6.1 Gjeldende rett

Sikkerhetslovens § 17 første ledd fastsetter at "vedkommende virksomhet" plikter å treffe nødvendige forebyggende sikkerhetstiltak for å beskytte skjermingsverdige objekter mot sikkerhetstruende virksomhet.

Det framgår av kommentaren til § 17 i Ot.prp. nr. 49 (1996-1997), jf. s. 68, at denne generelle plikten til å treffe tiltak skal stå "tilbake for eventuelle særbestemmelser i lovverket forøvrig om plikt til å treffe forebyggende sikkerhetstiltak for skjermingsverdige objekter ".

Med vedkommende virksomhet framgår det av ordlyden i § 17 første ledd at det menes "eier" eller den som "på annen måte har kontroll over eller fører tilsyn med" det skjermingsverdige objektet. I sikkerhetsloven § 3 nr. 6 er "virksomhet" definert som "et forvaltningsorgan eller annet rettssubjekt som loven gjelder for, jf. § 2".

6.2 Arbeidsgruppens forslag

Arbeidsgruppen har foreslått at det fastsettes som et hovedprinsipp i sikkerhetsloven at ansvaret for beskyttelse av skjermingsverdige objekter ligger hos den som eier eller råder over et slikt objekt. Det er videre foreslått at beskyttelsen av objektet skal skje i samsvar med en risikovurdering.

Arbeidsgruppen har påpekt at objektenes art, omfang og verdi kan være svært ulike, og den har derfor ikke funnet det hensiktsmessig å foreslå krav om konkrete sikkerhetstiltak som kan anvendes på enhver type objekt. Det vises til at sikkerhetstiltakene her i større grad enn innen informasjonssikkerhet, må tilpasses det enkelte objekts særegenheter.

6.3 Høringsinstansenes syn

Enkelte av høringsinstansene har merknader til begrepet "objekteier". Videre har det kommet inn merknader om hvor vidtrekkende objekteiers plikt til å beskytte egne objekter skal være og i hvilken grad den enkelte objekteier er i stand til å kunne gjennomføre tiltakene. Enkelte høringsinstanser er opptatt av hvilke kostnader som beskyttelsestiltakene vil påføre den enkelte objekteier og hvilke økonomiske og konkurransemessige konsekvenser det vil ha at et objekt er utpekt som skjermingsverdig.

En gjennomgang av høringsinstansenes merknader er gitt i pkt. 6.3 til Ot.prp. nr. 21 (2007-2008).

6.4 Departementets vurdering

Departementet støtter arbeidsgruppens anbefaling om at objekteier, som i dag, skal være den som har plikt til å beskytte objektet, og at objekteier skal gjennomføre forebyggende tiltak etter en forutgående risikovurdering.

Enkelte høringsinstanser har tatt opp spørsmålet om hvem som er "eier" i forhold til objektet og som således er pålagt plikten til å beskytte objektet. "Eier" vil etter departementets oppfatning kunne være både det rettssubjekt som er eier av objektet eller det rettssubjekt som på annen måte råder over det skjermingsverdige objektet. Spørsmålet vil særlig ha aktualitet i forhold til private rettssubjekt, og bør finne sin konkrete avklaring i forbindelse med det enkeltvedtak som fattes for anvendelse av sikkerhetsloven på det private rettssubjekt.

Arbeidsgruppen påpeker at objektenes art, omfang og verdi kan være svært ulike. Det er derfor ikke hensiktsmessig å oppstille krav om konkrete sikkerhetstiltak som kan anvendes på enhver type objekt, men det foreslås lovfestet noen funksjonelle krav. Departementet deler denne oppfatning. I de fleste viktige samfunnssektorer med skjermingsverdige objekter pågår det et beredskapsarbeid og stilles krav til virksomhetenes forebyggende sikkerhetsarbeid. Det gjelder både i forhold til tilsiktede og utilsiktede hendelser. Dette er et arbeid som er forankret i det sektorvise lovverk.

Sikring mot tilsiktede hendelser må derfor sees i sammenheng med de tiltak som er nedfelt i særlovene. Sikkerhetstiltakene bør derfor tilpasses den enkelte sektor. Sektorlovgivningen - der den gir bestemmelser om konkrete sikkerhetstiltak mot tilsiktede hendelser - skal derfor etter departementets syn legges til grunn ved implementering av forebyggende tiltak. Der sektorlovgivningen ikke gir denne type bestemmelser, eller bestemmelsene som er gitt (åpenbart) ikke tilfredsstiller sikkerhetslovens norm for beskyttelse av skjermingsverdige objekter, vil ytterligere tiltak måtte implementeres, slik at de funksjonelle standarder som sikkerhetsloven stiller blir ivaretatt.

På objektsikkerhetsområdet kan flere sektorer i samfunnet vise til sikkerhetsbestemmelser nedfelt i lov eller forskrift som helt eller delvis kan sies å omfatte de sikkerhetshensyn som sikkerhetsloven på objektsikkerhetsområdet også søker å ivareta. På de områder slike hensyn fullt ut er ivaretatt i sektorbestemmelsene, vil sikkerhetsloven stå tilbake for disse.

Der hensyn delvis er ivaretatt gjennom sektorbestemmelsene, vil sikkerhetsloven som tverrsektoriell standard virke reparerende, slik at det helhetlige, tverrsektorielle nasjonale sikkerhetsbehovet knyttet til defensiv forebygging av spionasje, sabotasje og terrorhandlinger, blir ivaretatt.

Når det gjelder de funksjonelle krav som sikkerhetsloven skal oppstille foreslås det lovfestet at disse skal bestå av en kombinasjon av barrierer, deteksjon, verifikasjon og reaksjon, som i sum skal tilfredsstille følgende krav:

  • Objekt klassifisert MEGET KRITISK skal beskyttes slik at tap av funksjon, ødeleggelse og rettsstridig overtakelse avverges.

  • Objekt klassifisert KRITISK skal beskyttes slik at tap av funksjon og ødeleggelse begrenses, og rettsstridig overtakelse av vesentlige funksjoner avverges.

  • Objekt klassifisert VIKTIG skal beskyttes slik at tap av vesentlig funksjon og ødeleggelse begrenses.

Det foreslås videre at sikkerhetstiltakene også skal ta sikte på å redusere muligheten for etterretningsaktivitet mot objektet.