autorisa-


sjon ikke kan gis før det er avholdt en autorisa-sjonssamtale.

I bestemmelsens fjerde ledd pålegges virksom-heten å løpende orientere Sikkerhetsmyndighe-ten om hvilke personer som er autorisert. Formå-let med bestemmelsen er dels å sette Sikkerhets-myndigheten i stand til å ha oversikt over hvorsikkerhetsklarert personell til enhver tid tjeneste-gjør, og dels å legge til rette for informasjonsde-ling med Politiets sikkerhetstjeneste etter § 8-12.

§ 8-3 Nedsettelse, suspensjon og tilbakekallelse av autorisasjon

Bestemmelsen regulerer i hvilke tilfeller autorisa-sjonsansvarlig plikter å vurdere autorisasjonen til-bakekalt, nedsatt eller suspendert. Bestemmelsenregulerer også i hvilke tilfeller autorisasjon auto-matisk bortfaller.

Bestemmelsen er en videreføring av gjeldendesikkerhetslov § 24 andre og fjerde ledd, og skalforstås på samme måte.

§ 8-4 Klareringsmyndigheter etter loven

Bestemmelsen viderefører det vedtatte forslaget iProp. 97 L (2015–2016) om endring av klarerings-myndighetsstrukturen.

I bestemmelsens første ledd andre punktumangis klareringsmyndighetenes myndighet til åavgjøre om en person er sikkerhetsmessig skik-ket for håndtering av sikkerhetsgradert informa-sjon, eller for adgang til klassifiserte områderinnen objekter eller infrastruktur.

§ 8-5 Sikkerhets- og adgangsklarering

Bestemmelsen angir det nærmere vurderingste-maet for når klarering skal gis eller opprettholdes.

Etter første ledd skal klarering bare gis elleropprettholdes dersom det ikke foreligger rimeligtvil om vedkommendes sikkerhetsmessige skik-kethet. Vurderingen av rimelig tvil må ses i sam-menheng med det nivå vedkommende skal klare-res for. Desto høyere klareringsnivå, desto min-dre grad av tvil kan aksepteres. Vurderingstemaetfor om vedkommendes sikkerhetsmessige skikket-het må baseres på en konkret helhetsvurdering avde foreliggende opplysningene. Første ledd andrepunktum slår fast at det skal gjennomføres en per-sonkontroll, jf. § 8-7, som grunnlag for denne vur-deringen.

Bestemmelsen tredje ledd angir skrankene forhvilke forhold som kan vektlegges ved vurderin-gen av sikkerhetsmessig skikkethet. Det er kun

forhold som er relevant for vedkommendes pålite-lighet, lojalitet og sunne dømmekraft vedrørendebehandling av gradert informasjon og tilgang tilklassifiserte områder, som kan tillegges vekt i vur-deringen. I tredje ledd siste punktum er det også ettotalforbud mot å legge vekt på lovlig politiskengasjement. For en nærmere omtale av hvilkeforhold som relevante å vektlegge, vises det tilomtalen i kapittel 10.6.1.

I bestemmelsens fjerde ledd avgrenses klare-ringsmyndighetens anledning til å vektleggenegative opplysninger om nærstående personer tiltilfeller der det antas at disse forholdene vil kunnepåvirke vedkommendes sikkerhetsmessige skik-kethet. Begrepet nærstående personer er nærmereomtalt i merknaden til § 8-7.

§ 8-6 Nedsettelse, suspensjon og tilbakekallelse av klarering

Bestemmelsen regulerer i hvilke tilfeller klare-ringsmyndigheten plikter å vurdere klareringentilbakekalt, nedsatt eller suspendert, samt klare-ringsmyndighetens plikt til å varsle Sikkerhet-smyndigheten og autorisasjonsansvarlig. Bestem-melsen er en videreføring av gjeldende sikker-hetslov § 24 andre og tredje ledd og skal forstås påsamme måte.

§ 8-7 Gjennomføring av personkontroll

Bestemmelsen gir nærmere regler for gjennomfø-ring av personkontroll som grunnlag for klare-ringsmyndighetens vurdering av den enkeltes sik-kerhetsmessige skikkethet etter § 8-5, og er i storgrad en videreføring av gjeldende sikkerhetslov§ 20.

Med personkontroll menes i denne sammen-heng både opplysninger fra vedkommende selvog de opplysninger klareringsmyndigheten selvbesitter eller innhenter fra relevante registre ellerandre kilder.

Etter bestemmelsens første ledd tredje punk-tum er det et vilkår for å igangsette personkontrollat den aktuelle personen er gjort oppmerksom på,og har akseptert, at slik kontroll igangsettes. Per-soner som søkes klarert er i de fleste tilfeller i enarbeidsgiver-/arbeidstakerrelasjon til autorisa-sjonsansvarlig, noe som gjør det vanskelig å opp-fylle kravene til et informert og frivillig samtykke.Aksept av at slik kontroll gjennomføres er såledestilstrekkelig. I første ledd siste punktum slås detfast at aksepten også skal omfatte muligheten forpersonkontroll av nærstående, jf. tredje ledd, ogmuligheten for fornyet personkontroll etter § 8-8.


Etter bestemmelsens tredje ledd kan det gjen-nomføres personkontroll for nærstående personerdersom det søkes om sikkerhetsklarering forHEMMELIG/tilsvarende eller høyere sikkerhets-grader. Med begrepet nærstående menes i førsterekke vedkommendes ektefelle, partner, samboer,barn, foreldre og søsken og andre personer ved-kommende er knyttet til ved familiebånd. Nærstå-endebegrepet bør imidlertid ikke bare omfatte depersoner vedkommende har en familiær tilknyt-ning til. Det avgjørende bør være hvorvidt denaktuelle personen har en relasjon med vedkom-mende av en slik art at den har en reell påvirk-ningsmulighet på vedkommendes sikkerhetsmes-sige skikkethet.

Etter bestemmelsens femte ledd plikterbehandlingsansvarlige (jf. merknadene til § 4-7)for relevante registre å legge til rette for en digita-lisert overføring av personkontrollopplysningentil Sikkerhetsmyndigheten. Behandlingsansvarligskal forstås på samme måte som registereier i gjel-dende sikkerhetslov § 20 fjerde ledd andre punk-tum. Det vil være Sikkerhetsmyndigheten somforestår personkontrollen på vegne av de ulikeklareringsmyndighetene. For en nærmere omtaleav hva som menes med digital overføring vises dettil kapittel 10.5.5 og 10.6.5.

§ 8-8 Fornyet personkontroll

Bestemmelsen regulerer klareringsmyndighetensadgang til å kunne anmode om fornyet personkon-troll, jf. § 8-7, for klarert personell når som helst iklareringens gyldighetstid. Retten til å anmodeom slik fornyet personkontroll gjelder både vedmistanke om nye forhold av betydning for ved-kommende sikkerhetsmessige skikkethet, ogsom et ledd i regelmessig oppfølging av klarertpersonell.

§ 8-9 Bruk av vilkår og stillingsklarering

Bestemmelsen er i utgangspunktet en viderefø-ring av dagens lov § 21 siste ledd.

Med begrepet særlige tilfeller menes at det skalvære en viss tilbakeholdenhet med å gi klareringpå vilkår eller stillingsklarering, blant annet avlikebehandlingshensyn. Men i de tilfeller deralternativet er å avslå klareringsanmodningen, vilbruk av vilkår kunne benyttes dersom dette vur-deres som et tilstrekkelig risikoreduserende til-tak. Bruk av vilkår for klarering, herunder stil-

lingsklarering, vil blant annet kunne bidra til etmer fleksibelt system hvor verdifull kompetansekan rekrutteres, uten at dette innebærer en uak-septabel høy risiko.

§ 8-10 Klarering av personer som ikke er norske statsborgere

Bestemmelsen er i hovedsak en videreføring avgjeldende lov § 22.

Begrepet eventuelle tilknytning til Norge indi-kerer at tilknytning til Norge ikke er et absoluttvilkår for å kunne innvilge klarering. Vurderingenskal baseres på en konkret helhetsvurdering, dertilknytning til Norge er ett av flere momenter somskal vektlegges i vurderingen. Hjemlandets sik-kerhetsmessige betydning for Norge og vedkom-mendes tilknytning til dette, skal være tungtvei-ende momenter i vurderingen av sikkerhetsmes-sig skikkethet. Hva som menes med tilknytning tilen annen stat er nærmere omtalt i merknaden til§ 8-12.

I første ledd tredje punktum er det presisert atbruk av vilkår eller stillingsklarering skal vurde-res særskilt ved klarering av utenlandske stats-borgere. Denne type tiltak vil, sammen med auto-risasjonsansvarliges sikkerhetsmessige ledelseog kontroll, kunne redusere en eventuell risiko tilet akseptabelt nivå. Presisering gir såldes mulig-het til å gjøre individuelle tilpasninger der dette ersikkerhetsmessig forsvarlig.

I bestemmelsens andre ledd er Kongen gittmyndighet til å gi nærmere bestemmelser om kla-rering av utenlandske statsborgere.

§ 8-11 Varslingsplikt

Bestemmelsen regulerer varslingsplikt for autori-sert og klarert personell, samt autorisasjonsan-svarliges varslingsplikt til den aktuelle klarerings-myndigheten.

Bestemmelsens første ledd er en videreføringav gjeldende lov § 24 første ledd om klarert ogautorisert personells plikt til å varsle autorisa-sjonsansvarlig om forhold som antas å kunne inn-virke på vurderingen av den enkeltes sikkerhets-messige skikkethet.

Etter bestemmelsens andre ledd plikter autori-sasjonsansvarlig som blir varslet, å varsle videretil vedkommende klareringsmyndighet dersomdet innrapporterte forholdet antas også å kunne fåbetydning for vedkommendes klarering.


§ 8-12 Informasjonstilgang for Politiets sikkerhetstjeneste

Bestemmelsen regulerer Sikkerhetsmyndighe-tens adgang til, i nærmere angitte tilfeller, å utle-vere opplysninger fra klareringssaker til Politietssikkerhetstjeneste. Formålet med bestemmelsener nærmere omtalt i kapittel 10.6.7.

Etter bestemmelsens første ledd er det et vilkårfor utlevering av informasjon at det foreligger enforutgående anmodning fra Politiets sikkerhetstje-neste. Anmodningen må i en viss utstrekning haet presist innhold, slik at utleveringen av informa-sjon begrenses til det som er nødvendig. Anmod-ningen kan eksempelvis være avgrenset til ågjelde informasjon om personer som har tilknyt-ning til en bestemt nasjon, eller personer medutenlandsk tilknytning som tjenestegjør innennærmere definerte virksomheter. Anmodningenbør normalt være avgrenset til å gjelde en nær-mere avgrenset tidsperiode. Sikkerhetsmyndighe-ten vil kunne oppdatere informasjonsgrunnlagetdersom det skjer endringer innenfor den angittetidsperioden. Anmodningene vil uansett måtte til-passes det konkrete informasjonsbehovet Politietssikkerhetstjeneste har på tidspunktet for anmod-ningen.

Begrepet nærstående skal forstås på sammemåte som etter § 8-7 tredje ledd.

I bestemmelsens første ledd bokstav a til c erdet nærmere angitt hvilke opplysninger Sikker-hetsmyndigheten kan utlevere med hjemmel ibestemmelsen.

Med klareringsstatus menes både hvilket nivåde aktuelle personene er klarert for og klarerin-gens gyldighetstid.

Begrepet tilknytning til andre stater skal for-stås vidt i den forstand at ulike slags tilknytningervil kunne være relevante. Det kan for eksempeldreie seg om økonomiske interesser i en stat ellerom vedkommende har familiær tilknytning i sta-ten. Samtidig vil ikke enhver tilknytning til enannen stat være tilstrekkelig til å oppfylle kravet.Det avgjørende for vurderingen vil være om per-sonen har en slik tilknytning til en annen stat, atdenne vil kunne utgjøre et effektivt pressmiddeloverfor vedkommende eller på annen måte habetydning for vedkommendes lojalitet til Norge.Praksis vedrørende forståelsen av tilknytningskri-teriet etter gjeldende sikkerhetslov 21 første leddbokstav k, vil være relevant i denne sammenheng.

Med tjenestested menes hvor de aktuelle perso-nene arbeider, herunder i hvilken virksomhet og

hvilken stilling personene innehar i denne virk-somheten.

Etter bestemmelsens andre ledd er det et vilkårfor utlevering av informasjon som nevnt i førsteledd bokstav a til c, at Politiets sikkerhetstjenesteanfører at det er nødvendig for å ivareta tjenestensoppgaver etter politiloven §§ 17b og 17c nr. 1.Begrunnelsen for hvorfor utlevering er nødvendigi de enkelte tilfellene vil ofte være av en slik karak-ter at Politiets sikkerhetstjeneste ikke kan, ellerikke ønsker, å dele denne begrunnelsen medandre. Når Politiets sikkerhetstjeneste anfører atslik informasjon er nødvendig, skal derfor Sikker-hetsmyndigheten legge til grunn at vilkårene forutlevering av informasjon er oppfylt. Begrunnel-sen vil i ettertid kunne kontrolleres av EOS-utval-get.

§ 8-13 Begrunnelse og underretning

Bestemmelsene er en videreføring av gjeldendesikkerhetslov § 25, med de tilpasninger som ernødvendige for innretningen på lovforslaget forøvrig, og skal forstås på samme måte.

§ 8-14 Innsyn

Bestemmelsene er en videreføring av gjeldendesikkerhetslov § 25a, med de tilpasninger som ernødvendige for innretningen på lovforslaget forøvrig, og skal forstås på samme måte.

Begrepet sakens dokumenter skal forstås påsamme måte som offentleglovas sakdokumentbe-grep, jf. offentleglova § 4 første ledd, jf. andreledd.

Et dokument er i offentleglova § 4 første ledddefinert som «ei logisk avgrensa informasjons-mengd som er lagra på eit medium for seinarelesing, lytting, framsyning, overføring eller likn-ande».

Et saksdokument er et dokument som er kom-met inn til eller lagt frem for et organ, eller somorganet selv har opprettet, og som gjelderansvarsområdet eller virksomheten til organet. Etdokument er opprettet når det er sendt ut av orga-net. Dersom dette ikke skjer, skal dokumentetregnes som opprettet når det er ferdigstilt.

Henvisningen i gjeldende lov til «audiovisueltopptak av egen sikkerhetssamtale», jf. § 19 førsteledd andre punktum og tredje ledd andre punk-tum, er ikke videreført. Audiovisuelle opptakomfattes av offentleglovas dokumentbegrep, ognærmere regler om fremgangsmåten for gjen-nomsyn av slike opptak bør fastsettes i forskrift.


§ 8-15 Oversendelse av sak til særskilt oppnevnt advokat

Bestemmelsen er en videreføring av gjeldendesikkerhetslov § 25b, med de tilpasninger som ernødvendige for innretning på lovforslaget forøvrig, og skal forstås på samme måte.

§ 8-16 Klage

Bestemmelsen er en videreføring av gjeldendesikkerhetslov § 25c, med de tilpasninger som ernødvendige for innretning på lovforslaget forøvrig, og skal forstås på samme måte.

§ 8-17 Utfyllende bestemmelser

Bestemmelsen er en videreføring av gjeldendesikkerhetslov § 26, med de tilpasninger som ernødvendige for innretning på lovforslaget forøvrig, og skal forstås på samme måte.

Kapittel 9 – Sikkerhetsgraderte anskaffelser mv.

§ 9-1 Sikkerhetsgradert anskaffelse

Bestemmelsen regulerer hva som skal anses somen sikkerhetsgradert anskaffelse. Bestemmelsener en videreføring av gjeldende sikkerhetslov § 3nr. 17, med de tilpasninger som er nødvendige ilys av innretningen på det nye lovforslaget.

§ 9-2 Inngåelse av sikkerhetsavtale

Bestemmelsen er i hovedsak en videreføring avgjeldende sikkerhetslov § 27.

Med anskaffelsesmyndigheten i første ledd førstepunktum menes den virksomhet som foreståranskaffelsen. Virksomhetsbegrepet er nærmereomtalt i merknaden til § 1-2.

I bestemmelsens første ledd andre punktumslås det fast at det skal inngås sikkerhetsavtalebåde før leverandøren kan få tilgang til gradertinformasjon og før leverandøren får tilgang tilskjermingsverdig objekt eller infrastruktur.Begrepet tilgang til objekt eller infrastruktur skalforstås på samme måte som i § 7-3 tredje ledd.

Hvilke leverandører som i medhold av førsteledd tredje punktum er utenlandske må avgjøreskonkret. Som et generelt utgangspunkt vil en leve-randør anses som utenlandsk, dersom den driversin virksomhet fra et annet land og under et annetlands jurisdiksjon, og hvor den sikkerhetsmessigeoppfølging av leverandøren vil måtte forestås av etannet lands sikkerhetsmyndigheter. Det avgjø-

rende for om leverandøren skal anses utenlandskeller ikke, vil være hvorvidt Sikkerhetsmyndighe-ten har faktisk og rettslig anledning til å foreståsikkerhetsmessig oppfølging og kontroll av leve-randøren.

Bestemmelsens andre og tredje ledd er en vide-reføring av gjeldende sikkerhetslov § 27 andre ogtredje ledd, og skal forstås på samme måte.

§ 9-3 Leverandørklarering

Bestemmelsen er en videreføring av gjeldendesikkerhetslov § 28, med de tilpasninger som ernødvendig i lys av innretningen på det nye lovfor-slaget, og skal forstås på samme måte.

Med «dersom det av andre grunner anses nød-vendig», jf. bestemmelses første ledd første punk-tum, menes i første rekke de tilfeller der leveran-døren vil få tilgang til klassifiserte områder innenskjermingsverdig objekt eller infrastruktur, hvoransvarlig departement har truffet vedtak om kravtil adgangsklarering, jf. § 7-3 tredje ledd. Hvorvidtdet kreves leverandørklarering for anskaffelser tilskjermingsverdig objekt eller infrastruktur, måavgjøres konkret. I vurderingen bør det særlig tashensyn til hvorvidt leverandørens personell får til-gang til deler av objektet eller infrastrukturensom har et høyt skadepotensial.

Første ledd andre punktum er en videreføringav det vedtatte forslaget i Prop. 97 L (2015–2016)om å gå fra oppdragsbaserte til tidsbaserte leve-randørklareringer.

Bestemmelsens andre til og med femte ledd eren videreføring av gjeldende sikkerhetslov § 28andre til og med femte ledd, og skal forstås påsamme måte.

§ 9-4 Varslingsplikt og myndighet til å fatte vedtak ved anskaffelser til skjermingsverdig objekt og infrastruktur

Bestemmelsen er en videreføring av det vedtatteforslaget i Prop. 97 L (2015–2016) om anskaffel-ser til kritisk infrastruktur, med de tilpasningersom er nødvendige i lys av det øvrige lovforslaget.For en nærmere omtale av det vedtatte forslagetog hvilke justeringer som er foreslått, vises det tilkapittel 11.2.4 og 11.4.

Bestemmelsen er avgrenset mot sikkerhets-graderte anskaffelser. Virksomhetenes plikt til åforeta en risikovurdering ved anskaffelsen vil såle-des gjelde alle anskaffelser som ikke er å ansesom en sikkerhetsgradert anskaffelse etter §§ 9-2og 9-3.


§ 9-5 Utfyllende bestemmelser mv.

Bestemmelsen er en videreføring av gjeldendesikkerhetslov § 29, og skal forstås på sammemåte.

Kapittel 10 – Eierskapskontroll

§ 10-1 Eierskapskontroll

Etter bestemmelsen første ledd pålegges utenland-ske erververe en meldeplikt ved erverv av eieran-deler i nærmere angitte virksomheter.

Med erverver menes både fysiske og juridiskepersoner. Ved vurderingen av om erververen erutenlandsk vil det for fysiske personer måtte seeshen til statsborgerskap og bosted. For juridiskepersoner vil det måtte gjøres en konkret vurde-ring. Lokalisering av hovedkontor vil være etmoment i denne vurderingen. I henhold til fore-taksregistreringsloven § 1-2 regnes ethvert fore-tak med hovedkontor i Norge eller på norsk konti-nentalsokkel, som et norsk foretak. Andre foretaker utenlandske.

Det vil imidlertid også være nødvendig å sehen til det aktuelle foretakets bakenforliggendeeierstrukturer. Dersom en utenlandsk person(fysisk eller juridisk) innehar betydelige eierande-ler i et norsk foretak, eller på annen måte har bety-delig innflytelse over forvaltningen av selskapet,vil foretaket i seg selv måtte sees på som uten-landsk i relasjon til denne bestemmelsen. Medbetydelig eierandel menes i utgangspunktet merenn en tredjedel av aksjekapitalen eller av ande-lene eller stemmene på selskapets generalforsam-ling. Hvorvidt erverver kommer fra et annet EU-/EØS-land vil ikke ha betydning for om meldeplik-ten inntrer.

Virksomhet «av kritisk betydning for grunn-leggende nasjonale funksjoner» skal forstås påsamme måte som i loven § 1-2. Virksomheter avslik betydning vil være underlagt sikkerhetslovenved enkeltvedtak etter §§ 2-1 første ledd bokstav cog 2-2 første ledd bokstav e.

Etter første ledd bokstav a, inntrer meldepliktdersom erververen oppnår minst en tredjedel avaksjekapitalen, andelene eller stemmene i virk-somheten. Begrepet minst en tredjedel viser tilaksjelovgivningens bestemmelser om negativkontroll ved avgjørelser som krever kvalifisertflertall, jf. blant annet aksjeselskapsloven/all-mennaksjeselskapsloven § 5-18 første ledd andrepunktum og § 2-2 første ledd.

Etter første ledd bokstav b, likestilles erverv avaksjer og andeler med erverv av rett til å bli eiernår dette må ansees som reelt aksjeeie/andelseie.

Et eksempel på erverv av rett til å bli eier kanvære såkalte konvertible lån, hvor investor/långi-ver senere kan innløse gjelden i aksjer eller ande-ler. Slike konvertible lån innebærer i prinsippet atnoen som ikke har skutt inn risikokapital, kan fåinnflytelse over selskapets beslutninger, og viletter omstendighetene kunne omfattes av melde-plikten.

Etter første ledd bokstav c, inntrer også melde-plikt i de tilfeller erververen oppnår betydelig inn-flytelse over forvaltningen av selskapet på annenmåte. Både juridiske og faktiske omstendighetervil være relevante. Eksempelvis vil underliggendeaksjonæravtaler som sikrer erververen kontrollved strategisk viktige beslutninger i selskapet,være av betydning for vurderingen. Ved vurderin-gen vil det være naturlig å se hen til det selskaps-rettslige kontrollbegrepet, slik dette er utviklet inorsk rettspraksis.

Etter bestemmelsens andre ledd skal aksjersom eies eller overtas av aksjeeierens nærståendelikestilles med aksjeeierens egne aksjer ved vur-deringen av om meldeplikt etter første ledd inn-trer. Begrepet nærstående, skal forsås på sammemåte som legaldefinisjonen av nærstående i rela-sjon til handel i finansielle instrumenter i verdipa-pirloven § 2-5.

Bestemmelsens fjerde ledd angir det nærmerevurderingstemaet for om Kongen i statsråd kanfatte vedtak etter bestemmelsen. En avgjørelseom å nekte godkjennelse av et slikt erverv skalbaseres på en konkret og individuell helhetsvur-dering, hvor inngripen kun kan skje av hensyn tilsikkerhetsinteresser. Relevante sikkerhetsmes-sige hensyn kan være hensynet til forsyningssik-kerhet og strategisk produksjon av varer og tje-nester for grunnleggende nasjonale funksjoner,behovet for å beholde kritisk nøkkelkompetanseav betydning for slike funksjoner eller av hensyntil beskyttelse av sensitiv og/eller sikkerhetsgra-dert informasjon.

Begrepet ikke ubetydelig risiko innebærer atdet er erverv med risiko ut over det normale somkvalifiserer for slike vedtak. Vurderingen vil måtteomfatte både sannsynlighet, sårbarhet og muligekonsekvenser ved at ervervet gjennomføres. Påsannsynlighetssiden innebærer kriteriet at detikke skal fattes vedtak dersom det kun foreliggeren helt fjerntliggende eller rent teoretisk mulighetfor at ervervet kan ha skadevirkninger for grunn-leggende nasjonale funksjoner. Det bør være noekonkret med den aktuelle erververen som tilsierat risikoen er høyere enn for andre erververe.Bestemmelsen innebærer imidlertid ikke et krav


om sannsynlighetsovervekt. For øvrig vises det tilomtalen av bestemmelsen i kapittel 12.8.

Etter fjerde ledd gis det også hjemmel for åsette vilkår ved en godkjenning av ervervet. Fast-setting av vilkår etter denne bestemmelse skalgjøres på bakgrunn av en konkret helhetsvurde-ring hvor blant annet vilkårets inngripende karak-ter, hensynet til ivaretakelse av grunnleggendenasjonale funksjoner og erververens forhold tas ibetraktning. De vilkår som settes for godkjenningav ervervet må ha en saklige sammenheng medvedtaket og hensynet til ivaretakelse av grunnleg-gende nasjonale funksjoner.

Kapittel 11 – Kontroll- og tilsynsordninger. Tvangsmulkt, overtredelsesgebyr og straff

§ 11-1 Kontroll- og tilsynsordninger

Bestemmelsen viderefører gjeldende sikkerhets-lov § 30.

Første ledd fastslår gjennom begrepet under-lagt at forebyggende sikkerhetsarbeid etter sik-kerhetsloven kan bli gjenstand for kontroll og til-syn av EOS-utvalget. Bestemmelsen gir ikkedirekte føringer for verken organiseringen, gjen-nomføringen eller omfanget av EOS-utvalgetskontroll.

Med forebyggende sikkerhetsarbeid etter loven iførste ledd menes planlegging, tilrettelegging,gjennomføring og kontroll av forebyggende sik-kerhetstiltak som søker å fjerne eller redusererisiko som følge av tilsiktede uønskede hendelser.Begrepet tilsvarer i all hovedsak begrepet forebyg-gende sikkerhetstjeneste slik det er definert i gjel-dende sikkerhetslov § 3 første ledd nr. 1. For ennærmere omtale av forholdet mellom tilsiktedeuønskede hendelser og sikkerhetstruende virksom-het, vises det til kapittel 6.7.4.

Bestemmelsen må ses i sammenheng medEOS-kontrolloven, herunder § 1, som angir EOS-utvalgets kontrollområde til «etterretnings-, over-våknings- og sikkerhetstjeneste som utføres avden offentlige forvaltning eller under styring ellerpå oppdrag av denne». Kontrollområdet er funk-sjonelt og ikke organisatorisk definert, se nær-mere Dokument 16 (2015–2016) Rapport til Stor-tinget fra Evalueringsutvalget for Stortingets kon-trollutvalg for etterretnings-, overvåkings- og sik-kerhetstjeneste, kapittel 17.3.

Andre ledd tilsvarer dagens sikkerhetslov § 30andre ledd.

§ 11-2 Tvangsmulkt

Bestemmelsen gir hjemmel til å ilegge en virk-somhet som har overtrådt loven, løpende mulktfor å tvinge virksomheten til å rette opp i forhol-det. Tvangsmulkt forutsetter at det er truffet gyl-dig enkeltvedtak som pålegger virksomheten åendre sin praksis, jf. § 3-6. Vedtaket må være retts-kraftig før mulkten kan begynne å løpe. Mulighe-tene for å angripe vedtaket ved klage eller retts-lige skritt, må altså være uttømt. Med tilsynsmyn-digheten menes i denne sammenheng Sikkerhets-myndigheten eller den sektormyndighet som harfått tildelt tilsynsansvaret etter § 3-1.

Tvangsmiddelet må være forholdsmessig, jf.blant annet § 1-1 andre ledd. Vedtaket må ikkevære mer tyngende enn det som er nødvendig forå oppnå formålet med mulkten, og må dessutenvære egnet til å oppnå formålet.

Vedtak om tvangsmulkt kan påklages, se nær-mere i merknadene til § 2-6.

§ 11-3 Overtredelsesgebyr

Bestemmelsen gir tilsynsmyndigheten hjemmeltil å ilegge overtredelsesgebyr ved overtredelseav de i første ledd angitte lovbestemmelsene.

Begrepet «noen som handler på dennesvegne» i første ledd, angir virksomhetens ansvarutover egen organisasjon. Det må være en viss til-knytning mellom virksomheten og den som harovertrådt bestemmelsen, jf. også § 5-3.

Oppregningen av lovens bestemmelser derovertredelsesgebyr er aktuelt omfatter de bestem-melser i loven som anses særlig viktig å overholdeog som dessuten er tilstrekkelig klart formulert tilat denne type sanksjon lar seg forsvare.

Ileggelse av gebyr er inngripende og må væreforholdsmessig, jf. blant annet § 1-1 andre ledd.Bestemmelsens andre ledd angir relevantemomenter som skal tas i betraktning ved fastset-telse av gebyrets størrelse. Momentene er rele-vante også ved vurderingen av om gebyr skal ileg-ges.

Bestemmelsens tredje ledd fastsetter foreldel-sesfristen for adgangen til å pålegge overtredel-sesgebyr. Utover det som er regulert i tredje leddgjelder alminnelige regler om foreldelse.

§ 11-4 Straff

Bestemmelsens første ledd fastslår at overtredelseav nærmere angitt bestemmelser – de sammesom i § 11-3 første ledd bokstav a og b – er straff-bart, se merknadene til denne bestemmelsen. Før-


ste ledd retter seg i første rekke mot virksomhetersom er ansvarlig for overholdelse av de enkeltebestemmelsene.

Bestemmelsens andre og tredje ledd retter segmot enkeltpersoner som ikke overholder § 5-3andre ledd eller forbud gitt i medhold av § 7-5.

Kapittel 12 – Ikrafttredelse og endringer i andre lover

§ 12-1 Ikrafttredelse

Ikrafttredelse av loven forutsetter en omfattenderevisjon det det underliggende forskriftsverket tildagens sikkerhetslov. Myndighet til å fatte vedtakom når loven trer i kraft er derfor lagt til Kongen.


Kapittel 14

Lovforslag

Forslag til ny lov om forebyggende nasjonal sikkerhet (sikkerhetsloven)

Kapittel 1. Formål og virkeområde

§ 1-1 Lovens formålLoven skal bidra til å trygge Norges suvereni-

tet, territorielle integritet og demokratiske styre-form ved å motvirke tilsiktede uønskedehendelser som kan skade grunnleggende nasjo-nale funksjoner.

Loven skal sikre at tiltak som iverksettes for åivareta lovens formål, gjennomføres på en måtesom er forenlig med grunnleggende rettsprinsip-per og verdier i et demokratisk samfunn.

§ 1-2 Lovens virkeområdeLoven gjelder for virksomheter som alene eller

sammen med andre råder over informasjon, infor-masjonssystemer, objekter eller infrastruktur,eller som driver aktivitet, som er av kritisk betyd-ning for grunnleggende nasjonale funksjonerknyttet tila) de øverste statsorganers virksomhet,

sikkerhet eller handlefrihetb) forsvars-, sikkerhets- og beredskapsmessige

forholdc) forholdet til andre staterd) landets økonomiske trygghet og velferde) befolkningens grunnleggende sikkerhet og

overlevelse.Kongen i statsråd kan gi forskrift om lovens

virkeområde og kan herunder helt eller delvisunnta bestemte rettssubjekter eller visse typerinformasjon, informasjonssystemer, objekter oginfrastruktur.

§ 1-3 Særbestemmelser om lovens virkeområdeLoven gjelder for Stortinget og Stortingets

organer i den utstrekning Stortinget bestemmerdet.

Bestemmelsene gitt i og i medhold av kapittel8 om personellsikkerhet gjelder ikke for regjerin-gens medlemmer og dommere i Høyesterett.

Loven gjelder for domstolene med de særre-gler som følger av bestemmelsene om sikkerhets-klarering og autorisasjon i og i medhold avdomstolloven og straffeprosessloven. Kongen kanfastsette ytterligere særregler.

Loven gjelder for leverandører av varer ellertjenester i forbindelse med en sikkerhetsgradertanskaffelse etter loven kapittel 9.

For virksomheter på Svalbard, Jan Mayen og ibilandene gjelder loven i det omfang og med destedlige tilpasninger Kongen bestemmer.

Kapittel 2. Myndigheter etter loven

§ 2-1 Departementenes ansvar og myndighet etterloven

Hvert enkelt departement er ansvarlig for fore-byggende sikkerhet innenfor sitt myndighetsom-råde, og skala) identifisere og holde oversikt over grunnleg-

gende nasjonale funksjoner innenfor sitt myn-dighetsområde

b) identifisere og holde oversikt over virksomhe-ter som direkte eller indirekte er av vesentligbetydning for opprettholdelse av grunnleg-gende nasjonale funksjoner

c) treffe enkeltvedtak om at virksomheter er avkritisk betydning for grunnleggende nasjonalefunksjoner, jf. § 1-2, slik at loven gjelder fordem.Virksomheter som vurderes å være av kritisk

betydning for grunnleggende nasjonale funksjo-ner, jf. første ledd bokstav c, skal forhåndsvarsles,jf. forvaltningsloven § 16. Selvstendige rettssub-jekter kan påklage vedtaket til Tvisteorganet etterreglene i forvaltningsloven kapittel VI.

Ansvarlig departement skal holde Sikkerhets-myndigheten orientert om oversikter og vedtaketter første ledd bokstav a til c.

Sikkerhetsmyndigheten kan på eget initiativfremme forslag overfor ansvarlig departement omat det bør treffes vedtak etter første ledd bokstavc. Dersom Sikkerhetsmyndigheten finner at etdepartements unnlatelse av å treffe slikt vedtak er


uforsvarlig, kan departementets avgjørelse brin-ges inn for Tvisteorganet.

Kongen i statsråd kan gi forskrift om departe-mentenes ansvar og myndighet etter loven.

§ 2-2 SikkerhetsmyndighetenSikkerhetsmyndigheten har det sektorovergri-

pende ansvaret for at gjennomføring av forebyg-gende sikkerhet i virksomhetene skjer i samsvarmed denne loven. Sikkerhetsmyndigheten skalherundera) påse at det føres tilsyn med virksomheters

gjennomføring av de kravene til forebyggendesikkerhet som følger av loven

b) gi informasjon, råd og veiledning til virksom-heter om forebyggende sikkerhet og aktuelletiltak for å gjennomføre de kravene som følgerav loven

c) utarbeide og gjøre tilgjengelig generell infor-masjon om loven og praktiseringen av den

d) holde en tverrsektoriell oversikt over departe-mentenes identifisering og enkeltvedtak etter§ 2-1 første ledd bokstav a til c

e) treffe enkeltvedtak, jf. § 2-1 første ledd bokstavc, overfor virksomheter som ikke anses å falleinnenfor et departements myndighetsområde.For vedtak etter første ledd bokstav e gjelder

§ 2-1 andre ledd tilsvarende.Kongen kan gi forskrift om Sikkerhetsmyndig-

hetens ansvar etter loven.

§ 2-3 Informasjon om trusselvurderinger og risikohåndtering

Sikkerhetsmyndigheten skal legge til rette forat sektormyndigheter og virksomheter omfattetav loven får informasjon om trusselvurderinger ogannen sikkerhetsinformasjon som er av betydningfor myndighetenes og virksomhetenes gjennom-føring av loven.

Sikkerhetsmyndigheten skal koordinere til-gjengeliggjøring av informasjon som nevnt i førsteledd, og i samråd med sektormyndigheter ogandre relevante myndigheter påse at det etableresnødvendige arenaer for informasjons- og erfa-ringsutveksling.

Kongen kan gi forskrift om utveksling av infor-masjon etter denne bestemmelsen.

§ 2-4 Nasjonal responsfunksjon for alvorlige dataangrep

Kongen utpeker en nasjonal responsfunksjonfor alvorlige dataangrep mot skjermingsverdiginfrastruktur og et nasjonalt varslingssystem fordigital infrastruktur.

Når det er nødvendig for å beskytte grunnleg-gende nasjonale funksjoner, kan den nasjonaleresponsfunksjonen behandle personopplysningeri form ava) metadata om IKT-trafikk til og fra virksomhe-

ter som er knyttet til det nasjonale varslings-systemet for digital infrastruktur

b) informasjon som er nødvendig for å analysereutløste alarmer i varslingssystemet

c) IP-adresser mottatt fra nasjonale og internasjo-nale samarbeidspartnere

d) logger og infisert maskinvare, etter samtykkefra en virksomhet der dette er nødvendig i for-bindelse med bistand til håndtering av alvor-lige dataangrep.Behandling av andre former for personopplys-

ninger er kun tillatt når det er strengt nødvendigfor å beskytte grunnleggende nasjonale funksjo-ner.

Behandlingen skal i alle tilfeller være propor-sjonal med det inngrepet den representerer i per-sonvernet.

Kongen kan gi forskrift om den nasjonaleresponsfunksjonens behandling av personopplys-ninger.

§ 2-5 Vedtaksmyndighet for Kongen i statsrådKongen i statsråd kan fatte enkeltvedtak som

er nødvendig for å stanse, begrense eller endre enplanlagt eller pågående aktivitet, dersom denneaktiviteten med stor grad av sannsynlighet kan fåkritiske skadevirkninger for grunnleggende nasjo-nale funksjoner. Vedtaket kan fattes uten hensyntil begrensningene i forvaltningsloven § 35 omadgangen til å omgjøre tidligere fattede vedtak, oguavhengig av om aktiviteten ellers er tillatt etterlov eller annet vedtak.

Vedtak etter første ledd skal om mulig væremidlertidig og skal ikke ha lengre varighet ennhva som er strengt nødvendig. Vedtaket skal stå irimelig forhold til den risiko aktiviteten utgjør.Det skal ikke fattes vedtak som er mer inngri-pende enn det som er strengt nødvendig for åredusere risikoen ved den aktuelle aktiviteten tilet akseptabelt nivå.

Før vedtak etter første ledd treffes skal sakenutredes så godt som tiden og situasjonen tillater.Berørte parter skal om mulig få anledning til åuttale seg. Den risikoreduserende effekten av ved-taket skal kunne dokumenteres.

Blir vedtak etter første ledd truffet i en situa-sjon der det ikke er mulig å gjennomføre fullt uttilfredsstillende saksbehandling, skal slike man-gler så snart som mulig rettes. Fremkommer detnye og vesentlige opplysninger i saken, skal det


første vedtaket vurderes på nytt, og nytt enkelt-vedtak eventuelt treffes.

Vedtak etter første ledd er særlig tvangsgrunn-lag etter tvangsfullbyrdelsesloven kapittel 13.

Kongen i statsråd skal gi forskrift om vedtaketter første ledd, herunder om eventuell kompen-sasjon til personer og virksomheter som får sinrettslige posisjon svekket som følge av Kongensvedtak.

§ 2-6 Klage og tvisteløsningVedtak etter loven kan bringes inn for Tviste-

organet for forebyggende nasjonal sikkerhet, jf.§ 2-7. Dette gjelder ikke vedtak fattet av Kongen istatsråd med hjemmel i §§ 2-5, 9-4 eller 10-1, ogvedtak som nevnt i andre ledd.

Vedtak etter loven kapittel 8 kan påklages tilSikkerhetsmyndigheten. I saker der Sikkerhets-myndigheten er klareringsmyndighet, kan vedtakpåklages til departementet.

Reglene i forvaltningsloven kapittel VI gjelderfor selvstendige rettssubjekters klageadgang etterdenne loven.

§ 2-7 Tvisteorgan for forebyggende nasjonal sikkerhet

Kongen utpeker et kollegialt organ med femmedlemmer som oppnevnes for fire år medadgang til gjenoppnevning for ytterligere fire år.

Ved oppnevning av organets medlemmer skaldet, i tillegg til sikkerhetsfaglig kompetanse, ogsålegges vekt på kompetanse innen personvern ogselvstendige rettssubjekters rettssikkerhet.

Tvisteorganet kan bestemme at leder ellernestleder, sammen med to andre medlemmer,kan treffe midlertidige vedtak i saker som måavgjøres uten opphold.

Tvisteorganet skal avgi en årlig rapport om sinvirksomhet.

Kongen i statsråd kan i forskrift gi nærmerebestemmelser om Tvisteorganets organisering ogsaksbehandling.

Kapittel 3. Tilsyn etter loven

§ 3-1 Tilsyn med virksomheterSikkerhetsmyndigheten skal føre tilsyn med

departementenes gjennomføring av loven.Innenfor samfunnssektorer der det finnes

andre offentlige myndigheter som har tilsynsfunk-sjoner som omfatter beskyttelse av informasjon,informasjonssystemer, objekter eller infrastruk-tur, kan ansvarlig departement, jf. § 2-1,bestemme at disse sektormyndighetene skal føretilsyn med virksomheter omfattet av loven.

Innenfor samfunnssektorer der det ikke finnesmyndigheter med tilsynsfunksjoner som nevnt iandre ledd, skal Sikkerhetsmyndigheten føre til-syn med virksomheter omfattet av loven.

Sikkerhetsmyndigheten skal føre tilsyn medsektormyndigheter som er tillagt tilsynsansvaretter andre ledd.

Kongen kan gi forskrift om fordeling av til-synsansvaret mellom Sikkerhetsmyndigheten ogaktuelle sektormyndigheter.

§ 3-2 Sikkerhetsmyndighetens samarbeid med sektormyndigheter

Sikkerhetsmyndigheten skal samarbeide medandre offentlige myndigheter som i medhold avlov har tilsynsfunksjoner innenfor sin samfunns-sektor som omfatter beskyttelse av informasjon,informasjonssystemer, objekter eller infrastruk-tur.

Gjennomføring av tilsyn skal i størst muliggrad samordnes med andre tilsynsmyndigheter.

For områder der sektormyndigheter har til-synsansvar etter § 3-1, skal det inngås samarbeids-avtaler mellom Sikkerhetsmyndigheten ogsektormyndighetene.

Som grunnlag for sektormyndighetenes tilsynetter loven, skal Sikkerhetsmyndighetena) utarbeide og vedlikeholde grunnleggende kri-

terier for tilsyn etter loven med forskrifterb) forestå felles opplæring av tilsynspersonell.

Sikkerhetsmyndigheten kan, dersom denanser det nødvendig, medvirke til forberedelse oggjennomføring av tilsyn. Sektormyndighetene kananmode Sikkerhetsmyndigheten om slik bistand.

Sektormyndigheter som har tilsynsansvaretter loven, jf. § 3-1, skal orientere Sikkerhetsmyn-digheten om hovedfunn.

Kongen kan gi forskrift om samarbeidet mel-lom Sikkerhetsmyndigheten og sektormyndighe-tene.

§ 3-3 Generelle prinsipper for tilsynTilsyn etter loven skal planlegges og gjennom-

føres på en slik måte at tilsynet virker minst muligforstyrrende på tilsynsobjektenes daglige drift.

Opplysninger som tilsynsmyndigheten inn-henter som ledd i tilsynsvirksomheten skal barenyttes i direkte forbindelse med tilsynet.

Forvaltningslovens bestemmelser om taus-hetsplikt gjelder for personell som på vegne av til-synsmyndigheten gjennomfører tilsyn etter loven.

§ 3-4 Stedlig tilsynI den grad det er nødvendig for å gjennomføre

tilsyn etter loven, kan tilsynsmyndigheten kreve


nødvendig adgang til virksomhetens informasjon,informasjonssystemer, objekter og infrastruktur.

Stedlig tilsyn som nevnt i første ledd skal nor-malt varsles skriftlig. Forvaltningsloven § 15 gjel-der tilsvarende.

Kongen kan gi forskrift om tilsynsmyndighe-tens stedlige tilsyn.

§ 3-5 Tilsynsmyndighetens behandling av personopplysninger

Når det er nødvendig for å utføre oppgaveneetter loven, kan tilsynsmyndigheten behandleopplysninger som direkte eller indirekte kan knyt-tes til en fysisk enkeltperson (personopplysnin-ger).

Behandlingen av personopplysninger etter før-ste ledd må være proporsjonal med det inngrepetden representerer i personvernet.

Behandlingen av personopplysninger etter før-ste ledd skal om mulig skje ved hjelp av virksom-hetens informasjonssystem, og uten atpersonopplysninger blir kopiert eller overført tiltilsynsmyndigheten. Tilsynsmyndigheten kanlikevel kreve kopi av personopplysninger som ernødvendige for å bekrefte, avkrefte eller doku-mentere at bestemmelser i loven er brutt. Virk-somheten skal varsles om hvilke opplysninger detblir tatt kopi av.

Kongen kan gi forskrift om tilsynsmyndighe-tens behandling av personopplysninger.

§ 3-6 PåleggPålegg etter loven kan bare gis dersom det er

utvilsomt at tiltaket er nødvendig for å ivaretalovens formål, og de kostnadene som påføres virk-somheten, står i et rimelig forhold til det som kanoppnås ved tiltaket.

Sektormyndighet med tilsynsansvar etterloven kan gi pålegg om gjennomføring av tiltakinnenfor sin sektor. Sikkerhetsmyndigheten kangi virksomheter som ikke er underlagt tilsyn fraen sektormyndighet, pålegg om gjennomføring avtiltak.

Sikkerhetsmyndigheten kan gi en sektormyn-dighet med tilsynsansvar etter loven nødvendigepålegg for å sikre at lovens formål ivaretas.

Pålegg kan påklages til Tvisteorganet. Reglenei forvaltningsloven kapittel VI gjelder for selvsten-dige rettssubjekters klageadgang.

Kapittel 4. Generelle krav til forebyggende sikkerhet

§ 4-1 Plikt til å gjennomføre sikkerhetstiltakVirksomheten skal, på grunnlag av risiko- og

sårbarhetsanalysen, jf. § 4-3, gjennomføre fore-

byggende sikkerhetstiltak. Tiltakene skal gi et for-svarlig sikkerhetsnivå, oga) bidra til å hindre tilsiktede uønskede hendel-

ser som kan skade informasjon, informasjons-systemer, objekter, infrastruktur eller aktivitetav kritisk betydning for grunnleggende nasjo-nale funksjoner

b) redusere skadevirkningene dersom slike hen-delser inntrefferKostnader ved sikkerhetstiltak etter loven skal

stå i et rimelig forhold til det som oppnås ved tilta-ket.

Forutsatt at kravene som følger av første leddog loven for øvrig oppfylles, kan planlegging oggjennomføring av forebyggende tiltak mot tilsik-tede uønskede hendelser skje i sammenheng medforebyggende tiltak mot annen risiko som fore-ligger for virksomheten.

Kongen kan gi forskrift om plikter for virksom-heter som omfattes av loven.

§ 4-2 SikkerhetsstyringAnsvaret for forebyggende sikkerhet etter

loven påhviler leder for virksomheten. Forebyg-gende sikkerhet skal innarbeides som en del avvirksomhetens styringssystem.

Virksomheten skal påse at dens ansatte, leve-randører og oppdragstakere har tilstrekkelig opp-læring i sikkerhetsspørsmål, og skal regelmessigkontrollere sikkerhetstilstanden i virksomheten.For leverandører til sikkerhetsgraderte anskaffel-ser gjelder loven kapittel 9.

Kongen kan gi forskrift om sikkerhetsstyring,herunder om bruk av standarder.

§ 4-3 Risiko- og sårbarhetsanalyseSom grunnlag for virksomhetens forebyg-

gende sikkerhetstiltak skal det gjennomføres enrisiko- og sårbarhetsanalyse. Virksomheten skalherunder kartlegge hvilke andre virksomheterden er avhengig av for å opprettholde sin funksjo-nalitet.

Risiko- og sårbarhetsanalysen skal jevnliggjennomgås, og om nødvendig revideres.

Sikkerhetsmyndigheten, eller sektormyndig-het som er gitt tilsynsansvar etter loven, skal påanmodning rådgi og veilede virksomheten vedgjennomføring av risiko- og sårbarhetsanalyser.

Kongen kan gi forskrift om risiko- og sårbar-hetsanalyse, herunder om bruk av standarder.

§ 4-4 Krav til dokumentasjonVirksomheten skal dokumentere at

a) risiko- og sårbarhetsanalyse er gjennomført


b) nødvendige sikkerhetstiltak for å redusere risi-koen for og konsekvensene av tilsiktede uøn-skede hendelser er iverksatt.Kongen kan gi forskrift om krav til dokumen-

tasjon.

§ 4-5 ØvelserVirksomheten skal gjennomføre regelmessige

øvelser for å sikre at kompetansen til å forebyggeog håndtere tilsiktede uønskede hendelser vedli-keholdes og utvikles.

Kongen kan gi forskrift om øvelser.

§ 4-6 VarslingVirksomheten skal omgående varsle tilsyns-

myndigheten dersoma) en tilsiktet uønsket hendelse har rammet virk-

somheten, som kan ha betydning for virksom-hetens evne til å ivareta oppgaver knyttet tilgrunnleggende nasjonale funksjoner

b) det er begrunnet mistanke om at det har inn-truffet eller er fare for at det vil inntreffe enhendelse som nevnt i bokstav a

c) det er begrunnet mistanke om at det har inn-truffet eller er fare for at det vil inntreffe en til-siktet uønsket hendelse som kan ha kritiskeskadevirkninger for grunnleggende nasjonalefunksjoner, selv om dette ikke er rettet motvirksomheten

d) det har skjedd brudd på krav til sikkerhet ikapittel 5, 6 eller 7, med forskrifter.I samfunnssektorer der sektormyndigheter er

gitt tilsynsansvar i medhold av § 3-1, skal Sikker-hetsmyndigheten varsles parallelt.

Tilsynsmyndigheten skal uten ugrunnet opp-hold videresende varsel etter første ledd bokstav ctil ansvarlig departement for vurdering av enkelt-vedtak etter § 2-5. Der Sikkerhetsmyndigheten ertilsynsmyndighet skal varsel uten ugrunnet opp-hold videresendes til departementet.

Varslingsplikten etter denne bestemmelsengjelder uten hinder av lovbestemt taushetsplikt.

Kongen kan gi forskrift om virksomhetenesvarslingsplikt etter loven.

§ 4-7 Behandling av personopplysningerBehandling av personopplysninger som skjer

med det formål å etterleve bestemmelsene idenne loven, skal skje i samsvar med prinsippenei Europaparlaments- og rådsforordning (EU)2016/679 av 27. april 2016 artikkel 5, jf. artikkel23.

Kapittel 5. Informasjonssikkerhet

§ 5-1 Sikkerhetsgradert informasjonDen som utsteder eller på annen måte tilvirker

informasjon skal, på bakgrunn av en skadevurde-ring, sikkerhetsgradere og merke informasjonenpå følgende måte:a) STRENGT HEMMELIG benyttes dersom det

kan få helt avgjørende skadefølger for grunn-leggende nasjonale funksjoner, jf. § 1-2, ominformasjonen blir kjent for uvedkommende

b) HEMMELIG benyttes dersom det kan få alvor-lige skadefølger for grunnleggende nasjonalefunksjoner, jf. § 1-2, om informasjonen blirkjent for uvedkommende

c) KONFIDENSIELT benyttes dersom det kan fåskadefølger for grunnleggende nasjonale funk-sjoner, jf. § 1-2, om informasjonen blir kjent foruvedkommende

d) BEGRENSET benyttes dersom det i noen gradkan få skadefølger for grunnleggende nasjo-nale funksjoner, jf. § 1-2, om informasjonen blirkjent for uvedkommende.Sikkerhetsgradering skal ikke skje i større

utstrekning eller for lengre tid enn nødvendig.Sikkerhetsgraderingen skal bortfalle senest etter30 år. I særskilte tilfeller kan Kongen beslutteunntak fra 30-års-regelen i andre punktum.

Kongen kan gi forskrift om sikkerhetsgrade-ring.

Innenfor rammen av gjensidig overenskomstmed fremmed stat eller internasjonal organisasjonkan Kongen i forskrift gi nærmere bestemmelserom sikkerhetsgradering og beskyttelse av infor-masjon som mottas fra eller avgis til vedkom-mende stat eller internasjonale organisasjon.

§ 5-2 Beskyttelse av sikkerhetsgradert informasjonVirksomheten skal iverksette nødvendige sik-

kerhetstiltak slik at sikkerhetsgradert informasjona) ikke blir kjent for uvedkommendeb) ikke går tapt eller blir endret uten at dette er

autorisertc) er tilgjengelig for autoriserte personer der

tjenstlige behov tilsier dette.Kongen kan gi forskrift om minstekrav for

beskyttelse av sikkerhetsgradert informasjon.

§ 5-3 Tilgang til og taushetsplikt for sikkerhetsgradert informasjon

Sikkerhetsgradert informasjon skal bare over-lates til personer som har tjenstlig behov og erautorisert for slik tilgang.

Enhver som får tilgang til sikkerhetsgradertinformasjon som ledd i arbeid, oppdrag, verv eller


aktivitet for en virksomhet som omfattes av lovenhar taushetsplikt om innholdet. Taushetspliktengjelder også etter at vedkommende har avsluttetarbeidet, oppdraget, vervet eller aktiviteten.

§ 5-4 Tekniske sikkerhetsundersøkelserSikkerhetsmyndigheten, eller den Sikkerhets-

myndigheten bemyndiger, kan foreta undersøkel-ser av lokaler, bygninger og andre objekter somen virksomhet alene eller sammen med andreråder over, i den hensikt å fastslå om uvedkom-mende med eller uten tekniske hjelpemidler kanskaffe seg tilgang til sikkerhetsgradert informa-sjon ved avlytting av tale, avlesning av signalereller ved innsyn.

Kongen kan gi forskrift om tekniske sikker-hetsundersøkelser.

Kapittel 6. Informasjonssystemsikkerhet

§ 6-1 Skjermingsverdige informasjonssystemerMed skjermingsverdige informasjonssystemer

menesa) informasjonssystemer som er av kritisk betyd-

ning for grunnleggende nasjonale funksjonerb) informasjonssystemer som behandler sikker-

hetsgradert informasjon.

§ 6-2 Beskyttelse av skjermingsverdige informasjonssystemer

Virksomheten skal gjennomføre nødvendigetiltak for å oppnå et forsvarlig sikkerhetsnivå forskjermingsverdige informasjonssystemer. Tilta-kene skal sikre ata) informasjonssystemene opprettholder sin

funksjonalitetb) konfidensialiteten, integriteten og tilgjengelig-

heten til informasjon som behandles, ivaretas.Kongen kan gi forskrift om beskyttelse av

skjermingsverdige informasjonssystemer.

§ 6-3 Godkjenning av skjermingsverdige informasjonssystemer

Skjermingsverdige informasjonssystemer skalgodkjennes av en ansvarlig godkjenningsmyndig-het.

Informasjonssystemer som skal behandle sik-kerhetsgradert informasjon skal forhåndsgodkjen-nes.

Kongen kan gi forskrift om godkjenning avskjermingsverdige informasjonssystemer, her-under utpeking av ansvarlige godkjennings-myndigheter og krav til leverandører.

§ 6-4 Overvåking av skjermingsverdige informasjonssystemer

Virksomheten skal kontinuerlig overvåke sineskjermingsverdige informasjonssystemer for åforebygge og håndtere tilsiktede uønskede hen-delser som kan skade informasjonssystemet. Hen-delser som er relevante for sikkerhetsarbeidetskal registreres.

I den grad det er nødvendig for å ivareta for-målet med overvåkningen skal utveksling av infor-masjon til, fra og i skjermingsverdige informa-sjonssystemer registreres, lagres og analyseres.

Overvåkning av informasjonssystemer sombehandler personopplysninger skal begrenses tilde metoder og det omfang som er strengt nødven-dig for å ivareta formålet med overvåkningen.

Informasjon etter første og andre ledd kanlagres i inntil fem år. Lagrede personopplysningerkan kun benyttes i den utstrekning det er nødven-dig for å ivareta formålet med overvåkningen.

Flere virksomheter som er tilknyttet sammeinformasjonssystem, kan avtale at en av virksom-hetene skal forestå overvåkningen etter første ogandre ledd på vegne av de øvrige virksomhetene.Den virksomheten som forestår overvåkningenplikter å sikre at kravene til informasjonssikkerheti § 5-2 etterleves også for den informasjon den blirkjent med som følge av avtalen om felles overvåk-ning.

Virksomheten skal påse at autoriserte brukereav informasjonssystemer som overvåkes i hen-hold til denne bestemmelse, får informasjon omformålet med behandlingen, om de tiltak som eriverksatt, herunder metode og omfang, om infor-masjonen blir utlevert og eventuelt om hvem somer mottaker.

Kongen kan i forskrift gi nærmere bestemmel-ser om overvåkning av skjermingsverdige infor-masjonssystemer, herundera) hvilke typer informasjon som kan eller skal

registreres, lagres og analyseres i forbindelsemed eller som resultat av overvåkningen

b) hvem som skal ha tilgang til informasjon somer registrert og lagret i forbindelse med ellersom resultat av overvåkningen

c) hvordan tilgang til registrert eller lagret infor-masjon skal gis

d) unntak fra lagringstid på fem år, jf. fjerde ledd.

§ 6-5 Kommunikasjons- og innholdskontroll av infor-masjonssystemer

Ledelsen i virksomheten kan anmode Sikker-hetsmyndigheten om å kontrollere om virksomhe-tens informasjonssystemer kun behandler slikinformasjon som sikkerhetsgodkjenningen tilla-


ter. Virksomhetens ansatte skal orienteres om atslike kontroller kan forekomme.

Kontrollen kan gjennomføres ved å avlytte ogavlese informasjon som behandles i eller kommu-niseres mellom informasjonssystemer.

Iverksettelse av kontrollen kan ikke skje førvirksomhetens ledelse har godtatt metodene somtenkes benyttet og Sikkerhetsmyndighetens vur-dering av faren for at kontrollen kan fange oppkommunikasjon som nevnt i fjerde ledd.

Kontrollen skal ikke omfatte privat kommuni-kasjon eller kommunikasjon med virksomhetersom ikke er omfattet av loven. Avdekker kontrol-len at slik kommunikasjon likevel fanges opp skalkontrollen straks opphøre og informasjon somkontrollen har gitt tilgang til slettes.

Det er forbudt for tjenestepersoner som får til-gang til informasjon som nevnt i fjerde ledd, åbringe informasjonen videre til andre tjenesteper-soner. For øvrig gjelder taushetsplikt etter § 5-3.

Når informasjon som er samlet inn i samsvarmed første ledd ikke lenger har betydning for detangitte kontrollformålet, skal Sikkerhetsmyndig-heten straks slette informasjonen.

Kongen kan i forskrift gi nærmere bestemmel-ser om kommunikasjons- og innholdskontroll avinformasjonssystemer.

§ 6-6 Inntrengningstesting av skjermingsverdigeinformasjonssystemer

Ledelsen i virksomheten kan anmode Sikker-hetsmyndigheten om å forsøke å trenge inn i virk-somhetens skjermingsverdige informasjonssys-temer. Formålet kan bare være å kontrollere ommotstandskraften til etablerte sikkerhetstiltak ertilfredsstillende, i den hensikt å forbedre sikker-heten. Virksomhetens ansatte skal orienteres omat slike kontroller kan forekomme.

Dersom kontrollen innebærer behandling avpersonopplysninger skal den begrenses til demetoder og det omfang som er strengt nødvendigfor å ivareta formålet med kontrollen.

Informasjon som kontrollen gir tilgang til kankun benyttes til å ivareta formålet med kontrollen.Når det ikke lenger er behov for informasjonenskal den slettes.

Dersom Sikkerhetsmyndigheten klarer åtrenge inn i informasjonssystemet, skal frem-gangsmåte og resultat dokumenteres, og opera-sjonen avsluttes.

Sikkerhetsmyndigheten skal gi rapport omresultatet av kontrollen til virksomheten. Rappor-ten skal kun inneholde informasjon som er avbetydning for forbedring av virksomhetens sik-kerhet.

Kongen kan gi nærmere forskrifter om inn-trengning i skjermingsverdige informasjons-systemer, herunder gjennomføring av inntreng-ningstesting av andre enn Sikkerhetsmyndig-heten.

Kapittel 7. Objekt- og infrastruktursikkerhet

§ 7-1 Skjermingsverdige objekter og infrastrukturHver enkelt departement skal innen sitt myn-

dighetsområde utpeke, klassifisere og holde over-sikt over objekter og infrastruktur av kritiskbetydning for grunnleggende nasjonale funksjo-ner.

Sikkerhetsmyndigheten skal utpeke, klassifi-sere og holde oversikt over objekter og infrastruk-tur som ikke ligger innenfor et departementsmyndighetsområde.

Virksomheter som råder over objekter ellerinfrastruktur som utpekes etter første eller andreledd, skal varsles om dette. Avgjørelse om utpe-king som berører selvstendige rettssubjekter kanpåklages til Tvisteorganet etter reglene i forvalt-ningsloven kapittel VI.

Sikkerhetsmyndigheten kan på eget initiativforeslå utpeking av objekter og infrastruktur over-for ansvarlig departement. Dersom Sikkerhets-myndigheten finner at et departements unnlatelseav å utpeke objekter eller infrastruktur er ufor-svarlig, kan departementets avgjørelse bringesinn for Tvisteorganet for endelig avgjørelse.

Kongen kan gi forskrift om identifisering ogutpeking av objekter og infrastruktur.

§ 7-2 KlassifiseringSkjermingsverdige objekter og infrastruktur

skal klassifiseres i en av følgende klassifiserings-grader:a) MEGET KRITISK nyttes dersom det kan få

helt avgjørende skadefølger for grunnleg-gende nasjonale funksjoner, jf. § 1-2, om objek-tet eller infrastrukturen får redusertfunksjonalitet

b) KRITISK nyttes dersom det kan få alvorligeskadefølger for grunnleggende nasjonale funk-sjoner, jf. § 1-2, om objektet eller infrastruktu-ren får redusert funksjonalitet

c) VIKTIG nyttes dersom det kan få skadefølgerfor grunnleggende nasjonale funksjoner, jf.§ 1-2, om objektet eller infrastrukturen fårredusert funksjonalitet.Klassifiseringen skal skje på grunnlag av virk-

somhetens risiko- og sårbarhetsanalyse, jf. § 4-3,og skal begrunnes ut ifra hvilke grunnleggendenasjonale funksjoner objektet eller infrastrukturenunderstøtter og konsekvensene av redusert funk-


sjonalitet. Begrunnelsen skal inngå i departemen-tenes og Sikkerhetsmyndighetens oversikt overskjermingsverdige objekter og infrastruktur.

Dersom en del av et objekt eller infrastrukturhar en høyere klassifisering enn objektet ellerinfrastrukturen for øvrig, skal denne defineressom selvstendig objekt eller infrastruktur.

Kongen kan gi forskrift om klassifisering avskjermingsverdige objekter og infrastruktur.

§ 7-3 Beskyttelse av objekter og infrastrukturVirksomheten skal iverksette nødvendige sik-

kerhetstiltak for å opprettholde et forsvarlig sik-kerhetsnivå.

Ved vurderingen av hva som er nødvendigskal virksomheten ta hensyn til klassifiseringsni-vået på objektet eller infrastrukturen, og konse-kvensen ved bortfall eller reduksjon avfunksjonalitet. Sikkerhetstiltakene skal ses i sam-menheng og tilpasses det enkelte objekts, ellerden enkelte infrastrukturs, konkrete beskyttelses-behov.

Ansvarlig departement kan treffe enkeltvedtakom krav til adgangsklarering etter loven kapittel 8,for tilgang til hele eller deler av skjermingsver-dige objekter eller infrastruktur, innen sitt myn-dighetsområde. Sikkerhetsmyndigheten kantreffe slike vedtak overfor virksomheter som ikkeligger innenfor et departements myndighetsom-råde.

Avgjørelse om adgangsklarering etter tredjeledd som berører selvstendige rettssubjekter, kanpåklages til Tvisteorganet etter reglene i forvalt-ningsloven kapittel VI.

Kongen kan gi forskrift om beskyttelse avobjekter og infrastruktur innenfor hvert klassifise-ringsnivå.

§ 7-4 Testing av sikkerhetssystemerLedelsen i virksomheten kan anmode Sikker-

hetsmyndigheten om å forsøke å forsere etablertesikkerhetstiltak for tilgang til skjermingsverdigeobjekter eller infrastruktur. Formålet kan barevære å forbedre sikkerhetsnivået gjennom å kon-trollere motstandskraften til sikkerhetstiltakene.Virksomhetens ansatte skal orienteres om at slikekontroller kan forekomme.

Dersom kontrollen innebærer behandling avpersonopplysninger skal den begrenses til demetoder og det omfang som er strengt nødvendigfor å ivareta formålet med kontrollen.

Informasjon som kontrollen gir tilgang til kankun benyttes til å ivareta formålet med kontrollen.Når det ikke lenger er behov for informasjonenskal den slettes.

Dersom Sikkerhetsmyndigheten klarer å for-sere sikkerhetstiltakene for tilgang til objekt ellerinfrastruktur, skal operasjonen avsluttes.

Kongen kan gi forskrift om testing av sikker-hetssystemer for skjermingsverdige objekter oginfrastruktur, herunder gjennomføring av sliktesting av andre enn Sikkerhetsmyndigheten.

§ 7-5 Adgang til steder og områderKongen kan av hensyn til forsvars-, sikkerhets-

og beredskapsmessige forhold, jf. § 1-2 første leddbokstav b, forby uvedkommende adgang tilbestemt angitte områder og å overvære militæreøvelser eller forsøk.

Kapittel 8. Personellsikkerhet

§ 8-1 Når klarering og autorisasjon skal gjennomføres

Person som skal gis tilgang til sikkerhetsgra-dert informasjon, skal ha autorisasjon i samsvarmed § 8-2. Det samme gjelder person som skal haadgang til klassifiserte områder innen objektereller infrastruktur som er av kritisk betydning forgrunnleggende nasjonale funksjoner, og det ertruffet vedtak etter § 7-3 tredje ledd.

Person som skal autoriseres for tilgang tilinformasjon gradert KONFIDENSIELT eller høy-ere, skal på forhånd sikkerhetsklareres, jf. § 8-5.Sikkerhetsklarering må foreligge før autorisasjonkan gis.

Person som har gyldig sikkerhetsklareringskal også anses adgangsklarert.

Person som gjennom sitt arbeid vil kunne fåtilgang til sikkerhetsgradert informasjon gradertKONFIDENSIELT eller høyere, skal sikkerhets-klareres. Dette gjelder likevel ikke dersom risi-koen for slik tilgang kan fjernes ved å iverksettesikkerhetstiltak.

Sikkerhetsklarering gis for følgende nasjonalesikkerhetsgrader, eventuelt også for tilsvarendesikkerhetsgrader i NATO eller annen internasjo-nal organisasjon:a) STRENGT HEMMELIG (eventuelt COSMIC

TOP SECRET/tilsvarende)b) HEMMELIG (eventuelt NATO SECRET/

tilsvarende)c) KONFIDENSIELT (eventuelt NATO

CONFIDENTIAL/tilsvarende).

§ 8-2 SikkerhetsautorisasjonVirksomhetens leder er ansvarlig for autorisa-

sjon.Autorisasjonsansvarlig har ansvaret for den

daglige sikkerhetsmessige ledelse og kontroll avautorisert personell i egen virksomhet.


Autorisasjon kan gis dersom autorisasjonsan-svarlig etter en konkret helhetsvurdering ikke haropplysninger som gjør det tvilsomt om vedkom-mende sikkerhetsmessig er til å stole på. Autorisa-sjon skal ikke gis før det foreligger melding omklarering, der dette er påkrevd etter § 8-1 andreledd. Autorisasjonssamtale skal i alle tilfelleravholdes før autorisasjon gis.

Virksomheten skal løpende orientere Sikker-hetsmyndigheten om hvilke personer som erautorisert.

Kongen kan gi forskrift om autorisasjon ogautorisasjonsansvarliges plikter etter loven.

§ 8-3 Nedsettelse, suspensjon og tilbakekallelse avautorisasjon

Får autorisasjonsansvarlig opplysninger somgir grunn til tvil om en autorisert person fortsattkan anses sikkerhetsmessig skikket, skal autori-sasjonen vurderes tilbakekalt, nedsatt eller sus-pendert. Avgjørelse om dette skal innberettes tilvedkommende klareringsmyndighet.

Autorisasjon bortfaller automatisk nåra) personen fratrer den stilling som autorisasjo-

nen er knyttet tilb) behovet for autorisasjon ikke lenger er til

stedec) personen ikke lenger har tilstrekkelig klare-

ring.

§ 8-4 Klareringsmyndigheter etter lovenKongen utpeker én klareringsmyndighet for

forsvarssektoren og én for sivile sektorer. Klare-ringsmyndighetene avgjør om det er grunn til åanta at en person er sikkerhetsmessig skikket til åhåndtere sikkerhetsgradert informasjon opp til etgitt sikkerhetsnivå eller for adgang til klassifiserteområder innen objekter eller infrastruktur som erav kritisk betydning for grunnleggende nasjonalefunksjoner. Etterretnings- og sikkerhetstje-nestene klarerer eget personell.

Når særlige grunner taler for det kan Kongenutpeke andre klareringsmyndigheter enn de somer nevnt i første ledd.

§ 8-5 Sikkerhets- og adgangsklareringKlarering skal bare gis eller opprettholdes der-

som det ikke foreligger rimelig tvil om vedkom-mendes sikkerhetsmessige skikkethet. Somgrunnlag for vurderingen av en personssikkerhetsmessige skikkethet skal det gjennomfø-res en personkontroll, jf. § 8-7.

Klareringsavgjørelser skal baseres på en kon-kret og individuell helhetsvurdering av de fore-liggende opplysninger. Klareringsmyndigheten

skal påse at klareringssaken er så godt opplystsom mulig før avgjørelse fattes. Sikkerhetssam-tale skal gjennomføres der dette ikke anses somåpenbart unødvendig

I vurderingen skal det bare legges vekt på for-hold som er relevante for vedkommendes pålite-lighet, lojalitet og sunne dømmekraft med hensyntil behandling av gradert informasjon, og tilgangtil skjermingsverdige objekter og infrastruktur.Politisk engasjement og annet lovlig samfunnsen-gasjement, herunder medlemskap i, sympati medeller aktivitet for lovlige politiske partier ellerorganisasjoner, skal ikke ha betydning for vurde-ringen av en persons sikkerhetsmessige skikket-het.

Negative opplysninger om nærstående perso-ner, jf. § 8-7 tredje ledd, skal bare tas i betraktningdersom det antas at nærståendes forhold vilkunne påvirke vedkommendes sikkerhetsmessigeskikkethet.

Kongen kan gi forskrift om hvilke forhold somkan tillegges betydning for vurderingen av sikker-hetsmessig skikkethet.

§ 8-6 Nedsettelse, suspensjon og tilbakekallelse avklarering

Får klareringsmyndigheten opplysninger somgir grunn til tvil om en sikkerhetsklarert personssikkerhetsmessige skikkethet, skal klarerings-myndigheten vurdere å tilbakekalle eller nedsetteklareringen, eller suspendere klareringen ogiverksette nærmere undersøkelser for å avklareforholdet.

Er en sikkerhets- eller adgangsklareringbesluttet tilbakekalt, nedsatt eller suspendert, skalbegrunnet melding om dette sendes til Sikkerhets-myndigheten. Autorisasjonsansvarlig skal varslesumiddelbart.

§ 8-7 Gjennomføring av personkontrollPersonkontroll skal gjennomføres som grunn-

lag for sikkerhets- eller adgangsklarering. Medmindre annet er bestemt av Sikkerhetsmyndig-heten, skal personkontroll iverksettes etteranmodning fra autorisasjonsansvarlig. Før person-kontroll igangsettes skal den som klareres mottainformasjon om at slik kontroll vil bli foretatt, ogskal ha akseptert dette. Aksepten skal ogsåomfatte muligheten for personkontroll av nærstå-ende personer etter tredje ledd, og fornyet kon-troll etter § 8-8.

Personkontroll skal alltid omfatte opplysnin-ger gitt av vedkommende selv. Vedkommendeplikter å gi fullstendige opplysninger om forholdsom den antar vil kunne være av betydning for


vurderingen av sikkerhetsmessig skikkethet etter§ 8-5.

Ved sikkerhetsklarering for HEMMELIG/til-svarende eller høyere sikkerhetsgrader, og iandre særlige tilfeller, kan det gjennomføres per-sonkontroll av nærstående personer.

I tillegg til opplysninger som personen gir,skal kontrollen omfatte opplysninger som ved-kommende klareringsmyndighet selv har, samtopplysninger fra offentlige registre, jf. åttendeledd. Behandlingsansvarlig plikter å utlevereregisteropplysninger uten hinder av taushetsplikt.Registeropplysninger skal meddeles skriftlig.Kontrollen kan også omfatte andre kilder, her-under uttalelser fra tjenestesteder eller arbeids-plasser, offentlige myndigheter eller oppgitte ellersupplerende referanser. Opplysninger som gis iforbindelse med personkontroll skal gisvederlagsfritt til klareringsmyndigheten.

Behandlingsansvarlige for relevante registreplikter å legge til rette for digitalisert overføringav personkontrollopplysningene til Sikkerhets-myndigheten.

Opplysninger som er gitt klareringsmyndighe-ten i forbindelse med personkontroll, skal ikkebenyttes til andre formål enn vurdering av klare-ring. Autorisasjonsansvarlig kan likevel meddelesopplysninger dersom dette anses påkrevet av hen-syn til den sikkerhetsmessige ledelse og kontrollav vedkommende.

Personkontroll etter denne bestemmelsen skalfor øvrig skje i samsvar med § 4-7.

Kongen gir forskrift om hvilke registre som errelevante for personkontroll for henholdsvis sik-kerhetsklarering og adgangsklarering, samt fast-setter nærmere bestemmelser for digitalisertoverføring av personkontrollopplysninger.

Kongen kan gi forskrift om fremgangsmåtenved registerundersøkelser i utlandet og om utleve-ring av opplysninger i forbindelse med andrelands myndigheters tilsvarende personkontroll.Under ingen omstendighet skal det innhentes,registreres eller videreformidles opplysninger ompolitisk engasjement som omfattes av § 8-5 andreledd.

§ 8-8 Fornyet personkontrollKlareringsmyndigheten kan be Sikkerhets-

myndigheten om å iverksette ny personkontroll,jf. § 8-7, av klarert personell når som helst innen-for en klarerings gyldighetstid, i den hensikt åkontrollere om det har skjedd endringer av betyd-ning for vedkommendes sikkerhetsmessige skik-kethet.

§ 8-9 Bruk av vilkår og stillingsklareringEn klarering kan i særlige tilfeller gis på nær-

mere angitte vilkår, og kan herunder være avgren-set til å kun gjelde en konkret stilling. Vedvurderingen av om det skal settes vilkår for klare-ringen, skal det særlig tas stilling til om andre til-tak vil kunne ha tilsvarende risikoreduserendeeffekt.

Kongen kan gi forskrift om bruk av vilkår ogstillingsklarering.

§ 8-10 Klarering av personer som ikke er norskestatsborgere

En person som ikke er norsk statsborger kanetter en konkret helhetsvurdering gis klarering.Klarering skal bare gis eller opprettholdes der-som det ikke foreligger rimelig tvil om vedkom-mendes sikkerhetsmessige skikkethet. Ivurderingen skal det legges vekt på hjemlandetssikkerhetsmessige betydning og vedkommendestilknytning til hjemlandet, samt vedkommendeseventuelle tilknytning til Norge. Ved klarering avpersoner som ikke er norske statsborgere skal detvurderes særskilt om bruk av vilkår eller stil-lingsklarering kan være risikoreduserende tiltak,jf. § 8-9.

Kongen kan gi forskrift om klarering av perso-ner som ikke er norske statsborgere.

§ 8-11 VarslingspliktKlarert og autorisert person skal umiddelbart

varsle autorisasjonsansvarlig om forhold somantas å kunne være av betydning for vedkommen-des sikkerhetsmessige skikkethet.

Autorisasjonsansvarlig skal orientere vedkom-mende klareringsmyndighet dersom forholdetantas å kunne få betydning for vedkommendesklarering.

§ 8-12 Informasjonstilgang for Politiets sikkerhetstje-neste

I klareringssaker hvor personen eller nærstå-ende har tilknytning til andre stater, kan Sikker-hetsmyndigheten på anmodning fra Politietssikkerhetstjeneste gi informasjon om aktuelle per-sonersa) klareringsstatusb) tilknytning til andre staterc) tjenestested.

Utlevering av informasjon etter første ledd kankun skje der Politiets sikkerhetstjeneste anfører atdette er nødvendig for å ivareta tjenestens opp-gaver etter politiloven §§ 17 b og 17 c nr. 1.

Kongen kan gi forskrift om informasjonstil-gang for Politiets sikkerhetstjeneste.


§ 8-13 Begrunnelse og underretningForvaltningsloven kapittel IV og V gjelder ikke

for avgjørelser om klarering eller autorisasjon.Den som har vært vurdert klarert, har rett til å

bli gjort kjent med resultatet. Ved negativ avgjø-relse skal vedkommende uoppfordret underrettesom resultatet og opplyses om klageadgangen.

Begrunnelse for en avgjørelse skal gis samti-dig med underretningen om utfallet av klarerings-saken. Vedkommende har ikke krav påbegrunnelse dersom den ikke kan gis uten å røpeopplysninger soma) er av betydning for grunnleggende nasjonale

funksjoner, jf. § 5-1b) er av betydning for kildevernc) det av hensyn til vedkommendes helse eller

dennes forhold til personer som står dennenær, må anses utilrådelig at vedkommende fårkjennskap til

d) angår tekniske innretninger, produksjonsme-toder, forretningsmessige analyser og bereg-ninger og forretningshemmeligheter ellers,når de er av en slik art at andre kan utnyttedem i sin næringsvirksomhet.Klareringsmyndigheten skal i tillegg utarbeide

en intern samtidig begrunnelse hvor alle relevanteforhold inngår, herunder forhold som nevnt itredje ledd.

§ 8-14 InnsynEtter at avgjørelse om klarering er fattet, har

den som har vært vurdert klarert rett til å gjøreseg kjent med sakens dokumenter.

Vedkommende har ikke krav på innsyn i dedeler av et dokument som inneholder opplysnin-ger som nevnt i § 8-13 tredje ledd. Vedkommendehar heller ikke krav på innsyn i et dokument somer utarbeidet for den interne saksforberedelsenved klareringsmyndigheten eller klageinstansen,med unntak av faktiske opplysninger eller sam-mendrag eller annen bearbeidelse av faktum.

Den som har krav på innsyn skal på anmod-ning gis kopi av dokumentet.

§ 8-15 Oversendelse av sak til særskilt oppnevntadvokat

Departementet oppnevner en gruppe advoka-ter som skal sikkerhetsklareres for høyeste nivå,og som skal gi råd i samsvar denne bestemmel-sen.

Dersom begrunnelse ikke gis, jf. § 8-13 tredjeledd, eller avslag er gitt på begjæring om innsyn,jf. § 8-14 andre ledd første punktum, og den somhar vært gjenstand for vurdering begjærer det,

skal klareringsmyndigheten gjøre sakens doku-menter tilgjengelig for en advokat som nevnt i før-ste ledd. Før retten til advokat inntrer måvedkommende ha benyttet retten til klage på nek-tet begrunnelse eller avslag på begjæring om inn-syn, jf. § 8-16. Advokaten gir råd til personen somer vurdert klarert om hvorvidt personen børklage.

Advokaten skal ha tilgang til faktiske opplys-ninger og begrunnelser i saken, herunder begrun-nelser som er ukjente for den som har værtvurdert klarert. Dokument som er utarbeidet forden interne saksforberedelsen ved klarerings-myndigheten eller klageinstansen, jf. § 8-14 andreledd siste punktum, skal ikke gis advokaten.

§ 8-16 KlageForvaltningsloven kapittel VI gjelder tilsva-

rende i klareringssaker om ikke annet følger avdenne lov eller forskrift om personellsikkerhet.

Negativ avgjørelse om klarering, herunder omvilkår og om når klareringssaken tidligst kan tasopp på nytt, kan påklages av den avgjørelsen ret-ter seg mot. Det samme gjelder nektet begrun-nelse og avslag på begjæring om innsyn.

Klagen sendes vedkommende klareringsmyn-dighet. Sikkerhetsmyndigheten er klageinstans.Departementet er klageinstans for klareringsav-gjørelser truffet av Sikkerhetsmyndigheten i før-ste instans.

Fristen for å klage er tre uker fra den dagunderretningen om avgjørelsen, nektet begrun-nelse eller avslag på begjæring om innsyn harkommet frem til vedkommende. Dersom det kla-ges på nektet begrunnelse eller avslag på begjæ-ring om innsyn, avbrytes klagefristen. Nyklagefrist løper fra det tidspunkt underretning ombegrunnelse eller innsyn er kommet frem ellervedkommende på annen måte er gjort kjent medden. I saker der advokat har gjennomgått sakenetter § 8-15, løper ny klagefrist fra den dag rådetfra advokaten har kommet frem til vedkommende.

§ 8-17 Utfyllende bestemmelserKongen kan gi forskrift om opprettelse av et

sentralt register for klareringsavgjørelser.Kongen kan gi forskrift om personellsikker-

het, herunder oma) klarering av bestemte kategorier personell,

bl.a. vernepliktige mannskaper i Forsvaretb) arkivering, oppbevaring og forsendelse av

dokumenter i klarerings- og personkontrollsa-ker

c) avholdelse av sikkerhetssamtaler.


Kapittel 9. Sikkerhetsgraderte anskaffelser mv.

§ 9-1 Sikkerhetsgradert anskaffelseMed sikkerhetsgradert anskaffelse menes en

anskaffelse som innebærer at leverandøren avvaren eller tjenesten vil kunne få tilgang til sikker-hetsgradert informasjon, jf. § 5-1, eller til et skjer-mingsverdig objekt eller infrastruktur, jf. § 7-1.

§ 9-2 Inngåelse av sikkerhetsavtaleVed sikkerhetsgraderte anskaffelser skal det

inngås en sikkerhetsavtale mellom anskaffelse-smyndigheten og leverandøren. Sikkerhetsavtaleskal være inngått før leverandøren kan få tilgangtil gradert informasjon eller et skjermingsverdigobjekt eller infrastruktur. Sikkerhetsavtale medutenlandske leverandører kan bare inngås ettergodkjenning av Sikkerhetsmyndigheten.

Sikkerhetsavtalen skal fastsette nærmereregler om ansvar og plikter etter bestemmelsene iog i medhold av loven her, herunder oma) anskaffelsens sikkerhetsgrad, jf. §§ 5-1 og 7-2,

spesifisert for de enkelte deler av oppdragetb) undersøkelser hos leverandøren og annen

kontroll med denne for å vurdere sikkerhetstil-standen og om leverandøren overholder sik-kerhetsbestemmelsene og øvrige plikter etterloven

c) konsekvenser ved brudd på sikkerhetsavtalen.Utgifter eller krav leverandøren måtte ha for å

oppfylle bestemmelsene i eller i medhold av lovenher og inngått sikkerhetsavtale, er anskaffelse-smyndigheten og Sikkerhetsmyndigheten uved-kommende, med mindre annet er uttrykkeligavtalt i sikkerhetsavtalen.

§ 9-3 LeverandørklareringFør en leverandør kan få tilgang til sikkerhets-

gradert informasjon gradert KONFIDENSIELTeller høyere, eller dersom det av andre grunneranses nødvendig, skal leverandøren ha gyldigleverandørklarering for angitt sikkerhetsgrad.Kongen gir forskrift om gyldighetstiden for leve-randørklareringer. Sikkerhetsmyndigheten er kla-reringsmyndighet.

Leverandørklarering skal bare gis dersom detikke foreligger rimelig tvil om leverandørens sik-kerhetsmessige skikkethet. I vurderingen skal detbare legges vekt på forhold som er relevante forleverandørens evne og vilje til å utøve forebyg-gende sikkerhetstjeneste etter bestemmelsene ieller i medhold av loven. I vurderingen skal inngåpersonkontroll av personer i leverandørens styreog ledelse.

Leverandøren skal gi alle opplysninger somantas å kunne være av betydning for klarerings-spørsmålet.

Leverandøren skal uten ugrunnet opphold ori-entere Sikkerhetsmyndigheten om endringer istyre eller ledelse, forandringer i eierstrukturen,flytting av lokaliteter og utstyr, åpning av gjelds-forhandling eller begjæring om konkurs og andreforhold som kan ha betydning for leverandørenssikkerhetsmessige skikkethet. Anses slike for-hold å representere en sikkerhetsrisiko og risi-koen ikke kan elimineres gjennom forebyggendesikkerhetstiltak, kan Sikkerhetsmyndigheten inn-dra leverandørklareringen. Sikkerhetsgradertinformasjon eller skjermingsverdig objekt ellerinfrastruktur kan ikke overføres til ny eier ellerinngå i bobehandling ved gjeldsforhandling ellerkonkurs, med mindre Sikkerhetsmyndighetenhar samtykket til dette.

For øvrig gjelder reglene i kapittel 8, herunderreglene om begrunnelse og klage, så langt de pas-ser.

§ 9-4 Varslingsplikt og myndighet til å fatte vedtakved anskaffelser til skjermingsverdig objekt og infrastruktur

Ved anskaffelser til skjermingsverdig objekteller infrastruktur skal virksomheten foreta enrisikovurdering. Det skal tas stilling til om anskaf-felsen medfører en ikke ubetydelig risiko for at til-siktede uønskede hendelser kan inntreffe moteller ved bruk av objektet eller infrastrukturen.Plikten til å foreta en risikovurdering gjelder ikkedersom det framstår som åpenbart at anskaffelsenikke kan innebære slik risiko.

Virksomheten skal varsle ansvarlig departe-ment dersom risikovurderingen konkluderer medat anskaffelsen innebærer en risiko som nevnt iførste ledd. Virksomheter som ikke er underlagtnoe departement, skal varsle Sikkerhetsmyndig-heten. Varslingsplikten gjelder uten hinder avtaushetsplikt. Plikten gjelder ikke dersom virk-somheten selv iverksetter risikoreduserende til-tak som fjerner risikoen eller gjør den ubetydelig.

Et departement som mottar varsel etter andreledd, bør innhente en rådgivende uttalelse fra rele-vante organer om anskaffelsens risikopotensialeog leverandørens sikkerhetsmessige pålitelighet.

Dersom en anskaffelse til skjermingsverdigobjekt eller infrastruktur kan medføre en ikkeubetydelig risiko for at tilsiktede uønskede hen-delser inntreffer, kan Kongen i statsråd fatteenkeltvedtak om at anskaffelsen nektes gjennom-ført, eller om at det settes vilkår for gjennomførin-gen. Dette gjelder også dersom det allerede er


inngått avtale om anskaffelsen. Dersom det ikkefattes vedtak etter første punktum, skal departe-mentet underrette virksomheten om dette. Vedtaketter første punktum er særlig tvangsgrunnlagetter tvangsfullbyrdelsesloven kapittel 13.

Kongen i statsråd kan gi forskrift om varslings-plikt og myndighet til å fatte vedtak.

§ 9-5 Utfyllende bestemmelser mv.Kongen kan gi forskrift om sikkerhetsgraderte

anskaffelser, samt fastsette særskilte regler forgjennomføring av internasjonale sikkerhetsgra-derte anskaffelser.

Kapittel 10. Eierskapskontroll

§ 10-1 EierskapskontrollUtenlandske rettssubjekter som ønsker å

erverve eierandel i en virksomhet som er av kri-tisk betydning for grunnleggende nasjonale funk-sjoner som nevnt i § 1-2, skal sende melding tilansvarlig departement om dette. For virksomhe-ter som ikke ligger innenfor et departements myn-dighetsområde, skal melding sendes tilSikkerhetsmyndigheten. Meldeplikten gjelder nårervervet direkte eller indirekte samlet gjør aterververen oppnåra) minst en tredjedel av aksjekapitalen, andelene

eller stemmene i virksomhetenb) rett til å bli eier av minst en tredjedel av aksje-

kapitalen eller andelene når dette må ansessom reelt aksjeeie eller andelseie

c) betydelig innflytelse over forvaltningen av sel-skapet på annen måte.Likt med aksjeeierens egne aksjer regnes de

aksjer som eies eller overtas av aksjeeierens nær-stående, jf. verdipapirhandelloven § 2-5. Detsamme gjelder for andeler som eies eller overtasav andelseierens nærstående.

Et departement som mottar melding etter før-ste ledd, bør innhente en rådgivende uttalelse frarelevante organer om ervervets risikopotensialeog erververens sikkerhetsmessige pålitelighet.

Dersom et erverv som nevnt i første ledd kanmedføre en ikke ubetydelig risiko for skade pågrunnleggende nasjonale funksjoner, kan Kongeni statsråd fatte enkeltvedtak om at ervervet nektesgjennomført, eller om at det settes vilkår for gjen-nomføringen. Dette gjelder også dersom det alle-rede er inngått avtale om ervervet. Dersom detikke fattes vedtak etter første punktum, skaldepartementet underrette erververen om dette.Vedtak etter første punktum er særlig tvangs-grunnlag etter tvangsfullbyrdelsesloven kapittel13.

Kongen kan gi forskrift om erverv av virksom-heter omfattet av loven.

Kapittel 11. Kontroll- og tilsynsordninger. Tvangsmulkt, overtredelsesgebyr og straff

§ 11-1 Kontroll- og tilsynsordningerForebyggende sikkerhetsarbeid i medhold av

loven er underlagt kontroll og tilsyn av Stortingetskontrollutvalg for etterretnings-, overvåkings- ogsikkerhetstjeneste, i samsvar med bestemmel-sene i og i medhold EOS-kontrolloven.

Kongen kan i tillegg etablere særskilte ordnin-ger for å kontrollere og føre tilsyn med Sikker-hetsmyndigheten og andre virksomheters arbeidmed forebyggende sikkerhet, i den hensikt å påseat utøvelsen holdes innen rammen av gjeldendelov, administrative eller militære direktiver ogulovfestet rett, eller for å sørge for at rettssikker-hetsmessige og andre hensyn ivaretas.

§ 11-2 TvangsmulktVed overtredelse av bestemmelser gitt i eller i

medhold av denne loven, kan tilsynsmyndighetenfastsettes en tvangsmulkt som løper inntil forhol-det er brakt i orden. Det samme gjelder for pålegggitt i medhold av § 3-6.

Vedtak etter første ledd er særlig tvangsgrunn-lag etter tvangsfullbyrdelsesloven kapittel 13.

Kongen kan gi forskrift om tvangsmulkt etterloven.

§ 11-3 OvertredelsesgebyrTilsynsmyndigheten kan pålegge en virksom-

het overtredelsesgebyr dersom virksomheteneller noen som handler på dennes vegne, forsett-lig eller uaktsomt:a) overtrer bestemmelser gitt i eller i medhold av

§§ 3-4, 4-1, 4-4, 4-6, 5-2, 6-2, 6-3, 7-3, 9-2 førsteledd, 9-4 første ledd første og andre punktumeller 9-4 andre ledd første eller andre punktum

b) overtrer pålegg gitt med hjemmel i § 3-6c) gir uriktige eller ufullstendige opplysninger til

tilsynsmyndighetend) medvirker til overtredelser som nevnt i bok-

stav a til c.Ved fastsettelse av overtredelsesgebyrets stør-

relse skal det særlig legges vekt på overtredelsensgrovhet, overtredelsens varighet, utvist skyld ogvirksomhetens omsetning. Vedtak om overtredel-sesgebyr er særlig tvangsgrunnlag etter tvangs-fullbyrdelsesloven kapittel 13.

Adgangen til å pålegge overtredelsesgebyr for-eldes etter fem år. Fristen avbrytes når tilsyns-myndigheten meddeler virksomheten at denne er


mistenkt for overtredelse av loven eller vedtakfastsatt med hjemmel i loven.

Kongen kan gi forskrift om overtredelsesge-byr.

§ 11-4 StraffDen som forsettlig eller uaktsomt overtrer

bestemmelser gitt i eller i medhold av §§ 3-4, 4-1,5-1 første ledd, 5-2, 6-2, 6-3, 7-3, 9-2 første ledd, 9-4første ledd første og andre punktum eller 9-4andre ledd første eller andre punktum, eller over-trer pålegg gitt av tilsynsmyndigheten i medholdav § 3-6, straffes med bot eller fengsel inntil6 måneder, hvis ikke forholdet går inn under enstrengere straffebestemmelse.

Den som forsettlig eller grovt uaktsomt kren-ker taushetsplikt etter § 5-3 andre ledd, straffesmed bot eller fengsel inntil 1 år, hvis ikke forhol-det går inn under en strengere straffebestem-melse.

Den som overtrer forbud med hjemmel i § 7-5straffes med bot eller fengsel inntil 1 år, hvis ikkeforholdet går inn under en strengere straffebe-stemmelse.

Forsøk på overtredelser som nevnt i første tiltredje ledd straffes på samme måte.

Kapittel 12. Ikrafttredelse og endringer i andre lover

§ 12-1 IkrafttredelseLoven trer i kraft fra den tid Kongen bestem-

mer.

§ 12-2 Opphevelse av lovFra den tid loven trer i kraft, oppheves lov 20.

mars 1998 nr. 10 om forebyggende sikkerhetstje-neste.

Del VVedlegg

290 NOU 2016: 19Samhandling for sikkerhet

NOU 2016: 19 291Samhandling for sikkerhet Vedlegg 1

Vedlegg 1

Begreper

En rekke begreper er sentrale i utvalgets arbeid.Nedenfor er en ikke uttømmende liste over sen-trale begreper med tilhørende forklaringer. De

fleste forklaringene er ikke ment som entydigedefinisjoner, men snarere en utdypning av hvilkenforståelse utvalget har lagt til grunn i sitt arbeid.

Beredskap Forberedt evne til på kort varsel å kunne øke sikkerhetsnivået, håndtere en uønsket hendelse eller tilstand, eller evne til å gjenopprette tilfredsstillende tilstand etter en uønsket hendelse. Beredskap forebygger ikke at en uønsket hendelse finner sted, men er en forberedelse til hendelses- og krisehåndtering.

Forebyggende sikkerhet Tiltak som skal hindre at tilsiktete uønskede hendelser inntreffer, eller som skal redusere konsekvensene av slike dersom de inntreffer.

Grunnleggende nasjonale funksjoner

En funksjon er å anse som grunnleggende for Norge dersom bortfall avdenne får konsekvenser som truer statens sikkerhetspolitiske ansvar for åivareta Norges suverenitet, territorielle integritet og demokratiske styre-form. Grunnleggende nasjonale funksjoner er knyttet til:a) de øverste statsorganers virksomhet, sikkerhet eller handlefrihetb) forsvars-, sikkerhets- og beredskapsmessige forholdc) forholdet til andre staterd) landets økonomiske trygghet og velferde) befolkningens grunnleggende sikkerhet og overlevelse.

Hybrid krigføring Kombinasjonen av fordekte forsøk på destabilisering ved bruk av indirekte og ikke-militære verktøy sammen med konvensjonell krigføring.

Informasjonssystem System som anvendes for å løse en oppgave eller utføre en funksjon i en organisasjon. Det omfatter menneskelige, organisatoriske og tekniske ressurser, metoder og teknikker. Informasjonssystem omfatter både manuelle og digitale informasjonssystemer, og favner alt fra saksbehandlingssystemer, kontorstøttesystemer og rene kommunikasjonssystemer til kontroll- og styringssystemer.

Kritisk infrastruktur Anlegg og systemer som er nødvendige for å opprettholde samfunnets grunnleggende behov og funksjoner.


En samfunnsfunksjon defineres som kritisk hvis bortfall av den truer samfunnets og befolkningens grunnleggende behov. De grunnleggende behovene er definert som mat, vann, varme, trygghet og lignende.

Risiko Er et produkt av sannsynligheten for at en hendelse inntreffer og konsekvensen dersom den inntreffer. Det vil være usikkerhet knyttet til både sannsynligheten og vurderingen av mulig konsekvens.

292 NOU 2016: 19Vedlegg 1 Samhandling for sikkerhet

Sabotasje Tilsiktet ødeleggelse, lammelse eller driftsstopp av utstyr, materiell, anlegg, eller funksjon, utført av eller for en fremmed stat, organisasjon, gruppering eller enkeltperson.

Samfunnssikkerhet Vern av samfunnet mot hendelser som truer grunnleggende verdier og funksjoner og setter liv og helse i fare. Slike hendelser kan være utløst av naturen, være et utslag av tekniske eller menneskelige feil eller av bevisste handlinger.

Skjermingsverdig infrastruktur

Anlegg og systemer som må beskyttes mot tilsiktede uønskede hendelser av hensyn til opprettholdelse av grunnleggende nasjonale funksjoner.

Skjermingsverdig objekt Eiendom som må beskyttes mot tilsiktede uønskede hendelser av hensyn til opprettholdelse av grunnleggende nasjonale funksjoner.

Spionasje Innsamling av informasjon ved hjelp av fordekte midler i etterretningsmessig hensikt.

Terrorhandling Ulovlig bruk av, eller trussel om bruk av, makt eller vold mot personer og eiendom, i et forsøk på å legge press på landets myndigheter eller befolkning eller samfunnet for øvrig for å oppnå politiske, religiøse eller ideologiske mål.

Tilsiktede uønskede hendelser

En hendelse forårsaket av en aktør med intensjon om å påføre en eller annen form for skade. I praksis betyr dette at den eller de som utfører eller planlegger å utføre handlingen vil kunne tilpasse handlingen til de sikkerhets- og beredskapstiltak som de har kjennskap til, eller som de forventer skal finnes.

Trussel En mulig tilsiktet uønsket hendelse som kan gi en negativ konsekvens for den som rammes.


Vedlegg 2

Utvalgets møter

Sikkerhetsutvalget har hatt jevnlige arbeidsmøter.Møtene har dels bestått av orienteringer fraeksterne, interne diskusjoner og bearbeidelse avtekst til utredningen.

I forbindelse med behandlingen av noenutvalgte tema har utvalget nedsatt arbeidsgrup-per, bestående av medlemmer av utvalget medstøtte fra sekretariatet. Arbeidsgruppene harrapportert til utvalget.

Utvalget har også gjennomført et åpent arran-gement for å belyse problemstillinger relatert til«sikkerhet og personvern i den digitale tidsalder».Det var stor interesse for arrangementet ogomtrent 180 deltagere møtte opp.

Sikkerhetsutvalgets arbeidsmøter

– 20. april 2015– 21. mai 2015– 22. juni 2015– 28. august 2015– 1. oktober 2015– 28. og 29. oktober 2015 (i forbindelse med

studietur til NATO og EU i Brussel)– 24. og 25. november 2015 (i forbindelse med

studietur til Sverige og Danmark)– 16. desember 2015– 13. januar 2016– 8. og 9. februar 2016 (i forbindelse med

studietur til London)– 15. mars 2016– 13. april 2016– 11. mai 2016– 7. og 8. juni 2016– 20. og 21. juni 2016– 15. og 16. august 2016– 29. og 30. august 2016– 12. og 13. september 2016– 21. september 2016

Møter i arbeidsgrupper nedsatt av utvalget

– 26. april 2016 (Lovstruktur)– 25. mai 2016 (Objekt- og infrastruktursikkerhet)– 15. juni 2016 (Samfunnsøkonomi)– 26. august 2016 (Eierskapskontroll)

Konferanse – Sikkerhet og personvern i den digitale tidsalder

28. april 2016 09:30 – 14:00

Sted: Oslo Militære Samfund

Ordstyrer: Christian Borch

Formålet med konferansen var å skape debattrundt sentrale tema for utvalgets arbeid, for å iva-reta at relevante perspektiver og innspill ble ivare-tatt i utvalgets utredningsarbeid. Samfunnets sik-kerhet og den enkeltes personvern er grunnleg-gende verdier i en demokratisk rettsstat. Spørs-mål som ble reist på konferansen var hvordandisse verdiene kan beskyttes og ivaretas parallelt?Er det en motsetning mellom å ivareta sikkerhetog individets frihet? Hvor går grensen for hva sta-ten kan foreta seg med nasjonal sikkerhet sombegrunnelse?

Konferansens program:

Del 1: Kritiske samfunnsfunksjoner – trusler, sårbarheter og beskyttelsestiltak

Innledere:– Kjetil Nilsen, direktør Nasjonal sikkerhets-

myndighet– Per Sanderud, direktør Norges vassdrags- og

energidirektorat

Del 2: IKT-sikkerhet og personvern

Innledere:– Eva Jarbekk, advokat Føyen Torkildsen AS

(leder Personvernnemnda)– Bjørn Erik Thon, direktør Datatilsynet

Paneldebatt: IKT-sikkerhet og personvern

Deltakere:– Gjermund Hagesæter (Frp), statssekretær i

Justis- og beredskapsdepartementet


– Bård Vegar Solhjell (SV), utenriks- og forsvars-komiteen

– Sveinung Rotevatn (V), sentralstyremedlem– Jorodd Asphjell (A), justiskomiteen– Anders Werp (H), nestleder av justiskomiteen

Mer informasjon om arrangementet finnes på Sik-kerhetsutvalgets hjemmesider: https://nettsteder.regjeringen.no/sikkerhetsutvalget/arrangement/sikkerhet-og-personvern-i-den-digitale-tidsalder/


Vedlegg 3

Utvalgets informasjonsgrunnlag

Til støtte for sitt arbeid har utvalget innhentetinformasjon og vurderinger fra et bredt spekter avkilder og aktører. Ved siden av skriftlige kilder harutvalget bedt om innspill på spesifikke tema fraulike aktører og invitert bredt til å fremsendeskriftlige innspill.

Aktører som har holdt orienteringer for utvalget

Norge:

– Datatilsynet– Det digitale sårbarhetsutvalget

(Lysne-utvalget)– DNB ASA– Direktoratet for samfunnssikkerhet og

beredskap– EOS-utvalget– Etterretningstjenesten– Forsvarets forskningsinstitutt– Forsvarets logistikkorganisasjon– Forsvarets sikkerhetsavdeling– Forsvarsdepartementet– Forsvarssjefen– Førsteamanuensis Herbjørn Andresen,

Høgskolen i Oslo og Akershus– Gassco AS– Justis- og beredskapsdepartementet– Kongsberg Gruppen ASA– Nasjonal kommunikasjonsmyndighet– Nasjonal sikkerhetsmyndighet– NorCERT (NSM)– Norges- vassdrags og energidirektorat– Olje- og energidepartementet– Telenor Norge AS– Telia AS– Politiets sikkerhetstjeneste– Professor Terje Aven, Universitetet i Stavanger– Wikborg, Rein & Co, Advokatfirma DA

Sverige:

– Justitiedepartementet– Myndigheten för samhällsskydd och

beredskap– Säkerhetspolisen

Danmark:

– Beredskabsstyrelsen– Dr. Manni Crone, Danish Institute for Interna-

tional Studies– Forsvarets Efterretningstjeneste– Forsvarsministeriet– Justisministeriet– Politiets Efterretningstjeneste

Storbritannia:

– Cabinet Office– Home Office– MI-5: Center for the Protection of National

Infrastructure (CPNI)– Members of Home Affairs Select Committee– Professor Sir David Omand, King’s College– Royal United Services Institute (RUSI)– Sir David Anderson QC, Independent Reviewer

of Terrorism Legislation

EU:

– Ambassadør Oda Sletnes– Den norske EU-delegasjonen– European Data Protection Supervisor– Nederlands EU-delegasjon– Storbritannias EU-delegasjon– Terrorism and Crisis Management, DG Home

Affairs, Europakommisjonen– Trust and Security, DG for Communications

Networks, Content and Technology (CNECT)

NATO:

– Ambassadør Knut Hauge, Norges faste repre-sentant til NATOs råd

– Den norske NATO-delegasjonen– NATOs seksjon for etterretning, overvåkning

og rekognosering (ISR). Divisjonen for forsvar-sinvesteringer (DI)

– NATOs seksjon for tilsyn av sikkerhetspolicy(Policy Oversight Branch). NATOs kontor forsikkerhet (NATO Office of Security)


– NATOs seksjon for analyse av strategiskekapabiliter (ESC-SAC). Divisjonen for nye sik-kerhetsutfordringer (ESC)

– NATOs seksjon for sivil beredskap, Divisjonen for operasjoner (OPS)

– NATOs seksjon for cyberforsvar. Divisjonenfor nye sikkerhetsutfordringer (ESC)

Internasjonale selskaper:

– Apple Corporation, London– Ernst and Young LLP, London– Google, Brussels

Sekretariatets møter med relevante aktører

– Direktoratet for samfunnssikkerhet og beredskap

– Direktoratet for økonomistyring– Forsvarets forskningsinstitutt– Forsvarets logistikkorganisasjon– Forsvarsbygg, Nasjonalt kompetansesenter for

sikring av bygg– Forsvarsdepartementet– Justis- og beredskapsdepartementet– Nasjonal Sikkerhetsmyndighet– Politidirektoratet– Politiets sikkerhetstjeneste– Utenriksdepartementet

Skriftlige innspill til utvalget

Utvalget har mottatt skriftlige innspill fra følgendeaktører:

– Direktoratet for samfunnssikkerhet og beredskap

– Etterretningstjenesten– Forsvarsbygg– Forsvarets sikkerhetsavdeling– Forsvarsdepartementet– Helse- og omsorgsdepartementet– Justis- og beredskapsdepartementet– Klima- og miljødepartementet– Kongsberg Gruppen ASA

– Landbruks- og matdepartementet– Landsorganisasjonen– Nasjonal sikkerhetsmyndighet– Norges vassdrags- og energidirektorat– Nærings- og fiskeridepartementet– Petroleumstilsynet– Politidirektoratet– Politiets sikkerhetstjeneste– Utenriksdepartementet

Konferanser og seminarer

Utvalgsmedlemmer og/eller sekretariatsmedlem-mer har deltatt på følgende konferanser og semi-narer av relevans for utvalgsarbeidet:

– 16. juni 2015, FFI-forum: Tilnærminger tilrisikovurderinger for tilsiktede, uønskedehandlinger, Forsvarets forskningsinstitutt

– 18. juni 2015, Konferanse om ekstremisme ogterrorisme, Norges forskningsråd

– 8. september 2015, Møte i nettverk for sam-funnsøkonomisk analyse, Direktoratet for øko-nomistyring

– 14. oktober 2015, Sårbarhetskonferansen 2015,Norges forsvars forening og Kvinners frivilligeberedskap

– 30. november 2015, Pressekonferanse – utred-ning fra det digitale sårbarhetsutvalget

– 2. desember 2015, Digitale sårbarheter – Inter-nasjonale løsninger, Norsk utenrikspolitiskinstitutt

– 6. januar 2016, Samfunnssikkerhetskonferan-sen, Universitetet i Stavanger

– 1. og 2. februar 2016, Samfunnssikkerhets-konferansen 2016, Direktoratet for samfunnssikkerhet og beredskap

– 16. og 17. mars 2016, Sikkerhetskonferansen2016, Nasjonal sikkerhetsmyndighet

– 30. mars 2016, Nasjonalt beredskapssystem,Forsvarsdepartementet og Justis- og beredskapsdepartementet

– 10. mai 2016, MR-forum, Terror og rettsstaten,Norsk senter for menneskerettigheter


Vedlegg 4

Utvalgets referansegruppe

Til støtte for sitt arbeid har Sikkerhetsutvalget eta-blert en referansegruppe bestående av et repre-sentativt utvalg av berørte aktører.

Referansegruppen har vært et konsultativtorgan og en arena for toveis kommunikasjon. Sik-kerhetsutvalget har informert om sitt arbeid, ogreferansegruppens medlemmer har fremmetsynspunkter og kommet med innspill i forbindelsemed behandlingen av aktuelle problemstillinger.

Deltakerorganisasjoner til Sikkerhetsutvalgets referansegruppe

Referansegruppen har bestått av følgende instan-ser:– Datatilsynet– Direktorat for samfunnssikkerhet og

beredskap– Etterretningstjenesten

– Finanstilsynet– Forsvarsstaben– Helsedirektoratet– Kommunenes sentralforbund– Landsorganisasjonen– Nasjonal kommunikasjonsmyndighet– Nasjonal sikkerhetsmyndighet– Norges vassdrags- og energidirektorat– Næringslivets hovedorganisasjon– Petroleumstilsynet– Politidirektoratet– Politiets sikkerhetstjeneste

Møter med referansegruppen:

– 6. november 2015– 11. februar 2016– 17. juni 2016– 19. september 2016

Norges offentlige utredninger 2016

Seriens redaksjon:Departementenes sikkerhets- og serviceorganisasjon

Informasjonsforvaltning

1. Arbeidstidsutvalget Arbeids- og sosialdepartementet

2. Endringer i verdipapirhandelloven – flagging og periodisk rapportering Finansdepartementet

3. Ved et vendepunkt: Fra ressursøkonomi til kunnskapsøkonomi Finansdepartementet

4. Ny kommunelov Kommunal- og moderniseringsdepartementet

5. Omgåelsesregel i skatteretten Finansdepartementet

6. Grunnlaget for inntektsoppgjørene 2016 Arbeids- og sosialdepartementet

7. Norge i omstilling – Karriereveiledning for individ og samfunn Kunnskapsdepartementet

8. En god alliert – Norge i Afghanistan 2001–2014 Utenriksdepartementet og Forsvarsdepartementet

9. Rettferdig og forutsigbar – voldsskadeerstatning Justis- og beredskapsdepartementet

10. Evaluering av garantireglene i bustadoppføringslova Justis- og beredskapsdepartementet

11. Regnskapslovens bestemmelser om årsberetning mv. Finansdepartementet

12. Ideell opprydding Kulturdepartementet

13. Samvittighetsfrihet i arbeidslivet Arbeids- og sosialdepartementet

14. Mer å hente Kunnskapsdepartementet

15. Lønnsdannelsen i lys av nye økonomiske utviklingstrekk Finansdepartementet 16. Ny barnevernslov Barne- og likestillingsdepartementet 17. På lik linje Barne- og likestillingsdepartementet

18. Hjertespråket Kommunal- og moderniseringsdepartementet 19. Samhandling for sikkerhet Forsvarsdepartementet

Norges offentlige utredninger2015 og 2016

Statsministeren:

Arbeids- og sosialdepartementet:NOU 2015: 6 Grunnlaget for inntektsoppgjørene 2015NOU 2016: 1 ArbeidstidsutvalgetNOU 2016: 6 Grunnlaget for inntektsoppgjørene 2016 NOU 2016: 13 Samvittighetsfrihet i arbeidslivet

Barne-, likestillings- og inkluderingsdepartementetNOU 2015: 4 Tap av norsk statsborgerskap

Barne- og likestillingsdepartementetNOU 2016: 16 Ny barnevernslovNOU 2016: 17 På lik linje

Finansdepartementet:NOU 2015: 1 Produktivitet – grunnlag for vekst og velferdNOU 2015: 5 Pensjonslovene og folketrygdreformen

IV NOU 2015: 9 Finanspolitikk i en oljeøkonomiNOU 2015: 10 Lov om regnskapspliktNOU 2015: 12 Ny lovgivning om tiltak mot hvitvasking og terrorfinansieringNOU 2015: 14 Bedre beslutningsgrunnlag, bedre styringNOU 2015: 15 Sett pris på miljøetNOU 2016: 2 Endringer i verdipapirhandelloven – flagging og periodisk rapporteringNOU 2016: 3 Ved et vendepunkt: Fra ressursøkonomi til kunnskapsøkonomiNOU 2016: 5 Omgåelsesregel i skatterettenNOU 2016: 11 Regnskapslovens bestemmeler om

årsberetning mv.NOU 2016: 15 Lønnsdannelsen i lys av nye økonomiske utviklingstrekk

Forsvarsdepartementet:NOU 2016: 8 En god alliert – Norge i Afghanistan

2001–2014NOU 2016: 19 Samhandling for sikkerhet

Helse- og omsorgsdepartementet:NOU 2015: 11 Med åpne kortNOU 2015: 17 Først og fremst

Justis- og beredskapsdepartementet:NOU 2015: 3 Advokaten i samfunnetNOU 2015: 13 Digital sårbarhet – sikkert samfunnNOU: 2016: 9 Rettferdig og forutsigbar

– voldsskadeerstatningNOU 2016: 10 Evaluering av garantireglene

i bustadoppføringslova

Klima- og miljødepartementet:NOU 2015: 16 Overvann i byer og tettsteder

Kommunal- og moderniseringsdepartementet:NOU 2015: 7 Assimilering og motstandNOU 2016: 4 Ny kommunelovNOU 2016: 18 Hjertespråket

Kulturdepartementet:NOU 2016: 12 Ideell opprydding

Kunnskapsdepartementet:NOU 2015: 2 Å høre tilNOU 2015: 8 Fremtidens skoleNOU 2016: 7 Norge i omstilling – karriereveiledning

for individ og samfunnNOU 2016: 14 Mer å hente

Landbruks- og matdepartementet:

Nærings- og fiskeridepartementet:

Olje- og energidepartementet:

Samferdselsdepartementet:

Utenriksdepartementet:NOU 2016: 8 En god alliert – Norge i Afghanistan

2001–2014

Omslagsillustrasjon: Anagramdesign.no

NOU

07 PRINTMEDIA – 2041 03

79

MIL

JØ

MERKET TRYKKERI


NO

U 2

01

6: 1

9

Samhandling for sikkerhet

Norges offentlige utredninger 2016: 19

Bestilling av publikasjoner

Offentlige institusjoner:Departementenes sikkerhets- og serviceorganisasjonInternett: www.publikasjoner.dep.noE-post: [email protected]: 22 24 00 00

Privat sektor:Internett: www.fagbokforlaget.no/offpubE-post: [email protected]: 55 38 66 00

Publikasjonene er også tilgjengelige påwww.regjeringen.no

Trykk: 07 PrintMedia – 10/2016

Documents

NOU 2016: 19 - Lovdata · NOU Norges offentlige utredninger 2016: 19 Departementenes sikkerhets- og serviceorganisasjon Informasjonsforvaltning Oslo 2016 Samhandling for sikkerhet