Forsvarsdepartementet legger i proposisjonen fram
forslag til enkelte endringer i lov 20. mars 1998 nr. 10 om forebyggende
sikkerhetstjeneste (sikkerhetsloven).
De mest sentrale forslagene er en reduksjon
av antall klareringsmyndigheter, med én sentral klareringsmyndighet
i sivil sektor og én tilsvarende i forsvarssektoren (§ 23), nye
bestemmelser om varsling og myndighet til å fatte vedtak ved risiko
for at sikkerhetstruende virksomhet blir etablert eller gjennomført
(§ 5 a) og ved anskaffelser til kritisk infrastruktur, dersom en
slik anskaffelse kan innebære en risiko som nevnt foran (§ 29 a).
Videre foreslås det en endring fra oppdragsbaserte til tidsbaserte
leverandørklareringer i forbindelse med sikkerhetsgraderte anskaffelser
(§ 28). I forslaget til endringer i loven inngår også lovfesting
av gjeldende praksis på enkelte områder. Dette gjelder særlig den
nasjonale responsfunksjonen for alvorlige dataangrep mot kritisk
infrastruktur (NorCERT) og varslingssystemet for digital infrastruktur
(VDI) (§ 9 e), rammer for behandling av personopplysninger i den
forbindelse (§ 10 a) og sikkerhetsmessig overvåking av godkjente informasjonssystemer
(§ 13 a).
Forsvarsdepartementet påpeker at forslagene samlet
sett vil dekke et behov som gjeldende regelverk ikke ivaretar, og
dessuten bidra til effektivisering og legitimering av gjeldende
praksis.
Ved kongelig resolusjon 27. mars 2015 ble det oppnevnt
et eksternt utvalg med mandat til å foreslå et nytt lovgrunnlag
for forebyggende nasjonal sikkerhet (Sikkerhetsutvalget). Utvalget
skal etter mandatet avgi rapport i form av en NOU høsten 2016. Rapporten
vil deretter bli sendt på alminnelig høring. Det er imidlertid behov
for å fremme de foreliggende forslag til lovendring, uten å påvente
Sikkerhetsutvalgets rapport og etterfølgende behandling.
Sikkerhetsloven har i liten utstrekning vært
gjenstand for endringer siden loven trådte i kraft 1. juli 2001.
Hovedsakelig har dette dreid seg om justeringer i kapittel 6 om
personellsikkerhet (endringslov 17. juni 2005 nr. 81) og i bestemmelsene
i kapittel 5 om objektsikkerhet, der det ble gitt nærmere bestemmelser
om utvelgelse og klassifisering av skjermingsverdige objekter (endringslov
11. april 2011 nr. 9).
Med bakgrunn i de samfunnsmessige utviklingstrekkene
innenfor sikkerhetsområdet de senere årene har Forsvarsdepartementet
sett behov for en mer gjennomgående vurdering av i hvilken utstrekning
gjeldende lov møter dagens og morgendagens utfordringer innenfor
forebyggende sikkerhet.
I november 2012 ble det utarbeidet en evalueringsrapport
av en bredt sammensatt departementsgruppe, ledet av Forsvarsdepartementet. Gruppen
konkluderte med at dagens utvikling innen teknologi og andre utviklingstrender
representerer nye sikkerhetsutfordringer som tilsier en revisjon
av sikkerhetsloven. Som eksempel på andre utviklingstrender ble
det vist til økt globalisering, internasjonalisering og tverrsektorielle
avhengigheter.
I februar 2013 ble det derfor etablert en arbeidsgruppe
bestående av Forsvarsdepartementet, Justis- og beredskapsdepartementet
og Nasjonal sikkerhetsmyndighet. Arbeidsgruppen fikk i oppdrag å
foreta en helhetlig revisjon av sikkerhetsloven. Samtidig ble det
etablert en referansegruppe av øvrige berørte departementer.
Revisjonsarbeidet avdekket grunnleggende utfordringer
om hva sikkerhetsloven bør regulere, deriblant forholdet mellom
sikkerhetsloven og annet sikkerhetsrelatert sektorregelverk. Det
er ulike oppfatninger om hva lovens formål og virkeområde bør være
i framtiden. Innenfor objektsikkerhetsområdet er det også avdekket
uenighet mellom ulike sektorer om hva reglene skal ta sikte på å
beskytte mot, og på hvilken måte.
På denne bakgrunn besluttet regjeringen å dele opp
arbeidet med revisjon av loven i to faser. Dette for å kunne gjennomføre
enkelte av endringsforslagene uten å måtte vente på analysene som
er nødvendig for å løse de forannevnte temaene.
I den første fasen vil departementet foreslå
endringer i gjeldende sikkerhetslov som det er behov for å få på
plass raskt. Prop. 97 L (2015–2016) er en oppfølging av første fase.
Sikkerhetsutvalget, nevnt i punkt 1, representerer fase to.
Det foreslås at loven trer i kraft fra den tid
Kongen bestemmer. I dette tilfellet er det nødvendig med forskjellig
ikrafttredelsestidspunkt for de forskjellige bestemmelsene, bl.a.
av hensyn til at etablering av ny sivil klareringsmyndighet vil
ta noe tid. Etter forslaget kan Kongen derfor fastsette forskjellige
ikraftsettingstidspunkter for de forskjellige bestemmelsene.
Komiteen, medlemmene fra Arbeiderpartiet,
Svein Roald Hansen, lederen Anniken Huitfeldt, Marit Nybakk, Kåre Simensen
og Jonas Gahr Støre, fra Høyre, Elin Rodum Agdestein, Regina Alexandrova,
Sylvi Graham, Øyvind Halleraker og Trond Helleland, fra Fremskrittspartiet,
Harald T. Nesvik, Jørund Rytman og Christian Tybring-Gjedde, fra
Kristelig Folkeparti, Astrid Aarhus Byrknes, fra Senterpartiet, Liv
Signe Navarsete, fra Venstre, Trine Skei Grande, og fra Sosialistisk Venstreparti,
Bård Vegar Solhjell, viser til at proposisjonen viser nødvendigheten
av å gjøre endringer i sikkerhetsloven.
Komiteen viser til at formålet
med sikkerhetsloven er å legge forholdene til rette for effektivt å
kunne motvirke trusler mot rikets selvstendighet og sikkerhet og
andre vitale nasjonale sikkerhetsinteresser, å ivareta den enkeltes rettssikkerhet
og å trygge tilliten til og forenkle grunnlaget for kontroll med
forebyggende sikkerhetstjeneste.
Komiteen merker seg at det kom
inn mange høringsinnspill og mener at de foreslåtte endringene i
loven ivaretar innholdet i flertallet av de innspillene som er kommet
inn.
Komiteen viser til at vi i dag
står overfor et sammensatt risiko- og trusselbilde. Den sikkerhetspolitiske
situasjonen er i stadig endring. Samfunnet blir mer og mer sårbart,
og teknologien utvikler seg i raskt tempo. Det er viktig at sikkerhetsloven
holder tritt med utviklingen. Lovforslaget er et viktig tiltak for
å styrke vår forebyggende sikkerhet.
Komiteen merker seg at sikkerhetsloven
ikke har vært under særskilt revidering siden den trådte i kraft
i 2001. Komiteen deler derfor Forsvarsdepartements
vurdering av behov for en mer gjennomgående gjennomgang av gjeldende lov
sett opp mot dagens og morgendagens nasjonale og globale utfordringer
innenfor forebyggende sikkerhet.
Komiteen merker seg at det gjøres
endringer i lovens generelle virkeområde og støtter at dette utvides
til å gjelde alle anskaffelser til kritisk infrastruktur. Komiteen viser
også til høringsinnspill som omtaler viktigheten av at olje- og
energisektoren også omfattes av sikkerhetsloven. Komiteen merker
seg forslaget om å lovfeste unntak for regjeringens medlemmer og
dommere i Høyesterett fra plikten til sikkerhetsklarering og autorisering. Komiteen merker
seg at dette har vært en langvarig praksis og ser ingen grunn til
at det skal være et skille mellom disse posisjonene og de som allerede
er unntatt dette, som f.eks. stortingsrepresentanter.
Komiteen støtter at det innføres
en varslingsplikt for virksomheter underlagt sikkerhetsloven som
får kunnskap om en planlagt eller pågående aktivitet som kan medføre
en ikke ubetydelig risiko for rikets selvstendighet og sikkerhet. Komiteen viser
til at det i høringsuttalelsene nevnes tilfeller der det kan fremstå
uklart hvilket departement som utgjør den overordnede virksomheten
og at det derfor kan oppstå uklarhet knyttet til hvem som skal motta
varselet. Komiteen understreker derfor viktigheten
av at presiseringer til dette utarbeides på egnet måte og i dialog
med virksomhetene.
Komiteen merker seg at innføring
av en hjemmel for innføring av gebyr utredes videre.
Komiteen merker seg at den nasjonale
responsfunksjon for alvorlige dataangrep mot kritisk infrastruktur,
i dag kjent som NorCERT, og varslingssystemet for digital infrastruktur, VDI,
herunder behandling av personopplysninger, tas inn i loven og at
en nærmere konkretisering av oppgavene vil komme i en forskrift. Komiteen merker
seg at dette er en kodifisering av gjeldende praksis i forbindelse
med respons- og varslingssystemene og at det ikke innebærer en utvidet
adgang til å behandle innholdsdata.
Komiteen merker seg at § 5-18
i eksisterende forskrift om informasjonssikkerhet, som gir bestemmelse
om at registrering av sikkerhetsrelevante hendelser (logger) skal
lagres i minst 5 år, tas inn i loven.
Komiteen er enig i at det lenge
har vært et behov for å få etablert en ny klareringsmyndighetsstruktur
med få, men kompetente klareringsmyndigheter. Det antallet man har
i dag med 42 klareringsmyndigheter skaper utfordringer. Fagmiljøene
er fragmenterte, og det er en skjev fordeling av saker. I tillegg
stilles det stadig større krav til kompetanse for å behandle klareringssaker
tilfredsstillende. Komiteen mener færre klareringsmyndigheter
vil øke rettssikkerheten til den enkelte og gi bedre grunnlag for
likebehandling av saker.
Komiteen støtter forslaget om
konkretiseringer på autorisasjonsfeltet, herunder forslaget om en
betydelig reduksjon av antall klareringsmyndigheter, fra 42 til
7, og at det kun skal være en klareringsmyndighet for sivil sektor
og en for forsvarssektoren. Komiteen støtter videre
at de tre EOS-tjenestene fortsetter å klarere eget personell, grunnet
de særlige forhold som gjør seg gjeldende for disse tjenestene,
samt at domstolene og statsministerens kontor, av konstitusjonelle
hensyn, fortsatt skal opprettholdes som egne klareringsmyndigheter.
Komiteen merker seg at det nye
forslaget om varslingsplikt ved anskaffelser til kritisk infrastruktur
ikke er betinget av at anskaffelsen er definert som en sikkerhetsgradert
anskaffelse. Komiteen merker seg at virksomheter
pålegges å varsle myndighetene dersom de ønsker å gjennomføre anskaffelser
til kritisk infrastruktur som kan innebære en ikke ubetydelig risiko
for rikets selvstendighet og sikkerhet, også utover det som er utpekt
som skjermingsverdige objekter.
Komiteen merker seg at den nye
§ 5 a gjelder en plikt for virksomheter underlagt sikkerhetsloven
til å varsle overordnet departement dersom man får kunnskap om en
planlagt eller pågående aktivitet som kan medføre en ikke ubetydelig
risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført.
Det er viktig å få på plass en slik bestemmelse som gir myndighetene
mulighet til å reagere før en sikkerhetstruende situasjon er blitt
en realitet.
Komiteen merker seg videre at
det gis hjemmel for Kongen i statsråd til å gripe inn i anskaffelser
til kritisk infrastruktur der en slik risiko foreligger. Komiteen ser
på dette som hjelpemidler for å hindre spionasje og sabotasje og
merker seg presiseringene og justeringene som er foretatt siden
høringsnotatet og at dette vil føre til at virksomhetene selv utøver
kontroll, vurderer risiko og iverksetter risikoreduserende tiltak,
før en eventuell varsling blir sendt til myndighetene.
Komiteen har for øvrig
ingen merknader, viser til proposisjonen og rår Stortinget til å
gjøre slikt
vedtak til lov
om endringer i sikkerhetsloven (reduksjon av
antall klareringsmyndigheter mv.)
I
I lov 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste
gjøres følgende endringer:
§ 2 fjerde til åttende ledd skal lyde:
§ 29 a gjelder for alle anskaffelser til kritisk
infrastruktur. Kongen kan gi forskrift om identifisering av kritisk
infrastruktur og om informasjon til rettssubjekter som eier eller
rår over kritisk infrastruktur.
Loven gjelder for domstolene med de særregler som
følger av bestemmelsene om sikkerhetsklarering og autorisasjon i
og i medhold av domstolloven og straffeprosessloven. Kongen kan
fastsette ytterligere særregler.
Bestemmelsene gitt i og i medhold av lovens kapittel
6 om personellsikkerhet gjelder ikke for regjeringens medlemmer
og dommere i Høyesterett.
Loven gjelder ikke for Stortinget, Riksrevisjonen, Stortingets
ombudsmann for forvaltningen og andre organer for Stortinget.
Loven gjelder for Svalbard og Jan Mayen i den utstrekning
Kongen bestemmer.
§ 3 første ledd nytt nr. 21 skal lyde:
21. Kritisk infrastruktur; anlegg og systemer
som er nødvendige for å opprettholde samfunnets grunnleggende behov
og funksjoner.
Ny § 5 a skal lyde:
§ 5 a Varslingsplikt og myndighet
til å fatte vedtak ved risiko for sikkerhetstruende virksomhet
En virksomhet som får kunnskap om en planlagt eller
pågående aktivitet som kan medføre en ikke ubetydelig risiko for
at sikkerhetstruende virksomhet blir etablert eller gjennomført,
skal varsle overordnet departement om dette. Dersom den varslingspliktige
virksomheten ikke er underlagt noe departement, skal varselet gis
til Forsvarsdepartementet. Varslingsplikten gjelder uten hinder
av lovbestemt taushetsplikt. Ved behandling av varsel etter første
og andre punktum bør det innhentes rådgivende uttalelser fra relevante
organer med kompetanse innenfor det aktuelle fagområdet.
Kongen i statsråd kan fatte nødvendige vedtak for
å hindre en planlagt eller pågående aktivitet som nevnt i første
ledd første punktum. Et slikt vedtak kan fattes uten hensyn til
begrensningene i forvaltningsloven § 35, og uavhengig av om aktiviteten
er tillatt etter annen lov eller annet vedtak. Vedtak etter første punktum
er særlig tvangsgrunnlag etter tvangsfullbyrdelsesloven kapittel
13.
Kongen i statsråd kan gi forskrift om varslingsplikten
i første ledd og om hvilke vedtak som kan fattes etter andre ledd.
§ 9 første ledd bokstav e og f skal lyde
e) drive en nasjonal responsfunksjon
for alvorlige dataangrep mot kritisk infrastruktur og et nasjonalt
varslingssystem for digital infrastruktur,
f) gi informasjon, råd og veiledning til virksomheter.
I kapittel 3 skal ny § 10 a lyde:
§ 10 a Behandling av personopplysninger
Når det er nødvendig for å utføre oppgavene etter § 9
første ledd bokstav e, kan Nasjonal sikkerhetsmyndighet behandle
personopplysninger i form av
a) metadata om IKT-trafikk til og fra
virksomheter som er knyttet til det nasjonale varslingssystemet for
digital infrastruktur
b) informasjon som er nødvendig for å analysere
utløste alarmer i varslingssystemet
c) IP-adresser mottatt fra nasjonale og internasjonale
samarbeidspartnere
d) logger og infisert maskinvare, etter samtykke
fra en virksomhet der dette er nødvendig i forbindelse med bistand
til håndtering av alvorlige dataangrep.
I andre tilfeller enn nevnt i første ledd, kan
personopplysninger også behandles når dette er strengt nødvendig
for å ivareta oppgavene etter § 9 første ledd bokstav e, og behandlingen
etter en konkret vurdering framstår som både nødvendig og proporsjonal
i forhold til det inngrepet den representerer i personvernet.
Kongen kan gi forskrift om Nasjonal sikkerhetsmyndighets
behandling av personopplysninger.
Ny § 13 a skal lyde:
§ 13 a Sikkerhetsmessig overvåking
av godkjente informasjonssystemer
Den enkelte virksomhet skal kontinuerlig overvåke
et godkjent informasjonssystem for sikkerhetstruende hendelser mot
informasjonssystemet eller informasjon i systemet, fortrinnsvis
ved bruk av automatisert systemovervåking. Sikkerhetsrelevante hendelser
skal registreres.
Informasjon som utveksles mellom systemer, på tvers
av autorisasjonsskiller eller til bærbare lagringsmedier, skal registreres
og lagres.
Flere virksomheter som er tilknyttet samme informasjonssystem,
kan avtale at en av virksomhetene skal forestå overvåking og registrering
etter første og andre ledd på vegne av den ansvarlige virksomheten.
Informasjon registrert etter første og andre ledd skal
lagres i fem år. Slik informasjon skal kun benyttes for å håndtere
sikkerhetstruende hendelser.
Den enkelte virksomhet skal påse at autoriserte brukere
av informasjonssystemer som overvåkes i henhold til denne bestemmelse
får informasjon om formålet med behandlingen, om de tiltak som er iverksatt,
om informasjonen vil bli utlevert og eventuelt om hvem som er mottaker.
Kongen kan gi forskrift om
a) hvilke typer data som kan eller skal
registreres og lagres
b) hvem som skal ha tilgang til registrert og lagret data
c) hvordan tilgang skal gis
d) unntak fra lagringstid på fem år.
§ 23 skal lyde:
§ 23 Autorisasjonsansvarlig
og klareringsmyndighet
Autorisasjon kan gis dersom autorisasjonsansvarlig
ikke har opplysninger som gjør det tvilsomt om vedkommende sikkerhetsmessig
er til å stole på. Autorisasjon gis normalt av virksomhetens leder. Autorisasjon
skal ikke gis før det foreligger melding om sikkerhetsklarering,
med unntak for de tilfeller som er beskrevet i § 19 tredje ledd,
og en autorisasjonssamtale er avholdt. Nasjonal
sikkerhetsmyndighet gir nærmere regler om autorisasjon og om hvem som
er autorisasjonsansvarlig.
Kongen utpeker en klareringsmyndighet for forsvarssektoren
og en for den sivile sektoren. Kongen kan utpeke andre klareringsmyndigheter
når særlige grunner taler for det. Etterretnings- og sikkerhetstjenestene
klarerer eget personell.
§ 28 første ledd andre punktum skal lyde:
Kongen gir forskrift om gyldighetstiden for leverandørklareringer.
Kapittel 7 overskriften skal lyde:
Kapittel 7. Sikkerhetsgraderte anskaffelser og anskaffelser
til kritisk infrastruktur
I kapittel 7 skal ny § 29 a lyde:
§ 29 a Varslingsplikt og myndighet
til å fatte vedtak ved anskaffelser til kritisk infrastruktur
Ved anskaffelser til kritisk infrastruktur skal
det foretas en risikovurdering. I vurderingen skal det tas stilling
til om anskaffelsen innebærer en ikke ubetydelig risiko for at sikkerhetstruende
virksomhet blir etablert eller gjennomført mot eller ved bruk av
infrastrukturen. Plikten til å foreta en risikovurdering gjelder
ikke dersom det framstår som åpenbart at anskaffelsen ikke kan innebære
noen slik risiko.
En virksomhet som eier eller rår over kritisk
infrastruktur, skal varsle overordnet departement dersom en risikovurdering
som nevnt i første ledd konkluderer med at anskaffelsen kan innebære
en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir
etablert eller gjennomført. Virksomheter som ikke er underlagt noe
departement, skal varsle Forsvarsdepartementet. Varslingsplikten
gjelder uten hinder av lovbestemt taushetsplikt. Plikten gjelder ikke
dersom virksomheten selv iverksetter risikoreduserende tiltak som
fjerner risikoen, eller gjør den ubetydelig.
Et departement som mottar varsel etter andre ledd,
bør innhente en rådgivende uttalelse fra relevante organer om leveransens
risikopotensial, og leverandørers sikkerhetsmessige pålitelighet.
Dersom en anskaffelse til kritisk infrastruktur kan
medføre en ikke ubetydelig risiko for at sikkerhetstruende virksomhet
blir etablert eller gjennomført, kan Kongen i statsråd fatte vedtak
om at anskaffelsen skal nektes gjennomført, eller om at det settes vilkår
for gjennomføringen. Dette gjelder også dersom det allerede er inngått
avtale om anskaffelsen. Dersom det ikke fattes vedtak etter første
punktum, skal departementet underrette virksomheten om dette. Vedtak
etter første punktum er særlig tvangsgrunnlag etter tvangsfullbyrdelsesloven
kapittel 13.
Kongen i statsråd kan gi forskrift om anskaffelser til
kritisk infrastruktur.
II
Loven gjelder fra den tid Kongen bestemmer. Kongen
kan bestemme at de forskjellige bestemmelsene skal tre i kraft til
forskjellig tid.
Oslo, i utenriks- og forsvarskomiteen, den
1. juni 2016
Anniken Huitfeldt | Øyvind Halleraker |
leder | ordfører |