Direktiv 2008/114/EF (EPCIP-direktivet) stiller krav
til medlemsstatene om identifisering og utpeking av europeisk kritisk
infrastruktur (EKI). For utpekt EKI skal det etableres en operatørsikkerhetsplan,
sikkerhetskontakt og rapporteringsrutiner. Departementet foreslår
å gjennomføre direktivet ved en endring i lov 25. juni nr. 45 om
kommunal beredskapsplikt, sivile beskyttelsestiltak og Sivilforsvaret (sivilbeskyttelsesloven).
I lovforslaget ligger det en forutsetning om at ansvarsprinsippet
skal ligge til grunn. Det foreslås derfor at sektordepartementene
er ansvarlige for at EPCIP-direktivets krav blir oppfylt innen deres
ansvarsområde, og da særlig identifiserings- og utpekingsprosessen.
Det gjøres ingen endringer i allerede etablerte tilsynsregimer,
og tilsynsmyndigheter med særlig ansvar innen bestemte sektorer
må føre tilsyn med at direktivets krav oppfylles.
Det fremgår videre at det er strenge vilkår
for at en infrastruktur skal kunne pekes ut som «europeisk kritisk
infrastruktur». Når det gjelder den oversikten departementet besitter
er det ingen infrastrukturer som vil komme inn under dette regimet
pr. i dag. De infrastrukturer som eventuelt vil kunne bli omfattet av
disse kravene antas allerede i stor grad å ha regimer som vil oppfylle
kravene helt eller delvis gjennom sektorlovgivningen.
Direktivet pålegger EØS-statene å identifisere potensiell
europeisk kritisk infrastruktur (EKI) som tilfredsstiller nærmere
angitte sektorovergripende og sektorspesifikke kriterier. Departementet
foreslår å følge sektoransvarsprinsippet og at ansvaret for utpeking
av EKI legges til hvert enkelt departement innen deres myndighetsområde.
Objekteier plikter å foreslå overfor sitt respektive departement
hvilke av virksomhetens egne objekter som bør utpekes som EKI. Utpekingen
skal skje på grunnlag av avtale med de EØS-statene som kan bli berørt
i betydelig grad.
Direktivet gir krav om at hver enkelt EØS-stat skal
kontrollere at den enkelte utpekte europeiske kritiske infrastruktur
(EKI) innen deres territorium har en operatørsikkerhetsplan eller
tilsvarende. Det vises til at det eksisterer omfattende krav til
beredskapsplaner eller tilsvarende i sektorregelverket. Departementet
foreslår en egen bestemmelse om operatørsikkerhetsplaner for å fange
opp de områdene i sektorregelverket hvor EPCIP-direktivets krav
til operatørsikkerhetsplaner ikke er oppfylt i tilstrekkelig grad,
eller der det er virksomheter som ikke faller inn under aktuell
sektorlovgivning.
Direktivet pålegger EØS-statene å kontrollere
at alle utpekte europeiske kritiske infrastrukturer (EKI) innen
deres territorium har en sikkerhetskontakt eller tilsvarende, som
skal være et kontaktpunkt i forbindelse med sikkerhetsmessige spørsmål
mellom eieren/operatøren av EKI og EØS-statenes relevante myndighet.
Departementet viser til at det flere steder i sektorregelverket
allerede finnes krav om at virksomheter skal utpeke en sikkerhetsleder
eller tilsvarende. Det foreslås imidlertid en egen bestemmelse om
sikkerhetskontakt i tråd med ordlyden i direktivet for å fange opp
de områder hvor det ikke foreligger slike krav i dag.
Direktivet pålegger EØS-statene å foreta en
trusselvurdering for den enkelte undersektor av en europeisk kritisk
infrastruktur (EKI) senest innen et år etter at EKI har blitt utpekt.
EØS-statene skal hvert annet år rapportere til Kommisjonen/ESA generelle opplysninger
om de former for risiko, trusler og sårbarhet som er funnet i den
enkelte EKI-sektor. Plikten retter seg mot myndighetene og ikke
virksomhetene direkte. Rapporteringsplikten kan imidlertid nødvendiggjøre
kartlegging og informasjon fra virksomhetenes side, og en plikt
for virksomhetene til å medvirke til dette kan bare fastsettes med
hjemmel i lov. Det foreslås på denne bakgrunn en egen bestemmelse
om rapportering til relevant myndighet.
Ved en forglemmelse ble ikke hjemmelen til å
gi forskrifter om systematisk helse-, miljø- og sikkerhetsarbeid
(internkontroll) videreført. Departementet foreslår derfor å tilføye
denne hjemmelen nå.
Det er strenge vilkår for at en infrastruktur
skal kunne pekes ut som europeisk kritisk infrastruktur (EKI), og
at med hensyn til den oversikten departementene har i dag er det
ikke registrert EKI. De infrastrukturer som eventuelt vil bli omfattet
av disse kravene, antas allerede i stor grad å ha regimer som allerede
vil oppfylle kravene helt eller delvis gjennom sin sektorlovgivning.
Komiteen, medlemmene fra Arbeiderpartiet,
Odin Adelsten Bohmann, fung. leder Jan Bøhler, Tore Hagebakken,
Anna Ljunggren og Tove-Lise Torve, fra Fremskrittspartiet, Hans Frode
Kielland Asmyhr, Ulf Leirstein, Åse Michaelsen og Siv Aida Rui Skattem,
fra Høyre, André Oktay Dahl og Anders B. Werp, fra Sosialistisk
Venstreparti, Akhtar Chaudhry, og fra Senterpartiet, Jenny Klinge,
viser til at regjeringen i Prop.129 L (2011–2012) foreslår å gjøre endringer
i sivilbeskyttelsesloven. Hensikten med endringene er å gjennomføre
direktiv 2008/114/EF om identifisering og utpeking av europeisk
kritisk infrastruktur og vurdering av behovet for å beskytte den
bedre (EPCIP-direktivet), i norsk rett.
Komiteen støtter de foreslåtte
endringer, og har ingen ytterligere merknader.
Komiteen har for øvrig
ingen merknader, viser til proposisjonen og rår Stortinget til å
gjøre slikt
vedtak til lov
om endringer i sivilbeskyttelsesloven
(gjennomføring av EPCIP-direktivet)
I
I lov 25. juni 2010 nr. 45 om kommunal beredskapsplikt,
sivile beskyttelsestiltak og Sivilforsvaret gjøres følgende endringer:
§ 1 første ledd skal lyde:
Lovens formål er å beskytte liv, helse, miljø, materielle
verdier og kritisk infrastruktur ved bruk av ikke-militær
makt når riket er i krig, når krig truer, når rikets selvstendighet
eller sikkerhet er i fare, og ved uønskede hendelser i fredstid.
§ 3 første ledd bokstav a skal lyde:
a) Uønskede hendelser: hendelser
som avviker fra det normale, og som har medført eller kan medføre
tap av liv eller skade på helse, miljø, materielle verdier og
kritisk infrastruktur.
§ 3 første ledd ny bokstav d og e skal lyde:
d) Kritisk infrastruktur: anlegg, systemer
eller deler av disse som er nødvendige for å opprettholde sentrale
samfunnsfunksjoner, menneskers helse, sikkerhet, trygghet og økonomiske
eller sosiale velferd og hvor driftsforstyrrelse eller ødeleggelse
av disse vil kunne få betydelige konsekvenser.
e) Europeisk kritisk infrastruktur: kritisk infrastruktur
hvis driftsforstyrrelse eller ødeleggelse vil kunne få betydelige
konsekvenser for to eller flere EØS-stater. Betydningen av konsekvensene skal
vurderes ut fra de sektorovergripende kriteriene i § 24a fjerde
ledd.
§ 23 femte ledd skal lyde:
Departementet kan gi forskrifter om egenbeskyttelse og
systematisk helse-, miljø- og sikkerhetsarbeid (internkontroll) ved
virksomheter.
Nytt kapittel VI A skal lyde:
Kapittel VI A Beskyttelse av europeisk kritisk infrastruktur
§ 24 a Identifisering og utpeking av europeisk
kritisk infrastruktur
Hvert enkelt departement skal identifisere og utpeke europeisk
kritisk infrastruktur innen sitt myndighetsområde og som omfattes
av virkeområdet til direktiv 2008/114/EF.
Eier eller operatør av objektet plikter overfor departementet
å foreslå hvilke objekter som potensielt kan være europeisk kritisk
infrastruktur.
Vurderingen skal skje på bakgrunn av sektorbaserte kriterier
som tar hensyn til de særlige kjennetegn for de enkelte sektorer
av europeisk kritisk infrastruktur.
Videre skal vurderingen skje på bakgrunn av følgende kriterier:
a) det potensielle antall omkomne eller sårede,
b) størrelsen på det økonomiske tapet og forringelse av
varer og tjenester, herunder potensielle miljømessige konsekvenser,
og
c) konsekvensene med hensyn til befolkningens tillit, fysiske
lidelser og forstyrrelser i hverdagen, herunder bortfall av vesentlige
tjenester.
For infrastrukturer som leverer viktige tjenester skal
det tas hensyn til akseptabel tidsperiode for funksjonssvikt og
mulighet til å gjenopprette funksjonaliteten.
Utpekingen skal skje på grunnlag av avtale med de EØS-statene
som kan bli berørt i betydelig grad.
Kongen kan gi forskrifter med nærmere bestemmelser om utpeking
av europeisk kritisk infrastruktur og hvilke sektorer som skal omfattes.
§ 24 b Operatørsikkerhetsplan
Utpekt europeisk kritisk infrastruktur skal ha en operatørsikkerhetsplan.
Operatørsikkerhetsplanen skal identifisere kritiske aktiva samt
presisere hvilke sikkerhetsløsninger som er eller skal bli iverksatt med
henblikk på å beskytte disse.
Prosedyren ved utarbeidelse av operatørsikkerhetsplanen
skal minst dekke følgende:
a) identifisering av viktige aktiva,
b) gjennomføring av en risikoanalyse med grunnlag i alvorlige
trussel scenarioer, hver aktivas sårbarhet og potensielle konsekvenser,
c) identifisering, utvelgelse og prioritering av mottiltak
og prosedyrer med en vurdering mellom permanente og graderte sikkerhetstiltak.
Operatørsikkerhetsplanen skal være iverksatt senest ett
år etter at en infrastruktur er blitt utpekt som europeisk kritisk
infrastruktur.
Operatørsikkerhetsplanen skal oppdateres jevnlig.
§ 24 c Sikkerhetskontakt
Eier eller operatør av utpekt europeisk kritisk infrastruktur
skal ha en sikkerhetskontakt.
Sikkerhetskontakten skal fungere som et kontaktpunkt i
forbindelse med sikkerhetsmessige spørsmål mellom eier eller operatør
av europeisk kritisk infrastruktur og departementet med ansvar i
den aktuelle sektor.
§ 24 d Rapportering
Departementene skal foreta en vurdering av risiko, trusler
og sårbarhet i sektoren hvor en europeisk kritisk infrastruktur
er utpekt senest ett år etter utpekingen.
Departementene skal hvert annet år utarbeide en generell
rapport om de typer risiko, trusler og sårbarhet som er registrert
mot sektorer hvor det er utpekt europeisk kritisk infrastruktur.
Rapporten skal videre inneholde opplysninger om antallet utpekte
infrastrukturer og antall EØS-stater som er avhengig av den utpekte
infrastrukturen. Rapporten skal sendes til den myndighet Kongen
utpeker.
Virksomheter som eier utpekt europeisk infrastruktur skal
bistå departementene med opplysninger for å oppfylle rapporteringsplikten.
Rapportene sikkerhetsgraderes etter lov 20. januar 1998
nr. 10 om forebyggende sikkerhetstjeneste (sikkerhetsloven) § 11
i den grad det er nødvendig.
§ 29 annet ledd skal lyde:
Tilsynsorganer med ansvar i den aktuelle sektor skal
føre tilsyn etter §§ 24a, 24b, 24c og 24d.
§ 34 fjerde ledd skal lyde:
Blir pålegg stadfestet i rettskraftig dom ikke etterkommet,
kan tilsynsmyndigheten selv utføre eller få pålegget utført for
regning av den som dommen er rettet mot, uten at det er nødvendig
med kjennelse etter lov 26. juni 1992 nr. 86 om tvangsfullbyrdelse § 13-14.
§ 36 første ledd skal lyde:
Sivilforsvarets myndigheter eller tilsynsmyndigheten kan
ilegge overtredelsesgebyr til den som forsettlig eller uaktsomt
overtrer bestemmelser gitt i eller i medhold av §§ 6 første ledd,
7 første ledd, 8 annet, tredje eller femte ledd, 9, 16 annet eller
tredje ledd, 20 annet, fjerde eller femte ledd, 21 første ledd, 24b,
24c første ledd, 24d tredje ledd, 25 første eller fjerde
ledd, 26 første eller annet ledd, 31 første ledd og 32 første ledd.
II
Loven trer i kraft fra den tid Kongen bestemmer.
Oslo, i justiskomiteen, den 13. november 2012
Jan Bøhler |
Tore Hagebakken |
fung. leder |
ordfører |