Del 4
Særlige merknader og lovforslag
13 Merknader til de enkelte bestemmelsene
Kapittel 1 – Formål og virkeområde
§ 1-1 Lovens formål
Bestemmelsen angir formålet med loven.
I bestemmelsens første ledd slås det for det første fast at den skal bidra til å trygge «Norges suverenitet, territorielle integritet og demokratiske styreform». Angivelsen av disse sikkerhetspolitiske interessene, er ikke en uttømmende oppregning av de grunnleggende nasjonale interessene loven tar sikte på å trygge, men er en fremheving av de interessene det er avgjørende å ivareta. Suverenitet og territoriell integritet skal per definisjon være uavkortet, med de begrensninger og tilpasninger som følger av Norges folkerettslige forpliktelser, herunder EØS-avtalen. Ingen andre land eller organisasjoner skal kunne frata Norge råderett over egne anliggender. Landets øverste statsorganer må ha handlefrihet og kontroll innen norsk territorium. Videre innebærer suverenitet evne til å hevde nasjonens interesser internasjonalt ved at Norge fører en selvstendig og egendefinert utenrikspolitikk. En forsvarlig beskyttelse vil være avgjørende for å opprettholde rettsstatens og demokratiets grunnleggende verdier.
Begrepet tilsiktede uønskede hendelser er nærmere forklart i kapittel 6.7.4. I likhet med dagens sikkerhetslov tar loven sikte på å beskytte grunnleggende nasjonale funksjoner mot terrorhandlinger, sabotasje og spionasje. Loven er imidlertid ikke avgrenset til å gjelde for bare disse truslene. Det er de tilsiktede uønskede hendelsene som kan utgjøre en trussel mot grunnleggende nasjonale funksjoner, det tas sikte på å beskytte mot. Denne avgrensningen vil i seg selv være styrende for hvilke typer tilsiktede hendelser som vil være aktuelle. Eksempelvis vil annen alvorlig kriminalitet, herunder organisert kriminalitet, også kunne ha store skadefølger for grunnleggende nasjonale funksjoner.
Begrepet grunnleggende nasjonale funksjoner er grundig behandlet i kapittel 6.7.2. Begrepet er ment å være en rettslig standard som vil bli endret i takt med den generelle samfunnsutviklingen, og formes i tråd med den systematikken loven for øvrig legger opp til når det gjelder identifisering av slike funksjoner og deres understøttende elementer.
Virkemidler som er tilgjengelige for å sikre grunnleggende nasjonale funksjoner, kan på samme tid gjøre at de samme interessene og verdiene det tas sikte på å beskytte kommer under press. I bestemmelsens andre ledd er det derfor presisert at sikkerhetstiltak som iverksettes for å ivareta lovens formål, skal gjennomføres på en måte som er «forenlig med grunnleggende rettsprinsipper og verdier i et demokratisk samfunn». Med grunnleggende rettsprinsipper og verdier menes blant annet hensynet til den enkeltes personvern og rettssikkerhet. I dette ligger en presiseringen av at det kun er de sikkerhetsmessige tiltakene som er nødvendige og forholdsmessige, og har en dokumentert effekt, som skal iverksettes. Det ligger også en plikt til å vurdere alternative og mindre inngripende tilnærminger til å oppnå samme effekt.
§ 1-2 Lovens virkeområde
Bestemmelsen angir lovens saklige virkeområde.
Virksomhetsbegrepet i loven, jf. bestemmelsens første ledd, omfatter alle former for virksomhet, uavhengig av eierskap og organisasjonsform, og er således en videreføring av gjeldende sikkerhetslovs virksomhetsbegrep. Ved vurderingen av om en virksomhet omfattes av loven er det uten betydning om det er tale om et privat selskap, foretak, forvaltningsorgan, forvaltningsbedrift, et hel- eller deleid statlig selskap, statsforetak, ideell organisasjon, stiftelse eller annet.
Et vilkår for at virksomheter omfattes av loven er at disse råder over nærmere angitt informasjon, informasjonssystemer objekter eller infrastruktur. Det avgjørende for hvorvidt en virksomhet råder over vil måtte avgjøres konkret i hvert enkelt tilfelle, ut fra en vurdering av om virksomheten har en faktisk og reell innflytelse/påvirkningsmulighet over informasjonen, informasjonssystemet, objektet eller infrastrukturen.
Hva som menes med informasjon er nærmere omtalt i merknaden til § 5-1.
Hva som menes med informasjonssystem er nærmere omtalt i merknaden til § 6-1.
Hva som menes med objekt og infrastruktur er nærmere omtalt i kapittel 9.5.1.
Også virksomheter som driver aktivitet av kritisk betydning for grunnleggende nasjonale funksjoner vil være omfattet av loven. Eksempelvis vil selskaper som har en nøkkelkompetanse som er av betydning for slike kunne tenkes å bli omfattet av loven. Normalt vil virksomheter som driver slik aktivitet, også ha en eller annen form for råderett over informasjon, informasjonssystemer, objekter eller infrastruktur, slik at de uansett vil falle inn under lovens virkeområde.
I begrepet kritisk for grunnleggende nasjonale funksjoner ligger et kvalitetskrav. Det er ikke tilstrekkelig at virksomheter leverer innsatsfaktorer for grunnleggende nasjonale funksjoner, for at de skal falle inn under loven. Det er kun de aktørene som har en så sentral rolle for funksjonene at de må anses som avgjørende for evnen til å opprettholdelse av funksjonsdyktighet, som vil omfattes. Avgjørende for vurderingen er hvilken betydning bortfall eller svekkelse av virksomheten har for den funksjonen som virksomheten understøtter. Den nærmere vurderingen av hvilke virksomheter som konkret vil falle inn under lovens virkeområdet må gjøres konkret, jf. loven § 2-1 om departementenes plikter. Se for øvrig kapittel 6.7.5 og 7.7.1.
For en nærmere omtale av de interessene som er listet opp i første ledd bokstav a til e, vises det til kapittel 6.7.2.
Bokstav a til c er identisk med straffeloven § 121 første ledd bokstav a til c. Praksis knyttet til forståelsen av de ulike forholdene i straffeloven, vil således også være relevante for forståelsen av tilsvarende forholdene i sikkerhetsloven.
Kongen i statsråd er i bestemmelsens andre ledd gitt myndighet til å gi nærmere forskrifter om lovens virkeområde. Myndigheten kan ikke delegeres, jf. den nærmere omtalen av dette i kapittel 7.7.10.
§ 1-3 Særbestemmelser om lovens virkeområde
I motsetning til gjeldende sikkerhetslov § 2 femte ledd, gjøres det ikke direkte unntak for Stortinget og dets organer. Bestemmelsens første ledd slår i stedet fast at loven gjelder for Stortinget og dets organer i den utstrekning Stortinget bestemmer det. Det forutsettes at Stortinget gjør et formelt vedtak om spørsmålet.
Bestemmelsens andre ledd er en videreføring av det vedtatte forslaget i Prop. 97 L (2015–2016) om en lovfesting av en langvarig og fast praksis om at det ikke stilles krav om sikkerhetsklarering og autorisasjon for regjeringens medlemmer og dommere i Høyesterett.
Bestemmelsens tredje ledd er en videreføring av gjeldende lov § 2 fjerde ledd om særregler for sikkerhetsklarering etter domstolloven og straffeprosessloven.
Bestemmelsens fjerde ledd er en videreføring av gjeldende lov § 2 andre ledd om at leverandører til sikkerhetsgraderte anskaffelser automatisk er omfattet av loven.
Bestemmelsens femte ledd er i hovedsak en videreføring av gjeldende lov § 2 sjette ledd, med de tilpasninger som er nødvendige i en modernisert lov. Med bilandene menes Bouvet-øya, Peter I’s øy og Dronning Maud Land, jf. lov 27. februar 1930 nr. 3 § 1.
Kapittel 2 – Myndigheter etter loven
§ 2-1 Departementenes ansvar og myndighet etter loven
Bestemmelsen etablerer lovens systematikk for å identifisere hvilke grunnleggende nasjonale funksjoner som omfattes av loven og en systematikk for å kartlegge virksomheter som har en sentral rolle i understøttelsen av slike funksjoner.
Bestemmelsens første ledd slår fast at hvert enkelt departement er ansvarlig for forebyggende sikkerhet innenfor sitt myndighetsområde. Departementenes myndighetsområde vil følge den til enhver tid sittende regjerings fordeling av ansvar mellom statsrådene og de ulike departementene. Dette innebærer både at de ansvarlige departementene gis myndighet til å fatte vedtak overfor virksomheter i egen sektor, og et særlig ansvar for å følge opp at det skjer et forsvarlig forebyggende sikkerhetsarbeid i sektoren. Ved endring av departementsstrukturen, forutsettes det at regjeringen tar stilling til mulige konsekvenser for fordeling av myndighetsområder etter loven.
Første ledd bokstav a til c slår fast departementenes fremgangsmåte for å identifisere og fatte vedtak overfor de virksomheter som skal omfattes av loven. Det foreslås her en modell som består av tre trinn.
Departementene skal i henhold til bokstav a, først identifisere hvilke grunnleggende nasjonale funksjoner som finnes innenfor eget myndighetsområde. Med holde oversikt over menes at departementenes identifisering skal være en dynamisk prosess som må oppdateres ved behov.
På bakgrunn av departementenes oversikt over grunnleggende nasjonale funksjoner, plikter departementene etter bokstav b, å identifisere og holde oversikt over virksomheter som er av vesentlig betydning for understøttelsen av slike funksjoner.
Det at en virksomhet identifiseres som en virksomhet av vesentlig betydning innebærer ikke at det påhviler virksomheten plikter etter loven. Det er imidlertid viktig at departementene til enhver tid har en oversikt over hvilke innsatsfaktorer grunnleggende nasjonale funksjonene er avhengige av for å kunne opprettholde sin funksjonalitet. Generelle samfunnsmessige endringer, eller endringer i det gjeldende trusselbildet, kan også medføre at virksomheter som tidligere ikke har blitt ansett som kritiske, blir det. Systematikken det legges opp til i bestemmelsen er ment å skulle legge til rette for at slike endringer blir fanget opp.
Ut fra den totale oversikten over grunnleggende nasjonale funksjoner og virksomheter av vesentlig betydning for disse, skal departementet treffe enkeltvedtak overfor de virksomheter som er av kritisk betydning for de aktuelle funksjonene, jf. bestemmelsen første ledd bokstav c. Ved vurderingen av om en virksomhet er av kritisk betydning må det sees hen til virkeområdebestemmelsen i § 1-2, herunder om den aktuelle virksomheten råder over informasjon, informasjonssystemer, objekter eller infrastruktur, eller driver aktivitet, av slik betydning for grunnleggende nasjonale funksjoner.
I bestemmelsens andre ledd første punktum pålegges departementene en varslingsplikt til de virksomheter departementet har til hensikt å treffe vedtak overfor, jf. forvaltningsloven § 16. En slik forutgående varsling vil gi den aktuelle virksomheten mulighet til å kunne fremme sine synspunkter, før vedtak treffes. Bestemmelsens andre ledd andre punktum, slår fast at selvstendige rettssubjekter har rett til å påklage departementets vedtak etter første ledd bokstav c. Med selvstendige rettssubjekter menes enhver virksomhet som et departement ikke innehar alminnelig instruksjons-, organisasjons- og kontrollmyndighet overfor, i praksis alle virksomheter som ikke er en del av staten som rettssubjekt. For selvstendige rettssubjekters klageadgang, gjelder forvaltningslovens kapittel VI.
I bestemmelsens tredje ledd pålegges departementene å holde Sikkerhetsmyndigheten orientert om oversikter og vedtak som fattes etter første ledd bokstav a til c. Formålet med denne bestemmelsen er å legge til rette for at Sikkerhetsmyndigheten skal kunne ivareta sitt ansvar etter § 2-2.
I bestemmelsens fjerde ledd første punktum gis Sikkerhetsmyndigheten en forslagsrett overfor ansvarlig departement. Sikkerhetsmyndigheten har et sektorovergripende ansvar etter § 2-2, og vil kunne se gjensidige avhengigheter på tvers av samfunnssektorene, som det enkelte departement ikke nødvendigvis har forutsetninger for å identifisere. I tillegg vil Sikkerhetsmyndigheten kunne påpeke mangler i departementenes identifisering av, og vedtak overfor, virksomheter.
Dersom det aktuelle departement velger å ikke følge de forslag Sikkerhetsmyndigheten kommer med, gis Sikkerhetsmyndigheten i fjerde ledd andre punktum rett til å bringe saken inn for Tvisteorganet dersom Sikkerhetsmyndigheten vurderer departementets unnlatelse som uforsvarlig. At departementets unnlatelser må være uforsvarlig innebærer at terskelen for hvilke unnlatelser som kan bringes inn for Tvisteorganet, vil være høy. Hva som vil være uforsvarlig i den konkrete sak, må også ses i sammenheng med den rettslige standarden i § 4-1 tredje ledd, se merknad til denne.
I bestemmelsens femte ledd gis Kongen i statsråd myndighet til å fastsette nærmere bestemmelser om departementenes ansvar og myndighet. At myndigheten legges til Kongen i statsråd innebærer at forskriftsmyndigheten etter bestemmelsen, ikke kan delegeres.
§ 2-2 Sikkerhetsmyndigheten
Bestemmelsen angir Sikkerhetsmyndighetens ansvar og myndighet etter loven. I praksis vil funksjonen som sikkerhetsmyndighet ivaretas av den aktøren som får delegert myndigheten fra forvaltningsansvarlig departement.
I bestemmelsens første ledd første punktum slås det fast at Sikkerhetsmyndigheten har det sektorovergripende ansvaret for forebyggende sikkerhetsarbeid i medhold av loven. Sikkerhetsmyndighetens ansvar griper ikke inn i de enkelte departementenes ansvar innen eget myndighetsområde. Med sektorovergripende ansvar menes i første rekke ansvaret for at forebyggende sikkerhetsarbeid etter loven har en helhetlig tilnærming og ansvaret for å koordinere sikkerhetsarbeidet mellom ulike departementer og ulike relevante sektormyndigheter. Sikkerhetsmyndighetens ansvar er nærmere konkretisert i første ledd bokstav a til e.
Etter bokstav a plikter Sikkerhetsmyndigheten å påse at det føres tilsyn med de virksomheter som er underlagt loven. De nærmere reglene om tilsyn følger av loven kapittel 3.
Bokstav b regulerer Sikkerhetsmyndighetens råd- og veiledningsansvar etter loven. Sikkerhetsmyndigheten skal ha en aktiv rolle når det gjelder konkret rådgivning overfor virksomhetene. For en nærmere omtale av råd- og veiledningsplikten vises det til kapittel 7.7.3.
Bokstav c omhandler Sikkerhetsmyndighetens ansvar for å utarbeide generelle veiledninger og rundskriv innen de ulike fagområdene loven omfatter. Plikten til å utarbeide denne type informasjon er en sentral fagmyndighetsoppgave.
I bokstav d pålegges Sikkerhetsmyndigheten å holde en tverrsektoriell og nasjonal oversikt over de funksjoner og virksomheter som er blitt identifisert av departementene etter § 2-1 første ledd bokstav a til c. Plikten til å holde en slik tverrsektoriell oversikt er en sentral del av Sikkerhetsmyndighetens sektorovergripende ansvar, og vil også danne grunnlaget for Sikkerhetsmyndighetens forslagsrett overfor departementene når det gjelder virksomheter som bør underlegges loven.
Den tverrsektorielle oversikten innbefatter også et særskilt ansvar for å identifisere gjensidige avhengigheter på tvers av samfunnssektorer og på tvers av virksomheter, slik at denne type avhengigheter kan synliggjøres overfor de ansvarlige departementene.
I bokstav e er Sikkerhetsmyndigheten gitt myndighet til å kunne treffe enkeltvedtak overfor virksomheter som ikke anses å falle inn under et departements ansvarsområde. Myndigheten korresponderer med departementenes myndighet etter § 1-2 første ledd bokstav c, og skal fange opp de virksomheter som ikke naturlig tilhører en klart definert samfunnssektor. Et eksempel her vil kunne være virksomheter innen satellittbaserte tjenester, hvor det i dag er til dels uoversiktlige ansvarslinjer, se kapittel 7.4.8.
Bestemmelsens andre ledd slår fast at varslingsplikten og klageretten etter § 2-1 andre ledd gjelder tilsvarende for Sikkerhetsmyndighetens vedtak overfor virksomheter.
§ 2-3 Informasjon om trusselvurderinger og risikohåndtering
Bestemmelsen omhandler Sikkerhetsmyndighetens ansvar for å legge til rette for, og koordinere, informasjon om trusselvurderinger. At bestemmelsen er innrettet som en tilretteleggings- og koordineringsplikt, skyldes primært at Sikkerhetsmyndigheten ikke vil ha full råderett over all trussel- og sikkerhetsinformasjon. For informasjon som utarbeides av andre relevante aktører, herunder Politiets sikkerhetstjeneste og Etterretningstjenesten, vil det i siste instans være opp til disse tjenestene hvorvidt de har anledning til å dele denne informasjonen. All informasjonsutveksling etter denne bestemmelsen må skje innenfor rammene av lovbestemt taushetsplikt og innenfor rammene av den enkelte aktørs lovmessige adgang til å dele slik informasjon.
Etter bestemmelsens første ledd plikter Sikkerhetsmyndigheten å legge til rette for at sektormyndigheter og virksomheter som er underlagt loven, får tilgang til informasjon som er nødvendig for å sette disse i stand til å etterleve sine plikter etter loven, eksempelvis virksomhetenes plikt til å gjennomføre risiko- og sårbarhetsanalyse, jf. § 4-3.
Som nevnt ovenfor er det flere aktører som har ansvar for å utarbeide ulike former for trusselvurderinger og annen sikkerhetsrelevant informasjon. Etter bestemmelsens andre ledd pålegges Sikkerhetsmyndigheten å koordinere tilgjengeliggjøring av slik informasjon. I tillegg skal Sikkerhetsmyndigheten påse at det etableres nødvendige arenaer for informasjons- og erfaringsutveksling. Av hensyn til de ulike samfunnssektorenes særegenheter og ulike behov, kan det være hensiktsmessig å ha sektorvise fora for slik erfarings- og informasjonsutveksling.
§ 2-4 Nasjonal responsfunksjon for alvorlige dataangrep
Bestemmelsen er en videreføring av det vedtatte forslaget i Prop. 97 L (2015–2016) til lovfesting av NorCERT og varslingssystemet for digital infrastruktur, jf. lovforslaget § 9 første ledd bokstav e og § 10a.
Bestemmelsen er ikke ment å innebære noen materiell endring fra det opprinnelige lovforslaget, se kapittel 7.3.3 og 7.7.6.
§ 2-5 Vedtaksmyndighet for Kongen i statsråd
Bestemmelsen er i det vesentlige en videreføring av det vedtatte forslaget om vedtaksmyndighet for Kongen i statsråd i Prop. 97 L (2015–2016), jf. lovforslaget § 5a andre ledd. Bestemmelsen gir Kongen i statsråd myndighet til å fatte vedtak om å stanse, begrense eller endre aktiviteter som medfører skadevirkninger på grunnleggende nasjonale funksjoner. Med stor grad av sannsynlighet menes at det må foreligge mer enn alminnelig sannsynlighetsovervekt for at den aktuelle aktiviteten kan medføre slik skade. Hvorvidt sannsynlighetskravet er oppfylt må vurderes konkret.
I bestemmelsens andre ledd slås det fast at vedtak etter bestemmelsen skal være proporsjonalt med den risiko som aktiviteten utgjør.
Dersom saken av hensyn til potensielle skadevirkninger ikke kan utredes tilstrekkelig før vedtak treffes, skal det i medhold av bestemmelsens fjerde ledd gjennomføres en etterfølgende saksbehandling med sikte på å rette slik mangler.
For en nærmere omtale av bestemmelsen, vises det til kapittel 7.7.8.
Bestemmelsen må også sees i sammenheng med virksomhetenes varslingsplikt etter § 4-6 første ledd bokstav c, jf. tredje ledd.
§ 2-6 Klage og tvisteløsning
Bestemmelsen gir nærmere anvisning på hvordan klager og tvister etter loven skal behandles.
I bestemmelsens første ledd første punktum slås det fast at vedtak som fattes med hjemmel i loven som hovedregel kan bringes inn for Tvisteorganet for forebyggende sikkerhet. Tvisteorganet er nærmere omtalt i merknaden til § 2-7. I første ledd andre punktum gjøres det for det første unntak for de vedtak som fattes med hjemmel i §§ 2-5, 9-4 eller 10-1. Felles for de opplistede vedtakshjemlene er at myndighet til å fatte vedtak er lagt til Kongen i statsråd. Disse vedtakene kan ikke påklages, men tvister kan på vanlig måte bringes inn for domstolene for overprøving. I tillegg gjøres det unntak for vedtak som nevnt i andre ledd.
I bestemmelsens andre ledd slås det fast at vedtak fattet i medhold av lovens kapittel 8 om personellsikkerhet, kan påklages til Sikkerhetsmyndigheten, og til departementet der Sikkerhetsmyndigheten er klareringsmyndighet. Dette er en videreføring av gjeldende sikkerhetslovs regulering av klagemuligheten for klareringssaker, se de særlige merknadene til lovens kapittel 8.
I bestemmelsens tredje ledd slås det fast at forvaltningslovens kapittel VI gjelder for selvstendige rettssubjekter klageadgang etter loven. Det følger av bestemmelsens første og andre ledd at klageinstansen er henholdsvis Tvisteorganet og Sikkerhetsmyndigheten. Dette er unntak fra hovedregelen i forvaltningsloven § 28 første ledd. For virksomheter som er underlagt departementenes alminnelige instruksjons- og kontrollmyndighet gjelder ikke klageadgangen.
§ 2-7 Tvisteorgan for forebyggende nasjonal sikkerhet
I bestemmelsen gis det nærmere prosedyreregler for utpeking av Tvisteorganet og for oppnevning av organets medlemmer. Tvisteorganets organisering og myndighet er nærmere omtalt i kapittel 7.7.7.
I bestemmelsens andre ledd slås det fast at det ved oppnevning av medlemmer til tvisteorganet, også skal legges vekt på kompetanse innen personvern og rettssikkerhet. Tvisteorganet er en sentral rettssikkerhetsgaranti for selvstendige rettssubjekter som blir underlagt loven ved enkeltvedtak, og det er derfor viktig at tvisteorganet består av medlemmer som besitter kompetanse som er relevant for selvstendige rettssubjekter, i tillegg til sikkerhetsfaglig kompetanse.
Av bestemmelsens fjerde ledd fremgår det at tvisteorganet skal avgi en årlig rapport. Formålet med slik rapportering er dels å gi allmennheten informasjon om Tvisteorganets virke og dels å gi relevante aktører mer konkret informasjon om praksis av betydning. Rapporteringen bør derfor innrettes slik at i hvert fall deler av innholdet er egnet for offentliggjøring.
Kapittel 3 – Tilsyn etter loven
§ 3-1 Tilsyn med virksomheter
Bestemmelsen regulerer fordeling av tilsynsansvar etter loven.
I bestemmelsens første ledd slås det fast at Sikkerhetsmyndigheten skal føre tilsyn med departementenes gjennomføring av loven.
I bestemmelsens andre ledd gis ansvarlig departement myndighet til å bestemme at tilsynsfunksjonen etter loven kan ivaretas av en sektormyndighet. Med ansvarlig departement menes i denne sammenheng det departement som i medhold av § 2-1 har det overordnede ansvaret for forebyggende sikkerhet i den aktuelle samfunnssektoren. Et vilkår for at departementet kan treffe en slik beslutning er at det finnes en sektormyndighet i den aktuelle samfunnssektoren som har en tilsynsfunksjon «som omfatter beskyttelse av informasjon, informasjonssystemer, objekter eller infrastruktur». At oppregningen er alternativ, innebærer at tilsynsfunksjonen ikke trenger å omfatte alle elementer. Hvorvidt tilsynsmyndigheten skal tillegges en sektormyndighet beror på en helhetsvurdering, hvor det blant annet må tas stilling til om den aktuelle sektormyndigheten har nødvendig sikkerhetsfaglig kompetanse til å ivareta tilsynsansvaret på en forsvarlig måte.
I bestemmelsens tredje ledd slås det fast at Sikkerhetsmyndigheten skal ha tilsynsansvaret i samfunnssektorer der det ikke finnes sektormyndigheter som nevnt i andre ledd. Denne tilsynsfunksjonen er basert på samarbeidsmodellen i § 3-2.
Sikkerhetsmyndigheten skal i henhold til bestemmelsens fjerde ledd føre tilsyn med de sektormyndighetene som er tillagt tilsynsansvar i medhold av andre ledd. Tilsynsansvaret overfor sektormyndighetene må sees i sammenheng med Sikkerhetsmyndighetens sektorovergripende ansvar og ansvaret for å påse at det føres tilsyn med gjennomføringen av lovens bestemmelser, jf. § 2-2 første ledd bokstav a.
§ 3-2 Sikkerhetsmyndighetens samarbeid med sektormyndigheter
Bestemmelsen regulerer samhandlings- og koordineringsplikten mellom Sikkerhetsmyndigheten og relevante sektormyndigheter innen de ulike samfunnssektorene. Bestemmelsen må sees i sammenheng med fordeling av tilsynsansvaret etter § 3-1.
Bestemmelsens første ledd slår fast en samarbeidsplikt mellom Sikkerhetsmyndigheten, sektormyndigheter tillagt tilsynsansvar etter loven og andre relevante myndigheter som har tilsynsfunksjoner etter annet regelverk.
Bestemmelsens andre ledd slår fast et prinsipp om at gjennomføring av tilsyn, så langt det er mulig, skal samordnes og koordineres mellom Sikkerhetsmyndighet og aktuelle tilsynsmyndigheter. Dette gjelder både i forhold til tilsynsmyndigheter med oppgaver som nevnt i § 3-1 andre ledd, og for andre tilsynsmyndigheter som fører tilsyn på andre områder. Formålet med bestemmelsen er å etablere en koordineringsplikt mellom tilsynsorganer, slik at den totale belastningen for tilsynsobjektene ikke blir høyere enn strengt nødvendig. En slik koordinering kan skje på flere måter, enten ved at tilsyn samordnes slik at det gjennomføres felles samtidige tilsyn eller ved at det avtales hvilke tidspunkter tilsyn skal skje på, slik at tilsynsobjektene ikke blir utsatt for to ulike tilsyn over en kort tidsperiode.
Etter bestemmelsens tredje ledd skal samarbeidet mellom Sikkerhetsmyndigheten og sektormyndighet tillagt tilsynsansvar etter § 3-1, formaliseres gjennom en samarbeidsavtale. En slik samarbeidsavtale bør som minimum omhandle ansvarsfordelingen mellom partene og hvordan den konkrete samhandlingen mellom dem skal skje.
I bestemmelsens fjerde ledd gis Sikkerhetsmyndigheten myndighet til å utarbeide og vedlikeholde grunnleggende kriterier for tilsyn etter loven (bokstav a) og forestå opplæring av sektormyndighetenes tilsynspersonell (bokstav b). En forutsetning for at Sikkerhetsmyndigheten skal kunne ivareta sitt sektorovergripende ansvar etter § 2-2, er at myndigheten gis en mulighet til å påvirke hva det skal føres tilsyn med, hvordan dette skal gjøres, samt mulighet til å sikre at tilsynspersonellet har den nødvendige kompetansen. Med «grunnleggende kriterier for tilsyn etter loven» menes overordnede føringer som sikrer at lovens formål ivaretas på en forsvarlig måte, også der tilsynsansvaret er delegert til aktuelle sektormyndigheter. Sektormyndighetene vil samtidig ha adgang til å supplere disse overordnede føringene med spesifikke kriterier som er tilpasset den enkelte samfunnssektor.
Bestemmelsens femte ledd første punktum regulerer Sikkerhetsmyndighetens adgang til å delta i forberedelse og gjennomføring av sektormyndighetenes tilsyn. Sikkerhetsmyndighetens rett til å delta er dels begrunnet i det sektorovergripende ansvaret, og dels Sikkerhetsmyndighetens behov for innsikt i den enkelte samfunnssektor. Gjennom deltakelse på tilsyn vil Sikkerhetsmyndigheten både kunne kvalitetssikre at tilsyn skjer på en sikkerhetsmessig forsvarlig måte og kunne bidra med sin sikkerhetsfaglige kompetanse. Etter femte ledd andre punktum kan sektormyndigheten anmode Sikkerhetsmyndigheten om bistand til forberedelser og/eller gjennomføring av tilsyn. Samhandlingen mellom Sikkerhetsmyndigheten og sektormyndighetene, herunder eventuell deltakelse på tilsyn, bør fortrinnsvis reguleres i samarbeidsavtalen mellom partene, jf. bestemmelsens tredje ledd. Sikkerhetsmyndighetens adgang til å kreve å delta, vil således fungere som en sikkerhetsventil for de tilfeller der det ut fra sikkerhetsfaglige hensyn anses nødvendig.
Bestemmelsen sjette ledd regulerer sektormyndighetenes rapporteringsplikt til Sikkerhetsmyndigheten. Formålet med rapporteringsplikten er å sikre at Sikkerhetsmyndigheten får tilgang til nødvendig informasjon for å kunne ivareta sitt sektorovergripende ansvar. Noen tilsynsaktiviteter vil være løpende, andre periodiske og atter andre hendelsesbaserte. I tillegg vil det kunne være tale om både stedlige tilsyn og dokumentbaserte tilsyn, muligens også maskinelt baserte tilsyn (testing). Det vil ikke foreligge noen rapporteringsplikt i alle slike tilfeller, derav henvisningen til at plikten er begrenset til rapportering av hovedfunn. De nærmere reglene for hvilke typer tilsynsaktiviteter som skal rapporteres bør konkretiseres på forskriftsnivå, jf. bestemmelsens sjuende ledd.
§ 3-3 Generelle prinsipper for tilsyn
Bestemmelsen angir de generelle prinsippene for gjennomføring av tilsyn etter loven. Bestemmelsen gjelder både for Sikkerhetsmyndigheten og for sektormyndigheter tillagt tilsynsansvar etter loven.
I bestemmelsens første ledd slås det fast at tilsyn etter loven skal skje på en slik måte at det virker minst mulig forstyrrende på daglig drift. Tilsyn kan være en belastning for de virksomheter som utsettes for dette, både ved at det er ressurskrevende for tilsynsobjektene å forberede tilsyn og ved at stedlig tilsyn potensielt kan medføre at den daglige drift blir redusert i den tidsperioden tilsynet pågår. En god forutgående dialog, der dette er mulig uten å undergrave formålet med tilsynet, vil i de fleste tilfeller kunne redusere unødvendig merarbeid og potensiell negativ innvirkning på daglig drift.
Bestemmelsens andre ledd angir en formålsavgrensning for bruk av opplysninger som tilsynsmyndigheten innhenter som ledd i tilsynet.
Tredje ledd er en presisering av at forvaltningslovens bestemmelser om taushetsplikt gjelder for tilsynspersonellet. I den utstrekning personellet får informasjon som er sikkerhetsgradert etter sikkerhetsloven, vil personellet også ha taushetsplikt om slik informasjon, jf. § 5-3 andre ledd.
§ 3-4 Stedlig tilsyn
Gjennomføring av stedlige tilsyn forutsetter at tilsynsmyndigheten får tilgang til tilsynsobjektet, enten det er informasjon, objekt eller infrastruktur.
Bestemmelsens første ledd fastslår at tilsynsmyndigheten kan kreve å få tilgang der dette er nødvendig for en forsvarlig gjennomføring av tilsynet.
Bestemmelsens andre ledd slår fast at tilsyn som hovedregel skal varsles skriftlig. Med normalt varsles tas det forbehold om at forutgående varsel i enkelte tilfeller ikke vil være mulig eller ønskelig, da dette vil kunne undergrave formålet med tilsynet.
§ 3-5 Tilsynsmyndighetens behandling av personopplysninger
Bestemmelsen inneholder særlige bestemmelser om tilsynsmyndighetens behandling av personopplysninger. Bestemmelsen i § 4-7 om personopplysningsvern gjelder generelt for all behandling av personopplysninger etter loven.
Som ledd i tilsynsvirksomheten vil tilsynsmyndigheten kunne få tilgang til personopplysninger, enten fordi det er behov for å behandle slike opplysninger eller som overskuddsinformasjon sammen med annen informasjon som er relevant for gjennomføring av tilsyn.
Bestemmelsens første ledd etablerer et generelt hjemmelsgrunnlag for behandling av personopplysninger der dette er nødvendig for å utføre tilsynsoppgavene etter loven.
I bestemmelsens andre ledd slås det fast at tilsynsmyndighetens behandling av personopplysninger kun kan skje der dette etter konkret vurdering fremstår som nødvendig og proporsjonalt i forhold til det inngrepet behandlingen representerer. Bestemmelsen er en lovfesting av nødvendighets- og proporsjonalitetsprinsippet.
I tredje ledd gis det nærmere prosedyreregler for tilsynsmyndighetenes behandling av personopplysninger. Som hovedregel skal personopplysninger kun behandles ved hjelp av virksomhetens egne informasjonssystemer. Tilsynsmyndigheten kan kun kreve kopi av personopplysninger i den utstrekning dette er nødvendig for å påvise eller avkrefte lovbrudd. Dersom det tas slik kopi av personopplysninger plikter tilsynsmyndigheten å varsle virksomheten om at dette er gjort.
§ 3-6 Pålegg
Bestemmelsen regulerer vilkårene for at det skal kunne ilegges pålegg etter loven, samt hvordan påleggsmyndigheten er fordelt.
I bestemmelsens første ledd slås det fast at to vilkår må være oppfylt for at det skal kunne ilegges pålegg etter loven. For det første må det være «utvilsomt at tiltaket er nødvendig» for å ivareta lovens formål. Med dette menes at den sikkerhetsmessige effekten ved pålegg om å iverksette sikkerhetstiltak må kunne dokumenteres med høy grad av sannsynlighet. For det andre må de kostnadene som påføres virksomheten som følge av pålegget «stå i et rimelig forhold til det som kan oppnås». Med dette menes at det må foretas en konkret vurdering av om nytten som kan oppnås for samfunnet, står i et rimelig forhold til de kostnadene pålegget fører med seg. Dette slik at sikkerhetstiltakene som pålegges ikke antas å bli uforholdsmessig kostbare for den enkelte virksomhet. Vilkåret må sees i sammenheng med § 4-1 andre ledd.
Bestemmelsens andre ledd fordeler påleggsmyndigheten mellom Sikkerhetsmyndigheten og relevante sektormyndigheter, hvor påleggsmyndigheten tilligger den aktøren som er tillagt tilsynsansvaret i medhold av § 3-1.
I medhold av bestemmelsen tredje ledd er Sikkerhetsmyndigheten gitt myndighet til å ilegge sektormyndigheter pålegg. Et vilkår for å kunne ilegge slike pålegg er at det vurderes som nødvendige å sikre at lovens formål ivaretas.
I bestemmelsens fjerde ledd første punktum slås det fast at pålegg kan påklages til Tvisteorganet. Dette gjelder også når Sikkerhetsmyndigheten har gitt pålegg til en sektormyndighet. For selvstendige rettssubjekter gjelder forvaltningsloven kapittel VI, jf. fjerde ledd andre punktum.
Kapittel 4 – Generelle krav til forebyggende sikkerhet
§ 4-1 Plikt til å gjennomføre sikkerhetstiltak
Bestemmelsen regulerer de generelle pliktene til å gjennomføre sikkerhetstiltak for virksomheter som er underlagt loven ved enkeltvedtak, jf. §§ 2-1 første ledd bokstav c og 2-2 første ledd bokstav e.
Bestemmelsens første ledd understreker at forebyggende risikoreduserende tiltak mot tilsiktede uønskede hendelser omfatter både tiltak som reduserer sannsynligheten for at hendelsen inntreffer (bokstav a) og tiltak som reduserer konsekvensene av hendelsen ved å redusere skadeomfanget (bokstav b). Nødvendig reduksjon av risiko oppnås ved å vurdere og iverksette enkeltstående tiltak eller kombinasjoner av flere typer tiltak. Kombinasjoner av tiltak vil ofte være aktuelt. Tiltak kan være av en art som direkte reduserer sannsynligheten for at hendelser rammer et spesifikt objekt eller en infrastruktur. Eksempler på dette er ulike former for barrierer, systemer for tidlig deteksjon av uønskede hendelser, verifikasjonssystemer og ulike former for reaksjon for å stoppe eller redusere omfanget av slike hendelser. Reduksjon av risiko kan også bestå av tiltak som reduserer skadevirkningene dersom en hendelse inntreffer. Dette kan enten være tiltak som baseres på økt redundans eller økt resiliens, eller kombinasjon av slike tiltak. Høy redundans innebærer at det er flere enheter eller delsystemer som bidrar til å opprettholde funksjonen. Dersom noen av enhetene eller delsystemene mister sin funksjon vil de øvrige kunne fylle funksjonen til den eller de som er falt ut, og dermed forhindre alvorlige konsekvenser. Høy resiliens betyr at funksjonen har stor evne til å raskt gjenopprette normaltilstand dersom hele eller deler av funksjonen blir påvirket av en hendelse. Summen av tiltak som forhindrer at hendelser inntreffer, gir redundans og resiliens, er det som gjør et system robust.
Som grunnlag for virksomhetens sikkerhetstiltak skal virksomheten gjøre en risiko- og sårbarhetsanalyse, jf. bestemmelsen første ledd første punktum og § 4-3.
Begrepet forsvarlig sikkerhetsnivå er en rettslig standard som trekker opp de ytre rammene for hvilket handlingsrom virksomheten har når det gjelder etablering av sikkerhetstiltak. Innholdet i den rettslige standarden er nærmere omtalt i kapittel 7.7.9.
Sikkerhetstiltakene for å oppnå et forsvarlig sikkerhetsnivå skal inkludere alle tiltak for å ivareta lovens formål, herunder informasjonssikkerhet, fysisk sikkerhet og personellsikkerhet, samt andre relevante sikkerhetstiltak. Det er kombinasjonen av relevante tiltak som er avgjørende for om virksomheten kan sies å ha et forsvarlig sikkerhetsnivå, ikke de ulike tiltakene vurdert hver for seg. For enkelte virksomheter vil det være umulig, eller uforholdsmessig kostbart, å etablere sikkerhetstiltak som gjør at tilsiktede uønskede hendelser blir forhindret. Redundante systemer vil imidlertid kunne redusere risikoen for at slike hendelser får kritiske konsekvenser, slik at kravet til forsvarlig sikkerhetsnivå er oppfylt.
I bestemmelsens andre ledd slås det fast at virksomheten, ved vurderingen av hvilke sikkerhetstiltak som skal gjennomføres, skal foreta en forholdsmessighetsvurdering mellom kostnadene ved tiltakene og den sikkerhetsmessige effekten som oppnås. Slike vurderinger må imidlertid gjøres innenfor rammen av det som skal til for å oppnå et forsvarlig sikkerhetsnivå etter første ledd.
Bestemmelsens tredje ledd presiserer at de risiko- og konsekvensreduserende tiltakene som iverksettes for å motvirke tilsiktede uønskede hendelser, kan sees i sammenheng med behov for tiltak for å håndtere annen type risiko. Med dette menes i første rekke at virksomheten bør ha en helhetlig tilnærming til forebyggende sikkerhet ved operasjonaliseringen av krav som følger av sikkerhetsloven og annet regelverk som stiller krav til sikkerhet generelt eller innen en sektor. Tiltak for å forebygge tilsiktede uønskede hendelser (security) og tiltak for å forebygge mot uhell og skadelige naturhendelser (safety), bør med andre ord så langt som mulig sees i sammenheng med hverandre. Et vilkår for at slik planlegging og gjennomføring kan sees i sammenheng, er at kravene etter sikkerhetsloven oppfylles.
§ 4-2 Sikkerhetsstyring
Bestemmelsens første ledd første punktum slår fast at forebyggende sikkerhet er et ledelsesansvar. Myndigheten til å følge opp det forebyggende sikkerhetsarbeidet bør kunne delegeres, men en god forankring hos ledelsen er avgjørende for et godt og tilstrekkelig prioritert sikkerhetsarbeid.
Bestemmelsens andre ledd presiserer at virksomheten har et ansvar for opplæring av eget personell, og en påseplikt overfor underleverandører og andre oppdragstakere. Formålet med bestemmelsen er å uttrykkelig slå fast at en virksomhet ikke kan utkontraktere ansvaret for det forebyggende sikkerhetsarbeidet. Leverandører til sikkerhetsgraderte anskaffelser vil ha en selvstendig plikt til å iverksette forebyggende sikkerhetstiltak, jf. § 1-3 fjerde ledd og loven kapittel 9.
§ 4-3 Risiko- og sårbarhetsanalyse
Bestemmelsens første ledd regulerer virksomhetens plikt til å gjennomføre en risiko- og sårbarhetsanalyse (ROS-analyse) som grunnlag for virksomhetens forebyggende sikkerhetstiltak etter loven. ROS-analysen er et godt verktøy for en systematisk kartlegging av en virksomhets risiko og sårbarhet. ROS-analysen skaper bevissthet og kunnskap om risiko- og sårbarhetsnivået og danner grunnlaget for målrettet å kunne unngå/redusere risiko og sårbarhet mot tilsiktede uønskede hendelser. Analysen gir også grunnlag for prioriteringer og en vurdering av hvilke tiltak som bør iverksettes.
ROS-analysen danner med andre ord fundamentet for virksomhetens gjennomføring av sikkerhetstiltak og sikkerhetsstyring for øvrig. En forutsetning for å kunne gjøre en tilfredsstillende ROS-analyse er at de ulike virksomhetene blir satt i stand til å forstå hvilket trusselbilde som til enhver tid er gjeldende. Bestemmelsen må således sees i sammenheng med Sikkerhetsmyndighetens plikt til aktiv rådgivning og veiledning, jf. § 2-2 første ledd bokstav b og Sikkerhetsmyndighetens plikt til å tilrettelegge og koordinere tilgjengeliggjøring av trusselinformasjon og annen sikkerhetsrelevant informasjon, jf. § 2-3.
I bestemmelsens andre ledd pålegges virksomheten å gjennomgå, og om nødvendig revidere, ROS-analysen på jevnlig basis. Arbeidet med ROS-analysen skal være en dynamisk prosess, som skal ta høyde for endringer i gjeldende trusselsituasjon, virksomhetens sårbarheter eller andre sikkerhetsrelevante endringer. Når, og hvor ofte, en virksomhet må gjennomgå ROS-analysen vil i stor grad være situasjonsbetinget.
Sikkerhetsmyndigheten, eller den sektormyndighet som er gitt tilsynsansvar etter loven, plikter etter bestemmelsens tredje ledd, å bistå virksomheten med råd og veiledning dersom det anmodes om dette, jf. også § 2-2 første ledd bokstav b. Som hovedregel vil plikten til å gi råd og veiledning etter bestemmelsen følge fordelingen av tilsynsansvaret etter § 3-1. Det vil imidlertid kunne være forhold som gjør at ansvarsfordeling bør eller må være annerledes. For enkelte sektormyndigheter vil eksempelvis EØS-rettslige forpliktelser sette begrensninger for hvor langt sektormyndigheten kan gå i forhold til konkret rådgivning overfor virksomheter i egen sektor. Hvorvidt det er Sikkerhetsmyndigheten eller aktuelle sektormyndigheter som skal bistå virksomheten i slike situasjoner, bør fastlegges i samarbeidsavtalen mellom dem, jf. § 3-2 tredje ledd.
§ 4-4 Krav til dokumentasjon
Bestemmelsen regulerer virksomhetens plikt til å dokumentere det forebyggende sikkerhetsarbeidet. Formålet med bestemmelsen er å legge til rette for at tilsyn med virksomhetene etter loven kapittel 3 kan gjennomføres på en effektiv og hensiktsmessig måte.
I bestemmelsens første ledd bokstav a pålegges virksomheten å dokumentere at risiko- og sårbarhetsanalyse, jf. § 4-3, er gjennomført. I henhold til bestemmelsens første ledd bokstav b skal virksomheten også dokumentere at nødvendige tiltak er iverksatt med sikte på å redusere sannsynligheten for, og konsekvensene av, tilsiktede uønskede hendelser. Omfanget av dokumentasjon som er nødvendig for å ivareta formålet med bestemmelsen, bør fastsettes i forskrift, jf. bestemmelsens andre ledd.
Virksomhetens dokumentasjon etter bokstav a og b, vil være sensitiv og sannsynligvis sikkerhetsgradert informasjon, og må behandles deretter både av virksomheten selv og av tilsynsmyndighetene, jf. loven kapittel 5.
§ 4-5 Øvelser
Bestemmelsen regulere virksomhetenes plikt til å gjennomføre øvelser etter loven.
I første ledd slås det fast at slike øvelser skal gjennomføres regelmessig. Med regelmessig menes at øvelser skal gjennomføres med en slik frekvens at formålet med bestemmelsen ivaretas. Formålet med å gjennomføre øvelser er dels å teste om etablerte sikkerhetstiltak fungerer etter hensikten. Dels er formålet å vedlikeholde og videreutvikle kompetansen til virksomhetens personell i håndteringen av tilsiktede uønskede hendelser mot virksomheten. Evaluering etter gjennomført øvelse skal gi et grunnlag for å vurdere behovet for å gjøre nødvendige endringer i virksomhetenes sikkerhetstiltak, og for å vurdere behovet for å styrke personellets kompetanse.
§ 4-6 Varsling
Bestemmelsen regulerer virksomhetenes varslingsplikt til tilsynsmyndighetene. En forutsetning for at myndighetene skal kunne ha oversikt over sikkerhetstilstanden i de ulike samfunnssektorene, og om nødvendig iverksette tiltak for å redusere risikoen, er at myndighetene får rettidig og tilstrekkelig informasjon om hendelser av betydning. Formålet med bestemmelsen er å legge til rette for at myndighetene kan ivareta sitt overordnede ansvar.
I bestemmelsens første ledd slås det fast at virksomhetene plikter å varsle tilsynsmyndighetene omgående i fire tilfeller. Med omgående menes i denne sammenheng at virksomhetene skal sende varsel så raskt det lar seg gjøre.
Første ledd bokstav a regulerer de tilfeller der det er klarlagt at en tilsiktet uønsket hendelse faktisk er gjennomført. Et første vilkår for at varslingsplikten skal inntre er at den aktuelle hendelsen er rettet mot den aktuelle virksomheten. I tillegg er det et vilkår at hendelsen kan ha betydning for virksomhetens «evne til å ivareta sine oppgaver knyttet til grunnleggende nasjonale funksjoner». Det vil således kun være de hendelsene som kan få negativ innvirkning på virksomhetens evne til å understøtte de aktuelle funksjonene, som det skal varsles om.
Etter første ledd bokstav b inntrer varslingsplikten også der det er en begrunnet mistanke om at hendelser som nevnt i bokstav a, er gjennomført eller planlagt. I begrepet begrunnet mistanke ligger et krav om at det må være en viss grad av sannsynlighet før varslingsplikten inntrer. Der det foreligger en mistanke om at en slik hendelse er planlagt, vil virksomheten uansett ha en egeninteresse i å varsle myndighetene slik at nødvendige tiltak for å avverge hendelsen kan iverksettes.
Første ledd bokstav c regulerer varslingsplikten for de situasjonene som kan utløse Kongen i statsråds vedtaksmyndighet etter § 2-5. For en nærmere omtale av hvilke situasjoner bestemmelsen tar sikte på å regulere vises det til merknaden til § 2-5, samt den nærmere omtalen i kapittel 7.2.3 og 7.7.8.
I første ledd bokstav d pålegges virksomhetene en varslingsplikt der det har skjedd brudd på krav til sikkerhet i loven kapittel 5, 6 eller 7, med tilhørende forskrifter. Varslingsplikten inntrer uavhengig av årsaken til at sikkerhetsbruddet har skjedd.
I bestemmelsens andre ledd slås det fast at virksomhetens varsel etter første ledd skal sendes både til sektormyndigheter som er tillagt tilsynsansvar, jf. § 3-1, og til Sikkerhetsmyndigheten. For at Sikkerhetsmyndigheten skal kunne ivareta sitt sektorovergripende ansvar, er det nødvendig at denne har en tilstrekkelig informasjonstilgang om relevante hendelser også i samfunnssektorer der den ikke har et direkte tilsynsansvar. Ved at Sikkerhetsmyndigheten får tilgang til varsel fra alle samfunnssektorer, vil denne også ha muligheten til å kartlegge og holde oversikt over trusler som rammer flere samfunnssektorer parallelt, samt gi nødvendig råd, veiledning og tidlig varsling til samfunnssektorer som enda ikke er berørt av de aktuelle truslene. Det vil imidlertid være sektormyndighetene med tilsynsansvar etter § 3-1 som har det primære ansvaret for å følge opp de varsler som kommer fra virksomheter i egen sektor.
Etter bestemmelsens tredje ledd skal tilsynsmyndighetene som mottar varsel etter første ledd bokstav c, uten ugrunnet opphold videresende slike varsel til ansvarlig departement for vurdering av enkeltvedtak etter § 2-5. Hva som ligger i uten ugrunnet opphold må avgjøres konkret. Et varsel etter første ledd bokstav c, skal videresendes så snart som mulig etter at tilsynsmyndigheten har tilstrekkelig informasjon om saken. Det kan tenkes situasjoner der tilsynsmyndigheten har behov for ytterligere informasjon fra virksomheten, før de har et tilstrekkelig informasjonsgrunnlag til å formidle videre.
I bestemmelsens fjerde ledd slås det fast at varslingsplikten skal etterleves, selv om dette innebærer videreformidling av opplysninger som i utgangspunktet er omfattet av lovbestemt taushetsplikt. Sett hen til de funksjoner og interesser loven tar sikte på å beskytte, er det avgjørende at taushetsplikt etter annet regelverk ikke er til hinder for varsling om slike tilsiktede uønskede hendelser.
§ 4-7 Behandling av personopplysninger
Bestemmelsen slår fast at behandling av personopplysninger som ledd i forebyggende sikkerhetsarbeid, skal skje i samsvar med prinsippene i personvernforordningen art. 5, med de unntak som følger av forordningen art. 23. Bestemmelsen gjelder for all behandling av personopplysninger, slik dette er definert i art. 4 (1) og (2) i nevnte forordning. Bestemmelsen forutsetter at de som er ansvarlige for behandling av personopplysninger (behandlingsansvarlig), jf. art. 4 (7), som ledd i etterlevelse av loven setter seg inn i og bruker nevnte bestemmelser aktivt.
For en nærmere omtale av personvernforordningen vises det til kapittel 5.3.2.
Kapittel 5 – Informasjonssikkerhet
§ 5-1 Sikkerhetsgradert informasjon
Bestemmelsen er i stor grad en videreføring av tidligere lov § 11. Den grunnleggende systematikken med skadevurdering, sikkerhetsgradering og merking er den samme.
Første ledd fastslår hvem som har plikt til å foreta skadevurdering, sikkerhetsgradering og merking av informasjon.
Skadevurderingen, som angis i bestemmelsen bokstav a til d, er bestemmende for hvilken informasjon som skal sikkerhetsgraderes og dermed beskyttes etter loven.
Innholdet i begrepet informasjon videreføres, slik dette er definert i dagens sikkerhets lov § 3 første ledd nr. 3, og nærmere forklart i forarbeidene.1
Begrepet informasjon skal forstås vidt. Måten informasjonen er tilvirket på og hvilken form informasjonen har er ikke relevante momenter i vurderingen av om noe er informasjon. Begrepet omfatter for eksempel informasjon i form av fysiske dokumenter, digitale og maskinlesbare signaler, film, lydopptak og muntlige opplysninger. I vurderingen av om noe skal anses som informasjon skal det legges vekt på om det er egnet til å tilføre en trusselaktør kunnskap som denne direkte eller indirekte kan benytte til å skade grunnleggende nasjonale funksjoner.
Plikten til å merke sikkerhetsgradert informasjon gjelder ikke der merking i praksis er umulig. Det gjelder for eksempel for informasjon som ikke har en fysisk tilstand, slik som muntlige opplysninger. Merkingsplikt inntrer imidlertid for den som bringer informasjonen over i et format der merking er mulig.
Ordlyden i bestemmelsen skiller seg noe fra tidligere lov. Endringen innebærer at man ved skadevurderingen må ta hensyn til skadepotensialet for hele lovens virkeområde, se nærmere i merknad til § 1-2. Tidligere lov nevnte eksplisitt hensynene til vitale sikkerhetsinteresser og alliertes sikkerhet. Slike hensyn er fortsatt relevante, jf. § 1-2.
Tema for skadevurderingen og dermed om informasjonen skal sikkerhetsgraderes, er i hvilken grad en trusselaktør, dersom denne blir kjent med informasjonen, kan påføre grunnleggende nasjonale funksjoner skade. Vurderingen vil være bestemmende for i hvilken grad informasjonens konfidensialitet må beskyttes. Er konklusjonen at konfidensialitetsbrudd ikke i noen grad kan få skadefølger, jf. bokstav d, for grunnleggende nasjonale funksjoner, skal informasjonen ikke sikkerhetsgraderes. Informasjonen skal dermed heller ikke beskyttes etter bestemmelsene i sikkerhetsloven kapittel 5. Dette utelukker ikke at informasjonen ikke skal beskyttes etter andre regler, for eksempel personopplysningsloven eller beredskapsforskriften.
Innholdet i og forholdet mellom de ulike sikkerhetsgradene for øvrig videreføres, herunder tilknytningen til NATO-systemet. Forarbeidene til tidligere lov er fortsatt relevante. Endringen fra skade i tidligere lov bokstav b og c til skadefølge i ny lov, er kun en språklig justering som ikke innebærer realitetsendring. Det samme gjelder endringen i bokstav d) fra medføre i tidligere lov til få i ny lov. Se også kapittel 8.2.1 som beskriver nærmere området for BEGRENSET.
Sondringen mellom skjermingsverdig og sikkerhetsgradert informasjon videreføres ikke.
Sikkerhetshensyn skal være styrende for nødvendighetsvurderingen etter andre ledd første punktum. Bestemmelsen skal sikre at det faktisk foretas en grundig vurdering av beskyttelsesbehovet og at andre relevante hensyn, slik som offentlighetsprinsippet, tas i betraktning.
Fjerde ledd er en videreføring av gjeldende rett.
Se for øvrig kapittel 8.5.1, 8.6.1 og 8.6.2.
§ 5-2 Beskyttelse av sikkerhetsgradert informasjon
Bestemmelsen fastsetter en beskyttelsesplikt for den virksomhet som rår over informasjonen. Denne plikten er noe annet og mer enn det som følger av § 5-4 om taushetsplikt, som retter seg mot enkeltpersoner med tilgang til informasjonen.
Bestemmelsen gjelder kun for sikkerhetsgradert informasjon, jf. § 5-1. Sikkerhetstiltakene skal ivareta både konfidensialiteten (bokstav a), integriteten (bokstav b) og tilgjengeligheten (bokstav c) til informasjonen. En konkret helhetsvurdering av behovet for beskyttelse av det enkelte element, må ligge til grunn for å kunne iverksette passende sikkerhetstiltak.
Nødvendighetsvurderingen vil i stor grad avhenge av de nærmere bestemmelser om beskyttelse som blir fastsatt i forskrift. NATO-reglene setter minstekrav for beskyttelse av informasjon innen de enkelte sikkerhetsgradene, som vil måtte være felles for alle som behandler sikkerhetsgradert informasjon. Utover dette er det opp til Kongen å avgjøre om og eventuelt i hvilken utstrekning sikkerhetskravene skal gjelde nasjonalt og tverrsektorielt. Se nærmere om dette i kapittel 7.7.10.
Ivaretakelse av tilgjengelighet skal i første rekke vurderes opp mot virksomhetens eget behov. Bestemmelsen må imidlertid ses i sammenheng med lovens system for øvrig og samfunnssikkerhetsprinsippet om samvirke. Det følger av dette en plikt til å vurdere om andre virksomheter har behov for den informasjonen som virksomheten besitter – også kalt responsibility to share.
§ 5-3 Tilgang til og taushetsplikt for sikkerhetsgradert informasjon
Første ledd fastsetter uttømmende og absolutte vilkår for å kunne overlate sikkerhetsgradert informasjon til en annen. Nærmere om autorisasjon følger av § 8-1.
Etter andre ledd plikter man å opprettholde taushet når det gjelder sikkerhetsgradert informasjon i alle andre tilfeller enn det som følger av første ledd. Den som skal overlate sikkerhetsgraderte informasjon til en annen må forvisse seg om at vilkårene er oppfylt.
«Enhver som får tilgang til» i andre ledd omfatter også den som har utstedt eller på annen måte tilvirket informasjonen. Oppregningen «arbeid, oppdrag, verv eller aktivitet» skal omfatte alle relasjoner til virksomheten som i noen grad er formalisert, der noen gjør noe på vegne av virksomheten.
Bestemmelsen er en videreføring av gjeldende rett og forarbeidene til tidligere lov er relevante. Endringene innebærer ikke realitetsforskjell fra tidligere sikkerhetslov.
§ 5-4 Tekniske sikkerhetsundersøkelser
Bestemmelsen er en videreføring av gjeldende rett. Begrepet avtitting er erstattet med innsyn, uten at det er ment å utgjøre en realitetsforskjell.
Kapittel 6 – Informasjonssystemsikkerhet
Kapittel 6 inneholder regler om hvilke informasjonssystemer som skal beskyttes etter loven, hvem som har ansvar for beskyttelsen og hvilke sikkerhetstiltak som kan og hvilke som skal iverksettes. Det legges også enkelte føringer for gjennomføringen av sikkerhetstiltakene. Loven regulerer kun forhold som er felles for alle skjermingsverdige informasjonssystemer. Forskriftshjemlene åpner for at Kongen kan gi både sektor- og systemtilpassede bestemmelser.
Mens informasjonssikkerhet handler om å beskytte den verdien som informasjonen representerer, handler informasjonssystemsikkerhet om å beskytte den funksjonen eller oppgaven som systemet skal ivareta. For å oppnå et forsvarlig nivå for informasjonssystemsikkerheten må også verdien av informasjonen som behandles i systemet vurderes.
§ 6-1 Skjermingsverdige informasjonssystemer
Bestemmelsen innfører begrepet skjermingsverdige informasjonssystemer som en samlebetegnelse for alle informasjonssystemer som omfattes av og skal beskyttes etter sikkerhetsloven.
Med begrepet informasjonssystem menes systemer som anvendes for å løse en oppgave eller utføre en funksjon i en organisasjon. Det omfatter menneskelige, organisatoriske og tekniske ressurser, metoder og teknikker.2
Informasjonssystem skal i sikkerhetsloven forstand forstås vidt. Begrepet omfatter både manuelle og digitale informasjonssystemer, og favner alt fra saksbehandlingssystemer, kontorstøttesystemer og rene kommunikasjonssystemer til kontroll- og styringssystemer.3
Bokstav a gjelder alle informasjonssystemer som, hvis de slutter å fungere eller får redusert funksjonalitet, har en negativ innvirkning på virksomhetens evne til å levere sine kritiske tjenester eller funksjoner. Avgjørende for om et system skal beskyttes etter loven er hvilken rolle systemet har ved virksomhetens produksjon av tjenester som er av kritisk betydning for grunnleggende nasjonale funksjoner. Hvilke typer oppgaver systemet utfører er også relevant, men ikke avgjørende.
Bokstav b omfatter informasjonssystemer som behandler sikkerhetsgradert informasjon. Dermed videreføres beskyttelsen av de systemer som per i dag kalles godkjente informasjonssystemer. Selve begrepet videreføres ikke.
Med begrepet behandler menes alle former for behandling av informasjon i et informasjonssystem, herunder transport, lagring og prosessering.
Ett system kan falle inn under både bokstav a og b. Se kapittel 8.5.2, 8.6.1 og 8.6.2 for nærmere omtale av skjermingsverdige informasjonssystemer.
§ 6-2 Beskyttelse av skjermingsverdige informasjonssystemer
Bestemmelsen fastsetter en plikt for virksomheten til å beskytte virksomhetens skjermingsverdige informasjonssystemer. Virksomhetens ROS-analyse, jf. § 4-3, vil danne grunnlaget for å angi hvilke informasjonssystemer som skal beskyttes etter sikkerhetsloven.
Virksomheten plikter å oppnå et forsvarlig sikkerhetsnivå for informasjonssystemene. Bokstav a og b konkretiserer hva som ligger i begrepet ved å angi hovedmålene for sikkerhetstiltakene. Ivaretakelse av a og b må ses i sammenheng. Eksempelvis er det ikke tilstrekkelig å bare se på graderingsnivået for et sikkerhetsgradert informasjonssystem, se kapittel 8.6.2. ROS-analysen vil danne grunnlaget for iverksettelse av de sikkerhetstiltak som er mest hensiktsmessige for det enkelte system. Det vil kunne variere fra system til system hva som skal til for å oppnå et forsvarlig sikkerhetsnivå.
§ 6-3 Godkjenning av skjermingsverdige informasjonssystemer
Bestemmelsen fastsetter at alle skjermingsverdige informasjonssystemer, jf. § 6-1, må sikkerhetsgodkjennes. For informasjonssystemer, jf. § 6-1 bokstav a setter loven ikke krav om forhåndsgodkjenning.
For informasjonssystemer som skal behandle sikkerhetsgradert informasjon, jf. § 6-1 b, videreføres gjeldende rett. Slike systemer må godkjennes før de kan behandle sikkerhetsgradert informasjon.
Forskriftshjemmelen i tredje ledd åpner for å etablere flere ulike godkjenningsprosesser og godkjenningsmyndigheter.
§ 6-4 Overvåking av skjermingsverdige informasjonssystemer
Sikkerhetsmessig overvåkning kan innebære mange former for sikkerhetstiltak. Særlig aktuelle tiltak er logging av aktivitet i systemet, automatiserte alarmer og manuell sammenstilling og analyse av innhentet data.
Som redegjort for i kapittel 8.6.4 er bestemmelsen i hovedsak en videreføring av gjeldende sikkerhetslov § 13a.
Første ledd oppstiller en plikt for virksomheten til å foreta sikkerhetsmessig overvåkning av virksomhetens skjermingsverdige informasjonssystemer, jf. § 6-1. Første ledd fastsetter dessuten formålet med overvåkningen. Med begrepene forebygge og håndtere menes sikkerhetstiltak som omfatter hele livssyklusen til en tilsiktet uønsket hendelse, herunder evne til å oppdage (detektere) og gjenopprette sikker tilstand etter hendelsen. Med tilsiktet uønsket hendelse menes forsøk på eller faktisk kompromittering av systemet. Bestemmelsens siste punktum erstatter gjeldende lov § 13a sikkerhetsrelevante hendelser uten at det innebærer en realitetsendring.
Andre ledd gir dels en hjemmel og dels en plikt til lagring, registrering og analyse av ulike former for utveksling av informasjon.
For at ikke tiltaket skal bli uforholdsmessig byrdefullt må omfanget av overvåkningen, herunder lagring og registrering, forankres i en nærmere vurdering av det enkelte systems særegenheter. Etter at behovet er kartlagt, trer plikten inn til å overvåke systemet i det omfang det er nødvendig for å oppnå formålet med tiltaket. For nærmere omtale av andre ledd, se kapittel 8.6.4.
Ved overvåkning av systemer som behandler personopplysninger må andre og tredje ledd ses i sammenheng. Tredje ledd stiller ytterligere krav til at virksomheten foretar grundige vurderinger før tiltaket iverksettes.
For det første stilles det strengere krav til vurderingen av formålsmessighet enn det som følger av andre ledd. Videre må virksomheten i hvert enkelt tilfelle foreta en forholdsmessighetsvurdering der behovet for overvåkning ses i sammenheng med eventuelle personvernulemper av behovet for overvåkning. Omfanget av overvåkningen må være begrunnet og nødvendig. Virksomheten må dessuten – der det er valgmuligheter – velge den metoden som er minst inngripende for personvernet til brukerne av systemet. I noen tilfeller kan for eksempel automatisert overvåkning med et innhold som er utilgjengelig for mennesker være mindre inngripende enn manuell overvåkning.
Etter fjerde ledd gis det hjemmel for å lagre informasjon som er resultat av overvåkningen i inntil 5 år. Loven setter ikke begrensninger for bruken av informasjon som ikke er personopplysninger.
Femte ledd er med ett unntak en videreføring av gjeldende sikkerhetslov § 13a tredje ledd. § 6-4 femte ledd inneholder også et andre punktum, der det ilegges en plikt for den som overvåker til å beskytte den informasjonen som blir kjent gjennom overvåkningsavtalen.
Sjette ledd er en videreføring av gjeldende sikkerhetslov § 13a femte ledd. Her pålegges virksomheten en informasjonsplikt i samsvar med personopplysningsloven § 19.
Sjuende ledd er en videreføring av gjeldende sikkerhetslov § 13a sjette ledd, men med noen presiseringer.
§ 6-5 Kommunikasjons- og innholdskontroll av informasjonssystemer
Bestemmelsen er i all hovedsak en videreføring av gjeldende sikkerhetslov § 15 om monitoring.
Bestemmelsen pålegger ingen plikt for virksomheten til å få gjennomført denne type kontroll. Ordningen skal kun være et supplement til øvrige relevante sikkerhetstiltak, og et tilbud til de virksomheter som ser behov for slik kontroll av sine informasjonssystemer, jf. første ledd.
Andre ledd setter rammene for hvilke metoder som kan inngå i kontrollen. Både avlytting og avlesing av informasjon tillates.
Bestemmelsen viderefører forbudet mot å kontrollere privat kommunikasjon og kommunikasjon med virksomheter som ikke omfattes av sikkerhetsloven, jf. fjerde ledd. Kontroll av kommunikasjon mellom skjermingsverdige informasjonssystemer i ulike virksomheter som er omfattet av sikkerhetsloven er tillatt.
Tredje ledd skal sikre at virksomhetens ledelse kan foreta en grundig vurdering av behovet for kontrollen. I vurderingen må det tas hensyn både til sikkerhet og personvern.
Sjette ledd begrenser Sikkerhetsmyndighetens behandling av informasjon som den blir kjent med gjennom kontrollen.
Se for øvrig kapittel 8.6.4
§ 6-6 Inntrengningstesting av skjermingsverdige informasjonssystemer
Bestemmelsen er i all hovedsak en videreføring av gjeldende sikkerhetslov § 15 om inntrengningstesting.
Virksomheten plikter ikke å få gjennomført inntrengningstesting. Ordningen skal være et tilbud til virksomheter som er omfattet av sikkerhetsloven. Det er opp til den enkelte virksomhet å vurdere behovet for tiltaket.
Virksomhetens orienteringsplikt etter første ledd andre punktum er generelt utformet og innebærer at det er tilstrekkelig at de ansatte er klar over at slike kontroller tidvis kan forekomme.
Det følger av andre ledd en plikt til både å gjennomføre en vurdering av formålsmessigheten og av forholdsmessigheten av sikkerhetstiltaket i de tilfeller testingen gjelder informasjonssystemer som behandler personopplysninger.
Tredje ledd er en videreføring av gjeldende § 15 tredje ledd, men inneholder også en presisering av hva informasjonen som kontrollinstansen blir kjent med, kan brukes til.
Bestemmelsens fjerde ledd skal sikre at de erfaringer Sikkerhetsmyndigheten gjør seg gjennom kontrollen blir dokumentert og videreført.
Femte ledd tilsvarer deler av dagens § 11-8 i informasjonssikkerhetsforskriften. Rapporteringen må ses i sammenheng med Sikkerhetsmyndighetens plikter, jf. § 2-2. Hovedformålet er å forbedre virksomhetens sikkerhet.
Forskriftsmyndigheten i sjette ledd fastslår at andre enn Sikkerhetsmyndigheten kan gjennomføre inntrengningstesting.
Se for øvrig kapittel 8.6.4
Kapittel 7 – Objekt- og infrastruktursikkerhet
§ 7-1 Skjermingsverdige objekter og infrastruktur
Bestemmelsen regulerer departementenes, og Sikkerhetsmyndighetens, ansvar og myndighet til å utpeke, klassifisere og holde oversikt over skjermingsverdige objekter og infrastruktur. Begrepene skjermingsverdig objekt og skjermingsverdig infrastruktur er nærmere omtalt i kapittel 9.5.1.
Bestemmelsen må sees i forlengelsen av departementenes, og Sikkerhetsmyndighetens, myndighet til å treffe enkeltvedtak etter § 2-1 første ledd bokstav c og § 2-2 første ledd bokstav e.
Etter bestemmelsens første ledd gis departementene myndighet til å utpeke og klassifisere skjermingsverdige objekter og infrastruktur innen eget myndighetsområde. Hva gjelder skjermingsverdige objekter, er dette en videreføring av departementenes myndighet etter gjeldende sikkerhetslov kapittel 5. Departementene pålegges også en plikt til å holde oversikt over slike objekter og slik infrastruktur. Plikten må sees i sammenheng med departementenes overordnede ansvar for forebyggende sikkerhet i egen sektor, jf. § 2-1 første ledd.
I bestemmelsens andre ledd gis Sikkerhetsmyndigheten tilsvarende myndighet og plikt overfor objekter og infrastruktur som ikke ligger innenfor et departements myndighetsområde, se også merknad til § 2-2 første ledd bokstav e.
Etter tredje ledd har virksomheter som råder over objekter eller infrastruktur som blir utpekt og klassifisert, de samme rettigheter til forutgående varsling og klage, som for enkeltvedtak etter §§ 2-1 og 2-2, se merknad til disse bestemmelsene.
Fjerde ledd korresponderer med Sikkerhetsmyndighetens forslags- og klagerett etter § 2-1 fjerde ledd, se merknad til denne bestemmelsen.
§ 7-2 Klassifisering
Bestemmelsen regulerer hvordan skjermingsverdige objekter og infrastruktur skal klassifiseres. Myndighet til å klassifisere objekter og infrastruktur tilligger ansvarlig departement eller Sikkerhetsmyndighet, jf. § 7-1 første og andre ledd. Formålet med klassifisering av objekter og infrastruktur er dels at det er styrende for hvilke sikkerhetstiltak som skal iverksettes, jf. § 7-3, og dels at det gir myndighetene anledning til å kunne prioritere mellom ulike objekt eller infrastruktur avhengig av graden av kritikalitet ved redusert funksjonalitet.
Første ledd fastslår at klassifisering skal skje på bakgrunn av en skadevurdering der skadefølgene som følge av redusert funksjonalitet skal være styrende for hvilket klassifiseringsnivå objektet eller infrastrukturen skal ha. Systematikken for klassifisering etter første ledd bokstav a til c bygger i stor utstrekning på systematikken i gjeldende sikkerhetslov § 17a, med de tilpasninger som er nødvendige av hensyn til lovforslaget for øvrig.
Etter første ledd bokstav a skal MEGET KRITISK benyttes dersom redusert funksjonalitet kan få helt avgjørende skadefølger for grunnleggende nasjonale funksjoner. Med redusert funksjonalitet menes objektet eller infrastrukturens evne til å understøtte den aktuelle funksjonen. Begrepet helt avgjørende skadefølger skal forstås på samme måte som i § 5-1 første ledd bokstav a.
Etter første ledd bokstav b skal KRITISK benyttes dersom redusert funksjonalitet alvorlig kan skade grunnleggende nasjonale funksjoner. Begrepet alvorlig kan skade skal forstås på samme måte som i § 5-1 første ledd bokstav b.
Etter første ledd bokstav c skal VIKTIG benyttes dersom redusert funksjonalitet kan skade grunnleggende nasjonale funksjoner. Begrepet kan skade skal forstås på samme måte som i § 5-1 første ledd bokstav c.
Bestemmelsens andre ledd første punktum slår fast at klassifiseringen skal skje på bakgrunn av virksomhetens ROS-analyse, jf. §4-3. Som en konsekvens av dette er det nødvendig at ansvarlig departement eller Sikkerhetsmyndigheten får tilgang til virksomhetens ROS-analyse i klassifiseringsarbeidet. Departementene og Sikkerhetsmyndigheten plikter videre å begrunne klassifisering ut fra hvilke funksjoner som understøttes og konsekvensene for disse funksjonene dersom det aktuelle objektet eller infrastrukturen får redusert funksjonalitet.
I andre ledd andre punktum slås det fast at begrunnelsen etter første punktum skal inngå i departementenes og Sikkerhetsmyndighetens totale oversikt over objekter og infrastruktur. Disse begrunnelsene vil være av sentral betydning for Sikkerhetsmyndighetens mulighet til å kunne kvalitetssikre departementenes klassifisering av objekter og infrastruktur i medhold av bestemmelsen. Selve begrunnelsen vil i seg selv være meget sensitiv informasjon, og vil måtte behandles deretter, jf. informasjonssikkerhetsbestemmelsene i loven kapittel 5.
I bestemmelsens tredje ledd presiseres det at klassifiseringsnivået kan være forskjellig for ulike deler av et objekt eller en infrastruktur. I den utstrekning dette er tilfelle skal slike deler defineres som selvstendige objekter eller infrastruktur. Det er altså mulig å definere «objekt i objekt», «infrastruktur i infrastruktur», «infrastruktur i objekt» og «objekt i infrastruktur». Dette innebærer at det kan være ulike klassifiseringsnivåer for ulike deler innad i samme objekt eller infrastruktur, med ulike beskyttelsesbehov. Sikkerhetstiltakene, jf. § 7-3, vil da også kunne differensieres avhengig av de ulike delenes klassifisering.
§ 7-3 Beskyttelse av objekter og infrastruktur
Bestemmelsen regulerer virksomhetenes plikt til å iverksette sikkerhetstiltak for utpekt og klassifisert objekt eller infrastruktur. Bestemmelsen må sees i sammenheng med de generelle kravene til forebyggende sikkerhet etter § 4-1.
I henhold til bestemmelsens første ledd plikter virksomheten å iverksette de sikkerhetstiltak som er nødvendige for å opprettholde et forsvarlig sikkerhetsnivå. Begrepet forsvarlig sikkerhetsnivå viser tilbake på den rettslige standarden i § 4-1 første ledd, og skal forstås på samme måte.
I bestemmelsens andre ledd første punktum presiseres at det skal ses hen til det aktuelle klassifiseringsnivået og konsekvensene ved bortfall eller reduksjon av funksjonalitet. Andre ledd andre punktum fastslår at sikkerhetstiltakene skal sees i sammenheng og tilpasses det konkrete beskyttelsesbehovet.
I bestemmelsens tredje ledd gis departementene og Sikkerhetsmyndigheten myndighet til å treffe vedtak om krav til adgangsklarering for tilgang til hele eller deler av objekt eller infrastruktur som er utpekt og klassifisert etter §§ 7-1 og 7-2. Hva som menes med adgangsklarering er nærmere omtalt i merknaden til § 8-1 første ledd andre punktum. Med tilgang menes i denne sammenheng både fysisk og logisk tilgang til objekt eller infrastruktur. For enkelte typer objekt eller infrastruktur vil det ikke være nødvendig med fysisk tilgang for å kunne gjøre skade, en logisk (digital) tilgang kan i noen tilfeller gi like gode muligheter til å gjøre skade av betydning for objektets eller infrastrukturens funksjonalitet.
Hvorvidt det skal fastsettes krav om adgangsklarering for tilgang, må vurderes konkret for det enkelte objekt eller infrastruktur. I den konkrete vurderingen må det særlig tas hensyn til den sikkerhetsmessige effekten som oppnås, sett opp mot hvor inngripende tiltaket vil være overfor den aktuelle virksomheten og dens ansatte. Vedtak som nevnt i tredje ledd, som berører selvstendige rettssubjekter, kan i medhold av fjerde ledd påklages til Tvisteorganet.
§ 7-4 Testing av sikkerhetssystemer
Bestemmelsen regulerer virksomhetens adgang til å anmode Sikkerhetsmyndigheten om å gjøre forsøk på å forsere virksomhetens etablerte sikkerhetstiltak for tilgang til skjermingsverdig objekt eller infrastruktur. Bestemmelsen korresponderer med hjemmelen for inntregningstesting av informasjonssystemer, jf. § 6-6.
Slik testing er et frivillig tilbud til den enkelte virksomhet, og kan kun gjøres på anmodning fra ledelsen i den aktuelle virksomheten. Formålet med denne type testing er å forsøke å avdekke svakheter ved de tiltak en virksomhet har iverksatt for å forhindre uvedkommendes tilgang til objektet eller infrastrukturen. Virksomhetens orienteringsplikt etter første ledd tredje punktum er generelt utformet og innebærer at det er tilstrekkelig at de ansatte er klar over at slike kontroller tidvis kan forekomme.
Med tilgang menes i denne sammenheng både fysisk og logisk (digital) tilgang til objektet eller infrastrukturen, jf. også merknaden til § 7-3 tredje ledd.
Bestemmelsens andre ledd hjemler behandling av personopplysninger ved testing, men fastslår samtidig at det skal gjøres en nødvendighets- og forholdsmessighetsvurdering av behovet for slik behandling.
Bestemmelsens tredje ledd angir en formålsavgrensing for bruk av informasjon som testingen gir tilgang til. Med informasjon menes i denne sammenheng både personopplysninger og opplysninger om virksomheten. Bestemmelsens formål – å forbedre virksomhetens sikkerhetsnivå – vil være styrende for hva informasjonen kan benyttes til.
Etter bestemmelsens fjerde ledd plikter Sikkerhetsmyndigheten å avslutte operasjonen, dersom den lykkes i å forsere etablerte sikkerhetstiltak.
§ 7-5 Adgang til steder og områder
Bestemmelsen viderefører gjeldende sikkerhetslov § 18a første ledd bokstav b og c, men i en modernisert språkdrakt – og tilpasset den øvrige innretning på lovforslaget.
Gjeldende sikkerhetslov § 18a første ledd bokstav a om forbud mot adgang til «forsvarsbygg og -anlegg hvor gjenstander av interesse for rikets forsvar fremstilles, istandsettes eller oppbevares» foreslås ikke videreført, da adgangen til å fastsette slike forbud ivaretas av de øvrige delene av lovforslaget.
Endringene er ikke ment å gjøre realitetsendringer i dagens rettstilstand på området.
Kapittel 8 – Personellsikkerhet
§ 8-1 Når klarering og autorisasjon skal gjennomføres
Bestemmelsen regulerer når sikkerhetsklarering, adgangsklarering og sikkerhetsautorisasjon skal gjennomføres.
Med sikkerhetsklarering menes en avgjørelse fra klareringsmyndigheten om en persons antatte sikkerhetsmessige skikkethet til å kunne håndtere sikkerhetsgradert informasjon opp til et gitt sikkerhetsnivå.
Med adgangsklarering menes en avgjørelse fra klareringsmyndigheten om en persons antatte sikkerhetsmessige skikkethet for tilgang til klassifiserte områder innenfor skjermingsverdige objekter eller infrastruktur, jf. § 7-3 tredje ledd.
Med sikkerhetsautorisasjon menes avgjørelse fra autorisasjonsansvarlig i den enkelte virksomhet om at en person, etter en konkret helhetsvurdering, gis tilgang til sikkerhetsgradert informasjon eller tilgang til klassifiserte områder innen objekter eller infrastruktur.
Bestemmelsens første ledd slår fast at autorisasjon i medhold av § 8-2 skal gjennomføres for to kategorier personell. For det første gjelder dette for personer som skal gis tilgang til sikkerhetsgradert informasjon, jf. første ledd første punktum. «Skal gis tilgang til» indikerer at vedkommende gjennom sitt arbeid har tjenstlig behov for tilgang til slik informasjon. For det andre gjelder kravet til sikkerhetsautorisasjon, i henhold til første ledd andre punktum, personer som skal ha tilgang til klassifiserte områder innen objekter og infrastruktur, der det er truffet vedtak etter § 7-3 tredje ledd. Med adgang menes både fysisk og logisk tilgang til slike objekter eller infrastruktur, se merknad til § 7-3. Adgangsklarering er ment å være en mindre omfattende klareringsprosess enn sikkerhetsklarering for tilgang til sikkerhetsgradert informasjon, men samtidig mer omfattende enn en ordinær vandelskontroll.
Bestemmelsens andre ledd er en videreføring av gjeldende sikkerhetslov § 19 andre ledd, og slår fast at personer som skal autoriseres for tilgang til sikkerhetsgradert informasjon gradert KONFIDENSIELT eller høyere, på forhånd skal sikkerhetsklareres.
I bestemmelsens tredje ledd slås det fast at personell som innehar gyldig sikkerhetsklarering etter § 8-5, også skal anses adgangsklarert. Adgangsklarering er ment å være en mindre omfattende prosess enn sikkerhetsklarering, se merknad til § 8-5, og dersom sikkerhetsklarering allerede foreligger skal det legges til grunn at vedkommende er sikkerhetsmessig skikket også for adgang til objekt eller infrastruktur.
Fjerde ledd gjelder personer som «vil kunne få» tilgang til sikkerhetsgradert informasjon. Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 19 tredje ledd. Det er ikke et vilkår for sikkerhetsklarering at vedkommende faktisk vil få tilgang til slik informasjon. I forarbeidene til gjeldende sikkerhetslov vises det som eksempel til vakter, rengjøringspersonell og andre som forutsetningsvis ikke skal ha tilgang til slik informasjon, men som gjennom sitt arbeid er i en posisjon hvor en lett kan skaffe seg slik tilgang. Et vilkår for sikkerhetsklarering av slikt personell er at andre risikoreduserende tiltak, eksempelvis adgangskontroll til lokaler der slik informasjon oppbevares, kan fjerne risikoen for at personellet kommer i en slik posisjon, jf. fjerde ledd andre punktum.
Femte ledd er en videreføring av gjeldende lov § 19 fjerde ledd, og skal forstås på samme måte. At en person sikkerhetsklareres for en nasjonal sikkerhetsgrad innebærer ikke at vedkommende automatisk er klarert for tilsvarende sikkerhetsgrader fastsatt av internasjonale organisasjoner, jf. begrepet eventuelt i bokstav a til c.
§ 8-2 Sikkerhetsautorisasjon
Bestemmelsen regulerer hvem som har ansvaret for autorisasjon etter loven, og det nærmere vurderingstemaet for om personer kan gis autorisasjon.
Første ledd slår fast at virksomhetens leder er ansvarlig for autorisasjon. Dette henger sammen med at forebyggende sikkerhet er et ledelsesansvar, jf. § 4-2 første ledd første punktum. Myndigheten til å gi autorisasjon kan ved behov delegeres.
Bestemmelsens andre ledd slår fast at autorisasjonsansvarlig også har ansvaret for daglig sikkerhetsmessig ledelse og kontroll av autorisert personell i virksomheten. Autorisasjonsansvarlig vil som nevnt ovenfor normalt være virksomhetens leder. Myndigheten til å ha daglig sikkerhetsmessig ledelse og kontroll av personellet, vil i praksis følges opp av den som har fått delegert myndighet etter første ledd, eksempelvis autorisert personells nærmeste foresatte. Med sikkerhetsmessig ledelse og kontroll menes blant annet ansvaret for å påse at autorisert personell har tilstrekkelig opplæring og kompetanse på forebyggende sikkerhet, og å påse at personellet faktisk etterlever sikkerhetsbestemmelsene i sitt daglige virke.
Bestemmelsens tredje ledd angir vurderingstemaet for avgjørelser om autorisasjon. Hvorvidt vedkommende er sikkerhetsmessig til å stole på, må baseres på en konkret helhetsvurdering av de opplysninger autorisasjonsansvarlig har tilgjengelig, og på det inntrykket som gis i autorisasjonssamtalen. Det kan heller ikke gis autorisasjon før det foreligger melding om klarering der dette er påkrevd etter § 8-1 andre ledd, det vil si ved autorisasjon for tilgang til sikkerhetsgradert informasjon gradert KONFIDENSIELT eller høyere. I tredje ledd siste punktum presiseres det at autorisasjon ikke kan gis før det er avholdt en autorisasjonssamtale.
I bestemmelsens fjerde ledd pålegges virksomheten å løpende orientere Sikkerhetsmyndigheten om hvilke personer som er autorisert. Formålet med bestemmelsen er dels å sette Sikkerhetsmyndigheten i stand til å ha oversikt over hvor sikkerhetsklarert personell til enhver tid tjenestegjør, og dels å legge til rette for informasjonsdeling med Politiets sikkerhetstjeneste etter § 8-12.
§ 8-3 Nedsettelse, suspensjon og tilbakekallelse av autorisasjon
Bestemmelsen regulerer i hvilke tilfeller autorisasjonsansvarlig plikter å vurdere autorisasjonen tilbakekalt, nedsatt eller suspendert. Bestemmelsen regulerer også i hvilke tilfeller autorisasjon automatisk bortfaller.
Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 24 andre og fjerde ledd, og skal forstås på samme måte.
§ 8-4 Klareringsmyndigheter etter loven
Bestemmelsen viderefører det vedtatte forslaget i Prop. 97 L (2015–2016) om endring av klareringsmyndighetsstrukturen.
I bestemmelsens første ledd andre punktum angis klareringsmyndighetenes myndighet til å avgjøre om en person er sikkerhetsmessig skikket for håndtering av sikkerhetsgradert informasjon, eller for adgang til klassifiserte områder innen objekter eller infrastruktur.
§ 8-5 Sikkerhets- og adgangsklarering
Bestemmelsen angir det nærmere vurderingstemaet for når klarering skal gis eller opprettholdes.
Etter første ledd skal klarering bare gis eller opprettholdes dersom det ikke foreligger rimelig tvil om vedkommendes sikkerhetsmessige skikkethet. Vurderingen av rimelig tvil må ses i sammenheng med det nivå vedkommende skal klareres for. Desto høyere klareringsnivå, desto mindre grad av tvil kan aksepteres. Vurderingstemaet for om vedkommendes sikkerhetsmessige skikkethet må baseres på en konkret helhetsvurdering av de foreliggende opplysningene. Første ledd andre punktum slår fast at det skal gjennomføres en personkontroll, jf. § 8-7, som grunnlag for denne vurderingen.
Bestemmelsen tredje ledd angir skrankene for hvilke forhold som kan vektlegges ved vurderingen av sikkerhetsmessig skikkethet. Det er kun forhold som er relevant for vedkommendes pålitelighet, lojalitet og sunne dømmekraft vedrørende behandling av gradert informasjon og tilgang til klassifiserte områder, som kan tillegges vekt i vurderingen. I tredje ledd siste punktum er det også et totalforbud mot å legge vekt på lovlig politisk engasjement. For en nærmere omtale av hvilke forhold som relevante å vektlegge, vises det til omtalen i kapittel 10.6.1.
I bestemmelsens fjerde ledd avgrenses klareringsmyndighetens anledning til å vektlegge negative opplysninger om nærstående personer til tilfeller der det antas at disse forholdene vil kunne påvirke vedkommendes sikkerhetsmessige skikkethet. Begrepet nærstående personer er nærmere omtalt i merknaden til § 8-7.
§ 8-6 Nedsettelse, suspensjon og tilbakekallelse av klarering
Bestemmelsen regulerer i hvilke tilfeller klareringsmyndigheten plikter å vurdere klareringen tilbakekalt, nedsatt eller suspendert, samt klareringsmyndighetens plikt til å varsle Sikkerhetsmyndigheten og autorisasjonsansvarlig. Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 24 andre og tredje ledd og skal forstås på samme måte.
§ 8-7 Gjennomføring av personkontroll
Bestemmelsen gir nærmere regler for gjennomføring av personkontroll som grunnlag for klareringsmyndighetens vurdering av den enkeltes sikkerhetsmessige skikkethet etter § 8-5, og er i stor grad en videreføring av gjeldende sikkerhetslov § 20.
Med personkontroll menes i denne sammenheng både opplysninger fra vedkommende selv og de opplysninger klareringsmyndigheten selv besitter eller innhenter fra relevante registre eller andre kilder.
Etter bestemmelsens første ledd tredje punktum er det et vilkår for å igangsette personkontroll at den aktuelle personen er gjort oppmerksom på, og har akseptert, at slik kontroll igangsettes. Personer som søkes klarert er i de fleste tilfeller i en arbeidsgiver-/arbeidstakerrelasjon til autorisasjonsansvarlig, noe som gjør det vanskelig å oppfylle kravene til et informert og frivillig samtykke. Aksept av at slik kontroll gjennomføres er således tilstrekkelig. I første ledd siste punktum slås det fast at aksepten også skal omfatte muligheten for personkontroll av nærstående, jf. tredje ledd, og muligheten for fornyet personkontroll etter § 8-8.
Etter bestemmelsens tredje ledd kan det gjennomføres personkontroll for nærstående personer dersom det søkes om sikkerhetsklarering for HEMMELIG/tilsvarende eller høyere sikkerhetsgrader. Med begrepet nærstående menes i første rekke vedkommendes ektefelle, partner, samboer, barn, foreldre og søsken og andre personer vedkommende er knyttet til ved familiebånd. Nærståendebegrepet bør imidlertid ikke bare omfatte de personer vedkommende har en familiær tilknytning til. Det avgjørende bør være hvorvidt den aktuelle personen har en relasjon med vedkommende av en slik art at den har en reell påvirkningsmulighet på vedkommendes sikkerhetsmessige skikkethet.
Etter bestemmelsens femte ledd plikter behandlingsansvarlige (jf. merknadene til § 4-7) for relevante registre å legge til rette for en digitalisert overføring av personkontrollopplysningen til Sikkerhetsmyndigheten. Behandlingsansvarlig skal forstås på samme måte som registereier i gjeldende sikkerhetslov § 20 fjerde ledd andre punktum. Det vil være Sikkerhetsmyndigheten som forestår personkontrollen på vegne av de ulike klareringsmyndighetene. For en nærmere omtale av hva som menes med digital overføring vises det til kapittel 10.5.5 og 10.6.5.
§ 8-8 Fornyet personkontroll
Bestemmelsen regulerer klareringsmyndighetens adgang til å kunne anmode om fornyet personkontroll, jf. § 8-7, for klarert personell når som helst i klareringens gyldighetstid. Retten til å anmode om slik fornyet personkontroll gjelder både ved mistanke om nye forhold av betydning for vedkommende sikkerhetsmessige skikkethet, og som et ledd i regelmessig oppfølging av klarert personell.
§ 8-9 Bruk av vilkår og stillingsklarering
Bestemmelsen er i utgangspunktet en videreføring av dagens lov § 21 siste ledd.
Med begrepet særlige tilfeller menes at det skal være en viss tilbakeholdenhet med å gi klarering på vilkår eller stillingsklarering, blant annet av likebehandlingshensyn. Men i de tilfeller der alternativet er å avslå klareringsanmodningen, vil bruk av vilkår kunne benyttes dersom dette vurderes som et tilstrekkelig risikoreduserende tiltak. Bruk av vilkår for klarering, herunder stillingsklarering, vil blant annet kunne bidra til et mer fleksibelt system hvor verdifull kompetanse kan rekrutteres, uten at dette innebærer en uakseptabel høy risiko.
§ 8-10 Klarering av personer som ikke er norske statsborgere
Bestemmelsen er i hovedsak en videreføring av gjeldende lov § 22.
Begrepet eventuelle tilknytning til Norge indikerer at tilknytning til Norge ikke er et absolutt vilkår for å kunne innvilge klarering. Vurderingen skal baseres på en konkret helhetsvurdering, der tilknytning til Norge er ett av flere momenter som skal vektlegges i vurderingen. Hjemlandets sikkerhetsmessige betydning for Norge og vedkommendes tilknytning til dette, skal være tungtveiende momenter i vurderingen av sikkerhetsmessig skikkethet. Hva som menes med tilknytning til en annen stat er nærmere omtalt i merknaden til § 8-12.
I første ledd tredje punktum er det presisert at bruk av vilkår eller stillingsklarering skal vurderes særskilt ved klarering av utenlandske statsborgere. Denne type tiltak vil, sammen med autorisasjonsansvarliges sikkerhetsmessige ledelse og kontroll, kunne redusere en eventuell risiko til et akseptabelt nivå. Presisering gir såldes mulighet til å gjøre individuelle tilpasninger der dette er sikkerhetsmessig forsvarlig.
I bestemmelsens andre ledd er Kongen gitt myndighet til å gi nærmere bestemmelser om klarering av utenlandske statsborgere.
§ 8-11 Varslingsplikt
Bestemmelsen regulerer varslingsplikt for autorisert og klarert personell, samt autorisasjonsansvarliges varslingsplikt til den aktuelle klareringsmyndigheten.
Bestemmelsens første ledd er en videreføring av gjeldende lov § 24 første ledd om klarert og autorisert personells plikt til å varsle autorisasjonsansvarlig om forhold som antas å kunne innvirke på vurderingen av den enkeltes sikkerhetsmessige skikkethet.
Etter bestemmelsens andre ledd plikter autorisasjonsansvarlig som blir varslet, å varsle videre til vedkommende klareringsmyndighet dersom det innrapporterte forholdet antas også å kunne få betydning for vedkommendes klarering.
§ 8-12 Informasjonstilgang for Politiets sikkerhetstjeneste
Bestemmelsen regulerer Sikkerhetsmyndighetens adgang til, i nærmere angitte tilfeller, å utlevere opplysninger fra klareringssaker til Politiets sikkerhetstjeneste. Formålet med bestemmelsen er nærmere omtalt i kapittel 10.6.7.
Etter bestemmelsens første ledd er det et vilkår for utlevering av informasjon at det foreligger en forutgående anmodning fra Politiets sikkerhetstjeneste. Anmodningen må i en viss utstrekning ha et presist innhold, slik at utleveringen av informasjon begrenses til det som er nødvendig. Anmodningen kan eksempelvis være avgrenset til å gjelde informasjon om personer som har tilknytning til en bestemt nasjon, eller personer med utenlandsk tilknytning som tjenestegjør innen nærmere definerte virksomheter. Anmodningen bør normalt være avgrenset til å gjelde en nærmere avgrenset tidsperiode. Sikkerhetsmyndigheten vil kunne oppdatere informasjonsgrunnlaget dersom det skjer endringer innenfor den angitte tidsperioden. Anmodningene vil uansett måtte tilpasses det konkrete informasjonsbehovet Politiets sikkerhetstjeneste har på tidspunktet for anmodningen.
Begrepet nærstående skal forstås på samme måte som etter § 8-7 tredje ledd.
I bestemmelsens første ledd bokstav a til c er det nærmere angitt hvilke opplysninger Sikkerhetsmyndigheten kan utlevere med hjemmel i bestemmelsen.
Med klareringsstatus menes både hvilket nivå de aktuelle personene er klarert for og klareringens gyldighetstid.
Begrepet tilknytning til andre stater skal forstås vidt i den forstand at ulike slags tilknytninger vil kunne være relevante. Det kan for eksempel dreie seg om økonomiske interesser i en stat eller om vedkommende har familiær tilknytning i staten. Samtidig vil ikke enhver tilknytning til en annen stat være tilstrekkelig til å oppfylle kravet. Det avgjørende for vurderingen vil være om personen har en slik tilknytning til en annen stat, at denne vil kunne utgjøre et effektivt pressmiddel overfor vedkommende eller på annen måte ha betydning for vedkommendes lojalitet til Norge. Praksis vedrørende forståelsen av tilknytningskriteriet etter gjeldende sikkerhetslov 21 første ledd bokstav k, vil være relevant i denne sammenheng.
Med tjenestested menes hvor de aktuelle personene arbeider, herunder i hvilken virksomhet og hvilken stilling personene innehar i denne virksomheten.
Etter bestemmelsens andre ledd er det et vilkår for utlevering av informasjon som nevnt i første ledd bokstav a til c, at Politiets sikkerhetstjeneste anfører at det er nødvendig for å ivareta tjenestens oppgaver etter politiloven §§ 17b og 17c nr. 1. Begrunnelsen for hvorfor utlevering er nødvendig i de enkelte tilfellene vil ofte være av en slik karakter at Politiets sikkerhetstjeneste ikke kan, eller ikke ønsker, å dele denne begrunnelsen med andre. Når Politiets sikkerhetstjeneste anfører at slik informasjon er nødvendig, skal derfor Sikkerhetsmyndigheten legge til grunn at vilkårene for utlevering av informasjon er oppfylt. Begrunnelsen vil i ettertid kunne kontrolleres av EOS-utvalget.
§ 8-13 Begrunnelse og underretning
Bestemmelsene er en videreføring av gjeldende sikkerhetslov § 25, med de tilpasninger som er nødvendige for innretningen på lovforslaget for øvrig, og skal forstås på samme måte.
§ 8-14 Innsyn
Bestemmelsene er en videreføring av gjeldende sikkerhetslov § 25a, med de tilpasninger som er nødvendige for innretningen på lovforslaget for øvrig, og skal forstås på samme måte.
Begrepet sakens dokumenter skal forstås på samme måte som offentleglovas sakdokumentbegrep, jf. offentleglova § 4 første ledd, jf. andre ledd.
Et dokument er i offentleglova § 4 første ledd definert som «ei logisk avgrensa informasjonsmengd som er lagra på eit medium for seinare lesing, lytting, framsyning, overføring eller liknande».
Et saksdokument er et dokument som er kommet inn til eller lagt frem for et organ, eller som organet selv har opprettet, og som gjelder ansvarsområdet eller virksomheten til organet. Et dokument er opprettet når det er sendt ut av organet. Dersom dette ikke skjer, skal dokumentet regnes som opprettet når det er ferdigstilt.
Henvisningen i gjeldende lov til «audiovisuelt opptak av egen sikkerhetssamtale», jf. § 19 første ledd andre punktum og tredje ledd andre punktum, er ikke videreført. Audiovisuelle opptak omfattes av offentleglovas dokumentbegrep, og nærmere regler om fremgangsmåten for gjennomsyn av slike opptak bør fastsettes i forskrift.
§ 8-15 Oversendelse av sak til særskilt oppnevnt advokat
Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 25b, med de tilpasninger som er nødvendige for innretning på lovforslaget for øvrig, og skal forstås på samme måte.
§ 8-16 Klage
Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 25c, med de tilpasninger som er nødvendige for innretning på lovforslaget for øvrig, og skal forstås på samme måte.
§ 8-17 Utfyllende bestemmelser
Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 26, med de tilpasninger som er nødvendige for innretning på lovforslaget for øvrig, og skal forstås på samme måte.
Kapittel 9 – Sikkerhetsgraderte anskaffelser mv.
§ 9-1 Sikkerhetsgradert anskaffelse
Bestemmelsen regulerer hva som skal anses som en sikkerhetsgradert anskaffelse. Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 3 nr. 17, med de tilpasninger som er nødvendige i lys av innretningen på det nye lovforslaget.
§ 9-2 Inngåelse av sikkerhetsavtale
Bestemmelsen er i hovedsak en videreføring av gjeldende sikkerhetslov § 27.
Med anskaffelsesmyndigheten i første ledd første punktum menes den virksomhet som forestår anskaffelsen. Virksomhetsbegrepet er nærmere omtalt i merknaden til § 1-2.
I bestemmelsens første ledd andre punktum slås det fast at det skal inngås sikkerhetsavtale både før leverandøren kan få tilgang til gradert informasjon og før leverandøren får tilgang til skjermingsverdig objekt eller infrastruktur. Begrepet tilgang til objekt eller infrastruktur skal forstås på samme måte som i § 7-3 tredje ledd.
Hvilke leverandører som i medhold av første ledd tredje punktum er utenlandske må avgjøres konkret. Som et generelt utgangspunkt vil en leverandør anses som utenlandsk, dersom den driver sin virksomhet fra et annet land og under et annet lands jurisdiksjon, og hvor den sikkerhetsmessige oppfølging av leverandøren vil måtte forestås av et annet lands sikkerhetsmyndigheter. Det avgjørende for om leverandøren skal anses utenlandsk eller ikke, vil være hvorvidt Sikkerhetsmyndigheten har faktisk og rettslig anledning til å forestå sikkerhetsmessig oppfølging og kontroll av leverandøren.
Bestemmelsens andre og tredje ledd er en videreføring av gjeldende sikkerhetslov § 27 andre og tredje ledd, og skal forstås på samme måte.
§ 9-3 Leverandørklarering
Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 28, med de tilpasninger som er nødvendig i lys av innretningen på det nye lovforslaget, og skal forstås på samme måte.
Med «dersom det av andre grunner anses nødvendig», jf. bestemmelses første ledd første punktum, menes i første rekke de tilfeller der leverandøren vil få tilgang til klassifiserte områder innen skjermingsverdig objekt eller infrastruktur, hvor ansvarlig departement har truffet vedtak om krav til adgangsklarering, jf. § 7-3 tredje ledd. Hvorvidt det kreves leverandørklarering for anskaffelser til skjermingsverdig objekt eller infrastruktur, må avgjøres konkret. I vurderingen bør det særlig tas hensyn til hvorvidt leverandørens personell får tilgang til deler av objektet eller infrastrukturen som har et høyt skadepotensial.
Første ledd andre punktum er en videreføring av det vedtatte forslaget i Prop. 97 L (2015–2016) om å gå fra oppdragsbaserte til tidsbaserte leverandørklareringer.
Bestemmelsens andre til og med femte ledd er en videreføring av gjeldende sikkerhetslov § 28 andre til og med femte ledd, og skal forstås på samme måte.
§ 9-4 Varslingsplikt og myndighet til å fatte vedtak ved anskaffelser til skjermingsverdig objekt og infrastruktur
Bestemmelsen er en videreføring av det vedtatte forslaget i Prop. 97 L (2015–2016) om anskaffelser til kritisk infrastruktur, med de tilpasninger som er nødvendige i lys av det øvrige lovforslaget. For en nærmere omtale av det vedtatte forslaget og hvilke justeringer som er foreslått, vises det til kapittel 11.2.4 og 11.4.
Bestemmelsen er avgrenset mot sikkerhetsgraderte anskaffelser. Virksomhetenes plikt til å foreta en risikovurdering ved anskaffelsen vil således gjelde alle anskaffelser som ikke er å anse som en sikkerhetsgradert anskaffelse etter §§ 9-2 og 9-3.
§ 9-5 Utfyllende bestemmelser mv.
Bestemmelsen er en videreføring av gjeldende sikkerhetslov § 29, og skal forstås på samme måte.
Kapittel 10 – Eierskapskontroll
§ 10-1 Eierskapskontroll
Etter bestemmelsen første ledd pålegges utenlandske erververe en meldeplikt ved erverv av eierandeler i nærmere angitte virksomheter.
Med erverver menes både fysiske og juridiske personer. Ved vurderingen av om erververen er utenlandsk vil det for fysiske personer måtte sees hen til statsborgerskap og bosted. For juridiske personer vil det måtte gjøres en konkret vurdering. Lokalisering av hovedkontor vil være et moment i denne vurderingen. I henhold til foretaksregistreringsloven § 1-2 regnes ethvert foretak med hovedkontor i Norge eller på norsk kontinentalsokkel, som et norsk foretak. Andre foretak er utenlandske.
Det vil imidlertid også være nødvendig å se hen til det aktuelle foretakets bakenforliggende eierstrukturer. Dersom en utenlandsk person (fysisk eller juridisk) innehar betydelige eierandeler i et norsk foretak, eller på annen måte har betydelig innflytelse over forvaltningen av selskapet, vil foretaket i seg selv måtte sees på som utenlandsk i relasjon til denne bestemmelsen. Med betydelig eierandel menes i utgangspunktet mer enn en tredjedel av aksjekapitalen eller av andelene eller stemmene på selskapets generalforsamling. Hvorvidt erverver kommer fra et annet EU-/EØS-land vil ikke ha betydning for om meldeplikten inntrer.
Virksomhet «av kritisk betydning for grunnleggende nasjonale funksjoner» skal forstås på samme måte som i loven § 1-2. Virksomheter av slik betydning vil være underlagt sikkerhetsloven ved enkeltvedtak etter §§ 2-1 første ledd bokstav c og 2-2 første ledd bokstav e.
Etter første ledd bokstav a, inntrer meldeplikt dersom erververen oppnår minst en tredjedel av aksjekapitalen, andelene eller stemmene i virksomheten. Begrepet minst en tredjedel viser til aksjelovgivningens bestemmelser om negativ kontroll ved avgjørelser som krever kvalifisert flertall, jf. blant annet aksjeselskapsloven/allmennaksjeselskapsloven § 5-18 første ledd andre punktum og § 2-2 første ledd.
Etter første ledd bokstav b, likestilles erverv av aksjer og andeler med erverv av rett til å bli eier når dette må ansees som reelt aksjeeie/andelseie. Et eksempel på erverv av rett til å bli eier kan være såkalte konvertible lån, hvor investor/långiver senere kan innløse gjelden i aksjer eller andeler. Slike konvertible lån innebærer i prinsippet at noen som ikke har skutt inn risikokapital, kan få innflytelse over selskapets beslutninger, og vil etter omstendighetene kunne omfattes av meldeplikten.
Etter første ledd bokstav c, inntrer også meldeplikt i de tilfeller erververen oppnår betydelig innflytelse over forvaltningen av selskapet på annen måte. Både juridiske og faktiske omstendigheter vil være relevante. Eksempelvis vil underliggende aksjonæravtaler som sikrer erververen kontroll ved strategisk viktige beslutninger i selskapet, være av betydning for vurderingen. Ved vurderingen vil det være naturlig å se hen til det selskapsrettslige kontrollbegrepet, slik dette er utviklet i norsk rettspraksis.
Etter bestemmelsens andre ledd skal aksjer som eies eller overtas av aksjeeierens nærstående likestilles med aksjeeierens egne aksjer ved vurderingen av om meldeplikt etter første ledd inntrer. Begrepet nærstående, skal forsås på samme måte som legaldefinisjonen av nærstående i relasjon til handel i finansielle instrumenter i verdipapirloven § 2-5.
Bestemmelsens fjerde ledd angir det nærmere vurderingstemaet for om Kongen i statsråd kan fatte vedtak etter bestemmelsen. En avgjørelse om å nekte godkjennelse av et slikt erverv skal baseres på en konkret og individuell helhetsvurdering, hvor inngripen kun kan skje av hensyn til sikkerhetsinteresser. Relevante sikkerhetsmessige hensyn kan være hensynet til forsyningssikkerhet og strategisk produksjon av varer og tjenester for grunnleggende nasjonale funksjoner, behovet for å beholde kritisk nøkkelkompetanse av betydning for slike funksjoner eller av hensyn til beskyttelse av sensitiv og/eller sikkerhetsgradert informasjon.
Begrepet ikke ubetydelig risiko innebærer at det er erverv med risiko ut over det normale som kvalifiserer for slike vedtak. Vurderingen vil måtte omfatte både sannsynlighet, sårbarhet og mulige konsekvenser ved at ervervet gjennomføres. På sannsynlighetssiden innebærer kriteriet at det ikke skal fattes vedtak dersom det kun foreligger en helt fjerntliggende eller rent teoretisk mulighet for at ervervet kan ha skadevirkninger for grunnleggende nasjonale funksjoner. Det bør være noe konkret med den aktuelle erververen som tilsier at risikoen er høyere enn for andre erververe. Bestemmelsen innebærer imidlertid ikke et krav om sannsynlighetsovervekt. For øvrig vises det til omtalen av bestemmelsen i kapittel 12.8.
Etter fjerde ledd gis det også hjemmel for å sette vilkår ved en godkjenning av ervervet. Fastsetting av vilkår etter denne bestemmelse skal gjøres på bakgrunn av en konkret helhetsvurdering hvor blant annet vilkårets inngripende karakter, hensynet til ivaretakelse av grunnleggende nasjonale funksjoner og erververens forhold tas i betraktning. De vilkår som settes for godkjenning av ervervet må ha en saklige sammenheng med vedtaket og hensynet til ivaretakelse av grunnleggende nasjonale funksjoner.
Kapittel 11 – Kontroll- og tilsynsordninger. Tvangsmulkt, overtredelsesgebyr og straff
§ 11-1 Kontroll- og tilsynsordninger
Bestemmelsen viderefører gjeldende sikkerhetslov § 30.
Første ledd fastslår gjennom begrepet underlagt at forebyggende sikkerhetsarbeid etter sikkerhetsloven kan bli gjenstand for kontroll og tilsyn av EOS-utvalget. Bestemmelsen gir ikke direkte føringer for verken organiseringen, gjennomføringen eller omfanget av EOS-utvalgets kontroll.
Med forebyggende sikkerhetsarbeid etter loven i første ledd menes planlegging, tilrettelegging, gjennomføring og kontroll av forebyggende sikkerhetstiltak som søker å fjerne eller redusere risiko som følge av tilsiktede uønskede hendelser. Begrepet tilsvarer i all hovedsak begrepet forebyggende sikkerhetstjeneste slik det er definert i gjeldende sikkerhetslov § 3 første ledd nr. 1. For en nærmere omtale av forholdet mellom tilsiktede uønskede hendelser og sikkerhetstruende virksomhet, vises det til kapittel 6.7.4.
Bestemmelsen må ses i sammenheng med EOS-kontrolloven, herunder § 1, som angir EOS-utvalgets kontrollområde til «etterretnings-, overvåknings- og sikkerhetstjeneste som utføres av den offentlige forvaltning eller under styring eller på oppdrag av denne». Kontrollområdet er funksjonelt og ikke organisatorisk definert, se nærmere Dokument 16 (2015–2016) Rapport til Stortinget fra Evalueringsutvalget for Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjeneste, kapittel 17.3.
Andre ledd tilsvarer dagens sikkerhetslov § 30 andre ledd.
§ 11-2 Tvangsmulkt
Bestemmelsen gir hjemmel til å ilegge en virksomhet som har overtrådt loven, løpende mulkt for å tvinge virksomheten til å rette opp i forholdet. Tvangsmulkt forutsetter at det er truffet gyldig enkeltvedtak som pålegger virksomheten å endre sin praksis, jf. § 3-6. Vedtaket må være rettskraftig før mulkten kan begynne å løpe. Mulighetene for å angripe vedtaket ved klage eller rettslige skritt, må altså være uttømt. Med tilsynsmyndigheten menes i denne sammenheng Sikkerhetsmyndigheten eller den sektormyndighet som har fått tildelt tilsynsansvaret etter § 3-1.
Tvangsmiddelet må være forholdsmessig, jf. blant annet § 1-1 andre ledd. Vedtaket må ikke være mer tyngende enn det som er nødvendig for å oppnå formålet med mulkten, og må dessuten være egnet til å oppnå formålet.
Vedtak om tvangsmulkt kan påklages, se nærmere i merknadene til § 2-6.
§ 11-3 Overtredelsesgebyr
Bestemmelsen gir tilsynsmyndigheten hjemmel til å ilegge overtredelsesgebyr ved overtredelse av de i første ledd angitte lovbestemmelsene.
Begrepet «noen som handler på dennes vegne» i første ledd, angir virksomhetens ansvar utover egen organisasjon. Det må være en viss tilknytning mellom virksomheten og den som har overtrådt bestemmelsen, jf. også § 5-3.
Oppregningen av lovens bestemmelser der overtredelsesgebyr er aktuelt omfatter de bestemmelser i loven som anses særlig viktig å overholde og som dessuten er tilstrekkelig klart formulert til at denne type sanksjon lar seg forsvare.
Ileggelse av gebyr er inngripende og må være forholdsmessig, jf. blant annet § 1-1 andre ledd. Bestemmelsens andre ledd angir relevante momenter som skal tas i betraktning ved fastsettelse av gebyrets størrelse. Momentene er relevante også ved vurderingen av om gebyr skal ilegges.
Bestemmelsens tredje ledd fastsetter foreldelsesfristen for adgangen til å pålegge overtredelsesgebyr. Utover det som er regulert i tredje ledd gjelder alminnelige regler om foreldelse.
§ 11-4 Straff
Bestemmelsens første ledd fastslår at overtredelse av nærmere angitt bestemmelser – de samme som i § 11-3 første ledd bokstav a og b – er straffbart, se merknadene til denne bestemmelsen. Første ledd retter seg i første rekke mot virksomheter som er ansvarlig for overholdelse av de enkelte bestemmelsene.
Bestemmelsens andre og tredje ledd retter seg mot enkeltpersoner som ikke overholder § 5-3 andre ledd eller forbud gitt i medhold av § 7-5.
Kapittel 12 – Ikrafttredelse og endringer i andre lover
§ 12-1 Ikrafttredelse
Ikrafttredelse av loven forutsetter en omfattende revisjon det det underliggende forskriftsverket til dagens sikkerhetslov. Myndighet til å fatte vedtak om når loven trer i kraft er derfor lagt til Kongen.
14 Lovforslag
Forslag til ny lov om forebyggende nasjonal sikkerhet (sikkerhetsloven)
Kapittel 1. Formål og virkeområde
§ 1-1 Lovens formål
Loven skal bidra til å trygge Norges suverenitet, territorielle integritet og demokratiske styreform ved å motvirke tilsiktede uønskede hendelser som kan skade grunnleggende nasjonale funksjoner.
Loven skal sikre at tiltak som iverksettes for å ivareta lovens formål, gjennomføres på en måte som er forenlig med grunnleggende rettsprinsipper og verdier i et demokratisk samfunn.
§ 1-2 Lovens virkeområde
Loven gjelder for virksomheter som alene eller sammen med andre råder over informasjon, informasjonssystemer, objekter eller infrastruktur, eller som driver aktivitet, som er av kritisk betydning for grunnleggende nasjonale funksjoner knyttet til
de øverste statsorganers virksomhet, sikkerhet eller handlefrihet
forsvars-, sikkerhets- og beredskapsmessige forhold
forholdet til andre stater
landets økonomiske trygghet og velferd
befolkningens grunnleggende sikkerhet og overlevelse.
Kongen i statsråd kan gi forskrift om lovens virkeområde og kan herunder helt eller delvis unnta bestemte rettssubjekter eller visse typer informasjon, informasjonssystemer, objekter og infrastruktur.
§ 1-3 Særbestemmelser om lovens virkeområde
Loven gjelder for Stortinget og Stortingets organer i den utstrekning Stortinget bestemmer det.
Bestemmelsene gitt i og i medhold av kapittel 8 om personellsikkerhet gjelder ikke for regjeringens medlemmer og dommere i Høyesterett.
Loven gjelder for domstolene med de særregler som følger av bestemmelsene om sikkerhetsklarering og autorisasjon i og i medhold av domstolloven og straffeprosessloven. Kongen kan fastsette ytterligere særregler.
Loven gjelder for leverandører av varer eller tjenester i forbindelse med en sikkerhetsgradert anskaffelse etter loven kapittel 9.
For virksomheter på Svalbard, Jan Mayen og i bilandene gjelder loven i det omfang og med de stedlige tilpasninger Kongen bestemmer.
Kapittel 2. Myndigheter etter loven
§ 2-1 Departementenes ansvar og myndighet etter loven
Hvert enkelt departement er ansvarlig for forebyggende sikkerhet innenfor sitt myndighetsområde, og skal
identifisere og holde oversikt over grunnleggende nasjonale funksjoner innenfor sitt myndighetsområde
identifisere og holde oversikt over virksomheter som direkte eller indirekte er av vesentlig betydning for opprettholdelse av grunnleggende nasjonale funksjoner
treffe enkeltvedtak om at virksomheter er av kritisk betydning for grunnleggende nasjonale funksjoner, jf. § 1-2, slik at loven gjelder for dem.
Virksomheter som vurderes å være av kritisk betydning for grunnleggende nasjonale funksjoner, jf. første ledd bokstav c, skal forhåndsvarsles, jf. forvaltningsloven § 16. Selvstendige rettssubjekter kan påklage vedtaket til Tvisteorganet etter reglene i forvaltningsloven kapittel VI.
Ansvarlig departement skal holde Sikkerhetsmyndigheten orientert om oversikter og vedtak etter første ledd bokstav a til c.
Sikkerhetsmyndigheten kan på eget initiativ fremme forslag overfor ansvarlig departement om at det bør treffes vedtak etter første ledd bokstav c. Dersom Sikkerhetsmyndigheten finner at et departements unnlatelse av å treffe slikt vedtak er uforsvarlig, kan departementets avgjørelse bringes inn for Tvisteorganet.
Kongen i statsråd kan gi forskrift om departementenes ansvar og myndighet etter loven.
§ 2-2 Sikkerhetsmyndigheten
Sikkerhetsmyndigheten har det sektorovergripende ansvaret for at gjennomføring av forebyggende sikkerhet i virksomhetene skjer i samsvar med denne loven. Sikkerhetsmyndigheten skal herunder
påse at det føres tilsyn med virksomheters gjennomføring av de kravene til forebyggende sikkerhet som følger av loven
gi informasjon, råd og veiledning til virksomheter om forebyggende sikkerhet og aktuelle tiltak for å gjennomføre de kravene som følger av loven
utarbeide og gjøre tilgjengelig generell informasjon om loven og praktiseringen av den
holde en tverrsektoriell oversikt over departementenes identifisering og enkeltvedtak etter § 2-1 første ledd bokstav a til c
treffe enkeltvedtak, jf. § 2-1 første ledd bokstav c, overfor virksomheter som ikke anses å falle innenfor et departements myndighetsområde.
For vedtak etter første ledd bokstav e gjelder § 2-1 andre ledd tilsvarende.
Kongen kan gi forskrift om Sikkerhetsmyndighetens ansvar etter loven.
§ 2-3 Informasjon om trusselvurderinger og risikohåndtering
Sikkerhetsmyndigheten skal legge til rette for at sektormyndigheter og virksomheter omfattet av loven får informasjon om trusselvurderinger og annen sikkerhetsinformasjon som er av betydning for myndighetenes og virksomhetenes gjennomføring av loven.
Sikkerhetsmyndigheten skal koordinere tilgjengeliggjøring av informasjon som nevnt i første ledd, og i samråd med sektormyndigheter og andre relevante myndigheter påse at det etableres nødvendige arenaer for informasjons- og erfaringsutveksling.
Kongen kan gi forskrift om utveksling av informasjon etter denne bestemmelsen.
§ 2-4 Nasjonal responsfunksjon for alvorlige dataangrep
Kongen utpeker en nasjonal responsfunksjon for alvorlige dataangrep mot skjermingsverdig infrastruktur og et nasjonalt varslingssystem for digital infrastruktur.
Når det er nødvendig for å beskytte grunnleggende nasjonale funksjoner, kan den nasjonale responsfunksjonen behandle personopplysninger i form av
metadata om IKT-trafikk til og fra virksomheter som er knyttet til det nasjonale varslingssystemet for digital infrastruktur
informasjon som er nødvendig for å analysere utløste alarmer i varslingssystemet
IP-adresser mottatt fra nasjonale og internasjonale samarbeidspartnere
logger og infisert maskinvare, etter samtykke fra en virksomhet der dette er nødvendig i forbindelse med bistand til håndtering av alvorlige dataangrep.
Behandling av andre former for personopplysninger er kun tillatt når det er strengt nødvendig for å beskytte grunnleggende nasjonale funksjoner.
Behandlingen skal i alle tilfeller være proporsjonal med det inngrepet den representerer i personvernet.
Kongen kan gi forskrift om den nasjonale responsfunksjonens behandling av personopplysninger.
§ 2-5 Vedtaksmyndighet for Kongen i statsråd
Kongen i statsråd kan fatte enkeltvedtak som er nødvendig for å stanse, begrense eller endre en planlagt eller pågående aktivitet, dersom denne aktiviteten med stor grad av sannsynlighet kan få kritiske skadevirkninger for grunnleggende nasjonale funksjoner. Vedtaket kan fattes uten hensyn til begrensningene i forvaltningsloven § 35 om adgangen til å omgjøre tidligere fattede vedtak, og uavhengig av om aktiviteten ellers er tillatt etter lov eller annet vedtak.
Vedtak etter første ledd skal om mulig være midlertidig og skal ikke ha lengre varighet enn hva som er strengt nødvendig. Vedtaket skal stå i rimelig forhold til den risiko aktiviteten utgjør. Det skal ikke fattes vedtak som er mer inngripende enn det som er strengt nødvendig for å redusere risikoen ved den aktuelle aktiviteten til et akseptabelt nivå.
Før vedtak etter første ledd treffes skal saken utredes så godt som tiden og situasjonen tillater. Berørte parter skal om mulig få anledning til å uttale seg. Den risikoreduserende effekten av vedtaket skal kunne dokumenteres.
Blir vedtak etter første ledd truffet i en situasjon der det ikke er mulig å gjennomføre fullt ut tilfredsstillende saksbehandling, skal slike mangler så snart som mulig rettes. Fremkommer det nye og vesentlige opplysninger i saken, skal det første vedtaket vurderes på nytt, og nytt enkeltvedtak eventuelt treffes.
Vedtak etter første ledd er særlig tvangsgrunnlag etter tvangsfullbyrdelsesloven kapittel 13.
Kongen i statsråd skal gi forskrift om vedtak etter første ledd, herunder om eventuell kompensasjon til personer og virksomheter som får sin rettslige posisjon svekket som følge av Kongens vedtak.
§ 2-6Klage og tvisteløsning
Vedtak etter loven kan bringes inn for Tvisteorganet for forebyggende nasjonal sikkerhet, jf. § 2-7. Dette gjelder ikke vedtak fattet av Kongen i statsråd med hjemmel i §§ 2-5, 9-4 eller 10-1, og vedtak som nevnt i andre ledd.
Vedtak etter loven kapittel 8 kan påklages til Sikkerhetsmyndigheten. I saker der Sikkerhetsmyndigheten er klareringsmyndighet, kan vedtak påklages til departementet.
Reglene i forvaltningsloven kapittel VI gjelder for selvstendige rettssubjekters klageadgang etter denne loven.
§ 2-7Tvisteorgan for forebyggende nasjonal sikkerhet
Kongen utpeker et kollegialt organ med fem medlemmer som oppnevnes for fire år med adgang til gjenoppnevning for ytterligere fire år.
Ved oppnevning av organets medlemmer skal det, i tillegg til sikkerhetsfaglig kompetanse, også legges vekt på kompetanse innen personvern og selvstendige rettssubjekters rettssikkerhet.
Tvisteorganet kan bestemme at leder eller nestleder, sammen med to andre medlemmer, kan treffe midlertidige vedtak i saker som må avgjøres uten opphold.
Tvisteorganet skal avgi en årlig rapport om sin virksomhet.
Kongen i statsråd kan i forskrift gi nærmere bestemmelser om Tvisteorganets organisering og saksbehandling.
Kapittel 3. Tilsyn etter loven
§ 3-1Tilsyn med virksomheter
Sikkerhetsmyndigheten skal føre tilsyn med departementenes gjennomføring av loven.
Innenfor samfunnssektorer der det finnes andre offentlige myndigheter som har tilsynsfunksjoner som omfatter beskyttelse av informasjon, informasjonssystemer, objekter eller infrastruktur, kan ansvarlig departement, jf. § 2-1, bestemme at disse sektormyndighetene skal føre tilsyn med virksomheter omfattet av loven.
Innenfor samfunnssektorer der det ikke finnes myndigheter med tilsynsfunksjoner som nevnt i andre ledd, skal Sikkerhetsmyndigheten føre tilsyn med virksomheter omfattet av loven.
Sikkerhetsmyndigheten skal føre tilsyn med sektormyndigheter som er tillagt tilsynsansvar etter andre ledd.
Kongen kan gi forskrift om fordeling av tilsynsansvaret mellom Sikkerhetsmyndigheten og aktuelle sektormyndigheter.
§ 3-2Sikkerhetsmyndighetens samarbeid med sektormyndigheter
Sikkerhetsmyndigheten skal samarbeide med andre offentlige myndigheter som i medhold av lov har tilsynsfunksjoner innenfor sin samfunnssektor som omfatter beskyttelse av informasjon, informasjonssystemer, objekter eller infrastruktur.
Gjennomføring av tilsyn skal i størst mulig grad samordnes med andre tilsynsmyndigheter.
For områder der sektormyndigheter har tilsynsansvar etter § 3-1, skal det inngås samarbeidsavtaler mellom Sikkerhetsmyndigheten og sektormyndighetene.
Som grunnlag for sektormyndighetenes tilsyn etter loven, skal Sikkerhetsmyndigheten
utarbeide og vedlikeholde grunnleggende kriterier for tilsyn etter loven med forskrifter
forestå felles opplæring av tilsynspersonell.
Sikkerhetsmyndigheten kan, dersom den anser det nødvendig, medvirke til forberedelse og gjennomføring av tilsyn. Sektormyndighetene kan anmode Sikkerhetsmyndigheten om slik bistand.
Sektormyndigheter som har tilsynsansvar etter loven, jf. § 3-1, skal orientere Sikkerhetsmyndigheten om hovedfunn.
Kongen kan gi forskrift om samarbeidet mellom Sikkerhetsmyndigheten og sektormyndighetene.
§ 3-3Generelle prinsipper for tilsyn
Tilsyn etter loven skal planlegges og gjennomføres på en slik måte at tilsynet virker minst mulig forstyrrende på tilsynsobjektenes daglige drift.
Opplysninger som tilsynsmyndigheten innhenter som ledd i tilsynsvirksomheten skal bare nyttes i direkte forbindelse med tilsynet.
Forvaltningslovens bestemmelser om taushetsplikt gjelder for personell som på vegne av tilsynsmyndigheten gjennomfører tilsyn etter loven.
§ 3-4Stedlig tilsyn
I den grad det er nødvendig for å gjennomføre tilsyn etter loven, kan tilsynsmyndigheten kreve nødvendig adgang til virksomhetens informasjon, informasjonssystemer, objekter og infrastruktur.
Stedlig tilsyn som nevnt i første ledd skal normalt varsles skriftlig. Forvaltningsloven § 15 gjelder tilsvarende.
Kongen kan gi forskrift om tilsynsmyndighetens stedlige tilsyn.
§ 3-5Tilsynsmyndighetens behandling av personopplysninger
Når det er nødvendig for å utføre oppgavene etter loven, kan tilsynsmyndigheten behandle opplysninger som direkte eller indirekte kan knyttes til en fysisk enkeltperson (personopplysninger).
Behandlingen av personopplysninger etter første ledd må være proporsjonal med det inngrepet den representerer i personvernet.
Behandlingen av personopplysninger etter første ledd skal om mulig skje ved hjelp av virksomhetens informasjonssystem, og uten at personopplysninger blir kopiert eller overført til tilsynsmyndigheten. Tilsynsmyndigheten kan likevel kreve kopi av personopplysninger som er nødvendige for å bekrefte, avkrefte eller dokumentere at bestemmelser i loven er brutt. Virksomheten skal varsles om hvilke opplysninger det blir tatt kopi av.
Kongen kan gi forskrift om tilsynsmyndighetens behandling av personopplysninger.
§ 3-6Pålegg
Pålegg etter loven kan bare gis dersom det er utvilsomt at tiltaket er nødvendig for å ivareta lovens formål, og de kostnadene som påføres virksomheten, står i et rimelig forhold til det som kan oppnås ved tiltaket.
Sektormyndighet med tilsynsansvar etter loven kan gi pålegg om gjennomføring av tiltak innenfor sin sektor. Sikkerhetsmyndigheten kan gi virksomheter som ikke er underlagt tilsyn fra en sektormyndighet, pålegg om gjennomføring av tiltak.
Sikkerhetsmyndigheten kan gi en sektormyndighet med tilsynsansvar etter loven nødvendige pålegg for å sikre at lovens formål ivaretas.
Pålegg kan påklages til Tvisteorganet. Reglene i forvaltningsloven kapittel VI gjelder for selvstendige rettssubjekters klageadgang.
Kapittel 4. Generelle krav til forebyggende sikkerhet
§ 4-1Plikt til å gjennomføre sikkerhetstiltak
Virksomheten skal, på grunnlag av risiko- og sårbarhetsanalysen, jf. § 4-3, gjennomføre forebyggende sikkerhetstiltak. Tiltakene skal gi et forsvarlig sikkerhetsnivå, og
bidra til å hindre tilsiktede uønskede hendelser som kan skade informasjon, informasjonssystemer, objekter, infrastruktur eller aktivitet av kritisk betydning for grunnleggende nasjonale funksjoner
redusere skadevirkningene dersom slike hendelser inntreffer
Kostnader ved sikkerhetstiltak etter loven skal stå i et rimelig forhold til det som oppnås ved tiltaket.
Forutsatt at kravene som følger av første ledd og loven for øvrig oppfylles, kan planlegging og gjennomføring av forebyggende tiltak mot tilsiktede uønskede hendelser skje i sammenheng med forebyggende tiltak mot annen risiko som foreligger for virksomheten.
Kongen kan gi forskrift om plikter for virksomheter som omfattes av loven.
§ 4-2Sikkerhetsstyring
Ansvaret for forebyggende sikkerhet etter loven påhviler leder for virksomheten. Forebyggende sikkerhet skal innarbeides som en del av virksomhetens styringssystem.
Virksomheten skal påse at dens ansatte, leverandører og oppdragstakere har tilstrekkelig opplæring i sikkerhetsspørsmål, og skal regelmessig kontrollere sikkerhetstilstanden i virksomheten. For leverandører til sikkerhetsgraderte anskaffelser gjelder loven kapittel 9.
Kongen kan gi forskrift om sikkerhetsstyring, herunder om bruk av standarder.
§ 4-3Risiko- og sårbarhetsanalyse
Som grunnlag for virksomhetens forebyggende sikkerhetstiltak skal det gjennomføres en risiko- og sårbarhetsanalyse. Virksomheten skal herunder kartlegge hvilke andre virksomheter den er avhengig av for å opprettholde sin funksjonalitet.
Risiko- og sårbarhetsanalysen skal jevnlig gjennomgås, og om nødvendig revideres.
Sikkerhetsmyndigheten, eller sektormyndighet som er gitt tilsynsansvar etter loven, skal på anmodning rådgi og veilede virksomheten ved gjennomføring av risiko- og sårbarhetsanalyser.
Kongen kan gi forskrift om risiko- og sårbarhetsanalyse, herunder om bruk av standarder.
§ 4-4Krav til dokumentasjon
Virksomheten skal dokumentere at
risiko- og sårbarhetsanalyse er gjennomført
nødvendige sikkerhetstiltak for å redusere risikoen for og konsekvensene av tilsiktede uønskede hendelser er iverksatt.
Kongen kan gi forskrift om krav til dokumentasjon.
§ 4-5Øvelser
Virksomheten skal gjennomføre regelmessige øvelser for å sikre at kompetansen til å forebygge og håndtere tilsiktede uønskede hendelser vedlikeholdes og utvikles.
Kongen kan gi forskrift om øvelser.
§ 4-6Varsling
Virksomheten skal omgående varsle tilsynsmyndigheten dersom
en tilsiktet uønsket hendelse har rammet virksomheten, som kan ha betydning for virksomhetens evne til å ivareta oppgaver knyttet til grunnleggende nasjonale funksjoner
det er begrunnet mistanke om at det har inntruffet eller er fare for at det vil inntreffe en hendelse som nevnt i bokstav a
det er begrunnet mistanke om at det har inntruffet eller er fare for at det vil inntreffe en tilsiktet uønsket hendelse som kan ha kritiske skadevirkninger for grunnleggende nasjonale funksjoner, selv om dette ikke er rettet mot virksomheten
det har skjedd brudd på krav til sikkerhet i kapittel 5, 6 eller 7, med forskrifter.
I samfunnssektorer der sektormyndigheter er gitt tilsynsansvar i medhold av § 3-1, skal Sikkerhetsmyndigheten varsles parallelt.
Tilsynsmyndigheten skal uten ugrunnet opphold videresende varsel etter første ledd bokstav c til ansvarlig departement for vurdering av enkeltvedtak etter § 2-5. Der Sikkerhetsmyndigheten er tilsynsmyndighet skal varsel uten ugrunnet opphold videresendes til departementet.
Varslingsplikten etter denne bestemmelsen gjelder uten hinder av lovbestemt taushetsplikt.
Kongen kan gi forskrift om virksomhetenes varslingsplikt etter loven.
§ 4-7Behandling av personopplysninger
Behandling av personopplysninger som skjer med det formål å etterleve bestemmelsene i denne loven, skal skje i samsvar med prinsippene i Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 artikkel 5, jf. artikkel 23.
Kapittel 5. Informasjonssikkerhet
§ 5-1Sikkerhetsgradert informasjon
Den som utsteder eller på annen måte tilvirker informasjon skal, på bakgrunn av en skadevurdering, sikkerhetsgradere og merke informasjonen på følgende måte:
STRENGT HEMMELIG benyttes dersom det kan få helt avgjørende skadefølger for grunnleggende nasjonale funksjoner, jf. § 1-2, om informasjonen blir kjent for uvedkommende
HEMMELIG benyttes dersom det kan få alvorlige skadefølger for grunnleggende nasjonale funksjoner, jf. § 1-2, om informasjonen blir kjent for uvedkommende
KONFIDENSIELT benyttes dersom det kan få skadefølger for grunnleggende nasjonale funksjoner, jf. § 1-2, om informasjonen blir kjent for uvedkommende
BEGRENSET benyttes dersom det i noen grad kan få skadefølger for grunnleggende nasjonale funksjoner, jf. § 1-2, om informasjonen blir kjent for uvedkommende.
Sikkerhetsgradering skal ikke skje i større utstrekning eller for lengre tid enn nødvendig. Sikkerhetsgraderingen skal bortfalle senest etter 30 år. I særskilte tilfeller kan Kongen beslutte unntak fra 30-års-regelen i andre punktum.
Kongen kan gi forskrift om sikkerhetsgradering.
Innenfor rammen av gjensidig overenskomst med fremmed stat eller internasjonal organisasjon kan Kongen i forskrift gi nærmere bestemmelser om sikkerhetsgradering og beskyttelse av informasjon som mottas fra eller avgis til vedkommende stat eller internasjonale organisasjon.
§ 5-2Beskyttelse av sikkerhetsgradert informasjon
Virksomheten skal iverksette nødvendige sikkerhetstiltak slik at sikkerhetsgradert informasjon
ikke blir kjent for uvedkommende
ikke går tapt eller blir endret uten at dette er autorisert
er tilgjengelig for autoriserte personer der tjenstlige behov tilsier dette.
Kongen kan gi forskrift om minstekrav for beskyttelse av sikkerhetsgradert informasjon.
§ 5-3Tilgang til og taushetsplikt for sikkerhetsgradert informasjon
Sikkerhetsgradert informasjon skal bare overlates til personer som har tjenstlig behov og er autorisert for slik tilgang.
Enhver som får tilgang til sikkerhetsgradert informasjon som ledd i arbeid, oppdrag, verv eller aktivitet for en virksomhet som omfattes av loven har taushetsplikt om innholdet. Taushetsplikten gjelder også etter at vedkommende har avsluttet arbeidet, oppdraget, vervet eller aktiviteten.
§ 5-4Tekniske sikkerhetsundersøkelser
Sikkerhetsmyndigheten, eller den Sikkerhetsmyndigheten bemyndiger, kan foreta undersøkelser av lokaler, bygninger og andre objekter som en virksomhet alene eller sammen med andre råder over, i den hensikt å fastslå om uvedkommende med eller uten tekniske hjelpemidler kan skaffe seg tilgang til sikkerhetsgradert informasjon ved avlytting av tale, avlesning av signaler eller ved innsyn.
Kongen kan gi forskrift om tekniske sikkerhetsundersøkelser.
Kapittel 6. Informasjonssystemsikkerhet
§ 6-1Skjermingsverdige informasjonssystemer
Med skjermingsverdige informasjonssystemer menes
informasjonssystemer som er av kritisk betydning for grunnleggende nasjonale funksjoner
informasjonssystemer som behandler sikkerhetsgradert informasjon.
§ 6-2Beskyttelse av skjermingsverdige informasjonssystemer
Virksomheten skal gjennomføre nødvendige tiltak for å oppnå et forsvarlig sikkerhetsnivå for skjermingsverdige informasjonssystemer. Tiltakene skal sikre at
informasjonssystemene opprettholder sin funksjonalitet
konfidensialiteten, integriteten og tilgjengeligheten til informasjon som behandles, ivaretas.
Kongen kan gi forskrift om beskyttelse av skjermingsverdige informasjonssystemer.
§ 6-3Godkjenning av skjermingsverdige informasjonssystemer
Skjermingsverdige informasjonssystemer skal godkjennes av en ansvarlig godkjenningsmyndighet.
Informasjonssystemer som skal behandle sikkerhetsgradert informasjon skal forhåndsgodkjennes.
Kongen kan gi forskrift om godkjenning av skjermingsverdige informasjonssystemer, herunder utpeking av ansvarlige godkjenningsmyndigheter og krav til leverandører.
§ 6-4Overvåking av skjermingsverdige informasjonssystemer
Virksomheten skal kontinuerlig overvåke sine skjermingsverdige informasjonssystemer for å forebygge og håndtere tilsiktede uønskede hendelser som kan skade informasjonssystemet. Hendelser som er relevante for sikkerhetsarbeidet skal registreres.
I den grad det er nødvendig for å ivareta formålet med overvåkningen skal utveksling av informasjon til, fra og i skjermingsverdige informasjonssystemer registreres, lagres og analyseres.
Overvåkning av informasjonssystemer som behandler personopplysninger skal begrenses til de metoder og det omfang som er strengt nødvendig for å ivareta formålet med overvåkningen.
Informasjon etter første og andre ledd kan lagres i inntil fem år. Lagrede personopplysninger kan kun benyttes i den utstrekning det er nødvendig for å ivareta formålet med overvåkningen.
Flere virksomheter som er tilknyttet samme informasjonssystem, kan avtale at en av virksomhetene skal forestå overvåkningen etter første og andre ledd på vegne av de øvrige virksomhetene. Den virksomheten som forestår overvåkningen plikter å sikre at kravene til informasjonssikkerhet i § 5-2 etterleves også for den informasjon den blir kjent med som følge av avtalen om felles overvåkning.
Virksomheten skal påse at autoriserte brukere av informasjonssystemer som overvåkes i henhold til denne bestemmelse, får informasjon om formålet med behandlingen, om de tiltak som er iverksatt, herunder metode og omfang, om informasjonen blir utlevert og eventuelt om hvem som er mottaker.
Kongen kan i forskrift gi nærmere bestemmelser om overvåkning av skjermingsverdige informasjonssystemer, herunder
hvilke typer informasjon som kan eller skal registreres, lagres og analyseres i forbindelse med eller som resultat av overvåkningen
hvem som skal ha tilgang til informasjon som er registrert og lagret i forbindelse med eller som resultat av overvåkningen
hvordan tilgang til registrert eller lagret informasjon skal gis
unntak fra lagringstid på fem år, jf. fjerde ledd.
§ 6-5Kommunikasjons- og innholdskontroll av informasjonssystemer
Ledelsen i virksomheten kan anmode Sikkerhetsmyndigheten om å kontrollere om virksomhetens informasjonssystemer kun behandler slik informasjon som sikkerhetsgodkjenningen tillater. Virksomhetens ansatte skal orienteres om at slike kontroller kan forekomme.
Kontrollen kan gjennomføres ved å avlytte og avlese informasjon som behandles i eller kommuniseres mellom informasjonssystemer.
Iverksettelse av kontrollen kan ikke skje før virksomhetens ledelse har godtatt metodene som tenkes benyttet og Sikkerhetsmyndighetens vurdering av faren for at kontrollen kan fange opp kommunikasjon som nevnt i fjerde ledd.
Kontrollen skal ikke omfatte privat kommunikasjon eller kommunikasjon med virksomheter som ikke er omfattet av loven. Avdekker kontrollen at slik kommunikasjon likevel fanges opp skal kontrollen straks opphøre og informasjon som kontrollen har gitt tilgang til slettes.
Det er forbudt for tjenestepersoner som får tilgang til informasjon som nevnt i fjerde ledd, å bringe informasjonen videre til andre tjenestepersoner. For øvrig gjelder taushetsplikt etter § 5-3.
Når informasjon som er samlet inn i samsvar med første ledd ikke lenger har betydning for det angitte kontrollformålet, skal Sikkerhetsmyndigheten straks slette informasjonen.
Kongen kan i forskrift gi nærmere bestemmelser om kommunikasjons- og innholdskontroll av informasjonssystemer.
§ 6-6Inntrengningstesting av skjermingsverdige informasjonssystemer
Ledelsen i virksomheten kan anmode Sikkerhetsmyndigheten om å forsøke å trenge inn i virksomhetens skjermingsverdige informasjonssystemer. Formålet kan bare være å kontrollere om motstandskraften til etablerte sikkerhetstiltak er tilfredsstillende, i den hensikt å forbedre sikkerheten. Virksomhetens ansatte skal orienteres om at slike kontroller kan forekomme.
Dersom kontrollen innebærer behandling av personopplysninger skal den begrenses til de metoder og det omfang som er strengt nødvendig for å ivareta formålet med kontrollen.
Informasjon som kontrollen gir tilgang til kan kun benyttes til å ivareta formålet med kontrollen. Når det ikke lenger er behov for informasjonen skal den slettes.
Dersom Sikkerhetsmyndigheten klarer å trenge inn i informasjonssystemet, skal fremgangsmåte og resultat dokumenteres, og operasjonen avsluttes.
Sikkerhetsmyndigheten skal gi rapport om resultatet av kontrollen til virksomheten. Rapporten skal kun inneholde informasjon som er av betydning for forbedring av virksomhetens sikkerhet.
Kongen kan gi nærmere forskrifter om inntrengning i skjermingsverdige informasjonssystemer, herunder gjennomføring av inntrengningstesting av andre enn Sikkerhetsmyndigheten.
Kapittel 7. Objekt- og infrastruktursikkerhet
§ 7-1Skjermingsverdige objekter og infrastruktur
Hver enkelt departement skal innen sitt myndighetsområde utpeke, klassifisere og holde oversikt over objekter og infrastruktur av kritisk betydning for grunnleggende nasjonale funksjoner.
Sikkerhetsmyndigheten skal utpeke, klassifisere og holde oversikt over objekter og infrastruktur som ikke ligger innenfor et departements myndighetsområde.
Virksomheter som råder over objekter eller infrastruktur som utpekes etter første eller andre ledd, skal varsles om dette. Avgjørelse om utpeking som berører selvstendige rettssubjekter kan påklages til Tvisteorganet etter reglene i forvaltningsloven kapittel VI.
Sikkerhetsmyndigheten kan på eget initiativ foreslå utpeking av objekter og infrastruktur overfor ansvarlig departement. Dersom Sikkerhetsmyndigheten finner at et departements unnlatelse av å utpeke objekter eller infrastruktur er uforsvarlig, kan departementets avgjørelse bringes inn for Tvisteorganet for endelig avgjørelse.
Kongen kan gi forskrift om identifisering og utpeking av objekter og infrastruktur.
§ 7-2Klassifisering
Skjermingsverdige objekter og infrastruktur skal klassifiseres i en av følgende klassifiseringsgrader:
MEGET KRITISK nyttes dersom det kan få helt avgjørende skadefølger for grunnleggende nasjonale funksjoner, jf. § 1-2, om objektet eller infrastrukturen får redusert funksjonalitet
KRITISK nyttes dersom det kan få alvorlige skadefølger for grunnleggende nasjonale funksjoner, jf. § 1-2, om objektet eller infrastrukturen får redusert funksjonalitet
VIKTIG nyttes dersom det kan få skadefølger for grunnleggende nasjonale funksjoner, jf. § 1-2, om objektet eller infrastrukturen får redusert funksjonalitet.
Klassifiseringen skal skje på grunnlag av virksomhetens risiko- og sårbarhetsanalyse, jf. § 4-3, og skal begrunnes ut ifra hvilke grunnleggende nasjonale funksjoner objektet eller infrastrukturen understøtter og konsekvensene av redusert funksjonalitet. Begrunnelsen skal inngå i departementenes og Sikkerhetsmyndighetens oversikt over skjermingsverdige objekter og infrastruktur.
Dersom en del av et objekt eller infrastruktur har en høyere klassifisering enn objektet eller infrastrukturen for øvrig, skal denne defineres som selvstendig objekt eller infrastruktur.
Kongen kan gi forskrift om klassifisering av skjermingsverdige objekter og infrastruktur.
§ 7-3Beskyttelse av objekter og infrastruktur
Virksomheten skal iverksette nødvendige sikkerhetstiltak for å opprettholde et forsvarlig sikkerhetsnivå.
Ved vurderingen av hva som er nødvendig skal virksomheten ta hensyn til klassifiseringsnivået på objektet eller infrastrukturen, og konsekvensen ved bortfall eller reduksjon av funksjonalitet. Sikkerhetstiltakene skal ses i sammenheng og tilpasses det enkelte objekts, eller den enkelte infrastrukturs, konkrete beskyttelsesbehov.
Ansvarlig departement kan treffe enkeltvedtak om krav til adgangsklarering etter loven kapittel 8, for tilgang til hele eller deler av skjermingsverdige objekter eller infrastruktur, innen sitt myndighetsområde. Sikkerhetsmyndigheten kan treffe slike vedtak overfor virksomheter som ikke ligger innenfor et departements myndighetsområde.
Avgjørelse om adgangsklarering etter tredje ledd som berører selvstendige rettssubjekter, kan påklages til Tvisteorganet etter reglene i forvaltningsloven kapittel VI.
Kongen kan gi forskrift om beskyttelse av objekter og infrastruktur innenfor hvert klassifiseringsnivå.
§ 7-4Testing av sikkerhetssystemer
Ledelsen i virksomheten kan anmode Sikkerhetsmyndigheten om å forsøke å forsere etablerte sikkerhetstiltak for tilgang til skjermingsverdige objekter eller infrastruktur. Formålet kan bare være å forbedre sikkerhetsnivået gjennom å kontrollere motstandskraften til sikkerhetstiltakene. Virksomhetens ansatte skal orienteres om at slike kontroller kan forekomme.
Dersom kontrollen innebærer behandling av personopplysninger skal den begrenses til de metoder og det omfang som er strengt nødvendig for å ivareta formålet med kontrollen.
Informasjon som kontrollen gir tilgang til kan kun benyttes til å ivareta formålet med kontrollen. Når det ikke lenger er behov for informasjonen skal den slettes.
Dersom Sikkerhetsmyndigheten klarer å forsere sikkerhetstiltakene for tilgang til objekt eller infrastruktur, skal operasjonen avsluttes.
Kongen kan gi forskrift om testing av sikkerhetssystemer for skjermingsverdige objekter og infrastruktur, herunder gjennomføring av slik testing av andre enn Sikkerhetsmyndigheten.
§ 7-5Adgang til steder og områder
Kongen kan av hensyn til forsvars-, sikkerhets- og beredskapsmessige forhold, jf. § 1-2 første ledd bokstav b, forby uvedkommende adgang til bestemt angitte områder og å overvære militære øvelser eller forsøk.
Kapittel 8. Personellsikkerhet
§ 8-1Når klarering og autorisasjon skal gjennomføres
Person som skal gis tilgang til sikkerhetsgradert informasjon, skal ha autorisasjon i samsvar med § 8-2. Det samme gjelder person som skal ha adgang til klassifiserte områder innen objekter eller infrastruktur som er av kritisk betydning for grunnleggende nasjonale funksjoner, og det er truffet vedtak etter § 7-3 tredje ledd.
Person som skal autoriseres for tilgang til informasjon gradert KONFIDENSIELT eller høyere, skal på forhånd sikkerhetsklareres, jf. § 8-5. Sikkerhetsklarering må foreligge før autorisasjon kan gis.
Person som har gyldig sikkerhetsklarering skal også anses adgangsklarert.
Person som gjennom sitt arbeid vil kunne få tilgang til sikkerhetsgradert informasjon gradert KONFIDENSIELT eller høyere, skal sikkerhetsklareres. Dette gjelder likevel ikke dersom risikoen for slik tilgang kan fjernes ved å iverksette sikkerhetstiltak.
Sikkerhetsklarering gis for følgende nasjonale sikkerhetsgrader, eventuelt også for tilsvarende sikkerhetsgrader i NATO eller annen internasjonal organisasjon:
STRENGT HEMMELIG (eventuelt COSMIC TOP SECRET/tilsvarende)
HEMMELIG (eventuelt NATO SECRET/ tilsvarende)
KONFIDENSIELT (eventuelt NATO CONFIDENTIAL/tilsvarende).
§ 8-2Sikkerhetsautorisasjon
Virksomhetens leder er ansvarlig for autorisasjon.
Autorisasjonsansvarlig har ansvaret for den daglige sikkerhetsmessige ledelse og kontroll av autorisert personell i egen virksomhet.
Autorisasjon kan gis dersom autorisasjonsansvarlig etter en konkret helhetsvurdering ikke har opplysninger som gjør det tvilsomt om vedkommende sikkerhetsmessig er til å stole på. Autorisasjon skal ikke gis før det foreligger melding om klarering, der dette er påkrevd etter § 8-1 andre ledd. Autorisasjonssamtale skal i alle tilfeller avholdes før autorisasjon gis.
Virksomheten skal løpende orientere Sikkerhetsmyndigheten om hvilke personer som er autorisert.
Kongen kan gi forskrift om autorisasjon og autorisasjonsansvarliges plikter etter loven.
§ 8-3Nedsettelse, suspensjon og tilbakekallelse av autorisasjon
Får autorisasjonsansvarlig opplysninger som gir grunn til tvil om en autorisert person fortsatt kan anses sikkerhetsmessig skikket, skal autorisasjonen vurderes tilbakekalt, nedsatt eller suspendert. Avgjørelse om dette skal innberettes til vedkommende klareringsmyndighet.
Autorisasjon bortfaller automatisk når
personen fratrer den stilling som autorisasjonen er knyttet til
behovet for autorisasjon ikke lenger er til stede
personen ikke lenger har tilstrekkelig klarering.
§ 8-4Klareringsmyndigheter etter loven
Kongen utpeker én klareringsmyndighet for forsvarssektoren og én for sivile sektorer. Klareringsmyndighetene avgjør om det er grunn til å anta at en person er sikkerhetsmessig skikket til å håndtere sikkerhetsgradert informasjon opp til et gitt sikkerhetsnivå eller for adgang til klassifiserte områder innen objekter eller infrastruktur som er av kritisk betydning for grunnleggende nasjonale funksjoner. Etterretnings- og sikkerhetstjenestene klarerer eget personell.
Når særlige grunner taler for det kan Kongen utpeke andre klareringsmyndigheter enn de som er nevnt i første ledd.
§ 8-5Sikkerhets- og adgangsklarering
Klarering skal bare gis eller opprettholdes dersom det ikke foreligger rimelig tvil om vedkommendes sikkerhetsmessige skikkethet. Som grunnlag for vurderingen av en persons sikkerhetsmessige skikkethet skal det gjennomføres en personkontroll, jf. § 8-7.
Klareringsavgjørelser skal baseres på en konkret og individuell helhetsvurdering av de foreliggende opplysninger. Klareringsmyndigheten skal påse at klareringssaken er så godt opplyst som mulig før avgjørelse fattes. Sikkerhetssamtale skal gjennomføres der dette ikke anses som åpenbart unødvendig
I vurderingen skal det bare legges vekt på forhold som er relevante for vedkommendes pålitelighet, lojalitet og sunne dømmekraft med hensyn til behandling av gradert informasjon, og tilgang til skjermingsverdige objekter og infrastruktur. Politisk engasjement og annet lovlig samfunnsengasjement, herunder medlemskap i, sympati med eller aktivitet for lovlige politiske partier eller organisasjoner, skal ikke ha betydning for vurderingen av en persons sikkerhetsmessige skikkethet.
Negative opplysninger om nærstående personer, jf. § 8-7 tredje ledd, skal bare tas i betraktning dersom det antas at nærståendes forhold vil kunne påvirke vedkommendes sikkerhetsmessige skikkethet.
Kongen kan gi forskrift om hvilke forhold som kan tillegges betydning for vurderingen av sikkerhetsmessig skikkethet.
§ 8-6Nedsettelse, suspensjon og tilbakekallelse av klarering
Får klareringsmyndigheten opplysninger som gir grunn til tvil om en sikkerhetsklarert persons sikkerhetsmessige skikkethet, skal klareringsmyndigheten vurdere å tilbakekalle eller nedsette klareringen, eller suspendere klareringen og iverksette nærmere undersøkelser for å avklare forholdet.
Er en sikkerhets- eller adgangsklarering besluttet tilbakekalt, nedsatt eller suspendert, skal begrunnet melding om dette sendes til Sikkerhetsmyndigheten. Autorisasjonsansvarlig skal varsles umiddelbart.
§ 8-7Gjennomføring av personkontroll
Personkontroll skal gjennomføres som grunnlag for sikkerhets- eller adgangsklarering. Med mindre annet er bestemt av Sikkerhetsmyndigheten, skal personkontroll iverksettes etter anmodning fra autorisasjonsansvarlig. Før personkontroll igangsettes skal den som klareres motta informasjon om at slik kontroll vil bli foretatt, og skal ha akseptert dette. Aksepten skal også omfatte muligheten for personkontroll av nærstående personer etter tredje ledd, og fornyet kontroll etter § 8-8.
Personkontroll skal alltid omfatte opplysninger gitt av vedkommende selv. Vedkommende plikter å gi fullstendige opplysninger om forhold som den antar vil kunne være av betydning for vurderingen av sikkerhetsmessig skikkethet etter § 8-5.
Ved sikkerhetsklarering for HEMMELIG/tilsvarende eller høyere sikkerhetsgrader, og i andre særlige tilfeller, kan det gjennomføres personkontroll av nærstående personer.
I tillegg til opplysninger som personen gir, skal kontrollen omfatte opplysninger som vedkommende klareringsmyndighet selv har, samt opplysninger fra offentlige registre, jf. åttende ledd. Behandlingsansvarlig plikter å utlevere registeropplysninger uten hinder av taushetsplikt. Registeropplysninger skal meddeles skriftlig. Kontrollen kan også omfatte andre kilder, herunder uttalelser fra tjenestesteder eller arbeidsplasser, offentlige myndigheter eller oppgitte eller supplerende referanser. Opplysninger som gis i forbindelse med personkontroll skal gis vederlagsfritt til klareringsmyndigheten.
Behandlingsansvarlige for relevante registre plikter å legge til rette for digitalisert overføring av personkontrollopplysningene til Sikkerhetsmyndigheten.
Opplysninger som er gitt klareringsmyndigheten i forbindelse med personkontroll, skal ikke benyttes til andre formål enn vurdering av klarering. Autorisasjonsansvarlig kan likevel meddeles opplysninger dersom dette anses påkrevet av hensyn til den sikkerhetsmessige ledelse og kontroll av vedkommende.
Personkontroll etter denne bestemmelsen skal for øvrig skje i samsvar med § 4-7.
Kongen gir forskrift om hvilke registre som er relevante for personkontroll for henholdsvis sikkerhetsklarering og adgangsklarering, samt fastsetter nærmere bestemmelser for digitalisert overføring av personkontrollopplysninger.
Kongen kan gi forskrift om fremgangsmåten ved registerundersøkelser i utlandet og om utlevering av opplysninger i forbindelse med andre lands myndigheters tilsvarende personkontroll. Under ingen omstendighet skal det innhentes, registreres eller videreformidles opplysninger om politisk engasjement som omfattes av § 8-5 andre ledd.
§ 8-8Fornyet personkontroll
Klareringsmyndigheten kan be Sikkerhetsmyndigheten om å iverksette ny personkontroll, jf. § 8-7, av klarert personell når som helst innenfor en klarerings gyldighetstid, i den hensikt å kontrollere om det har skjedd endringer av betydning for vedkommendes sikkerhetsmessige skikkethet.
§ 8-9Bruk av vilkår og stillingsklarering
En klarering kan i særlige tilfeller gis på nærmere angitte vilkår, og kan herunder være avgrenset til å kun gjelde en konkret stilling. Ved vurderingen av om det skal settes vilkår for klareringen, skal det særlig tas stilling til om andre tiltak vil kunne ha tilsvarende risikoreduserende effekt.
Kongen kan gi forskrift om bruk av vilkår og stillingsklarering.
§ 8-10Klarering av personer som ikke er norske statsborgere
En person som ikke er norsk statsborger kan etter en konkret helhetsvurdering gis klarering. Klarering skal bare gis eller opprettholdes dersom det ikke foreligger rimelig tvil om vedkommendes sikkerhetsmessige skikkethet. I vurderingen skal det legges vekt på hjemlandets sikkerhetsmessige betydning og vedkommendes tilknytning til hjemlandet, samt vedkommendes eventuelle tilknytning til Norge. Ved klarering av personer som ikke er norske statsborgere skal det vurderes særskilt om bruk av vilkår eller stillingsklarering kan være risikoreduserende tiltak, jf. § 8-9.
Kongen kan gi forskrift om klarering av personer som ikke er norske statsborgere.
§ 8-11Varslingsplikt
Klarert og autorisert person skal umiddelbart varsle autorisasjonsansvarlig om forhold som antas å kunne være av betydning for vedkommendes sikkerhetsmessige skikkethet.
Autorisasjonsansvarlig skal orientere vedkommende klareringsmyndighet dersom forholdet antas å kunne få betydning for vedkommendes klarering.
§ 8-12Informasjonstilgang for Politiets sikkerhetstjeneste
I klareringssaker hvor personen eller nærstående har tilknytning til andre stater, kan Sikkerhetsmyndigheten på anmodning fra Politiets sikkerhetstjeneste gi informasjon om aktuelle personers
klareringsstatus
tilknytning til andre stater
tjenestested.
Utlevering av informasjon etter første ledd kan kun skje der Politiets sikkerhetstjeneste anfører at dette er nødvendig for å ivareta tjenestens oppgaver etter politiloven §§ 17 b og 17 c nr. 1.
Kongen kan gi forskrift om informasjonstilgang for Politiets sikkerhetstjeneste.
§ 8-13Begrunnelse og underretning
Forvaltningsloven kapittel IV og V gjelder ikke for avgjørelser om klarering eller autorisasjon.
Den som har vært vurdert klarert, har rett til å bli gjort kjent med resultatet. Ved negativ avgjørelse skal vedkommende uoppfordret underrettes om resultatet og opplyses om klageadgangen.
Begrunnelse for en avgjørelse skal gis samtidig med underretningen om utfallet av klareringssaken. Vedkommende har ikke krav på begrunnelse dersom den ikke kan gis uten å røpe opplysninger som
er av betydning for grunnleggende nasjonale funksjoner, jf. § 5-1
er av betydning for kildevern
det av hensyn til vedkommendes helse eller dennes forhold til personer som står denne nær, må anses utilrådelig at vedkommende får kjennskap til
angår tekniske innretninger, produksjonsmetoder, forretningsmessige analyser og beregninger og forretningshemmeligheter ellers, når de er av en slik art at andre kan utnytte dem i sin næringsvirksomhet.
Klareringsmyndigheten skal i tillegg utarbeide en intern samtidig begrunnelse hvor alle relevante forhold inngår, herunder forhold som nevnt i tredje ledd.
§ 8-14Innsyn
Etter at avgjørelse om klarering er fattet, har den som har vært vurdert klarert rett til å gjøre seg kjent med sakens dokumenter.
Vedkommende har ikke krav på innsyn i de deler av et dokument som inneholder opplysninger som nevnt i § 8-13 tredje ledd. Vedkommende har heller ikke krav på innsyn i et dokument som er utarbeidet for den interne saksforberedelsen ved klareringsmyndigheten eller klageinstansen, med unntak av faktiske opplysninger eller sammendrag eller annen bearbeidelse av faktum.
Den som har krav på innsyn skal på anmodning gis kopi av dokumentet.
§ 8-15Oversendelse av sak til særskilt oppnevnt advokat
Departementet oppnevner en gruppe advokater som skal sikkerhetsklareres for høyeste nivå, og som skal gi råd i samsvar denne bestemmelsen.
Dersom begrunnelse ikke gis, jf. § 8-13 tredje ledd, eller avslag er gitt på begjæring om innsyn, jf. § 8-14 andre ledd første punktum, og den som har vært gjenstand for vurdering begjærer det, skal klareringsmyndigheten gjøre sakens dokumenter tilgjengelig for en advokat som nevnt i første ledd. Før retten til advokat inntrer må vedkommende ha benyttet retten til klage på nektet begrunnelse eller avslag på begjæring om innsyn, jf. § 8-16. Advokaten gir råd til personen som er vurdert klarert om hvorvidt personen bør klage.
Advokaten skal ha tilgang til faktiske opplysninger og begrunnelser i saken, herunder begrunnelser som er ukjente for den som har vært vurdert klarert. Dokument som er utarbeidet for den interne saksforberedelsen ved klareringsmyndigheten eller klageinstansen, jf. § 8-14 andre ledd siste punktum, skal ikke gis advokaten.
§ 8-16Klage
Forvaltningsloven kapittel VI gjelder tilsvarende i klareringssaker om ikke annet følger av denne lov eller forskrift om personellsikkerhet.
Negativ avgjørelse om klarering, herunder om vilkår og om når klareringssaken tidligst kan tas opp på nytt, kan påklages av den avgjørelsen retter seg mot. Det samme gjelder nektet begrunnelse og avslag på begjæring om innsyn.
Klagen sendes vedkommende klareringsmyndighet. Sikkerhetsmyndigheten er klageinstans. Departementet er klageinstans for klareringsavgjørelser truffet av Sikkerhetsmyndigheten i første instans.
Fristen for å klage er tre uker fra den dag underretningen om avgjørelsen, nektet begrunnelse eller avslag på begjæring om innsyn har kommet frem til vedkommende. Dersom det klages på nektet begrunnelse eller avslag på begjæring om innsyn, avbrytes klagefristen. Ny klagefrist løper fra det tidspunkt underretning om begrunnelse eller innsyn er kommet frem eller vedkommende på annen måte er gjort kjent med den. I saker der advokat har gjennomgått saken etter § 8-15, løper ny klagefrist fra den dag rådet fra advokaten har kommet frem til vedkommende.
§ 8-17Utfyllende bestemmelser
Kongen kan gi forskrift om opprettelse av et sentralt register for klareringsavgjørelser.
Kongen kan gi forskrift om personellsikkerhet, herunder om
klarering av bestemte kategorier personell, bl.a. vernepliktige mannskaper i Forsvaret
arkivering, oppbevaring og forsendelse av dokumenter i klarerings- og personkontrollsaker
avholdelse av sikkerhetssamtaler.
Kapittel 9. Sikkerhetsgraderte anskaffelser mv.
§ 9-1Sikkerhetsgradert anskaffelse
Med sikkerhetsgradert anskaffelse menes en anskaffelse som innebærer at leverandøren av varen eller tjenesten vil kunne få tilgang til sikkerhetsgradert informasjon, jf. § 5-1, eller til et skjermingsverdig objekt eller infrastruktur, jf. § 7-1.
§ 9-2Inngåelse av sikkerhetsavtale
Ved sikkerhetsgraderte anskaffelser skal det inngås en sikkerhetsavtale mellom anskaffelsesmyndigheten og leverandøren. Sikkerhetsavtale skal være inngått før leverandøren kan få tilgang til gradert informasjon eller et skjermingsverdig objekt eller infrastruktur. Sikkerhetsavtale med utenlandske leverandører kan bare inngås etter godkjenning av Sikkerhetsmyndigheten.
Sikkerhetsavtalen skal fastsette nærmere regler om ansvar og plikter etter bestemmelsene i og i medhold av loven her, herunder om
anskaffelsens sikkerhetsgrad, jf. §§ 5-1 og 7-2, spesifisert for de enkelte deler av oppdraget
undersøkelser hos leverandøren og annen kontroll med denne for å vurdere sikkerhetstilstanden og om leverandøren overholder sikkerhetsbestemmelsene og øvrige plikter etter loven
konsekvenser ved brudd på sikkerhetsavtalen.
Utgifter eller krav leverandøren måtte ha for å oppfylle bestemmelsene i eller i medhold av loven her og inngått sikkerhetsavtale, er anskaffelsesmyndigheten og Sikkerhetsmyndigheten uvedkommende, med mindre annet er uttrykkelig avtalt i sikkerhetsavtalen.
§ 9-3Leverandørklarering
Før en leverandør kan få tilgang til sikkerhetsgradert informasjon gradert KONFIDENSIELT eller høyere, eller dersom det av andre grunner anses nødvendig, skal leverandøren ha gyldig leverandørklarering for angitt sikkerhetsgrad. Kongen gir forskrift om gyldighetstiden for leverandørklareringer. Sikkerhetsmyndigheten er klareringsmyndighet.
Leverandørklarering skal bare gis dersom det ikke foreligger rimelig tvil om leverandørens sikkerhetsmessige skikkethet. I vurderingen skal det bare legges vekt på forhold som er relevante for leverandørens evne og vilje til å utøve forebyggende sikkerhetstjeneste etter bestemmelsene i eller i medhold av loven. I vurderingen skal inngå personkontroll av personer i leverandørens styre og ledelse.
Leverandøren skal gi alle opplysninger som antas å kunne være av betydning for klareringsspørsmålet.
Leverandøren skal uten ugrunnet opphold orientere Sikkerhetsmyndigheten om endringer i styre eller ledelse, forandringer i eierstrukturen, flytting av lokaliteter og utstyr, åpning av gjeldsforhandling eller begjæring om konkurs og andre forhold som kan ha betydning for leverandørens sikkerhetsmessige skikkethet. Anses slike forhold å representere en sikkerhetsrisiko og risikoen ikke kan elimineres gjennom forebyggende sikkerhetstiltak, kan Sikkerhetsmyndigheten inndra leverandørklareringen. Sikkerhetsgradert informasjon eller skjermingsverdig objekt eller infrastruktur kan ikke overføres til ny eier eller inngå i bobehandling ved gjeldsforhandling eller konkurs, med mindre Sikkerhetsmyndigheten har samtykket til dette.
For øvrig gjelder reglene i kapittel 8, herunder reglene om begrunnelse og klage, så langt de passer.
§ 9-4Varslingsplikt og myndighet til å fatte vedtak ved anskaffelser til skjermingsverdig objekt og infrastruktur
Ved anskaffelser til skjermingsverdig objekt eller infrastruktur skal virksomheten foreta en risikovurdering. Det skal tas stilling til om anskaffelsen medfører en ikke ubetydelig risiko for at tilsiktede uønskede hendelser kan inntreffe mot eller ved bruk av objektet eller infrastrukturen. Plikten til å foreta en risikovurdering gjelder ikke dersom det framstår som åpenbart at anskaffelsen ikke kan innebære slik risiko.
Virksomheten skal varsle ansvarlig departement dersom risikovurderingen konkluderer med at anskaffelsen innebærer en risiko som nevnt i første ledd. Virksomheter som ikke er underlagt noe departement, skal varsle Sikkerhetsmyndigheten. Varslingsplikten gjelder uten hinder av taushetsplikt. Plikten gjelder ikke dersom virksomheten selv iverksetter risikoreduserende tiltak som fjerner risikoen eller gjør den ubetydelig.
Et departement som mottar varsel etter andre ledd, bør innhente en rådgivende uttalelse fra relevante organer om anskaffelsens risikopotensiale og leverandørens sikkerhetsmessige pålitelighet.
Dersom en anskaffelse til skjermingsverdig objekt eller infrastruktur kan medføre en ikke ubetydelig risiko for at tilsiktede uønskede hendelser inntreffer, kan Kongen i statsråd fatte enkeltvedtak om at anskaffelsen nektes gjennomført, eller om at det settes vilkår for gjennomføringen. Dette gjelder også dersom det allerede er inngått avtale om anskaffelsen. Dersom det ikke fattes vedtak etter første punktum, skal departementet underrette virksomheten om dette. Vedtak etter første punktum er særlig tvangsgrunnlag etter tvangsfullbyrdelsesloven kapittel 13.
Kongen i statsråd kan gi forskrift om varslingsplikt og myndighet til å fatte vedtak.
§ 9-5Utfyllende bestemmelser mv.
Kongen kan gi forskrift om sikkerhetsgraderte anskaffelser, samt fastsette særskilte regler for gjennomføring av internasjonale sikkerhetsgraderte anskaffelser.
Kapittel 10. Eierskapskontroll
§ 10-1Eierskapskontroll
Utenlandske rettssubjekter som ønsker å erverve eierandel i en virksomhet som er av kritisk betydning for grunnleggende nasjonale funksjoner som nevnt i § 1-2, skal sende melding til ansvarlig departement om dette. For virksomheter som ikke ligger innenfor et departements myndighetsområde, skal melding sendes til Sikkerhetsmyndigheten. Meldeplikten gjelder når ervervet direkte eller indirekte samlet gjør at erververen oppnår
minst en tredjedel av aksjekapitalen, andelene eller stemmene i virksomheten
rett til å bli eier av minst en tredjedel av aksjekapitalen eller andelene når dette må anses som reelt aksjeeie eller andelseie
betydelig innflytelse over forvaltningen av selskapet på annen måte.
Likt med aksjeeierens egne aksjer regnes de aksjer som eies eller overtas av aksjeeierens nærstående, jf. verdipapirhandelloven § 2-5. Det samme gjelder for andeler som eies eller overtas av andelseierens nærstående.
Et departement som mottar melding etter første ledd, bør innhente en rådgivende uttalelse fra relevante organer om ervervets risikopotensiale og erververens sikkerhetsmessige pålitelighet.
Dersom et erverv som nevnt i første ledd kan medføre en ikke ubetydelig risiko for skade på grunnleggende nasjonale funksjoner, kan Kongen i statsråd fatte enkeltvedtak om at ervervet nektes gjennomført, eller om at det settes vilkår for gjennomføringen. Dette gjelder også dersom det allerede er inngått avtale om ervervet. Dersom det ikke fattes vedtak etter første punktum, skal departementet underrette erververen om dette. Vedtak etter første punktum er særlig tvangsgrunnlag etter tvangsfullbyrdelsesloven kapittel 13.
Kongen kan gi forskrift om erverv av virksomheter omfattet av loven.
Kapittel 11. Kontroll- og tilsynsordninger. Tvangsmulkt, overtredelsesgebyr og straff
§ 11-1Kontroll- og tilsynsordninger
Forebyggende sikkerhetsarbeid i medhold av loven er underlagt kontroll og tilsyn av Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjeneste, i samsvar med bestemmelsene i og i medhold EOS-kontrolloven.
Kongen kan i tillegg etablere særskilte ordninger for å kontrollere og føre tilsyn med Sikkerhetsmyndigheten og andre virksomheters arbeid med forebyggende sikkerhet, i den hensikt å påse at utøvelsen holdes innen rammen av gjeldende lov, administrative eller militære direktiver og ulovfestet rett, eller for å sørge for at rettssikkerhetsmessige og andre hensyn ivaretas.
§ 11-2Tvangsmulkt
Ved overtredelse av bestemmelser gitt i eller i medhold av denne loven, kan tilsynsmyndigheten fastsettes en tvangsmulkt som løper inntil forholdet er brakt i orden. Det samme gjelder for pålegg gitt i medhold av § 3-6.
Vedtak etter første ledd er særlig tvangsgrunnlag etter tvangsfullbyrdelsesloven kapittel 13.
Kongen kan gi forskrift om tvangsmulkt etter loven.
§ 11-3Overtredelsesgebyr
Tilsynsmyndigheten kan pålegge en virksomhet overtredelsesgebyr dersom virksomheten eller noen som handler på dennes vegne, forsettlig eller uaktsomt:
overtrer bestemmelser gitt i eller i medhold av §§ 3-4, 4-1, 4-4, 4-6, 5-2, 6-2, 6-3, 7-3, 9-2 første ledd, 9-4 første ledd første og andre punktum eller 9-4 andre ledd første eller andre punktum
overtrer pålegg gitt med hjemmel i § 3-6
gir uriktige eller ufullstendige opplysninger til tilsynsmyndigheten
medvirker til overtredelser som nevnt i bokstav a til c.
Ved fastsettelse av overtredelsesgebyrets størrelse skal det særlig legges vekt på overtredelsens grovhet, overtredelsens varighet, utvist skyld og virksomhetens omsetning. Vedtak om overtredelsesgebyr er særlig tvangsgrunnlag etter tvangsfullbyrdelsesloven kapittel 13.
Adgangen til å pålegge overtredelsesgebyr foreldes etter fem år. Fristen avbrytes når tilsynsmyndigheten meddeler virksomheten at denne er mistenkt for overtredelse av loven eller vedtak fastsatt med hjemmel i loven.
Kongen kan gi forskrift om overtredelsesgebyr.
§ 11-4Straff
Den som forsettlig eller uaktsomt overtrer bestemmelser gitt i eller i medhold av §§ 3-4, 4-1, 5-1 første ledd, 5-2, 6-2, 6-3, 7-3, 9-2 første ledd, 9-4 første ledd første og andre punktum eller 9-4 andre ledd første eller andre punktum, eller overtrer pålegg gitt av tilsynsmyndigheten i medhold av § 3-6, straffes med bot eller fengsel inntil 6 måneder, hvis ikke forholdet går inn under en strengere straffebestemmelse.
Den som forsettlig eller grovt uaktsomt krenker taushetsplikt etter § 5-3 andre ledd, straffes med bot eller fengsel inntil 1 år, hvis ikke forholdet går inn under en strengere straffebestemmelse.
Den som overtrer forbud med hjemmel i § 7-5 straffes med bot eller fengsel inntil 1 år, hvis ikke forholdet går inn under en strengere straffebestemmelse.
Forsøk på overtredelser som nevnt i første til tredje ledd straffes på samme måte.
Kapittel 12. Ikrafttredelse og endringer i andre lover
§ 12-1Ikrafttredelse
Loven trer i kraft fra den tid Kongen bestemmer.
§ 12-2Opphevelse av lov
Fra den tid loven trer i kraft, oppheves lov 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste.
Fotnoter
Ot.prp. nr. 49 (1996–97), 66 og 68.
Arild Jansen og Dag Wiese Schartum (red.), Informasjonssikkerhet: Rettslige krav til sikker bruk av IKT (Bergen: Fagbokforlaget 2005), 62.
Jf. også lov 21. juni 2013 nr. 61 om forbud mot diskriminering på grunn av nedsatt funksjonsevne (diskriminerings- og tilgjengelighetsloven) § 14 første ledd: «Med informasjons- og kommunikasjonsteknologi (IKT) menes teknologi og systemer av teknologi som anvendes til å uttrykke, skape, omdanne, utveksle, lagre, mangfoldiggjøre og publisere informasjon, eller som på annen måte gjør informasjon anvendbar».