Øyvind Halleraker (H) [18:32:00]: (ordfører for saken): Denne saken tar opp et svært viktig anliggende, nemlig å legge forholdene til rette for å motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser, og dessuten å ivareta den enkeltes rettssikkerhet og å trygge tilliten til og forenkle grunnlaget for kontroll med forebyggende sikkerhetstjeneste.
Vi står i dag overfor et sammensatt risiko- og trusselbilde. Den sikkerhetspolitiske situasjonen er i stadig endring. Samfunnet blir mer og mer sårbart, og teknologien utvikler seg i raskt tempo. Derfor er det viktig at sikkerhetsloven holder tritt med denne utviklingen.
At dette opptar mange, viser de mange høringsinnspill som kom i arbeidet med revideringen av loven. Vi kan også konstatere at de foreslåtte endringene i loven ivaretar de fleste innspillene som kom i høringsrunden.
Det er full enighet i komiteen om denne saken, og det er bra. Jeg vil takke komiteen for godt og konstruktivt samarbeid. Jeg vil bare gå raskt igjennom noen hovedpunkter.
Det gjøres nå endringer i lovens generelle virkeområde, i tillegg til at loven også utvides til å gjelde alle anskaffelser til kritisk infrastruktur. I denne sammenheng vil jeg peke på at også petroleums- og energisektoren omfattes av sikkerhetsloven. Videre lovfestes det nå unntak for regjeringens medlemmer og dommere i Høyesterett fra plikten til sikkerhetsklarering og autorisering. Dette har vært en langvarig praksis, og det er ingen grunn til at det skal være et skille mellom disse posisjonene og de som allerede er unntatt dette, som f.eks. oss stortingsrepresentanter.
Det innføres også en varslingsplikt for virksomheter underlagt sikkerhetsloven som får kunnskap om en planlagt eller pågående aktivitet som kan medføre en ikke ubetydelig risiko for rikets selvstendighet og sikkerhet.
Den nasjonale responsfunksjonen for alvorlige dataangrep mot kritisk infrastruktur, NorCERT, tas nå inn i loven. Også varslingssystemet for digital infrastruktur og behandling av personopplysninger tas inn i loven, og en konkretisering av oppgavene vil komme i en forskrift. Dagens forskrift om informasjonssikkerhet, som gir bestemmelse om at registrering av sikkerhetsrelevante hendelser skal lagres i minst fem år, tas nå inn i loven.
Når det gjelder klareringsmyndighet, har det lenge vært behov for å etablere en ny klareringsmyndighetsstruktur med få, men kompetente klareringsmyndigheter. I dag har vi 42 klareringsmyndigheter. Det skaper utfordringer. Fagmiljøene er fragmenterte, og det er en skjev fordeling av saker. I tillegg stilles det stadig større krav til kompetanse for å behandle klareringssaker tilfredsstillende. Færre klareringsmyndigheter vil åpenbart øke rettssikkerheten til den enkelte og gi bedre grunnlag for likebehandling av saker.
I proposisjonen foreslås det å redusere disse fra dagens 42 til 7, og at det kun skal være én klareringsmyndighet for sivil sektor og én for forsvarssektoren. Det framgår imidlertid av lovrevisjonen at de tre EOS-tjenestene fortsetter å klarere eget personell, samt at domstolene og Statsministerens kontor, av konstitusjonelle hensyn, fortsatt opprettholdes som egne klareringsmyndigheter.
Det er også nytt at varslingsplikt ved anskaffelser til kritisk infrastruktur ikke er betinget av at anskaffelsen er definert som en sikkerhetsgradert anskaffelse, dessuten at virksomheter også pålegges å varsle myndighetene dersom de ønsker å gjennomføre anskaffelser til kritisk infrastruktur som kan innebære en ikke ubetydelig risiko for rikets selvstendighet og sikkerhet.
Det er viktig å bemerke at det nå også innføres en plikt for virksomheter som er underlagt sikkerhetsloven, til å varsle overordnet departement dersom man får kunnskap om en planlagt eller pågående aktivitet som kan medføre en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført. Det er selvsagt avgjørende at myndighetene får mulighet til å reagere før en sikkerhetstruende situasjon blir en realitet.
Derfor er det viktig at det også gis en hjemmel for Kongen i statsråd til å gripe inn i anskaffelser til kritisk infrastruktur der en slik risiko foreligger. Samlet sett er dette et hjelpemiddel for å hindre spionasje og sabotasje, og dette vil føre til at virksomhetene selv utøver kontroll, vurderer risiko og iverksetter risikoreduserende tiltak, før en eventuell varsling blir sendt til myndighetene.
Svein Roald Hansen (A) [18:37:08]: Saksordføreren har redegjort utmerket for en enstemmig innstilling. Jeg har bare et moment som ikke kom med i merknadene, og som jeg gjerne vil at statsråden legger seg på minne: Når man går fra 42 og ned til atskillig færre antall klareringsmyndigheter, er det veldig viktig at man sikrer tilstrekkelig saksbehandlingskapasitet, så det ikke blir flaskehalser. Det var et tema også i saken om innberetning fra Ombudsmannsnemnda for Forsvaret. Det hørtes ut på statsrådens innlegg da som om man hadde lyktes med å gjøre noe med de flaskehalsene. Nå kan det oppstå nye, og da er det viktig at man har det for øye fra starten av. Det gjelder også kapasitet ved oppfølging av klagesaker, det har hendt at de også har hopet seg opp.
Det var i grunnen bare det tillegget jeg hadde.
Statsråd Ine M. Eriksen Søreide [18:38:13]: Jeg er veldig glad for å konstatere at utenriks- og forsvarskomiteen har avgitt en enstemmig innstilling med full tilslutning til forslaget om endringer i sikkerhetsloven. Jeg vil også takke saksordføreren både for en ryddig og god framstilling og for et godt utført arbeid.
Dette er den første delen av arbeidet med sikkerhetsloven. Det er et sikkerhetsutvalg som jobber med en helhetlig lovrevisjon, men regjeringa var av den oppfatning at det var viktig å få håndtert en del av de mer akutte utfordringene raskt, og derfor gjorde vi altså disse endringene i sikkerhetsloven nå. Selv om det er snakk om det man vil kunne kalle mindre endringer i gjeldende sikkerhetslov, er de endringene som foreslås, viktige nok.
Som den samlede komiteen selv peker på, står vi i dag overfor et veldig sammensatt risiko- og trusselbilde. Den sikkerhetspolitiske situasjonen er i stadig endring, samfunnet blir mer sårbart, og teknologien utvikler seg i et veldig raskt tempo. Derfor er det viktig at sikkerhetsloven holder tritt med utviklingen. Lovforslaget er et viktig tiltak for å styrke vår forebyggende sikkerhet.
Når det gjelder forslaget om ny klareringsmyndighetsstruktur, er formålet først og fremst å få til en økt kvalitet i behandlingen av klareringssaker. Dette er, som vi har vært inne på i saken om Ombudsmannsnemndas årsberetning, veldig viktige avgjørelser, spesielt for de personene det angår, men også for de virksomhetene som er avhengig av sikkerhetsklarering for sitt personell. En reduksjon fra 42 enheter til i hovedsak to sentrale myndigheter, en i forsvarssektoren og en i sivil sektor, vil bidra til kompetanse- og kvalitetsheving og likebehandling i personellklareringssaker. Det er også både en effektivisering og en avbyråkratisering.
Poenget til representanten Hansen er veldig godt. Jeg vil ikke utelukke at det akkurat i overgangsfasen kan være noe opphoping av restanser, men det som også ligger i proposisjonen, i punkt 12.2.2, er nettopp en forklaring på hvordan man skal overføre ressurser internt fra de myndighetene og sektorene som har hatt egne klareringsmyndigheter, til de sentrale klareringsmyndighetene som nå blir. Når man f.eks. i et departement eller i en sektor ikke lenger skal ha klareringsansvar, må det også overføres ressurser. Det er Justisdepartementet som er ansvarlig for den nye klareringsmyndigheten i sivil sektor, og da vil det altså skje en rammeoverføring til Justisdepartementet fra øvrige departementer i sivil sektor – og tilsvarende i militær sektor, hvor Forsvarets sikkerhetsavdeling får tilført ressurser fra de etatene i sektoren som ikke lenger skal være klareringsmyndigheter.
Med hensyn til forslaget om behandling av personopplysninger er det viktig å presisere at denne adgangen bare skal gjelde i de tilfellene der det er nødvendig for at Nasjonal sikkerhetsmyndighet skal kunne utføre den viktige oppgaven det er å håndtere alvorlige dataangrep mot kritisk infrastruktur. Overskuddsinformasjon, altså opplysninger som går utover formålet med innhentingen, vil verken bli oppbevart eller utlevert til andre. Hensynet til personvernet er ivaretatt ved at det er foretatt en proporsjonalitetsvurdering av behovet, sett opp mot legitime personverninteresser. Grunnkravene i personopplysningsloven skal gjelde ved håndtering av personopplysninger. Her er det snakk om en lovfesting av en praksis som allerede eksisterer, og jeg mener det er et selvstendig poeng å få denne typen praksis inn i lovs form. Lovfesting er en klargjøring av de rammene som skal gjelde, og det innebærer derfor en styrking av personvernet.
Videre vil jeg understreke viktigheten av forslagene til de to nye bestemmelsene om varsling og myndighet for Kongen i statsråd til å fatte vedtak for å unngå at sikkerhetstruende situasjoner oppstår. Den ene bestemmelsen innebærer at eiere av kritisk infrastruktur skal ha en plikt til å vurdere risikoen for spionasje og sabotasje ved anskaffelser av slik infrastruktur og varsle myndighetene dersom risikoen vurderes som ikke ubetydelig. Regjeringa skal sørge for at aktuelle virksomheter får klarhet i hvilken overordnet myndighet som det i så fall skal varsles til. Den andre bestemmelsen pålegger virksomheter som i dag er underlagt sikkerhetsloven, å varsle dersom virksomheten får kunnskap om en planlagt eller pågående aktivitet som kan innebære en ikke ubetydelig sikkerhetsrisiko. Begge de nye lovforslagene kan betegnes som en sikkerhetsventil eller en nødbrems og forutsettes derfor ikke hyppig brukt, men forslagene er, etter min oppfatning, gode eksempler på at det skal tenkes forebyggende og ikke bare reaktivt for å hindre at det inntreffer forhold som innebærer en sikkerhetstrussel, som f.eks. en økt mulighet for spionasje eller sabotasje på samfunnsviktige objekter eller installasjoner.
Det er viktig at myndighetene gis nødvendige verktøy for å kunne gripe inn når hensynet til landets selvstendighet og sikkerhet krever det.
Presidenten: Flere har ikke bedt om ordet til sak nr. 14.
Votering i sak nr. 14
Komiteen hadde innstilt til Stortinget å gjøre slikt vedtak til
lov
om endringer i sikkerhetsloven (reduksjon av
antall klareringsmyndigheter mv.)
I
I lov 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste gjøres følgende endringer:
§ 2 fjerde til åttende ledd skal lyde:
§ 29 a gjelder for alle anskaffelser til kritisk infrastruktur. Kongen kan gi forskrift om identifisering av kritisk infrastruktur og om informasjon til rettssubjekter som eier eller rår over kritisk infrastruktur.
Loven gjelder for domstolene med de særregler som følger av bestemmelsene om sikkerhetsklarering og autorisasjon i og i medhold av domstolloven og straffeprosessloven. Kongen kan fastsette ytterligere særregler.
Bestemmelsene gitt i og i medhold av lovens kapittel 6 om personellsikkerhet gjelder ikke for regjeringens medlemmer og dommere i Høyesterett.
Loven gjelder ikke for Stortinget, Riksrevisjonen, Stortingets ombudsmann for forvaltningen og andre organer for Stortinget.
Loven gjelder for Svalbard og Jan Mayen i den utstrekning Kongen bestemmer.
§ 3 første ledd nytt nr. 21 skal lyde:
21. Kritisk infrastruktur; anlegg og systemer som er nødvendige for å opprettholde samfunnets grunnleggende behov og funksjoner.
Ny § 5 a skal lyde:
§ 5 a Varslingsplikt og myndighet til å fatte vedtak ved risiko for sikkerhetstruende virksomhet
En virksomhet som får kunnskap om en planlagt eller pågående aktivitet som kan medføre en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført, skal varsle overordnet departement om dette. Dersom den varslingspliktige virksomheten ikke er underlagt noe departement, skal varselet gis til Forsvarsdepartementet. Varslingsplikten gjelder uten hinder av lovbestemt taushetsplikt. Ved behandling av varsel etter første og andre punktum bør det innhentes rådgivende uttalelser fra relevante organer med kompetanse innenfor det aktuelle fagområdet.
Kongen i statsråd kan fatte nødvendige vedtak for å hindre en planlagt eller pågående aktivitet som nevnt i første ledd første punktum. Et slikt vedtak kan fattes uten hensyn til begrensningene i forvaltningsloven § 35, og uavhengig av om aktiviteten er tillatt etter annen lov eller annet vedtak. Vedtak etter første punktum er særlig tvangsgrunnlag etter tvangsfullbyrdelsesloven kapittel 13.
Kongen i statsråd kan gi forskrift om varslingsplikten i første ledd og om hvilke vedtak som kan fattes etter andre ledd.
§ 9 første ledd bokstav e og f skal lyde
e) drive en nasjonal responsfunksjon for alvorlige dataangrep mot kritisk infrastruktur og et nasjonalt varslingssystem for digital infrastruktur,
f) gi informasjon, råd og veiledning til virksomheter.
I kapittel 3 skal ny § 10 a lyde:
§ 10 a Behandling av personopplysninger
Når det er nødvendig for å utføre osppgavene etter § 9 første ledd bokstav e, kan Nasjonal sikkerhetsmyndighet behandle personopplysninger i form av
a) metadata om IKT-trafikk til og fra virksomheter som er knyttet til det nasjonale varslingssystemet for digital infrastruktur
b) informasjon som er nødvendig for å analysere utløste alarmer i varslingssystemet
c) IP-adresser mottatt fra nasjonale og internasjonale samarbeidspartnere
d) logger og infisert maskinvare, etter samtykke fra en virksomhet der dette er nødvendig i forbindelse med bistand til håndtering av alvorlige dataangrep.
I andre tilfeller enn nevnt i første ledd, kan personopplysninger også behandles når dette er strengt nødvendig for å ivareta oppgavene etter § 9 første ledd bokstav e, og behandlingen etter en konkret vurdering framstår som både nødvendig og proporsjonal i forhold til det inngrepet den representerer i personvernet.
Kongen kan gi forskrift om Nasjonal sikkerhetsmyndighets behandling av personopplysninger.
Ny § 13 a skal lyde:
§ 13 a Sikkerhetsmessig overvåking av godkjente informasjonssystemer
Den enkelte virksomhet skal kontinuerlig overvåke et godkjent informasjonssystem for sikkerhetstruende hendelser mot informasjonssystemet eller informasjon i systemet, fortrinnsvis ved bruk av automatisert systemovervåking. Sikkerhetsrelevante hendelser skal registreres.
Informasjon som utveksles mellom systemer, på tvers av autorisasjonsskiller eller til bærbare lagringsmedier, skal registreres og lagres.
Flere virksomheter som er tilknyttet samme informasjonssystem, kan avtale at en av virksomhetene skal forestå overvåking og registrering etter første og andre ledd på vegne av den ansvarlige virksomheten.
Informasjon registrert etter første og andre ledd skal lagres i fem år. Slik informasjon skal kun benyttes for å håndtere sikkerhetstruende hendelser.
Den enkelte virksomhet skal påse at autoriserte brukere av informasjonssystemer som overvåkes i henhold til denne bestemmelse får informasjon om formålet med behandlingen, om de tiltak som er iverksatt, om informasjonen vil bli utlevert og eventuelt om hvem som er mottaker.
Kongen kan gi forskrift om
a) hvilke typer data som kan eller skal registreres og lagres
b) hvem som skal ha tilgang til registrert og lagret data
c) hvordan tilgang skal gis
d) unntak fra lagringstid på fem år.
§ 23 skal lyde:
§ 23 Autorisasjonsansvarlig og klareringsmyndighet
Autorisasjon kan gis dersom autorisasjonsansvarlig ikke har opplysninger som gjør det tvilsomt om vedkommende sikkerhetsmessig er til å stole på. Autorisasjon gis normalt av virksomhetens leder. Autorisasjon skal ikke gis før det foreligger melding om sikkerhetsklarering, med unntak for de tilfeller som er beskrevet i § 19 tredje ledd, og en autorisasjonssamtale er avholdt. Nasjonal sikkerhetsmyndighet gir nærmere regler om autorisasjon og om hvem som er autorisasjonsansvarlig.
Kongen utpeker en klareringsmyndighet for forsvarssektoren og en for den sivile sektoren. Kongen kan utpeke andre klareringsmyndigheter når særlige grunner taler for det. Etterretnings- og sikkerhetstjenestene klarerer eget personell.
§ 28 første ledd andre punktum skal lyde:
Kongen gir forskrift om gyldighetstiden for leverandørklareringer.
Kapittel 7 overskriften skal lyde:
Kapittel 7. Sikkerhetsgraderte anskaffelser og anskaffelser til kritisk infrastruktur
I kapittel 7 skal ny § 29 a lyde:
§ 29 a Varslingsplikt og myndighet til å fatte vedtak ved anskaffelser til kritisk infrastruktur
Ved anskaffelser til kritisk infrastruktur skal det foretas en risikovurdering. I vurderingen skal det tas stilling til om anskaffelsen innebærer en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført mot eller ved bruk av infrastrukturen. Plikten til å foreta en risikovurdering gjelder ikke dersom det framstår som åpenbart at anskaffelsen ikke kan innebære noen slik risiko.
En virksomhet som eier eller rår over kritisk infrastruktur, skal varsle overordnet departement dersom en risikovurdering som nevnt i første ledd konkluderer med at anskaffelsen kan innebære en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført. Virksomheter som ikke er underlagt noe departement, skal varsle Forsvarsdepartementet. Varslingsplikten gjelder uten hinder av lovbestemt taushetsplikt. Plikten gjelder ikke dersom virksomheten selv iverksetter risikoreduserende tiltak som fjerner risikoen, eller gjør den ubetydelig.
Et departement som mottar varsel etter andre ledd, bør innhente en rådgivende uttalelse fra relevante organer om leveransens risikopotensial, og leverandørers sikkerhetsmessige pålitelighet.
Dersom en anskaffelse til kritisk infrastruktur kan medføre en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført, kan Kongen i statsråd fatte vedtak om at anskaffelsen skal nektes gjennomført, eller om at det settes vilkår for gjennomføringen. Dette gjelder også dersom det allerede er inngått avtale om anskaffelsen. Dersom det ikke fattes vedtak etter første punktum, skal departementet underrette virksomheten om dette. Vedtak etter første punktum er særlig tvangsgrunnlag etter tvangsfullbyrdelsesloven kapittel 13.
Kongen i statsråd kan gi forskrift om anskaffelser til kritisk infrastruktur.
II
Loven gjelder fra den tid Kongen bestemmer. Kongen kan bestemme at de forskjellige bestemmelsene skal tre i kraft til forskjellig tid.
Votering:
Komiteens innstilling ble enstemmig bifalt.Presidenten: Det voteres over lovens overskrift og loven i sin helhet.
Votering:
Lovens overskrift og loven i sin helhet ble enstemmig bifalt.Presidenten: Lovvedtaket vil bli satt opp til andre gangs behandling i et senere møte i Stortinget.