Del 1
Innledning
1 Oppnevning, mandat og utvalgets arbeid
1.1 Utvalgets sammensetning
Sikkerhetsutvalget ble oppnevnt ved kgl. resolusjon av 27. mars 2015. Utvalget fikk denne sammensetningen:
Ambassadør Kim Traavik, leder
Lagmann Espen Bergh
Administrerende direktør Brian Bjordal
Styreleder Olav Fjell
Generalløytnant (p) Torgeir Hagen
Seksjonsleder Gry Dyregrov Hamarsland
Konserndirektør Kristin Lian
Direktør Hanne Løvstad
Professor dr. juris Dag Wiese Schartum
Professor Siri Wiig
Utvalgsmedlem Espen Bergh fratrådte utvalget med virkning fra 1. august 2016, grunnet tiltredelse i stilling som høyesterettsdommer.
Utvalgets sekretariat har vært ledet av seniorrådgiver Fredrik Irgens, og har for øvrig bestått av sjefsforsker Kjetil Longva, seniorforsker Anders Romarheim, seniorrådgiver Christian F. Mathiessen og rådgiver Seline Høiseth.
1.2 Utvalgets mandat
Utvalget ble gitt følgende mandat:
1. Innledning og bakgrunn
Sikkerhetsloven trådte i kraft 1. juli 2001. Formålet var å utvikle et nasjonalt lovgrunnlag for sikkerhetstjenestens virksomhet, for derigjennom å motvirke trusler mot rikets selvstendighet og sikkerhet. Virkelighetsbildet har endret seg siden 2001, og risiko- og trusselbildet samfunnet står overfor er bredt og sammensatt. Markante enkelthendelser og mer overordnede tendenser har påvirket utviklingen. Det er behov for en helhetlig vurdering og nytenking med hensyn til lovregulering av forebyggende nasjonal sikkerhet i tråd med de teknologiske, demografiske og sikkerhetsmessige endringene som har funnet sted siden sikkerhetsloven trådte i kraft.
Erfaringer fra hendelser de senere år illustrerer bredden og kompleksiteten i samfunnssikkerhetsarbeidet, og det har blitt vanskeligere å holde oversikt over de avhengigheter som gjør seg gjeldende på tvers av sektorer, virksomheter og infrastrukturer. Den teknologiske utviklingen utfordrer sikkerhetsarbeidet blant annet gjennom nye måter å produsere, dele og lagre samfunnsviktig informasjon på. Den økte risikoen ved, og vår avhengighet av, IKT-baserte informasjonssystemer, stiller krav om tidsriktige og dynamiske verktøy for beskyttelse mot trusler i det digitale rom. I tillegg gjør utviklingen det mulig å installere elektroniske innretninger eller utøve frittstående høyteknologisk virksomhet som kan være en trussel mot grunnleggende nasjonale sikkerhetsinteresser.
2. Nærmere om utvalgets mandat
Utvalget skal vurdere hva som bør reguleres i lov for å sikre nasjonal sikkerhet. Formålet med nytt lovgrunnlag skal være å beskytte kritisk infrastruktur, kritiske samfunnsfunksjoner og sensitiv informasjon mot tilsiktede, uønskede hendelser. Utvalget skal sikre et helhetlig forebyggende lovgrunnlag innen både den militære og sivile sektoren som er relevant og robust med hensyn til dagens og fremtidens risiko- og trusselbilde. Forslaget skal sikre en kostnadseffektiv regulering, som sikrer balanse mellom akseptabel restrisiko, og kostnaden for sikkerhetsnivået. Samfunnsøkonomisk lønnsomhet skal være en grunnleggende forutsetning, det vil si at aktuelle sikringstiltak må ha en samfunnsøkonomisk nytte som samlet overstiger kostnadene.
Forhold utvalget særskilt skal vurdere:
Struktur, virkeområde og ansvarsforholdet for loven
Utvalget må vurdere hva som er den mest hensiktsmessige oppbyggingen av lovgivningen. Det må vurderes hvorvidt krav til militær og sivil sektor skal reguleres i samme lov eller om lovgrunnlaget skal deles. Utvalget skal videre foreta en vurdering av hvorvidt myndighetenes (herunder NSMs) oppgaver og ansvar skal reguleres i lovgrunnlaget/lovgrunnlagene, og på hvilken måte dette eventuelt skal gjøres. Utvalget kan vurdere å utarbeide en rammelov hvor nærmere krav angis i forskrift. Avhengig av lovens innhold og oppbygging må utvalget vurdere hvem som skal ha ansvar for den fremtidige forvaltning av loven(e) og dens forskrifter.
Kritisk infrastruktur og kritiske samfunnsfunksjoner
Det er et behov for å sikre kritisk infrastruktur og kritiske samfunnsfunksjoner. Utvalget bes om å vurdere hvorvidt en overordnet lovregulering på området kan bidra til bedre forebyggende sikkerhet. Utvalget skal foreta en gjennomgang av relevante sektorregelverk som regulerer beskyttelse av objekter og infrastruktur. Det skal vurderes hvorvidt sektorregelverket er tilstrekkelig for god sikring på det aktuelle området, eventuelt om enkelte forhold bør reguleres i lovgrunnlaget/lovgrunnlagene om forebyggende nasjonal sikkerhet. Utvalgte samfunns- og risikoområder, der tilsiktede uønskede hendelser vil ha store konsekvenser på tvers av fag- og ansvarsområder kan være helse, vann, mat, energi, finansielle tjenester og kommunikasjon.
Informasjonssikkerhet
Det er et økende trusselnivå mot norske IKT-baserte informasjonssystemer, og det avdekkes jevnlig flere sårbarheter. Systemene utsettes for stadig mer avanserte angripere som jobber målbevisst og langsiktig med det formål å få innpass i disse systemene. Dette stiller krav om tidsriktige og dynamiske verktøy for beskyttelse mot IKT-trusler. Sikkerhetsloven gir bestemmelser for håndtering av informasjon som er sikkerhetsgradert, og som skal beskyttes av hensyn til rikets sikkerhet og andre vitale nasjonale sikkerhetsinteresser. Imidlertid finnes det også i våre ugraderte systemer svært mye informasjon som kan være sensitiv og samfunnsviktig. I tillegg kan de ugraderte IKT-systemene i seg selv være viktige for samfunnets funksjonsdyktighet. Utvalget må ta stilling til i hvilken grad det er behov for å beskytte også denne type informasjon og IKT-systemer, herunder hva slags rettssubjekter som eventuelt bør underlegges krav. Utvalget må foreslå eventuell hensiktsmessig regulering.
Utvalget skal se hen til EU-kommisjonens forslag av 7. februar 2013 til direktiv om tiltak for å sikre et høyt felles nivå for nettverk- og informasjonssikkerhet i EU. Gjennom direktivet etableres sektorovergripende minimumsstandarder for nettverks- og informasjonssikkerhet. Direktivets anvendelsesområde omfatter offentlig forvaltning, tilbydere av informasjonssamfunnstjenester, samt eiere og driftere av samfunnskritisk IKT-infrastruktur. En eventuell implementering av direktivet i norsk rett vil forutsette at det etableres en lovhjemmel for de krav direktivet oppstiller.
I tillegg til sikkerhetsloven foreligger det i dag mange ulike lover og forskrifter som stiller krav til informasjonssikkerhet. Noen er sektorspesifikke mens andre er sektorovergripende. Utvalget skal identifisere eventuelle behov for en harmonisering av lovreguleringen på området.
Utvalget skal foreslå en modernisering av Instruks 17. mars 1972 for behandling av dokumenter som trenger beskyttelse av andre grunner enn nevnt i sikkerhetsloven med forskrifter (beskyttelsesinstruksen). Det skal også vurdere om det er hensiktsmessig å implementere reglene i ny lovgivning.
Tilsyn
Utvalget skal vurdere hvordan det skal føres tilsyn med etterlevelsen av ny lovgivning. Utvalget skal også vurdere hvorvidt det er hensiktsmessig å skille mellom tilsynsoppgaver og rolle som forvaltningsorgan.
Kontroll med selskaper
Utvalget skal vurdere behov for regulering/kontroll overfor selskaper som håndterer informasjon, teknologi og/eller fysiske aktiva av betydning for samfunnets sikkerhet, herunder håndtering av endringer i statens eller andres eierskap i slike selskaper. Dette kan være selskaper innen forsvarssektoren eller sivil sektor.
Annet
Ut over de forhold som er nevnt ovenfor står utvalget fritt til også å vurdere andre områder som bør reguleres i ny lovgivning for å sikre et helhetlig lovgrunnlag og for å ivareta de utviklingstrekk som er beskrevet innledningsvis.
Dersom utvalget ser behov for å gjøre endringer i mandatet skal dette tas opp med Forsvarsdepartementet og Justis- og beredskapsdepartementet.
3. Generelt
Utvalget skal basere seg på eksisterende kunnskapsgrunnlag og de sikkerhetsutfordringer som dagens moderne, teknologiske og globaliserte samfunn stiller oss overfor når det gjelder tilsiktede uønskede handlinger. Utvalget kan be om særskilte orienteringer og/eller utredninger fra eksperter/ekspertgrupper på enkeltområder. Som en del av vurderingen må utvalget se hen til rapporten fra det digitale sårbarhetsutvalget som leveres 1. september 2015.
Utvalget skal i sitt arbeid sikre at relevante innspill fra berørte aktører blir ivaretatt på en hensiktsmessig måte. Blant annet skal Nasjonal sikkerhetsmyndighets sikkerhetsfaglige råd tas med i vurderingen. Utvalget skal videre i sitt arbeid ta i betraktning relevant internasjonal lovgivning, herunder nordiske lands lovgivning, gjeldende EU-direktiver, NATOs standarder, samt Norges folkerettslige forpliktelser på handels- og investeringsområdet.
Utvalget skal i samsvar med utredningsinstruksen redegjøre for økonomiske, administrative og andre vesentlige konsekvenser av sine forslag. Minst ett av forslagene skal baseres på uendret ressursbruk.
Utvalget skal innen halvannet år etter oppnevningen legge fram en utredning i form av en NOU til Forsvarsdepartementet med forslag til nytt lovgrunnlag for forebyggende nasjonal sikkerhet. Utredningen skal utarbeides i en form som egner seg til å bli sendt på en offentlig høring. De delene av utvalgets arbeid som omfatter gradert informasjon, kan kun behandles av medlemmer som er sikkerhetsklarert for det aktuelle graderingsnivået. Materiale som er gradert utarbeides i separate vedlegg.
1.3 Utvalgets forståelse av mandatet
Utvalget forstår mandatet dit hen at det overordnede samfunnsmålet med et nytt lovgrunnlag for forebyggende nasjonal sikkerhet skal være å legge til rette for en tilfredsstillende sikkerhet rundt funksjonaliteten i kritiske samfunnsfunksjoner. I mandatet vises det til at «utvalgte samfunns- og risikoområder, der tilsiktede uønskede hendelser vil ha store konsekvenser på tvers av fag- og ansvarsområder kan være helse, vann, mat, energi, finansielle tjenester og kommunikasjon». Utvalget forstår kritiske samfunnsfunksjoner som nødvendige funksjoner for å holde nevnte tjenester på et nivå som sikrer forsvarlig utøvelse av myndighet og grunnleggende trygghet for befolkningen.
En ny sikkerhetslov med forskrifter skal bidra til å sikre disse samfunnsfunksjonene. For å oppnå dette, er det særlig aktuelt å sikre utvalgte informasjonssystemer, infrastrukturer og pålitelig personell, men loven kan også rette seg mot andre forhold som er nødvendig for sikre forsvarlig utøvelse av myndighet og grunnleggende trygghet for befolkningen.
Dagens sikkerhetslov har som formål å legge forholdende til rette for effektivt å kunne motvirke trusler mot «rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser», jf. sikkerhetsloven § 1 første ledd bokstav a), og omhandler i hovedsak beskyttelse av skjermingsverdig informasjon og skjermingsverdige objekter. Mandatets ordlyd innebærer, slik utvalget forstår det, en bredere tilnærming til lovens virkeområde enn det gjeldende sikkerhetslov har.
Utvalget forstår mandatets angivelse av hva som skal beskyttes som styrende for det nye lovgrunnlagets virkeområde. Kritisk infrastruktur og sensitiv informasjon eies og/eller forvaltes i dag i stor utstrekning av selvstendige rettssubjekter. Det vil i denne sammenheng også være naturlig for utvalget å vurdere hvorvidt det er hensiktsmessig å videreføre virkeområdet for dagens sikkerhetslov. Utvalgets vurdering av hvorvidt eksisterende sektorregelverk gir en tilstrekkelig god sikring, både innad og på tvers av samfunnssektorene, vil også være styrende for virkeområdet for en ny sikkerhetslov.
Med mandatets presisering av tilsiktede uønskede hendelser har utvalget lagt til grunn at en ny lov skal rette seg mot tilsiktede uønskede hendelser, og at andre sikkerhetstrusler i utgangspunktet ikke skal omfattes (jf. safety-perspektivet). Dette er i samsvar med dagens lov, som er avgrenset til sikkerhetstruende virksomhet (spionasje, sabotasje eller terrorhandlinger, jf. lovens § 3 første ledd nr. 2). Slik utvalget ser det, innebærer ikke dette at sikkerhetsarbeidet for henholdsvis tilsiktede og utilsiktede hendelser bør forstås som adskilte størrelser ved operasjonalisering av regelverket. For den enkelte virksomhet vil det både være nødvendig og hensiktsmessig å kunne se arbeidet med forebyggende sikkerhet under ett, uavhengig av hvilke typer trusler det tas sikte på å beskytte seg mot. I motsatt fall risikerer man å utvikle suboptimale og lite kostnadseffektive løsninger.
Utvalget anser seg ikke bundet av definisjonen av sikkerhetstruende virksomhet i dagens sikkerhetslov. Definisjonen angir imidlertid noen typer trusler som det med en ny lov vil være særlig viktig å beskytte seg mot.
Utvalget vil gjøre ytterligere presiseringer og avgrensinger når det gjelder den begrepsbruk som er lagt til grunn i mandatet, herunder begrepene kritisk infrastruktur, kritiske samfunnsfunksjoner og sensitiv og samfunnsviktig informasjon.
Det fremgår også av mandatet at utvalget i samsvar med utredningsinstruksen skal redegjøre for økonomiske, administrative og andre vesentlige konsekvenser av sine forslag. 1. mars 2016 trådte en ny utredningsinstruks i kraft. Utvalget vil legge den nye utredningsinstruksen til grunn for sitt arbeid. Den nye instruksens hovedformål er å legge et godt grunnlag for beslutninger om statlige tiltak gjennom å identifisere alternative tiltak og å utrede og vurdere virkningen av tiltak. Når en utredning vurderer tiltak som forventes å ha vesentlige nytte- eller kostnadsvirkninger, herunder vesentlige budsjettmessige virkninger for staten, skal det gjennomføres samfunnsøkonomiske analyser. Analysen skal legge grunnlaget for å identifisere og prioritere de beste tiltakene for å legge til rette for en tilfredsstillende sikkerhet for funksjonaliteten i kritiske samfunnsfunksjoner.
Utvalget har lagt til grunn at hensynene til personvern og den enkeltes rettssikkerhet gjennomgående vil være et sentralt vurderingstema. Denne forståelsen av mandatet er også bekreftet av oppdragsgiver. Den nye utredningsinstruksen stiller krav om at i den grad de tiltak som vurderes berører prinsipielle spørsmål, skal utredningen drøfte disse på en balansert, systematisk og helhetlig måte. Et prinsipielt spørsmål, som dette utvalget særlig vil drøfte, er hvordan en på en balansert måte kan ivareta både nasjonal sikkerhet, rettssikkerhet og personvern. Utvalget vil i denne sammenheng understreke at en ny sikkerhetslov ikke må få virkninger som setter i fare de verdier som loven skal beskytte.
Utvalget legger til grunn for sitt arbeid at grunnleggende rettigheter og Norges folkerettslige forpliktelser, jf. Grunnloven og menneskerettighetsloven, utgjør rammen for en ny lov og for praktiseringen av den.
I henhold til ny utredningsinstruks skal utvalget også vurdere forutsetningene for en vellykket gjennomføring. Staten har et bredt spekter av virkemidler som kan benyttes for å sikre at samfunnsutviklingen går i ønsket retning. Utvalgets mandat er i utgangspunktet avgrenset til å vurdere ett av disse virkemidlene – påvirkning gjennom bruk av juridiske virkemidler i form av en ny lov om forebyggende nasjonal sikkerhet. Utvalget ser seg imidlertid ikke bundet av kun å se på loven, men også peke på andre tiltak som staten har i sin virkemiddelportefølje i den utstrekning dette anses nødvendig for å sikre at loven vil virke etter intensjonen.
1.4 Prosesser med innvirkning på utvalgets arbeid
Parallelt med utvalgets arbeid har det også pågått en rekke andre utredningsarbeider og prosesser med direkte eller indirekte innvirkning på tema og problemstillinger av relevans for arbeidet. Under følger en kort oversikt av noen av de viktigste utredningsarbeidene. Listen er ikke uttømmende.
Den 28. april 2015 overleverte en uavhengig ekspertgruppe sin rapport Ekspertgruppen for Forsvaret av Norge – Et felles løft, til forsvarsminister Ine Eriksen Søreide. Ekspertgruppen hadde som mandat å utarbeide en rapport om Forsvarets forutsetninger for å kunne løse sine mest krevende oppgaver.
Den 10. september 2015 overleverte Nasjonal sikkerhetsmyndighet (NSM) sitt sikkerhetsfaglige råd til Forsvarsdepartementet og Justis- og beredskapsdepartementet. NSM ble gitt i oppdrag å komme med en vurdering av hvordan samfunnet bør innrette arbeidet med forebyggende sikkerhet i perioden frem mot 2020 og hvordan Norge bør møte de økte sikkerhetstruslene.
Den 30. november 2015 overleverte det digitale sårbarhetsutvalget (Lysne-utvalget) sin utredning til justis- og beredskapsministeren. Lysne-utvalget har kartlagt samfunnets digitale sårbarhet, og foreslått tiltak for å styrke beredskapen og redusere den digitale sårbarheten i samfunnet.
Den 15. april 2016 godkjente regjeringen Solberg Prop. 97 L (2015–2016) Endringer i sikkerhetsloven (reduksjon av antall klareringsmyndigheter mv.). I proposisjonen ble det foreslått endringer i gjeldende sikkerhetslov som det var behov for å få på plass raskt. I forbindelse med behandlingen av Innst. 352 L (2015–2016) til Prop. 97 L (2015–2016) om endringer i sikkerhetsloven, vedtok Stortinget regjeringens forslag den 8. juni 2016.1
Den 17. juni 2016 fremmet regjeringen Solberg Prop. 151 S (2015–2016) Kampkraft og bærekraft – Langtidsplan for forsvarssektoren. I proposisjonen la regjeringen frem en rekke anbefalinger for å øke forsvarsevnen og tilpasse Forsvaret til den sikkerhetspolitiske situasjonen. Langtidsplanen er blant annet basert på forsvarssjefens fagmilitære råd (FMR) Et forsvar i endring. FMR er et uavhengig fagmilitært råd, hvor forsvarssjefen er gitt i oppdrag å vurdere hvordan Forsvaret på en best mulig måte kan ivareta sine dimensjonerende oppgaver og ambisjon, samt sikre at Forsvaret forblir relevant og troverdig også i fremtiden.
Den 26. august 2016 overleverte Lysne II-utvalget sin utredning Digitalt grenseforsvar (DGF) til Forsvarsdepartementet. Lysne II-utvalget ble nedsatt for å utrede problemstillinger knyttet til Etterretningstjenestens mulig tilgang til elektronisk informasjon som kommuniseres i fiberoptiske kabler inn og ut av Norge.
Alle de nevnte utredningsarbeidene og prosessene behandler ulike aspekter ved forebyggende sikkerhet. Utvalgets utredning er et selvstendig bidrag, men må sees mot dette bakteppe.
1.5 Utvalgets arbeid
Utvalget har hatt 15 møter, fordelt på 27 møtedager.
Utvalget har i tillegg gjennomført studiebesøk til Brussel, Stockholm, København og London. I Stockholm møtte utvalget representanter fra den norske, britiske og nederlandske EU-delegasjon, representanter fra noen av EUs generaldirektorater, samt private aktører. I tillegg møte utvalget en rekke representanter fra ulike deler av NATOs organisasjon. I Stockholm møtte utvalget representanter fra Justitiedepartementet, Myndigheten för samhällsskydd och beredskap og Säkerhetspolisen. I Danmark ble det gjennomført møter med representanter fra Forsvarsministeriet, Justisministeriets, Forsvarets Efterretningstjeneste, Beredskapbsstyrelsen, Politiets Efterretningstjeneste, samt Danish Institute for International Studies. I London møtte utvalget representanter fra Cabinet Office, Royal United Services Institute, Home Affairs Select Committee, Home Office, MI5’s Centre for the Protection of National Infrastructure, samt private aktører.
Utvalgets arbeid er basert på ulike metoder og faktiske grunnlag:
Eksisterende utredninger og analyser.
Skriftlige innspill og møter med en rekke sentrale aktører innen forebyggende sikkerhet, både offentlige og private virksomheter.
Utredninger som er gjennomført av offentlige og private virksomheter på oppdrag fra utvalget.
Utvalget, og dets sekretariat, har i tillegg hatt en løpende dialog med en rekke virksomheter i utvalgsperioden, dels for å få utdypet og konkretisert ulike tema og problemstillinger og dels for å kvalitetssikre informasjon utvalget har innhentet og bearbeidet.
Utvalget har også gjennomført en halvdagskonferanse for å få belyst problemstillinger knyttet til sikkerhet og personvern i en digital tidsalder.
For en fullstendig oversikt over de aktørene utvalget har gjennomført møter med, og mottatt skriftlige innspill fra, vises det til vedlegg 2 og 3.
1.6 Struktur og innhold
Utredningen er delt inn i fire deler.
Del I gir en redegjørelse for utvalgets sammensetning og mandat, samt en beskrivelse av utvalgets mandatforståelse. I tillegg inneholder del I oppsummeringen av utvalgets konklusjoner og anbefalinger.
Del II redegjør for bakteppet som danner grunnlaget for utvalgets vurderinger og anbefalinger. Først gjennomgås sentrale begreper innen forebyggende sikkerhet og beredskap, samt relasjonen mellom de ulike begrepene. Deretter gis det en redegjørelse for hvordan det forebyggende sikkerhetsarbeidet i Norge er organisert, samt en overordnet beskrivelse av noen av de mest sentrale aktørene innen sikkerhetsarbeidet.
I tillegg gis det en gjennomgang av dagens sikkerhetsutfordringer. Først gis det en omtale av risikostyring i staten som grunnlag for å oppnå nasjonal sikkerhet og omtale av risikovurderingsmetodikk. Videre er beskrives hvilke verdier som må vernes, hvilke trusler som kan ramme verdiene og hvilke sårbarheter i samfunnet som trusselaktører kan utnytte. Avslutningsvis gjennomgås noen av de virkemidlene staten har til rådighet for å styre samfunnsutviklingen i en ønsket retning. Del II avsluttes med en beskrivelse av forholdet mellom forebyggende sikkerhet, rettssikkerhetsgarantier og personvern.
Del III er hoveddelen av utvalgets utredning. Her gis det en tematisk gjennomgang av utvalgets vurderinger og anbefalinger, samt de faktuelle beskrivelsene utvalget har lagt til grunn for vurderingene. Gjennomgangen er i stor grad basert på gjeldende sikkerhetslovs tematiske kapittelinndeling. Enkelte særlige temaer er også omtalt i egne kapitler.
Del IV består av utvalgets lovforslag og særlige merknader til de enkelte bestemmelsene.
2 Oppsummering
Norge er et grunnleggende trygt samfunn. Utredninger som avdekker sårbarheter og foreslår forbedringer i den forebyggende sikkerheten rokker ikke ved det. Samtidig er verden rundt oss, trusselbildet, og samfunnet som skal beskyttes, mer komplekst enn før. Staten må ha tilstrekkelige virkemidler i møte med disse utfordringene på borgernes vegne.
Statens aller viktigste oppgave er nettopp å beskytte landets borgere og samfunnet de er en del av. En stat som ikke evner å sikre sin egen og borgernes overlevelse misligholder samfunnskontrakten mellom stat og borger. For å ivareta denne oppgaven og overholde samfunnskontrakten er det helt avgjørende at staten makter å opprettholde samfunnets grunnleggende funksjoner uavhengig av hvilken ekstern påvirkning de utsettes for.
Sikkerhetsutvalget ble oppnevnt blant annet fordi anvendelsen av gjeldende sikkerhetslov avdekket grunnleggende uenigheter knyttet til lovens nedslagsfelt. Sammen med en negativ endring i risiko- og sårbarhetsbildet medførte dette et behov for en helhetlig gjennomgang og nytenkning av forebyggende nasjonal sikkerhet.
Utvalget har i sitt arbeid stått overfor en rekke grunnleggende avveininger, som har hatt direkte innvirkning på hvordan en ny lov kan og bør innrettes.
Et helt sentralt og gjennomgående tema har vært avveiningen mellom behovet for en helhetlig og sektorovergripende tilnærming til forebyggende sikkerhet på den ene siden, og ivaretakelsen av den enkeltes samfunnssektors særegenheter på den andre. Dette har betydning både for hvilket nedslagsfelt en ny lov bør ha, og for hvordan ansvars- og myndighetsfordelingen etter loven bør være. Denne avveiningen har også betydning for hvordan lovens krav bør innrettes.
Videre har en balansert avveining mellom forebyggende sikkerhet, rettssikkerhet og personvern, stått sentralt i utvalgets arbeid. En slik avveining er viktig for å hindre at sikkerhetstiltak som isolert sett er effektive, i et videre perspektiv undergraver de verdier som skal beskyttes. En nedtoning av rettssikkerheten vil derfor på sikt også svekke stats- og samfunnssikkerheten.
I tillegg har avveiningen mellom samfunnsøkonomisk og bedriftsøkonomisk lønnsomhet vært et viktig vurderingstema for utvalget. Sikkerhet har en kostnadsside som det ikke er mulig å komme utenom. I et samfunnsperspektiv vil de sikkerhetsmessige gevinstene samtidig kunne overstige de kostnadsmessige ulempene som enkeltvirksomheter påføres. Et grunnleggende premiss for utvalget er at kostnader som følger av loven, skal stå i et rimelig forhold til de nyttevirkningene som faktisk oppnås ved tiltaket.
Utvalget anbefaler i sitt lovforslag følgende:
Lovens formål bør være å beskytte grunnleggende samfunnsfunksjoner. Det er disse funksjonene en trusselaktør vil forsøke å ta ut ved et anslag som rammer Norges mest grunnleggende interesser.
Lovens virkeområde bør utvides og samtidig være mer målrettet. Virksomheter som er av kritisk betydning for at grunnleggende samfunnsfunksjoner skal kunne opprettholdes, bør underlegges loven uavhengig av eierskap eller organisasjonsform. En forutsetning for en slik utvidelse er at lovens krav har en funksjonell innretning som kan tilpasses den enkelte samfunnssektor.
De generelle prinsippene for krisehåndtering og beredskap bør ligge fast, samtidig som behovet for en helhetlig og sektorovergripende tilnærming til forebyggende sikkerhet ivaretas. Dette bør gjenspeiles både i hvordan ansvar og myndighet fordeles, og i hvordan tilsyn med virksomheter som er underlagt loven skal innrettes.
Loven bør pålegge norske myndigheter en rådgivningsplikt overfor virksomheter som omfattes av loven, og en plikt til å legge til rette for at sikkerhetsrelevant informasjon deles med berørte aktører.
Alle informasjonssystemer som er av kritisk betydning for grunnleggende samfunnsfunksjoner, bør omfattes av loven. Dette gjelder informasjonssystemer som behandler sikkerhetsgradert informasjon, og andre systemer som er av kritisk betydning for opprettholdelse av samfunnsfunksjonene.
Loven bør ha et systemfokus som også omfatter beskyttelse av infrastruktur som er av kritisk betydning for samfunnsfunksjonene.
Loven må legge til rette for effektiv forebygging og avdekking av at utro tjenere får tilgang til informasjon eller områder hvor skadepotensialet er stort.
Det bør etableres en mekanisme for å kontrollere og i ytterste konsekvens stanse utenlandske oppkjøp av selskaper som er av kritisk betydning for grunnleggende samfunnsfunksjoner.
Samfunnsutviklingen i stort har aktualisert og forsterket behovet for en mer helhetlig tilnærming til arbeidet med forebyggende nasjonal sikkerhet. En økende grad av digitalisering har resultert i økte gjensidige avhengigheter på tvers av tradisjonelle skillelinjer mellom samfunnssektorer, mellom privat og offentlig virksomhet, og mellom sivile samfunnssektorer og landets militære forsvar og forsvarssektoren for øvrig. Samtidig har fremveksten av et nettverksbasert samfunn ført til at de samme skillelinjene er blitt mindre markante. Denne utviklingen har vært positiv og gitt et avansert samfunn som kan håndtere store oppgaver, men har også skapt nye sårbarheter.
For å møte gamle og nye utfordringer mener utvalget at en ny lov på en balansert måte må ivareta både hensynet til den enkelte sektors særegenheter og behovet for sektorovergripende og helhetlig styring av den samlede nasjonale sikkerheten. På denne måten kan det bygges bro over de motsetningene som har gjort det vanskelig å anvende dagens sikkerhetslov. Dette fordrer en funksjonell innretning på loven, med sektortilpasninger som ansvarliggjør både den enkelte samfunnssektor og den enkelte virksomhet. Videre er det avgjørende at tiltak som skal redusere sårbarheter eller forebygge uønskede hendelser også er samfunnsøkonomisk lønnsomme. Kostnader som påløper i forbindelse med lovpålagte sikkerhetstiltak må stå i et rimelig forhold til den sikkerhetsmessige gevinsten som oppnås ved tiltaket. Det er her viktig å ha for øye at det kan være svært store kostnader ved å rammes av terrorisme, sabotasje og spionasje, både materielt og i form av tapte menneskeliv. Utvalget mener at de kostnadene som påføres virksomheter som følge av de krav som oppstilles i loven både er nødvendige og riktige sett i lys av dagens trusselbilde.
Forebyggende nasjonalt sikkerhetsarbeid er et felles anliggende. Fra virksomhets- til regjeringsnivå gjelder samme logikk: Nasjonen Norge er ikke sterkere enn det svakeste ledd, og reell samhandling for sikkerhet er den viktigste forutsetningen for å lykkes i å forbedre Norges sikkerhet – skritt for skritt.
2.1 Lovens virkeområde
Utvalget anbefaler at forebyggende nasjonal sikkerhet fortsatt reguleres i én lov som gjelder på tvers av sektorer og andre skillelinjer. Felles utfordringer krever felles løsninger, og én felles lov legger best til rette for tverrsektoriell samhandling og harmonisering av sikkerhetsnivået i samfunnet. Et felles rammeverk gir også de beste forutsetningene for god ledelse, styring, koordinering og ressursutnyttelse.
Utvalget mener at den nye sikkerhetsloven bør ha som formål å beskytte de funksjonene som er helt avgjørende for å ivareta de verdiene sikkerhetsloven skal hegne om. I ytterste konsekvens er det nettopp disse funksjonene en trusselaktør vil forsøke å ta ut ved et anslag mot Norge og dets mest grunnleggende interesser og verdier. En slik funksjonstilnærming vil også være i tråd med den øvrige metodikken i arbeidet med samfunnssikkerhet og beredskap. Utvalget har derfor valgt å benytte begrepet grunnleggende nasjonale funksjoner for å angi lovens virkeområde.
Selve grunnlaget for å beslutte hva som utgjør grunnleggende nasjonale funksjoner, er statens sikkerhetspolitiske ansvar for å ivareta Norges suverenitet, territorielle integritet og demokratiske styreform. En funksjon er å anse som grunnleggende for Norge dersom bortfall av denne får konsekvenser som truer disse overordnede interessene.
Utvalgets lovforslag innebærer en begrenset, men nødvendig utvidelse av virkeområdet sammenliknet med gjeldende sikkerhetslov. Loven vil ikke være en bred samfunnssikkerhetslov, men skal samtidig heller ikke være en ren statssikkerhetslov. Fra utvalgets side er utvidelsen av lovens virkeområde ment å reflektere den generelle samfunnsutviklingen som har funnet sted siden gjeldende sikkerhetslov trådte i kraft for 15 år siden.
Utvalget anbefaler at lovens virkeområde innrettes slik at enhver virksomhet, offentlig eller privat, som har råderett over informasjon, informasjonssystemer, objekter eller infrastruktur, eller som driver aktivitet, som er av kritisk betydning for grunnleggende nasjonale funksjoner, omfattes av loven.
Den nærmere avgrensningen av hva som vil utgjøre grunnleggende nasjonale funksjoner i medhold av den nye sikkerhetsloven, vil slik utvalget ser det måtte avgjøres konkret basert på en helhetlig vurdering der både sektorovergripende og sektorspesifikke perspektiver ivaretas. For at loven skal få den ønskede effekt vil det være avgjørende å etablere et system for å identifisere grunnleggende nasjonale funksjoner og hvilke virksomheter som er av kritisk betydning for disse.
2.2 Ansvars- og myndighetsfordelingen
I dag utføres det mye godt og grundig sikkerhetsarbeid i de ulike sektorene og på tvers av dem. Praktiseringen av dagens sikkerhetslov har imidlertid vist seg utfordrende og tidvis trekker ulike gode krefter i forskjellige retninger. Dette fører ikke til god sikkerhet og er ikke god ressursutnyttelse.
En mer hensiktsmessig ansvars- og myndighetsfordeling innenfor forebyggende sikkerhet etter loven, har stått sentralt i utvalgets arbeid. Et utgangspunkt for utvalgets arbeid har vært at de generelle prinsippene for krisehåndtering og beredskap ligger fast, og at de også bør gjelde for innretningen på en ny sektorovergripende lov om forebyggende nasjonal sikkerhet.
Utvalgets målsetting med den foreslåtte fordelingen av ansvar og myndighet etter loven er å legge til rette for en god samhandling mellom de sentrale aktørene innenfor forebyggende sikkerhet, på tvers av samfunnssektorene. Slik utvalget ser det, er en slik samhandling helt avgjørende for at det forebyggende sikkerhetsarbeidet i Norge skal få full effekt. God samhandling oppnås først og fremst ved en balansert tilnærming til ansvarsprinsippet og samvirkeprinsippet.
I tråd med ansvarsprinsippet bør det primære ansvaret for forebyggende sikkerhet i de ulike samfunnssektorene ligge i det enkelte fagdepartement. Det er det enkelte departement som kjenner sin sektor best og har de beste forutsetningene for å kunne identifisere grunnleggende nasjonale funksjoner og virksomheter av kritisk betydning for disse, samt gjøre nødvendige samfunnsøkonomiske prioriteringer innad i sektoren. Utvalget anbefaler at det lovfestes en systematikk for hvordan de ulike departementene skal identifisere grunnleggende nasjonale funksjoner innenfor eget myndighetsområde, samt de virksomheter som har en kritisk rolle i understøttelsen av slike funksjoner. Som grunnlag for en slik identifisering, bør det utarbeides tverrsektorielle scenarier.
For å ivareta samvirkeprinsippet vil utvalget samtidig understreke at også det helhetlige og sektorovergripende perspektivet må ivaretas. Dette både for å kunne fange opp sektorovergripende avhengigheter som det enkelte fagdepartement ikke nødvendigvis har forutsetning for å identifisere, og for å bidra med faglig bistand og kvalitetssikring innenfor de ulike samfunnssektorene. Trusselbildet de enkelte virksomhetene står overfor, særlig innenfor cyber-domenet, er i mange tilfeller av sektorovergripende karakter.
Utvalget anbefaler at det sektorovergripende ansvaret fortsatt skal ivaretas av Nasjonal sikkerhetsmyndighet. Det bør imidlertid legges bedre til rette for at Nasjonal sikkerhetsmyndighet reelt sett skal kunne ivareta dette ansvaret. Utvalget mener at Nasjonal sikkerhetsmyndighet bør ha ansvaret for å utvikle og vedlikeholde en sektorovergripende nasjonal oversikt over departementenes identifisering av grunnleggende nasjonale funksjoner og hvilke virksomheter som omfattes av sikkerhetsloven ved enkeltvedtak. Nasjonal sikkerhetsmyndighet bør også ha ansvaret for å identifisere virksomheter som ikke naturlig faller inn under et departements myndighetsområde.
En slik ansvarsfordeling bør etableres også for tilsyn. Utvalget anbefaler en tilsynsmodell som ivaretar målsettingen om en helhetlig og tverrsektoriell tilnærming til forebyggende sikkerhet, samtidig som den ivaretar hensynet til den enkelte samfunnssektors særegenheter. I samfunnssektorer hvor det eksisterer sektormyndigheter med tilsynsansvar for forebyggende sikkerhetsarbeid, bør disse myndighetene også gjennomføre tilsyn med virksomheter som omfattes av den nye loven. Samtidig må Nasjonal sikkerhetsmyndighet ha en sentral rolle overfor de enkelte sektormyndigheter for å sikre en helhetlig tilnærming til det forebyggende sikkerhetsarbeidet.
Utvalget anbefaler at det opprettes et tvisteorgan for å avgjøre uenigheter mellom virksomheter som omfattes av loven og myndigheter, og myndigheter imellom. Et slikt tvisteorgan er viktig for å ivareta rettssikkerheten til virksomheter som gjennom enkeltvedtak blir underlagt loven, og for å sikre samfunnsøkonomisk lønnsomme prioriteringer. For virksomhetene vil tvisteorganet tjene som en rettssikkerhetsgaranti. Ved uenighet mellom myndigheter skal tvisteorganet sørge for en rask og uavhengig avgjørelse.
Forvaltningsansvaret for sikkerhetsloven bør etter utvalgets syn fortsatt tilligge Forsvarsdepartementet. Imidlertid er det også ved utøvelsen av denne myndigheten helt avgjørende med god samhandling mellom de berørte aktørene. Ikke minst forutsettes det et godt samarbeid med Justis- og beredskapsdepartementet, som har det overordnede og koordinerende ansvaret for forebyggende sikkerhet i de sivile samfunnssektorene.
2.3 Rådgivning og informasjonsdeling
Innsikt i det aktuelle trusselbildet er en forutsetning for at den enkelte virksomhet skal være i stand til å kunne gjøre gode risikovurderinger og iverksette de riktige sikkerhetstiltakene. Flere aktører utvalget har vært i kontakt med har uttrykt et klart behov for mer og oppdatert informasjon om trusselbildet.
For å kunne motta tilstrekkelig informasjon om trusselbildet, må virksomheten omfattes av sikkerhetsloven slik at den er i stand til å motta og behandle sikkerhetsgradert informasjon. Et relevant og tilstrekkelig informasjonsgrunnlag om det aktuelle trusselbildet, må gjøres tilgjengelig i en form som er tilpasset og anvendbar for de virksomhetene som omfattes av loven.
Utvalget foreslår en tydeliggjøring og fremheving av sikkerhetsmyndighetens rådgivningsplikt overfor virksomheter som omfattes av loven. Nasjonal sikkerhetsmyndighet bør ha en fremoverlent og aktiv rolle overfor virksomhetene og være på tilbudssiden i sin rådgivningsvirksomhet. En slik rådgivning vil blant annet kunne bidra til økt forståelse hos virksomhetene om hvordan det forebyggende sikkerhetsarbeidet bør innrettes for å få størst mulig effekt.
Utvalget foreslår å lovfeste en plikt for Nasjonal sikkerhetsmyndighet til å legge til rette for og koordinere at nødvendig informasjon gjøres tilgjengelig for virksomheter og myndigheter som omfattes av loven. Andre myndighetsaktører som Etterretningstjenesten og Politiets sikkerhetstjeneste, har en sentral rolle i utarbeidelsen av trusselvurderinger. Sikkerhetsmyndighetens tilretteleggings- og koordineringsplikt fordrer således en tett og god samhandling med andre relevante myndighetsaktører.
For å kunne ha en god og oppdatert oversikt over sikkerhetstilstanden, er det nødvendig at Nasjonal sikkerhetsmyndighet mottar relevant informasjon om sikkerhetsrelaterte hendelser. Utvalget foreslår derfor en plikt til å rapportere slike hendelser for virksomheter som er underlagt loven. Dette vil også sette myndighetene bedre i stand til å forstå trusselbildet og iverksette nødvendige tiltak for å forebygge, samt bidra til å dele informasjon med andre utsatte samfunnssektorer og virksomheter.
I tillegg til generell informasjon om trusselbildet vil virksomheter underlagt loven kunne få konkret råd og veiledning fra sikkerhetsmyndighetene om hvordan det forebyggende sikkerhetsarbeidet bør innrettes for å få størst mulig effekt.
2.4 Beskyttelse av informasjonssystemer
Digitaliseringen av samfunnet har bidratt til økt IKT-avhengighet for virksomheter som understøtter grunnleggende nasjonale funksjoner. Digitale angrep utgjør en alvorlig og økende trussel mot norske verdier, og det oppdages stadig nye sårbarheter i IKT-systemene.
Utfordringene begrenser seg ikke til informasjonssystemer som behandler sikkerhetsgradert informasjon. Utvalget anbefaler derfor at alle informasjonssystemer som er av kritisk betydning for grunnleggende nasjonale funksjoner, omfattes av loven. Det vil omfatte alt fra tradisjonelle informasjons- og kommunikasjonssystemer til kontroll- og styringssystemer. Avgjørende for om informasjonssystemet skal beskyttes etter loven, er hvilken rolle systemet har i virksomhetens understøttelse av en grunnleggende nasjonal funksjon.
2.5 Beskyttelse av infrastruktur
Beskyttelse av objekter og infrastruktur av kritisk betydning for grunnleggende nasjonale funksjoner er ett av hovedelementene i forebyggende nasjonal sikkerhet. Det er særlig tre forhold som må være på plass for å oppnå et forsvarlig sikkerhetsnivå på dette området.
For det første må det gå klart frem av loven at det ikke er hensiktsmessig bare å vurdere beskyttelsesbehovet for hvert enkelt objekt isolert. Gjensidige avhengigheter i og mellom sektorer gjør det helt nødvendig å se på objektene i de systemene de er en del av. Utvalget mener det er viktig å ha et slikt systemfokus i forebyggende sikkerhet, og har derfor foreslått at dette gjenspeiles i loven gjennom å lovregulere også skjermingsverdig infrastruktur.
Utvalget foreslår en videreføring av dagens systematikk, der ansvarlig departement for den enkelte samfunnssektor har det primære ansvaret for å utpeke, klassifisere og holde oversikt over skjermingsverdige objekter og infrastruktur.
Utvidelsen av lovens virkeområde gjør det også nødvendig med en mer funksjonell tilnærming til beskyttelse av slike objekter og infrastruktur. Det primære ansvaret for å sikre at objektene og infrastrukturen har et forsvarlig sikkerhetsnivå, tilligger den enkelte virksomhet. Også på dette området må det være en forutsetning at tiltakenes kostnader står i et rimelig forhold for til den sikkerhetsmessige effekten som oppnås. Ved vurderingen av hva som er forsvarlig, vil virksomhetene også måtte se hen til gjensidige avhengigheter og deres rolle i understøttelsen av en grunnleggende nasjonal funksjon.
2.6 Personellsikkerhet
Personellsikkerhet er et sentralt virkemiddel for å forebygge og avdekke at utro tjenere får tilgang til informasjon eller områder hvor skadepotensialet er stort. Dette er samtidig et område som må være strengt regulert, særlig av hensyn til de krav legalitetsprinsippet stiller til klare hjemmelsgrunnlag og kravene til tilfredsstillende rettssikkerhetsgarantier ved inngrep i personvernet.
Utvalget mener at dagens regelverk for personellsikkerhet i hovedsak har en hensiktsmessig tilnærming. Utvalget anbefaler imidlertid enkelte justeringer i loven, dels for å legge til rette for en mer effektiv behandling av klareringssaker og dels for å gjøre regelverket mer fleksibelt for individuelle tilpasninger.
Utvalget foreslår at det gis hjemmel for å foreta adgangsklarering for tilgang til skjermingsverdige objekter eller infrastruktur. En adgangsklarering vil innebære en mindre omfattende prosess enn en sikkerhetsklarering, samtidig vil den gi et bredere informasjonstilfang enn en ordinær vandelskontroll på grunnlag av en politiattest. Det overlates til det enkelte fagdepartement å treffe vedtak om krav til slike adgangsklareringer for konkrete objekter eller infrastruktur som utpekes i medhold av loven.
Utvalget mener det i større grad bør tas høyde for at forhold av betydning for en klarering kan endre seg innenfor en klarerings gyldighetstid. Utvalget foreslår derfor at klareringsmyndigheten skal få adgang til å anmode om fornyet personkontroll ved mistanke om nye forhold og som ledd i den sikkerhetsmessige oppfølgingen av vedkommende.
I tillegg foreslår utvalget en hjemmel for å kunne dele nærmere angitt informasjon med Politiets sikkerhetstjeneste der dette er nødvendig for at tjenesten skal kunne ivareta sitt samfunnsoppdrag, særlig knyttet til forebygging av overtredelser av straffelovens kapittel 17. Slik informasjonsdeling vil være avgrenset til opplysninger knyttet til aktuelle personers klareringsstatus, tjenestested og tilknytning til andre stater.
2.7 Eierskapskontroll
Utvalget har vurdert hvorvidt eksisterende regelverk gir tilstrekkelige virkemidler for å kunne ha kontroll med virksomheter som håndterer informasjon, teknologi og/eller fysiske aktiva av betydning for grunnleggende nasjonale funksjoner. Utvalget mener at det eksisterende regelverket alene ikke kan hindre at nasjonal sikkerhet blir skadelidende ved at strategisk viktige selskaper helt eller delvis blir kjøpt opp av utenlandske aktører. Særlig gjelder dette hensynet til forsyningssikkerhet og beredskap, samt behovet for å beholde nasjonal kontroll på nøkkelkompetanse. Utvalget anbefaler derfor en lovhjemmel som vil gjøre det mulig å kontrollere og i ytterste konsekvens stanse oppkjøp som vurderes å kunne ha skadevirkninger for nasjonal sikkerhet. Bestemmelsen er ment å skulle være en sikkerhetsventil for de tilfeller det vil være uforsvarlig ikke å gripe inn.
2.8 Avslutning
Med forslaget til ny lov om forebyggende nasjonal sikkerhet har utvalget lagt frem et helhetlig system for hvordan forebyggende sikkerhet knyttet til samfunnets mest grunnleggende funksjoner bør ivaretas. Forslaget er ambisiøst, men reflekterer med det også de betydelige utfordringene i sikkerhetsarbeidet som er avdekket i utvalgets arbeid.
Utvalget erkjenner samtidig at en ny sikkerhetslov ikke vil løse alle problemer Norge har i det forebyggende sikkerhetsarbeidet. Utvalget mener likevel at den nye loven vil være et bidrag til å kunne iverksette treffsikre og samfunnsøkonomisk lønnsomme sikkerhetstiltak.
Den foreslåtte nye loven er innrettet slik at den skal kunne stå seg over tid, tåle større samfunnsmessige endringer og teknologisk utvikling, samt dekke fred, krise og krig. Forebyggende sikkerhet må ses i et langsiktig strategisk perspektiv, hvor alle samfunnets tilgjengelige ressurser må trekke i samme retning for å løse de utfordringer nasjonen står overfor. Det vil derfor alltid være en utfordring – men samtidig påkrevet – å heve blikket og vurdere de langsiktige implikasjonene i det daglige forebyggende sikkerhetsarbeidet.
Utvalgets forslag til innretning på den nye loven legger et stort ansvar på de enkelte fagdepartementene, og forutsetter at de ulike samfunnssektorene ivaretar dette ansvaret. Nøkkelbegreper i denne sammenheng er tilstrekkelig kompetanse, samt evne og vilje til samhandling og samarbeid.
Samtidig påligger det regjeringen som kollektiv et særlig ansvar for å påse at forebyggende sikkerhetsarbeid følges opp på en helhetlig og forsvarlig måte.
God samhandling mellom sektormyndigheter og nasjonale myndigheter er essensielt for å oppnå et forsvarlig sikkerhetsnivå. Mange vil huske Gjørv-kommisjonens utsagn om at 22. juli-angrepene er historien om ressursene som ikke fant hverandre, da det gjaldt som mest. Utvalgets arbeid har avdekket at mangelfull samhandling har vært og er et problem også i forbindelse med anvendelsen av den nåværende sikkerhetsloven. Utvalgets viktigste tilbakemelding til samfunnet er derfor en sterk oppfordring til styrket samhandling for sikkerhet.
Fotnoter
Lovvedtak 91, (2015–2016).