Sikkerhetslovens § 17 første ledd
fastsetter at "vedkommende virksomhet" plikter å treffe
nødvendige forebyggende sikkerhetstiltak for å beskytte skjermingsverdige
objekter mot sikkerhetstruende virksomhet.
Det framgår av kommentaren til § 17
i Ot.prp. nr. 49 (1996-1997), jf. s. 68, at denne generelle plikten til å treffe
tiltak skal stå "tilbake for eventuelle særbestemmelser
i lovverket forøvrig om plikt til å treffe forebyggende
sikkerhetstiltak for skjermingsverdige objekter ".
Med vedkommende virksomhet framgår det av ordlyden i § 17
første ledd at det menes "eier" eller den som "på annen
måte har kontroll over eller fører tilsyn med"
det skjermingsverdige objektet. I sikkerhetsloven § 3
nr. 6 er "virksomhet" definert som "et forvaltningsorgan eller annet
rettssubjekt som loven gjelder for, jf. § 2".
Arbeidsgruppen har foreslått at det fastsettes som et
hovedprinsipp i sikkerhetsloven at ansvaret for beskyttelse av skjermingsverdige
objekter ligger hos den som eier eller råder over et slikt
objekt. Det er videre foreslått at beskyttelsen av objektet
skal skje i samsvar med en risikovurdering.
Arbeidsgruppen har påpekt at objektenes art, omfang
og verdi kan være svært ulike, og den har derfor ikke
funnet det hensiktsmessig å foreslå krav om konkrete
sikkerhetstiltak som kan anvendes på enhver type objekt.
Det vises til at sikkerhetstiltakene her i større grad
enn innen informasjonssikkerhet, må tilpasses det enkelte
objekts særegenheter.
Enkelte av høringsinstansene har merknader til begrepet
"objekteier". Videre har det kommet inn merknader om hvor vidtrekkende
objekteiers plikt til å beskytte egne objekter skal være
og i hvilken grad den enkelte objekteier er i stand til å kunne
gjennomføre tiltakene. Enkelte høringsinstanser
er opptatt av hvilke kostnader som beskyttelsestiltakene vil påføre den
enkelte objekteier og hvilke økonomiske og konkurransemessige
konsekvenser det vil ha at et objekt er utpekt som skjermingsverdig.
En gjennomgang av høringsinstansenes merknader er gitt
i pkt. 6.3 til Ot.prp. nr. 21 (2007-2008).
Departementet støtter arbeidsgruppens anbefaling om
at objekteier, som i dag, skal være den som har plikt til å beskytte
objektet, og at objekteier skal gjennomføre forebyggende
tiltak etter en forutgående risikovurdering.
Enkelte høringsinstanser har tatt opp spørsmålet om
hvem som er "eier" i forhold til objektet og som således
er pålagt plikten til å beskytte objektet. "Eier" vil
etter departementets oppfatning kunne være både det
rettssubjekt som er eier av objektet eller det rettssubjekt som
på annen måte råder over det skjermingsverdige
objektet. Spørsmålet vil særlig ha aktualitet
i forhold til private rettssubjekt, og bør finne sin konkrete
avklaring i forbindelse med det enkeltvedtak som fattes for anvendelse
av sikkerhetsloven på det private rettssubjekt.
Arbeidsgruppen påpeker at objektenes art, omfang og
verdi kan være svært ulike. Det er derfor ikke hensiktsmessig å oppstille
krav om konkrete sikkerhetstiltak som kan anvendes på enhver
type objekt, men det foreslås lovfestet noen funksjonelle
krav. Departementet deler denne oppfatning. I de fleste viktige
samfunnssektorer med skjermingsverdige objekter pågår
det et beredskapsarbeid og stilles krav til virksomhetenes forebyggende
sikkerhetsarbeid. Det gjelder både i forhold til tilsiktede
og utilsiktede hendelser. Dette er et arbeid som er forankret i
det sektorvise lovverk.
Sikring mot tilsiktede hendelser må derfor sees i sammenheng
med de tiltak som er nedfelt i særlovene. Sikkerhetstiltakene
bør derfor tilpasses den enkelte sektor. Sektorlovgivningen
- der den gir bestemmelser om konkrete sikkerhetstiltak mot tilsiktede
hendelser - skal derfor etter departementets syn legges til grunn
ved implementering av forebyggende tiltak. Der sektorlovgivningen
ikke gir denne type bestemmelser, eller bestemmelsene som er gitt (åpenbart)
ikke tilfredsstiller sikkerhetslovens norm for beskyttelse av skjermingsverdige
objekter, vil ytterligere tiltak måtte implementeres, slik
at de funksjonelle standarder som sikkerhetsloven stiller blir ivaretatt.
På objektsikkerhetsområdet kan flere sektorer
i samfunnet vise til sikkerhetsbestemmelser nedfelt i lov eller
forskrift som helt eller delvis kan sies å omfatte de sikkerhetshensyn
som sikkerhetsloven på objektsikkerhetsområdet
også søker å ivareta. På de områder
slike hensyn fullt ut er ivaretatt i sektorbestemmelsene, vil sikkerhetsloven
stå tilbake for disse.
Der hensyn delvis er ivaretatt gjennom sektorbestemmelsene, vil
sikkerhetsloven som tverrsektoriell standard virke reparerende,
slik at det helhetlige, tverrsektorielle nasjonale sikkerhetsbehovet
knyttet til defensiv forebygging av spionasje, sabotasje og terrorhandlinger,
blir ivaretatt.
Når det gjelder de funksjonelle krav som sikkerhetsloven
skal oppstille foreslås det lovfestet at disse skal bestå av
en kombinasjon av barrierer, deteksjon, verifikasjon og reaksjon,
som i sum skal tilfredsstille følgende krav:
Objekt klassifisert MEGET KRITISK
skal beskyttes slik at tap av funksjon, ødeleggelse og rettsstridig
overtakelse avverges.
Objekt klassifisert KRITISK skal beskyttes slik at tap av
funksjon og ødeleggelse begrenses, og rettsstridig overtakelse
av vesentlige funksjoner avverges.
Objekt klassifisert VIKTIG skal beskyttes slik at tap av
vesentlig funksjon og ødeleggelse begrenses.
Det foreslås videre at sikkerhetstiltakene også skal
ta sikte på å redusere muligheten for etterretningsaktivitet
mot objektet.