13 Merknader til lovforslagene
Til § 2
Sikkerhetsloven § 2 angir lovens generelle virkeområde. Loven gjelder for forvaltningsorganer, definert som ethvert organ for stat eller kommune (§ 2 første ledd). Loven gjelder også for leverandører av varer eller tjenester til et forvaltningsorgan i forbindelse med en sikkerhetsgradert anskaffelse (§ 2 annet ledd). I tillegg kan loven, etter vedtak av Kongen, gjøres gjeldende for ethvert annet rettssubjekt som har ansvar for skjermingsverdig objekt eller gis tilgang til sikkerhetsgradert informasjon (§ 2 tredje ledd). I forskrift 27. juni 2003 nr. 802 om delegering av myndighet til Forsvarsdepartementet etter sikkerhetsloven § 3 tredje ledd, er Kongens myndighet delegert til Forsvarsdepartementet.
Nytt fjerde ledd angir virkeområdet til § 29 a om anskaffelser til kritisk infrastruktur. Første punktum slår fast at § 29 a gjelder ved alle anskaffelser til kritisk infrastruktur. Bestemmelsen innebærer at alle rettssubjekter som eier eller rår over kritisk infrastruktur, må forholde seg til § 29 a. Dette inkluderer også rettssubjekter som ikke ellers er omfattet av sikkerhetsloven. Rettssubjekter som eier eller rår over kritisk infrastruktur, vil således være underlagt pliktene i § 29 a, men ikke lovens øvrige plikter (med mindre dette følger av § 2 første til tredje ledd). Andre punktum gir Kongen myndighet til å gi forskrift om hvordan kritisk infrastruktur skal identifiseres, og om hvordan rettssubjekter som eier eller rår over kritisk infrastruktur skal informeres. Det vil ikke alltid være åpenbart om en infrastruktur skal anses som kritisk eller ikke. Hensynet til forutsigbarhet for de som eier eller rår over denne infrastrukturen, tilsier at myndighetene har gode rutiner for å gi informasjon som klargjør dette.
Hvilke plikter som følger av § 29 a er omtalt under punkt 11.1 og under de særskilte merknadene til § 29 a.
Gjeldende fjerde ledd blir nytt femteledd.
I nytt sjette ledd gjøres det unntak for regjeringens medlemmer og dommere i Høyesterett fra bestemmelser gitt i og i medhold av lovens kapittel 6 om personellsikkerhet. Dette innebærer at det ikke stilles krav om sikkerhetsklarering og autorisasjon for regjeringens medlemmer og dommere i Høyesterett. Unntaket er en lovfesting av en langvarig og fast praksis. Det vises til departementets vurderinger i punkt 3.2 og 3.4.
Femte og sjette ledd blir nytt sjuende og åttendeledd.
Til § 3 første ledd nytt nummer 21
I bestemmelsen er det inntatt en definisjon av kritisk infrastruktur. Definisjonen er ny og formuleringen er kortere og noe annerledes enn definisjonen i sivilbeskyttelsesloven § 3 bokstav d og definisjonen som Infrastrukturutvalget benyttet i NOU 2006: 6 Når sikkerheten er viktigst, men den dekker i hovedsak de samme forholdene. Det vises til nærmere omtale i punkt 11.1.2 og 11.4.7.
Til ny § 5 a
Paragrafen er ny og pålegger virksomheter underlagt sikkerhetsloven en varslingsplikt til departementet ved kunnskap om risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført. Bestemmelsen gir også Kongen i statsråd kompetanse til å fatte vedtak for å hindre at slik virksomhet blir etablert eller gjennomført – uten hensyn til begrensningene i forvaltningsloven § 35 – og uavhengig av om aktiviteten er tillatt etter annen lov eller annet vedtak. «Sikkerhetstruende virksomhet» er definert i sikkerhetsloven § 3 nr. 2 som «forberedelse til, forsøk på og gjennomføring av spionasje, sabotasje eller terrorhandlinger, samt medvirkning til slik virksomhet». Departementets generelle merknader framgår av punkt 4.4.
Første ledd første punktum regulerer selve varslingsplikten. Plikten til å varsle inntrer når en virksomhet underlagt sikkerhetsloven får kunnskap om en planlagt eller pågående aktivitet som kan medføre en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført. Uttrykket «får kunnskap om» stiller ikke krav om visshet eller strenge krav til graden av kunnskap om at slik virksomhet faktisk vil bli etablert eller gjennomført. Ordet «kunnskap» omfatter her både «kjennskap til», og «indikasjoner» på at slik virksomhet kan bli etablert.
Ordet «aktivitet» favner vidt. Både iøynefallende aktiviteter som f.eks. oppføring av bygninger eller utplassering av antenner, og mindre synlige aktiviteter, som f.eks. planer om utbygging, ferdsel i et område eller oppkjøp av virksomheter, omfattes av begrepet. Varslingsplikten omfatter aktiviteter som er «planlagt eller pågående», noe som innebærer at den også gjelder aktiviteter som ennå ikke har materialisert seg, men hvor det f.eks. er mottatt en søknad. Dette er viktig for å sikre at potensiell sikkerhetstruende virksomhet kan bli stanset før virksomheten faktisk blir etablert eller gjennomført.
Bestemmelsen stiller ikke krav om at det må foreligge en viss bestemt sannsynlighet for at en sikkerhetstruende virksomhet kan etableres eller gjennomføres. At aktiviteten skal kunne medføre en «ikke ubetydelig risiko» for etablering eller gjennomføring av sikkerhetstruende virksomhet, innebærer derimot at varslingsplikten ikke inntrer hvis dette framstår som usannsynlig, eller det kun er en teoretisk mulighet for det. Terskelen for varslingsplikten må ellers ses i sammenheng med de mulige konsekvensene av en sikkerhetstruende virksomhet. Dersom konsekvensen kan bli katastrofal, vil også terskelen for når det foreligger varslingsplikt bli lav. Motsatt vil terskelen kunne heves dersom konsekvensen av en mulig sikkerhetstruende virksomhet regnes som liten.
Uttrykket «etablert» omfatter både forberedelseshandlinger til spionasje, sabotasjeaksjoner og terrorangrep, og utplassering av utstyr eller personer som skal inngå i spionasje. At sikkerhetstruende virksomhet blir «gjennomført», omfatter både forsøk og faktisk gjennomføring av spionasje, sabotasje eller terrorhandlinger.
Bestemmelsen i første punktum fastsetter videre at varselet skal rettes til det departementet som er «overordnet departement» for den aktuelle virksomheten. Dette vil være det departementet som er direkte overordnet virksomheten, eller som virksomheten er administrativt underlagt. Bestemmelsen innebærer samtidig en plikt for departementene til å motta og behandle slike varsel, og det er ikke adgang til å delegere denne oppgaven til et direktorat eller andre underordnede organer.
For de fleste offentlige virksomheter vil det være klart hvilket departement som er overordnet virksomheten. Enkelte offentlige virksomheter har derimot tilhørighet til flere departementer, slik at det kan oppstå usikkerhet om hvem som skal motta et varsel. I slike tilfeller må varsling skje til det tilknyttede departementet som framstår mest relevant for saken. Skulle dette være feil, plikter det aktuelle departementet å sende varslet videre til det departement som har fagansvaret i den konkrete saken.
Spørsmålet om «overordnet» departement vil imidlertid stille seg annerledes for private virksomheter som er underlagt loven, jf. § 2 annet ledd om at loven gjelder leverandører til sikkerhetsgraderte anskaffelser, og rettssubjekter det er truffet vedtak om etter tredje ledd at loven skal gjelde for. Slike virksomheter vil ikke ha noe overordnet departement i vanlig forstand, og det vil variere om de kan sies å være administrativt underlagt noe departement. Det er derfor fastsatt i første ledd andre punktum at varsling skal skje til Forsvarsdepartementet dersom virksomheten ikke er underlagt noe «overordnet departement». Dersom saken gjelder et fagfelt som ikke hører under Forsvarsdepartementet, vil Forsvarsdepartementet videreformidle varslet til det rette departementet for behandling. Etter første ledd tredje punktum gjelder varslingsplikten etter første og andre punktum uten hinder av lovbestemt taushetsplikt. Dette innebærer at varslingsplikten skal etterleves, selv om dette innebærer videreformidling av opplysninger som i utgangspunktet er omfattet av lovbestemt taushetsplikt. Bestemmelsen skal sikre at lovbestemt taushetsplikt ikke er til hinder for de grunnleggende og viktige nasjonale sikkerhetsinteressene som paragrafen skal ivareta.
Etter første ledd fjerde punktum er det fastslått at departementet ved behandling av varsel etter første og andre punktum bør innhente rådgivende uttalelser fra relevante organer med kompetanse innenfor det aktuelle fagområdet. Departementet som vurderer et varsel og avgjør hvordan det skal håndteres, har ansvaret for å innhente rådgivende uttalelser. I tilfeller hvor varsling har skjedd til Forsvarsdepartementet, jf. første ledd andre punktum, men varselet videresendes for behandling til rett departement, er det vedkommende departement som vurderer om en rådgivende uttalelse skal innhentes. Dette gjelder for øvrig også når et varsel er sendt til et antatt overordnet departement, men blir videresendt for behandling til et annet departement. Både Politiets sikkerhetstjeneste, Nasjonal sikkerhetsmyndighet og Etterretningstjenesten kan være aktuelle organer å konsultere i slike situasjoner. Etter omstendighetene kan det også være aktuelt å innhente rådgivende uttalelser fra andre virksomheter med særlig kompetanse innen det aktuelle fagområdet. Det klare utgangspunktet skal her være at slike uttalelser skal innhentes. Departementet foreslår likevel ingen lovfestet plikt til dette. Å innhente en uttalelse vil i enkelte tilfeller være åpenbart unødvendig, og må derfor kunne unnlates. Dette kan for eksempel være aktuelt dersom saken vurderes å være tilfredsstillende opplyst gjennom varslingen, eller at varselet vurderes å være åpenbart grunnløst.
Andre ledd første punktum gir en hjemmel for Kongen i statsråd til å fatte nødvendige vedtak for å hindre en planlagt eller pågående aktivitet som nevnt i første ledd første punktum. At vedtaket skal være «nødvendig» innebærer at Kongen i statsråd ikke skal fatte mer byrdefulle vedtak enn det som er påkrevd, og som vurderes som rimelig i den konkrete saken. Bestemmelsen vil være en sikkerhetsventil, og den forutsettes benyttet kun i helt spesielle tilfeller. Kompetansen til å fatte vedtak er lagt til Kongen i statsråd, og den kan ikke delegeres. Departementet legger til grunn at det vil være tale om et lite antall saker, og at disse sakene etter sin art vil være alvorlige og spesielle, jf. også formålet med sikkerhetsloven. At kompetansen legges til Kongen i statsråd sikrer at eventuelle tiltak som iverksettes, er resultat av en vurdering på høyt nivå, og at de står i et rimelig forhold til den foreliggende risikoen.
I henhold til andre ledd andre punktum kan vedtak etter første punktum for det første fattes uten hensyn til begrensningene i forvaltningsloven § 35. Bestemmelsen tar høyde for tilfeller der forvaltningen allerede har fattet et vedtak, og det av hensyn til risiko for sikkerhetstruende virksomhet anses nødvendig å omgjøre vedtaket. Videre slås det i bestemmelsen fast at vedtak etter første punktum også kan fattes uten hensyn til om aktiviteten er tillatt etter annen lov eller annet vedtak. Et vedtak av Kongen i statsråd kan derfor i praksis sette til side en rekke ulike former for vedtak og aktiviteter som i utgangspunktet er tillatt, f.eks. nekte gjennomføring eller stille ytterligere vilkår for en byggetillatelse, frekvenstillatelse, ferdselsrett, jaktrett, en våpentillatelse eller et privat oppkjøp av en virksomhet.
I andre ledd tredje punktum er det fastsatt at vedtak etter første punktum er tvangsgrunnlag etter tvangsfullbyrdelsesloven kapittel 13. Dette innebærer at vedtak som fattes av Kongen i statsråd, kan tvangsfullbyrdes av namsmyndighetene, uten at man først må få dom for dette. Slik tvangsfullbyrdelse kan f.eks. gå ut på fravikelse av fast eiendom, ved at personer eller løsøre fjernes fra eiendommen, etter tvangsfullbyrdelsesloven § 13-11, rett for staten til å gjennomføre riving eller fjerning av installasjoner etter tvangsfullbyrdelsesloven § 13-14 første ledd eller pålegg om å stille sikkerhet etter tvangsfullbyrdelsesloven § 13-16 første ledd.
Etter tredje ledd kan Kongen i statsråd gi forskrift om varslingsplikten etter første ledd og om hvilke vedtak som kan fattes etter andre ledd. Forskriftskompetansen er således lagt på samme nivå som kompetansen til å fatte vedtak, og heller ikke denne kompetansen kan delegeres til andre. Det kan typisk bli aktuelt å utarbeide forskrifter som gir nærmere regler om hvordan varslingsplikten skal gjennomføres, og som nærmere fastsetter hvilke vedtak Kongen i statsråd kan fatte.
Til § 9
Ny første ledd bokstav e kodifiserer den nasjonale responsfunksjonen for alvorlige dataangrep mot kritisk infrastruktur (NorCERT) og varslingssystemet for digital infrastruktur (VDI) som en del av Nasjonal sikkerhetsmyndighet (NSM). Bestemmelsen representerer utelukkende en formalisering av en allerede vedtatt og etablert ordning. NorCERT-funksjonen i NSM utøver i dag disse oppgavene. Det vurderes imidlertid som lite hensiktsmessig å introdusere begrepet «NorCERT» i lovgivningen, da betegnelsen på denne funksjonen kan endres over tid. Det er derfor søkt å finne betegnelser som er dekkende for de oppgaver som funksjonen er tillagt. En nærmere konkretisering av oppgavene som ligger til VDI og NorCERT bør skje i en utfyllende forskrift.
Bestemmelsen inntas som ny § 9 første ledd bokstav e. Dette medfører at dagens bokstav e, blir ny bokstav f. Dagens bokstav f sier bare at loven skal følges. Bestemmelsen er overflødig og videreføres derfor ikke.
Til ny § 10 a
Paragrafen er ny og tydeliggjør når Nasjonal sikkerhetsmyndighet (NSM) kan behandle personopplysninger for å ivareta oppgaver som er tillagt nasjonal responsfunksjon for alvorlige dataangrep mot kritisk infrastruktur (NorCERT) og varslingssystem for digital infrastruktur (VDI), og hvilke kategorier informasjon som kan behandles.
Første ledd oppstiller et nødvendighetskriterium. I dette ligger at det bare kan behandles informasjon som er relevant for ivaretagelsen av de oppgaver som er tillagt NorCERT og VDI. Behandlingen må være nødvendig for å ivareta VDI- og NorCERT-funksjonens oppgaver. I bokstav a til d presiseres hvilke kategorier personopplysninger som kan behandles. Opplysninger nevnt i bokstav a og c er avidentifiserte. Opplysninger som registreres etter bokstav b er pakkedump som også kan inneholde fragmenter av identifiserbare personopplysninger. Der NSM behandler personopplysninger etter bokstav d vil man kunne få lagringsmedier til analyse, og identifiserbare personopplysninger vil inngå. Formålet med behandlingen vil imidlertid utelukkende være å analysere lagringsmedia eller logg for å avdekke ondsinnet kode. Forutsetningen for behandlingen er samtykke fra virksomheten.
Bestemmelsens andre ledd tar sikte på å etablere et nødvendig handlingsrom i de mest alvorlige tilfeller for andre kategorier behandlinger enn de som skjer i en normalsituasjon. Denne bestemmelsen vil for eksempel kunne anvendes ved håndtering av tilfeller hvor det har inntruffet et alvorlig angrep mot kritisk IKT-infrastruktur eller funksjoner som det er grunn til å tro at en fremmed stat kan stå bak. Behandling vil her skje etter en konkret nødvendighets- og proporsjonalitetsvurdering.
Behandlingen av personopplysninger skal være i samsvar med grunnkravene i personopplysningloven § 11.
I tredje ledd gis hjemmel for å kunne gi utfyllende bestemmelser i forskrifter. Det vises for øvrig til departementets vurderinger i punkt 7.4.
Til ny § 13 a
Bestemmelsen er ny og viderefører i stor grad eksisterende regler i forskrift om informasjonssikkerhet og gjeldende praksis vedrørende overvåking av informasjonssystemer. Bestemmelsen etablerer et klarere hjemmelsgrunnlag, og synliggjør den økte betydningen av sikkerhetsmessig overvåking av godkjente informasjonssystemer. Samtidig er bestemmelsen lettere tilgjengelige for virksomheter som pålegges plikter, og for de som ellers berøres.
Første ledd oppstiller hovedregelen om at informasjonssystemer som er gjenstand for godkjenning etter sikkerhetsloven § 13 kontinuerlig skal overvåkes for sikkerhetstruende hendelser. Forslaget er en videreføring av forskrift om informasjonssikkerhet §§ 5-2 første ledd bokstav c, og 5-3 bokstav e. Ansvaret påhviler den enkelte virksomhet.
I andre ledd gis hjemmel for å registrere utveksling av data som skjer mellom systemer eller autorisasjonsskiller. Dette omfatter også innholdet av informasjonen som utveksles. Denne bestemmelsen er ny i loven. I samsvar med prinsippene i sikkerhetsloven § 6 vil omfanget av loggingen bero på en konkret risikovurdering.
Tredje ledd skal regulere de tilfeller der flere virksomheter er knyttet til samme informasjonssystem. I slike tilfeller kan systemeier etter avtale med hver enkelt virksomhet, forestå overvåkningen og registreringen på vegne av den ansvarlige.
Fjerde ledd første punktum viderefører bestemmelsen i forskrift om informasjonssikkerhet § 5-18 om at informasjon registrert etter første og andre ledd skal lagres i 5 år. Fjerde ledd andre punktum oppstiller en klar avgrensing mot bruk av informasjon som logges og registreres etter første og andre ledd til alle andre formål enn håndteringen av sikkerhetstruende hendelser. For dette formål kan informasjonen utleveres til relevante virksomheter. Nærmere bestemmelser er gitt i forskrift om sikkerhetsadministrasjon.
Femte ledd pålegger virksomheten informasjonsplikt i samsvar med personopplysningsloven § 19.
I sjette ledd gis hjemmel for å kunne gi utfyllende bestemmelser i forskrift.
Det vises for øvrig til omtalen av bestemmelsen under punkt 8.3 og 8.5.
Til § 23
Dagens § 23 femte ledd omhandler autorisasjon.
Av regeltekniske hensyn foreslår departementet at dagens femte ledd blir nytt første ledd. Mens autorisasjon skal gjøres for samtlige graderingsnivåer, stilles det krav om sikkerhetsklarering kun ved tilgang til informasjon som er KONFIDENSIELT eller høyere. Departementet mener derfor at det er mer pedagogisk at regulering av autorisasjon omtales i første ledd. For å gjenspeile denne endringen foreslår departementet at tittelen i § 23 skal endres fra «Klareringsmyndighet og autorisasjonsansvarlig» til «Autorisasjonsansvarlig og klareringsmyndighet».
Av gjeldende § 23 femte ledd tredje punktum fremgår det at autorisasjon ikke skal gis før det foreligger melding om sikkerhetsklarering, med unntak for de tilfeller som er beskrevet i § 19 tredje ledd, og sikkerhetssamtale er avholdt.
Ordet «sikkerhetssamtale» er erstattet med «autorisasjonssamtale». Bakgrunnen for det er at bruken av ordet «sikkerhetssamtale» i dagens tredje punktum skyldes en inkurie, og det er derfor viktig at det erstattes med det korrekte ordet «autorisasjonssamtale». Forslaget innebærer ingen materielle endringer.
Etter dagens regelverk er hvert enkelt departement klareringsmyndighet for personell innenfor sitt myndighetsområde. Myndigheten kan delegeres, noe som er gjort i stor utstrekning. Den nærmere organiseringen av klareringsmyndigheter framgår av gjeldende § 23 første til fjerde ledd.
Departementet reduserer antall klareringsmyndigheter. Endringen innebærer at dagens første til fjerde ledd endres og får ny utforming i andre ledd.
Av § 23 andre ledd første punktum framgår det at Kongen utpeker to klareringsmyndigheter, en for forsvarssektoren og en for sivil sektor. Den nærmere organiseringen av klareringsmyndighetene vil bli bestemt av Kongen.
Av andre ledd andre punktum framgår det at Kongen kan utpeke andre klareringsmyndigheter når særlige grunner taler for det. Denne bestemmelsen må sees i sammenheng med departementets forslag om å redusere antallet klareringsmyndigheter, og hovedregelen om at det skal være én klareringsmyndighet for forsvarssektoren og én for sivil sektor.
I andre ledd tredje punktum foreslår departementet å lovfeste at etterretnings- og sikkerhetstjenestene klarerer eget personell. Det betyr at EOS-tjenestene fortsetter å klarere sitt eget personell, på grunn av sine særskilte oppgaver.
Til § 28
Det framgår av gjeldende § 28 første ledd andre punktum at leverandørklareringen gjelder for det enkelte oppdrag. Det betyr at det må søkes om klarering for hvert enkelt oppdrag, og klareringen faller automatisk bort når oppdraget er fullført.
Departementet endrer første ledd andre punktum til at Kongen fastsetter gyldighetstiden for leverandørklareringer. Forslaget innebærer en materiell endring fra oppdragsbasert til tidsbasert leverandørklarering, og gir adgang til å fastsette varigheten av leverandørklareringer i forskrift. Leverandørklareringen skal imidlertid, slik som i dag, gis etter anmodning fra en anskaffelsesmyndighet. Tildeling og oppfølging av tidsbestemte klareringer må reguleres nærmere i forskrift, herunder tildeling av leverandørklareringer på like vilkår og en forsvarlig oppfølging av leverandører i klareringsperioden. Formålet med innføringen av tidsbasert leverandørklarering er å effektivisere og forenkle arbeidet med sikkerhetsgraderte anskaffelser.
Til ny § 29 a
Bestemmelsen er ny, og tar sikte på å motvirke at kritisk infrastruktur blir utsatt for, eller brukt til, spionasje og sabotasje. I lovteksten er disse handlingene omtalt under fellesbenevnelsen sikkerhetstruende virksomhet, som er definert i § 3 nr. 2. Paragraf 29 a pålegger virksomheter som eier eller rår over kritisk infrastruktur, å foreta en risikovurdering ved anskaffelser til kritisk infrastruktur, og å handle ut fra utfallet av risikovurderingen. Bestemmelsen pålegger virksomheter å varsle myndighetene dersom virksomheten ønsker å gjennomføre en anskaffelse som kan innebære en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført. Bestemmelsen gir Kongen i statsråd hjemmel til å gripe inn i anskaffelser til kritisk infrastruktur der det foreligger en slik risiko. Bestemmelsen gjelder for alle virksomheter som er underlagt loven i henhold til § 2, og som eier eller rår over kritisk infrastruktur.
Hva som til ethvert tidspunkt skal anses som kritisk infrastruktur, avgjøres av myndighetene med utgangspunkt i definisjonen inntatt i § 3 nr. 21. En redegjørelse for begrepet kritisk infrastruktur er gitt i punkt 11.1. Det er departementene som identifiserer kritisk infrastruktur i de ulike sektorene. I forslaget til § 2 fjerde ledd andre punktum er Kongen gitt myndighet til å gi forskrift om identifisering av kritisk infrastruktur og om informasjon til rettssubjekter som eier eller rår over kritisk infrastruktur.
Første ledd pålegger virksomhetene å foreta en risikovurdering ved anskaffelser til kritisk infrastruktur. Første punktum oppstiller selve plikten til å foreta en risikovurdering. Plikten påhviler virksomheter som eier eller rår over kritisk infrastruktur. Vurderingen kan utføres av virksomheten selv eller av en tredjepart på oppdrag fra virksomheten. Det vil normalt være naturlig å nedtegne risikovurderingen skriftlig, men det er ikke et krav. Andre punktum regulerer innholdet i risikovurderingen. Virksomheten skal i risikovurderingen ta stilling til om anskaffelsen kan innebære en risiko for at leverandøren eller andre utnytter anskaffelsen til å utføre spionasje eller sabotasje. Lovteksten bruker begrepene «etablere» eller «gjennomføre» (sikkerhetstruende virksomhet). Disse begrepene er ment å fange opp både det å tilrettelegge for at sikkerhetstruende virksomhet kan gjennomføres på et senere tidspunkt, og det å gjennomføre sikkerhetstruende virksomhet samtidig med anskaffelsen. Å etablere sikkerhetstruende virksomhet kan for eksempel være å programmere inn en bakdør i et datasystem som kan utnyttes i ettertid. Som omtalt under punkt 11.4.2 ovenfor, vil risikovurderingen måtte bestå av en sammensatt vurdering der mulige sårbarheter, trusler og konsekvenser inngår. Terskelen for hvor stor risiko som er akseptabel, går der risikoen kan karakteriseres som ubetydelig eller ikke. Hva som nærmere ligger i dette kriteriet, er beskrevet i punkt 11.4.2. Tredje punktum fastslår at virksomheten ikke behøver å foreta en risikovurdering dersom det framstår som åpenbart at anskaffelsen ikke kan innebære noen slik risiko. For eksempel vil virksomheten ikke behøve å vurdere risikoen ved vanlige innkjøp til daglig drift eller rutinemessig utskifting av mekaniske deler.
Andre ledd oppstiller en varslingsplikt for virksomheter som ønsker å gjennomføre en anskaffelse som kan innebære en ikke ubetydelig risiko for sikkerhetstruende virksomhet. Første punktum oppstiller selve plikten til å varsle. Plikten inntrer dersom en risikovurdering konkluderer med at anskaffelsen kan innebære en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført. Nærmere omtale av kriteriet «ikke ubetydelig risiko» er gitt i punkt 11.4.2. Varselet skal gis til overordnet departement. For offentlige virksomheter vil det som oftest være klart hvilket departement som er deres overordnede. Når det gjelder uavhengige organer, vil det overordnede departementet i denne sammenhengen være det departementet virksomheten er administrativt underlagt. Enkelte organer er derimot knyttet til flere departementer, og det kan være usikkert hvem av dem varselet skal rettes til. Virksomheten må da velge ett av de aktuelle departementene og varsle til det. Skulle dette være feil, skal det departementet som har mottatt varselet, sende det videre til riktig mottaker. Andre punktum slår fast at virksomheter som ikke har et overordnet departement, skal varsle Forsvarsdepartementet. Dette vil i praksis gjelde private virksomheter. Tredje punktum innebærer at plikten til å varsle går foran eventuell lovbestemt taushetsplikt. Fjerde punktum gir virksomheter som avdekker en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført, anledning til selv å finne og iverksette risikoreduserende tiltak. Dersom dette resulterer i at risikoen senkes til et ubetydelig nivå, kan virksomheten gjennomføre anskaffelsen uten å involvere myndighetene. Risikoreduserende tiltak kan for eksempel være tekniske, administrative eller organisatoriske barrierer. Også valg av leverandører og underleverandører kan ses på som risikoreduserende tiltak.
Virksomhetene har ikke noen plikt til å gjennomføre alle risikoreduserende tiltak som kan bidra til å senke risikoen til et ubetydelig nivå. Dersom virksomheten ikke ønsker å iverksette ett eller flere risikoreduserende tiltak, for eksempel fordi de anses som for kostbare, står virksomheten fritt til å avgjøre dette. Virksomheten vil imidlertid være forpliktet til å varsle i tråd med regelen i første punktum dersom den ønsker å gjennomføre en anskaffelse som innebærer en ikke ubetydelig risiko. Når det gjelder hvordan prosedyrene i § 29 a rent praktisk kan gjennomføres som del av en anskaffelsesprosess, viser departementet til punkt 11.4.8.
Tredje ledd gjelder forvaltningens behandling av et varsel, og oppstiller en hovedregel om at departementet som mottar et slikt varsel bør innhente rådgivende uttalelser fra relevante organer. Bestemmelsen medfører likevel ikke noen rettslig plikt. Se mer om dette i punkt 11.4.4.
Fjerde ledd gir Kongen i statsråd mulighet til å fatte vedtak i enkeltsaker. Første punktum inneholder selve hjemmelen for Kongen i statsråd til å fatte vedtak. Forutsetningen for at Kongen i statsråd skal ha kompetanse til å gripe inn, er at risikoen for sikkerhetstruende virksomhet er mer enn ubetydelig. Det kan i prinsippet fattes alle typer vedtak. Den mest inngripende typen vedtak vil være å stanse en anskaffelse som sådan eller å forby bruk av visse leverandører. En mindre inngripende type vedtak er å stille vilkår om å innføre risikoreduserende tiltak. Se også her punkt 11.4.4. Andre punktum innebærer at Kongen i statsråd har kompetanse til å fatte vedtak, selv om anskaffelsesmyndigheten og leverandøren har inngått avtale om anskaffelsen. Normalt vil varslingsplikten være brutt dersom Kongen i statsråd må gripe inn i en avtale som allerede er inngått. Men det kan også tenkes tilfeller der trusselbildet brått endres, og at dette foranlediger en inngripen fra myndighetene. Andre punktum innebærer imidlertid ikke at det kan fattes vedtak om avtaler som ble inngått før loven trådte i kraft. Se også punkt 11.2.2. Tredje punktum pålegger det aktuelle departementet å underrette virksomheten dersom Kongen i statsråd ikke fatter vedtak i saken. Dette er presisert fordi det ikke følger uttrykkelig av forvaltningsloven at det skal varsles om denne typen beslutninger. Fjerde punktum innebærer at myndighetene ikke behøver å gå veien om domstolene for å kunne tvangsfullbyrde et vedtak fattet av Kongen i statsråd. Myndighetene kan for eksempel med namsmannens hjelp fysisk tvangsgjennomføre innholdet i et vedtak, jf. tvangsfullbyrdelsesloven § 13-14 første ledd. Det vil også kunne være aktuelt å ilegge løpende tvangsmulkt.
Femte ledd gir Kongen i statsråd hjemmel til å gi forskrift om anskaffelser til kritisk infrastruktur. Hjemmelen kan blant annet brukes til å pålegge eiere av kritisk infrastruktur om å innføre visse typer sikkerhetstiltak eller rutiner ved anskaffelser til kritisk infrastruktur. Kompetansen kan ikke delegeres.
Til ikrafttredelse av loven, jf. lovforslagets del II
Det foreslås at loven trer i kraft fra den tid Kongen bestemmer. I dette tilfellet er det nødvendig med forskjellig ikrafttredelsestidspunkt for de forskjellige bestemmelsene, bl.a. av hensyn til at etablering av ny sivil klareringsmyndighet vil ta noe tid. Etter forslaget kan Kongen derfor fastsette forskjellige ikraftsettingstidspunkter for de forskjellige bestemmelsene.