Sammendrag

Direktiv 2008/114/EF (EPCIP-direktivet) stiller krav til medlemsstatene om identifisering og utpeking av europeisk kritisk infrastruktur (EKI). For utpekt EKI skal det etableres en operatørsikkerhetsplan, sikkerhetskontakt og rapporteringsrutiner. Departementet foreslår å gjennomføre direktivet ved en endring i lov 25. juni nr. 45 om kommunal beredskapsplikt, sivile beskyttelsestiltak og Sivilforsvaret (sivilbeskyttelsesloven). I lovforslaget ligger det en forutsetning om at ansvarsprinsippet skal ligge til grunn. Det foreslås derfor at sektordepartementene er ansvarlige for at EPCIP-direktivets krav blir oppfylt innen deres ansvarsområde, og da særlig identifiserings- og utpekingsprosessen. Det gjøres ingen endringer i allerede etablerte tilsynsregimer, og tilsynsmyndigheter med særlig ansvar innen bestemte sektorer må føre tilsyn med at direktivets krav oppfylles.

Det fremgår videre at det er strenge vilkår for at en infrastruktur skal kunne pekes ut som «europeisk kritisk infrastruktur». Når det gjelder den oversikten departementet besitter er det ingen infrastrukturer som vil komme inn under dette regimet pr. i dag. De infrastrukturer som eventuelt vil kunne bli omfattet av disse kravene antas allerede i stor grad å ha regimer som vil oppfylle kravene helt eller delvis gjennom sektorlovgivningen.

Direktivet pålegger EØS-statene å identifisere potensiell europeisk kritisk infrastruktur (EKI) som tilfredsstiller nærmere angitte sektorovergripende og sektorspesifikke kriterier. Departementet foreslår å følge sektoransvarsprinsippet og at ansvaret for utpeking av EKI legges til hvert enkelt departement innen deres myndighetsområde. Objekteier plikter å foreslå overfor sitt respektive departement hvilke av virksomhetens egne objekter som bør utpekes som EKI. Utpekingen skal skje på grunnlag av avtale med de EØS-statene som kan bli berørt i betydelig grad.

Direktivet gir krav om at hver enkelt EØS-stat skal kontrollere at den enkelte utpekte europeiske kritiske infrastruktur (EKI) innen deres territorium har en operatørsikkerhetsplan eller tilsvarende. Det vises til at det eksisterer omfattende krav til beredskapsplaner eller tilsvarende i sektorregelverket. Departementet foreslår en egen bestemmelse om operatørsikkerhetsplaner for å fange opp de områdene i sektorregelverket hvor EPCIP-direktivets krav til operatørsikkerhetsplaner ikke er oppfylt i tilstrekkelig grad, eller der det er virksomheter som ikke faller inn under aktuell sektorlovgivning.

Direktivet pålegger EØS-statene å kontrollere at alle utpekte europeiske kritiske infrastrukturer (EKI) innen deres territorium har en sikkerhetskontakt eller tilsvarende, som skal være et kontaktpunkt i forbindelse med sikkerhetsmessige spørsmål mellom eieren/operatøren av EKI og EØS-statenes relevante myndighet. Departementet viser til at det flere steder i sektorregelverket allerede finnes krav om at virksomheter skal utpeke en sikkerhetsleder eller tilsvarende. Det foreslås imidlertid en egen bestemmelse om sikkerhetskontakt i tråd med ordlyden i direktivet for å fange opp de områder hvor det ikke foreligger slike krav i dag.

Direktivet pålegger EØS-statene å foreta en trusselvurdering for den enkelte undersektor av en europeisk kritisk infrastruktur (EKI) senest innen et år etter at EKI har blitt utpekt. EØS-statene skal hvert annet år rapportere til Kommisjonen/ESA generelle opplysninger om de former for risiko, trusler og sårbarhet som er funnet i den enkelte EKI-sektor. Plikten retter seg mot myndighetene og ikke virksomhetene direkte. Rapporteringsplikten kan imidlertid nødvendiggjøre kartlegging og informasjon fra virksomhetenes side, og en plikt for virksomhetene til å medvirke til dette kan bare fastsettes med hjemmel i lov. Det foreslås på denne bakgrunn en egen bestemmelse om rapportering til relevant myndighet.

Ved en forglemmelse ble ikke hjemmelen til å gi forskrifter om systematisk helse-, miljø- og sikkerhetsarbeid (internkontroll) videreført. Departementet foreslår derfor å tilføye denne hjemmelen nå.

Det er strenge vilkår for at en infrastruktur skal kunne pekes ut som europeisk kritisk infrastruktur (EKI), og at med hensyn til den oversikten departementene har i dag er det ikke registrert EKI. De infrastrukturer som eventuelt vil bli omfattet av disse kravene, antas allerede i stor grad å ha regimer som allerede vil oppfylle kravene helt eller delvis gjennom sin sektorlovgivning.

Komiteens merknader

Komiteen, medlemmene fra Arbeiderpartiet, Odin Adelsten Bohmann, fung. leder Jan Bøhler, Tore Hagebakken, Anna Ljunggren og Tove-Lise Torve, fra Fremskrittspartiet, Hans Frode Kielland Asmyhr, Ulf Leirstein, Åse Michaelsen og Siv Aida Rui Skattem, fra Høyre, André Oktay Dahl og Anders B. Werp, fra Sosialistisk Venstreparti, Akhtar Chaudhry, og fra Senterpartiet, Jenny Klinge, viser til at regjeringen i Prop.129 L (2011–2012) foreslår å gjøre endringer i sivilbeskyttelsesloven. Hensikten med endringene er å gjennomføre direktiv 2008/114/EF om identifisering og utpeking av europeisk kritisk infrastruktur og vurdering av behovet for å beskytte den bedre (EPCIP-direktivet), i norsk rett.

Komiteen støtter de foreslåtte endringer, og har ingen ytterligere merknader.

Komiteens tilråding

Komiteen har for øvrig ingen merknader, viser til proposisjonen og rår Stortinget til å gjøre slikt

vedtak til lov

om endringer i sivilbeskyttelsesloven (gjennomføring av EPCIP-direktivet)

I

I lov 25. juni 2010 nr. 45 om kommunal beredskapsplikt, sivile beskyttelsestiltak og Sivilforsvaret gjøres følgende endringer:

§ 1 første ledd skal lyde:

Lovens formål er å beskytte liv, helse, miljø, materielle verdier og kritisk infrastruktur ved bruk av ikke-militær makt når riket er i krig, når krig truer, når rikets selvstendighet eller sikkerhet er i fare, og ved uønskede hendelser i fredstid.

§ 3 første ledd bokstav a skal lyde:

a) Uønskede hendelser: hendelser som avviker fra det normale, og som har medført eller kan medføre tap av liv eller skade på helse, miljø, materielle verdier og kritisk infrastruktur.

§ 3 første ledd ny bokstav d og e skal lyde:

d) Kritisk infrastruktur: anlegg, systemer eller deler av disse som er nødvendige for å opprettholde sentrale samfunnsfunksjoner, menneskers helse, sikkerhet, trygghet og økonomiske eller sosiale velferd og hvor driftsforstyrrelse eller ødeleggelse av disse vil kunne få betydelige konsekvenser.

e) Europeisk kritisk infrastruktur: kritisk infrastruktur hvis driftsforstyrrelse eller ødeleggelse vil kunne få betydelige konsekvenser for to eller flere EØS-stater. Betydningen av konsekvensene skal vurderes ut fra de sektorovergripende kriteriene i § 24a fjerde ledd.

§ 23 femte ledd skal lyde:

Departementet kan gi forskrifter om egenbeskyttelse og systematisk helse-, miljø- og sikkerhetsarbeid (internkontroll) ved virksomheter.

Nytt kapittel VI A skal lyde:

Kapittel VI A Beskyttelse av europeisk kritisk infrastruktur

§ 24 a Identifisering og utpeking av europeisk kritisk infrastruktur

Hvert enkelt departement skal identifisere og utpeke europeisk kritisk infrastruktur innen sitt myndighetsområde og som omfattes av virkeområdet til direktiv 2008/114/EF.

Eier eller operatør av objektet plikter overfor departementet å foreslå hvilke objekter som potensielt kan være europeisk kritisk infrastruktur.

Vurderingen skal skje på bakgrunn av sektorbaserte kriterier som tar hensyn til de særlige kjennetegn for de enkelte sektorer av europeisk kritisk infrastruktur.

Videre skal vurderingen skje på bakgrunn av følgende kriterier:

a) det potensielle antall omkomne eller sårede,

b) størrelsen på det økonomiske tapet og forringelse av varer og tjenester, herunder potensielle miljømessige konsekvenser, og

c) konsekvensene med hensyn til befolkningens tillit, fysiske lidelser og forstyrrelser i hverdagen, herunder bortfall av vesentlige tjenester.

For infrastrukturer som leverer viktige tjenester skal det tas hensyn til akseptabel tidsperiode for funksjonssvikt og mulighet til å gjenopprette funksjonaliteten.

Utpekingen skal skje på grunnlag av avtale med de EØS-statene som kan bli berørt i betydelig grad.

Kongen kan gi forskrifter med nærmere bestemmelser om utpeking av europeisk kritisk infrastruktur og hvilke sektorer som skal omfattes.

§ 24 b Operatørsikkerhetsplan

Utpekt europeisk kritisk infrastruktur skal ha en operatørsikkerhetsplan. Operatørsikkerhetsplanen skal identifisere kritiske aktiva samt presisere hvilke sikkerhetsløsninger som er eller skal bli iverksatt med henblikk på å beskytte disse.

Prosedyren ved utarbeidelse av operatørsikkerhetsplanen skal minst dekke følgende:

a) identifisering av viktige aktiva,

b) gjennomføring av en risikoanalyse med grunnlag i alvorlige trussel scenarioer, hver aktivas sårbarhet og potensielle konsekvenser,

c) identifisering, utvelgelse og prioritering av mottiltak og prosedyrer med en vurdering mellom permanente og graderte sikkerhetstiltak.

Operatørsikkerhetsplanen skal være iverksatt senest ett år etter at en infrastruktur er blitt utpekt som europeisk kritisk infrastruktur.

Operatørsikkerhetsplanen skal oppdateres jevnlig.

§ 24 c Sikkerhetskontakt

Eier eller operatør av utpekt europeisk kritisk infrastruktur skal ha en sikkerhetskontakt.

Sikkerhetskontakten skal fungere som et kontaktpunkt i forbindelse med sikkerhetsmessige spørsmål mellom eier eller operatør av europeisk kritisk infrastruktur og departementet med ansvar i den aktuelle sektor.

§ 24 d Rapportering

Departementene skal foreta en vurdering av risiko, trusler og sårbarhet i sektoren hvor en europeisk kritisk infrastruktur er utpekt senest ett år etter utpekingen.

Departementene skal hvert annet år utarbeide en generell rapport om de typer risiko, trusler og sårbarhet som er registrert mot sektorer hvor det er utpekt europeisk kritisk infrastruktur. Rapporten skal videre inneholde opplysninger om antallet utpekte infrastrukturer og antall EØS-stater som er avhengig av den utpekte infrastrukturen. Rapporten skal sendes til den myndighet Kongen utpeker.

Virksomheter som eier utpekt europeisk infrastruktur skal bistå departementene med opplysninger for å oppfylle rapporteringsplikten.

Rapportene sikkerhetsgraderes etter lov 20. januar 1998 nr. 10 om forebyggende sikkerhetstjeneste (sikkerhetsloven) § 11 i den grad det er nødvendig.

§ 29 annet ledd skal lyde:

Tilsynsorganer med ansvar i den aktuelle sektor skal føre tilsyn etter §§ 24a, 24b, 24c og 24d.

§ 34 fjerde ledd skal lyde:

Blir pålegg stadfestet i rettskraftig dom ikke etterkommet, kan tilsynsmyndigheten selv utføre eller få pålegget utført for regning av den som dommen er rettet mot, uten at det er nødvendig med kjennelse etter lov 26. juni 1992 nr. 86 om tvangsfullbyrdelse § 13-14.

§ 36 første ledd skal lyde:

Sivilforsvarets myndigheter eller tilsynsmyndigheten kan ilegge overtredelsesgebyr til den som forsettlig eller uaktsomt overtrer bestemmelser gitt i eller i medhold av §§ 6 første ledd, 7 første ledd, 8 annet, tredje eller femte ledd, 9, 16 annet eller tredje ledd, 20 annet, fjerde eller femte ledd, 21 første ledd, 24b, 24c første ledd, 24d tredje ledd, 25 første eller fjerde ledd, 26 første eller annet ledd, 31 første ledd og 32 første ledd.

II

Loven trer i kraft fra den tid Kongen bestemmer.