3.1 Forslag til hovedtilnærming

Forskrifter til sikkerhetsloven ble fastsatt i statsråd 20. desember 2018. Det er så langt fastsatt tre forskrifter til loven som anses relevante for Stortingets administrasjon. Disse er:

• Forskrift 20. desember 2018 nr. 2053 om virksomheters arbeid med forebyggende sikkerhet (virksomhetssikkerhetsforskriften).

• Forskrift 20. desember 2018 nr. 2054 om sikkerhetsklarering og annen klarering (klareringsforskriften).

• Forskrift 20. desember 2018 nr. 2055 om kryptosikkerhet.

I dette forslaget er samme prinsipielle tilnærming fulgt som ved utarbeidelsen av bestemmelser om sikkerhetslovens anvendelse for Stortingets administrasjon i 2018. Dette innebærer at alle bestemmelser som gjelder for virksomheter underlagt loven, også gjøres gjeldende for Stortingets administrasjon med mindre det foreligger behov for unntak eller tilpasninger av konstitusjonelle eller andre særlige grunner.

De særlige unntakene eller tilpasningene til sikkerhetsloven faller i fire hovedkategorier:

• Bestemmelser som gir Nasjonal sikkerhetsmyndighet myndighet i saker som gjelder Stortingets administrasjon.

• Bestemmelser om særskilte kontroll- og tilsynsordninger (EOS-utvalgets kontroll).

• Bestemmelser som gir Kongen i statsråd adgang til å gi Stortingets administrasjon pålegg.

• Bestemmelser som er utformet med utgangspunkt i departementenes sektoransvar, og som dermed ikke er overførbare for Stortingets administrasjon.

Presidentskapet foreslår at det med bakgrunn i tilsvarende hensyn gjøres enkelte unntak og tilpasninger til henholdsvis virksomhetssikkerhetsforskriften og klareringsforskriften. Noen av unntakene og tilpasningene som foreslås, er en direkte følge av unntakene og tilpasningene som ble gjort til loven, og disse omtales derfor ikke nærmere i det følgende. Dette gjelder:

• Forslaget til unntak og tilpasninger til virksomhetssikkerhetsforskriften i § 7 første ledd (med unntak av problemstillinger knyttet til § 64, som er omtalt nedenfor), femte ledd første punktum, syvende og åttende ledd.

• Forslaget til unntak og tilpasninger til klareringsforskriften i § 8 første og andre ledd.

Ved fastsettelsen av bestemmelser om sikkerhetslovens anvendelse for Stortingets administrasjon ble det ikke gjort unntak fra sikkerhetsloven § 5-6 om at sikkerhetsmyndigheten skal godkjenne kryptosikkehetsløsninger. Det foreslås derfor ikke spesielle unntak eller tilpasninger til forskrift om kryptosikkerhet.

3.2 Rapporteringskrav

Forskriftene inneholder flere bestemmelser om innrapportering av informasjon til Nasjonal sikkerhetsmyndighet. Ettersom Stortingets administrasjon ikke er underlagt tilsyn i regi av Nasjonal sikkerhetsmyndighet, er det vurdert om det også bør gjøres et generelt unntak fra bestemmelser om rapporteringskrav. Dette gjelder for eksempel virksomhetssikkerhetsforskriften § 13 andre ledd (om at virksomheten skal sende Nasjonal sikkerhetsmyndighet en oversikt over andre virksomheter den er avhengig av for å fungere som den skal), § 44 (om årlig rapportering av oversikter over informasjon gradert STRENGT HEMMELIG) og § 86 (om at oversikt over sikkerhetsgraderte anskaffelser skal sendes Nasjonal sikkerhetsmyndighet).

Det er en viktig forskjell mellom informasjonsdeling og det å bli underlagt rettslig bindende pålegg eller vedtak. De aller fleste krav om informasjon og rapportering synes dessuten å ha et videre formål enn at innrapportert informasjon skal danne grunnlag for senere tilsyn, for eksempel et behov for at sikkerhetsmyndigheten har oversikt over avhengigheter og sammenhenger. Det legges på denne bakgrunn derfor ikke opp til at det på generelt grunnlag gjøres unntak fra informasjons- og rapporteringskrav.

3.3 Dispensasjon fra forskriftenes krav

Det fremgår av Forsvarsdepartementets høringsnotat 2. juli 2018 at det på det tidspunktet forskriftene ble utarbeidet, var uklart hvordan kravene i loven ville treffe de ulike sektorene, og at det for eksempel ville kunne bli behov for å gjøre konkrete tilpasninger ut fra eksisterende sikkerhetsregimer.

Virksomhetssikkerhetsforskriften § 20 har derfor bestemmelser om adgangen til å gjøre unntak fra sikkerhetskrav. For det første kan virksomheten, dersom det blir uforholdsmessig byrdefullt for virksomheten å oppfylle sikkerhetskrav etter § 20 første ledd, anmode Nasjonal sikkerhetsmyndighet om å gjøre unntak fra en rekke av forskriftenes plikter. Det heter om dette i Forsvarsdepartementets høringsnotat:

«Første ledd fastsetter terskelen for når det vil være aktuelt med unntak. Dersom oppfyllelsen av kravene i forskriften vil være uforholdsmessig byrdefullt, kan det gjøres unntak. Dette vil for eksempel kunne være de tilfellene hvor oppfyllelsen av sikkerhetskravene medfører at det går så hardt ut over virksomheten at den ikke lenger kan fungere slik den skal. Det fremgår av lovproposisjonen kapittel 10.5.2.2 at behovet for unntak må begrunnes godt, og det må vurderes kompenserende tiltak. Hensikten er ikke å lempe på sikkerhetstiltakene, men å gjøre det mulig å få til tilpassede løsninger.»

For det andre kan en virksomhet etter § 20 tredje ledd i særlige tilfeller søke om unntak fra krav om beskyttelse av et skjermingsverdig objekt eller skjermingsverdig infrastruktur. En slik søknad avgjøres av det departementet som har ansvaret for det forebyggende sikkerhetsarbeidet innenfor den aktuelle samfunnssektoren.

Etter klareringsforskriften § 27 kan Nasjonal sikkerhetsmyndighet når det er særlig behov for det, gjøre unntak fra kravet om sikkerhetsklarering etter sikkerhetsloven § 8-1 andre ledd.

Det kan ikke utelukkes at det også for Stortingets administrasjon unntaksvis kan bli uforholdsmessig byrdefullt å oppfylle forskriftenes krav, eller at det kan foreligge særlige behov for konkrete tilpasninger til eksisterende sikkerhetsregimer. Det bør derfor fastsettes hvem som har beslutningskompetanse dersom en slik situasjon skulle oppstå.

Av konstitusjonelle hensyn tilrås det at beslutningsmyndighet legges til Stortingets egne organer, og ikke til Nasjonal sikkerhetsmyndighet eller et departement. Noe annet ville harmonisert dårlig med den grunnleggende konstitusjonelle tilnærmingen som ble lagt til grunn i Innst. 122 S (2018–2019), om at Stortinget ikke bør underlegges forvaltningens vedtakskompetanse.

Ettersom saksfremlegg om forhold som gjelder forebyggende sikkerhet, gjerne vil inneholde gradert informasjon, vil slike saksfremlegg ikke være egnet for fremleggelse for Stortinget i plenum. Det foreslås derfor at myndigheten etter virksomhetssikkerhetsforskriften § 20 første og tredje ledd og klareringsforskriften § 27 legges til Stortingets presidentskap i egenskap av å ha et overordnet ansvar for administrative saker i Stortinget, jf. Stortingets forretningsorden § 9 a. En slik bestemmelse må uansett ses i lys av Stortingets forretningsorden § 9 a om at særlig viktige saker i presidentskapet bør drøftes med partigruppene, samt at avgjørelsesmyndighet kan delegeres fra presidentskapet til Stortingets direktør.

Det legges til grunn at det ofte vil være hensiktsmessig å innhente en uttalelse eller råd fra Nasjonal sikkerhetsmyndighet for å kvalitetssikre saksbehandlingen. Dette gjelder spesielt dersom det vil være behov for omfattende unntak, eller hvis det kan reises tvil om hvorvidt unntak fra forskriftenes krav vil være forsvarlig. Ettersom det kan være vanskelig å overskue alle aktuelle situasjoner hvor unntak kan være aktuelle, foreslås det likevel ikke å legge inn et formelt vilkår om dette.

3.4 Godkjenning av informasjonssystemer

Skjermingsverdige informasjonssystemer er systemer for behandling av sikkerhetsgradert informasjon eller systemer som i seg selv er avgjørende for grunnleggende nasjonale funksjoner.

Virksomhetssikkerhetsforskriften legger opp til et tosporet system, hvor skjermingsverdige informasjonssystemer godkjennes enten av virksomheten selv eller av Nasjonal sikkerhetsmyndighet, avhengig av hvor stor risiko systemet er utsatt for.

Av konstitusjonelle hensyn foreslås det at Stortingets administrasjon selv er godkjenningsmyndighet for alle skjermingsverdige informasjonssystemer, men at uttalelse fra Nasjonal sikkerhetsmyndighet skal innhentes i de tilfeller hvor Nasjonal sikkerhetsmyndighet ellers ville vært godkjenningsmyndighet, samt at Nasjonal sikkerhetsmyndighet skal informeres når det er besluttet å utvikle et slikt system. Dersom det oppstår uenighet mellom Stortingets administrasjon og Nasjonal sikkerhetsmyndighet, forutsettes det at avgjørelsen skal løftes til Stortingets presidentskap.

Når Stortingets administrasjon selv er godkjenningsmyndighet, vil Stortingets administrasjon også kunne gi midlertidig brukstillatelse så fremt kravene til midlertidig brukstillatelse er oppfylt. Etter virksomhetssikkerhetsforskriften § 54 er Nasjonal sikkerhetsmyndighet også gitt mulighet til å dispensere fra krav til midlertidig brukstillatelse. I likhet med dispensasjoner fra virksomhetssikkerhetsforskriften § 20 første og tredje ledd og klareringsforskriften § 27 omtalt under pkt. 3.3 ovenfor, foreslås det at myndigheten til å dispensere fra kravene til midlertidig brukstillatelse legges til Stortingets presidentskap.

3.5 Omgradering av informasjon utstedt i Stortingets administrasjon

Etter virksomhetssikkerhetsforskriften § 31 kan informasjon med norsk sikkerhetsgradering omgraderes av den virksomhet som har utstedt informasjonen, en overordnet virksomhet, det departementet som er ansvarlig for det forebyggende sikkerhetsarbeidet innenfor sektoren, og av Nasjonal sikkerhetsmyndighet.

Det foreslås at det fastsettes at informasjon utstedt i Stortingets administrasjon ikke skal kunne omgraderes av et forvaltningsorgan.

Det vises ellers til at gradert informasjon som er utstedt som en del av den parlamentariske saksbehandlingen i Stortinget, reguleres av et eget reglement for avgradering fastsatt i medhold av Stortingets forretningsorden § 75 a. Dette reglementet ble revidert våren 2019, jf. Innst. 426 S (2018–2019).

3.6 Prosedyrer ved henvendelse om innsyn i gradert informasjon

Offentleglova eller forvaltningsloven gjelder ikke for Stortinget, og det ble vedtatt egne regler om rett til innsyn i Stortingets dokumenter 16. mars 2009.

Etter virksomhetssikkerhetsforskriften § 33 skal utsteder av sikkerhetsgradert informasjon som mottar et krav om innsyn i informasjon etter offentleglova eller miljøinformasjonsloven, eller om partsinnsyn etter forvaltningsloven, uten ugrunnet opphold vurdere om den samlede informasjonen eller deler av den skal omgraderes etter § 30. Det forslås at det fastsettes at disse prosedyrene skal gjelde tilsvarende i Stortingets administrasjon ved henvendelser om innsyn i medhold av Stortingets regler om dokumentinnsyn.

3.7 Gjennomføring av tekniske sikkerhetsundersøkelser

Stortinget er unntatt fra sikkerhetsloven § 5-5 om at Nasjonal sikkerhetsmyndighet kan kreve tekniske undersøkelser, men det er i Innst. 122 S (2018–2019) lagt til grunn at Stortingets administrasjon kan anmode Nasjonal sikkerhetsmyndighet om å gjennomføre slike undersøkelser, slik praksis også har vært til nå.

Virksomhetssikkerhetsforskriften §§ 47 og 48 har prosedyrebestemmelser om hvordan tekniske undersøkelser skal gjennomføres, herunder hva det skal legges vekt på ved vurdering om tekniske undersøkelser skal gjennomføres, varsling, rapportering, sletting av informasjon og bistand fra tredjepart. Det foreslås at det fastsettes at disse prosedyrene skal følges i de tilfeller hvor Stortinget anmoder om at det gjennomføres tekniske undersøkelser.

3.8 Tilknytning til varslingssystemet for digital infrastruktur

Ifølge virksomhetssikkerhetsforskriften § 64 andre ledd kan Nasjonal sikkerhetsmyndighet pålegge virksomheter som er underlagt sikkerhetsloven, å knytte seg til det nasjonale varslingssystemet for digital infrastruktur, når dette er nødvendig for å oppnå et forsvarlig sikkerhetsnivå og redusere risikoen for sikkerhetstruende virksomhet. Et slikt pålegg kan etter § 64 tredje ledd påklages til Forsvarsdepartementet dersom virksomheten er tilknyttet forsvarssektoren, og til Justis- og beredskapsdepartementet dersom organet er tilknyttet sivil sektor.

Stortingets administrasjon er tilknyttet varslingssystemet for digital infrastruktur, og bestemmelsen har derfor begrenset praktisk betydning. Av konstitusjonelle hensyn bør imidlertid ikke Nasjonal sikkerhetsmyndighet kunne gi slikt pålegg. Det foreslås derfor at det gjøres unntak fra bestemmelsene om at det kan gis pålegg om å knytte seg til det nasjonale varslingssystemet for digital infrastruktur.

3.9 Fremtidige forskriftsendringer

Sikkerhetsloven er ny lov, og det må derfor påregnes at det kan bli fastsatt ytterligere forskrifter eller bli gjort endringer i allerede fastsatte forskrifter.

Presidentskapet vil legge frem for Stortinget hvorvidt nye forskrifter til sikkerhetsloven eller forskriftsendringer skal gjøres gjeldende for Stortingets administrasjon, herunder en vurdering av om det er behov for særskilte unntak eller tilpasninger.

3.10 Samlet forslag om tilpasning til sikkerhetslovens forskrifter

Presidentskapet fremmer etter dette følgende forslag til nye paragrafer i bestemmelsene om sikkerhetslovens anvendelse for Stortingets administrasjon når det gjelder sikkerhetslovens forskrifter:

4.1 Hensynet til åpenhet

Åpenhet og sikkerhet kan etter omstendighetene være verdier som kan stå i motstrid, og som må balanseres mot hverandre.

Det følger av Grunnloven § 84 at Stortinget skal holdes for åpne dører med mindre noe annet fastsettes ved stemmeflertall. Det følger videre av Stortingets forretningsorden § 78 at adgangen til tilhørerplassene må være så fri som mulig innenfor de ordensreglene som gjelder for bygningen.

Presidentskapet har vurdert om det uttrykkelig bør fremgå at det ved anvendelse av sikkerhetsloven skal legges særskilt vekt på krav til åpenhet. Det vises i denne forbindelse til at hensynet til åpenhet er løftet særlig frem i lignende regelverk for den svenske riksdagen.

1. april 2019 trådte en ny lov om «Säkerhetsskydd i riksdagen och dess myndigheter» i kraft. Bakgrunnen for loven var at Riksdagen i mai 2018 vedtok en ny sikkerhetslov som gjorde det nødvendig å revidere de eksisterende reglene om sikkerhetslovens anvendelse for Riksdagen. I loven § 4 andre ledd heter det:

«Vid utformingen av säkerhetsskyddet i riksdagen og Riksdagsförvaltningen ska öppenhet gentemot allmänheten og företredäre for massmedierna särskilt beaktas.»

Og videre i § 8 første ledd:

«Den fysiska säkerheten ska utformas så att enskildas rätt att röra sig fritt inte inskränks mer än nödvändigt.»

Presidentskapet mener at det også i det norske regelverket er ønskelig å løfte frem hensynet til åpenhet slik at det sikres at hensynet til åpenhet særlig vektlegges i det forebyggende sikkerhetsarbeidet. Presidentskapet foreslår derfor at det i bestemmelser om sikkerhetslovens anvendelse for Stortingets administrasjon § 1 tas inn et nytt annet ledd med følgende ordlyd:

«Ved håndtering av risiko og fastsettelse av et forsvarlig sikkerhetsnivå skal det tas særskilt hensyn til åpenhet om Stortingets parlamentariske virksomhet, slik at allmennhetens og medienes tilganger ikke innskrenkes mer enn nødvendig.»

Presidentskapet understreker at selv om hensynet til åpenhet her løftes frem som et viktig hensyn, innebærer dette ikke at åpenhet alltid vil være avgjørende. Bestemmelsen vil imidlertid sikre at nødvendigheten av å innskrenke åpenhet og tilganger inngår i vurderingsgrunnlaget for den beslutningen som skal treffes. I enkelte situasjoner vil en for eksempel kunne stå overfor et valg mellom ulike innretninger av sikringstiltak eller overfor en beslutning om hvorvidt en gitt risiko kan aksepteres. I slike situasjoner vil en bestemmelse om at det skal tas særskilt hensyn til åpenhet om Stortingets parlamentariske virksomhet kunne gi sentral veiledning i vurderingen.

Presidentskapet vil for øvrig vise til at den foreslåtte bestemmelsen ikke har betydning for hvorvidt det skal utvises åpenhet om eller gis innsyn i gradert informasjon som behandles i Stortingets parlamentariske virksomhet. Dette reguleres i Stortingets forretningsorden. Reglene i Stortingets forretningsorden om behandling av gradert informasjon ble gjennomgått våren 2019, jf. Innst. 426 (2018–2019).