5 Gebyr på tjenester
5.1 Gjeldende rett
Sikkerhetsloven har i dag ingen klar hjemmel for at en virksomhet som utfører tjenester etter loven for en annen virksomhet, kan kreve brukerbetaling (gebyr) for sitt arbeid. I det alt vesentlige kreves det ikke gebyr for slike tjenester. Forskrift om informasjonssikkerhet § 5-24 andre ledd fastsetter imidlertid at eier av et informasjonssystem skal budsjettere med og dekke alle kostnader knyttet til sikkerhetsgodkjenningen av informasjonssystemet.
5.2 Høringsforslaget
I høringsnotatet foreslo departementet å gi en klar hjemmel for å kreve gebyr, der en virksomhet utfører tjenester for en annen. Departementet mente at en gebyrordning på den ene siden kunne bidra til at virksomheter som ber om en tjeneste i større grad foretok en reell vurdering av det aktuelle behovet for tjenesten, som for eksempel sikkerhetsklarering. På den annen side mente departementet at det var viktig at en ordning med gebyr ikke medførte en svekkelse av sikkerhetstilstanden. Etter departementets syn var det derfor sentralt at eventuelle fordeler ved å ha gebyr ble veid opp mot kostnadene som virksomheter ble påført. I høringsnotatet heter det på side 28:
«Dagens bestemmelse i forskrift om informasjonssikkerhet § 5-24 andre ledd (gebyr ved godkjenning av informasjonssystemer) bør gis en sterkere forankring i lov. Departementet har på nåværende tidspunkt ikke tatt standpunkt til hvilke eventuelle øvrige tjenester (ut over dagens adgang ved godkjenning av informasjonssystemer) det kan være aktuelt å kreve gebyr for. Eksempler på slike tjenester kan være sikkerhetsklarering av personell etter reglene i lovens kapittel 6 og sikkerhetsklarering av leverandører etter reglene i lovens kapittel 7. Videre kan det også være aktuelt med gebyr for visse tjenester som følger av reglene om informasjonssikkerhet; godkjenning av kryptosystemer, monitoring og inntrengningstesting av informasjonssystemer, samt tekniske sikkerhetsundersøkelser. Departementet antar at det i hovedsak vil være Nasjonal sikkerhetsmyndighet som er den tjenesteytende virksomhet. Det kan imidlertid tenkes at det vil være andre virksomheter som også vil yte slik bistand. Blant annet gjelder det klareringsmyndigheter.»
Videre i høringsnotatet framgår det at forslaget ikke har noen direkte rettsvirkninger i seg selv. Eventuelle nye områder som skal ilegges gebyr, må konsekvensutredes og foreslås i et eventuelt senere forskriftsarbeid, der det foretas en nærmere vurdering av kostnadsbildet, hvilke områder som kan være egnet for gebyrfinansiering, og sikkerhetsmessige konsekvenser av å gebyrlegge en tjeneste. Departementet mente på side 29 i høringsnotatet at følgende momenter burde vurderes ved innføring av eventuelle bestemmelser om gebyr:
«– For det første er det et grunnleggende prinsipp ved offentlige gebyrer at inntektene ikke skal overstige de nødvendige utgiftene den tjenesteytende virksomheten har. Dette prinsippet må være styrende ved fastsettelsen av gebyrets størrelse.
– Videre må det vurderes konkret om gebyr anses som et hensiktsmessig virkemiddel for å sikre en bedre og mer effektiv tjenesteyting. Det kan føre til mindre restanser, uten at det går ut over kvaliteten. Dette vil dermed også komme de betalende virksomhetene til gode som ledd i deres arbeid med forebyggende sikkerhet.
– For det tredje bør det vurderes å standardisere størrelsen på gebyret for den enkelte tjenesten. Standardiserte priser bidrar til forutsigbarhet, både på inntekts- og kostnadssiden. På den annen side kan det være til dels store variasjoner i arbeidsomfang og tidsbruk fra sak til sak. Bruk av standardiserte satser må derfor vurderes konkret i forbindelse med hver enkelt tjeneste.
– Det bør også vurderes differensiering av gebyret. En mulig løsning er å differensiere gebyret avhengig av om det er offentlig virksomhet, som er direkte underlagt sikkerhetsloven, eller en privat, som underlegges som følge av vedtak. En annen form for differensiering av gebyr, er å knytte det opp mot arbeidsomfang og tidsbruk som går med hos den tjenesteytende virksomhet. Også dette må imidlertid vurderes konkret i det enkelte forskriftsarbeid.»
5.3 Høringsinstansenes syn
Flertallet av høringsinstansene som har kommet med innspill er imot forslaget om å innføre en gebyrordning der en virksomhet utfører tjenester etter loven for en annen virksomhet. Etterretningstjenesten mener overordnet at forslaget er for dårlig utredet, og at det ikke tilfredsstiller utredningsinstruksens krav om redegjørelse for økonomiske, administrative og sikkerhetsmessige konsekvenser. Norsk romsenter er av samme oppfatning og uttaler at det må gjøres «en mer grundig utredning før det kan tas stilling om hjemmel for innføring av gebyr er hensiktsmessig».
Høringsinstansene mener videre at forslaget vil kunne medføre en betydelig svekkelse av sikkerhetstilstanden. Flere frykter en situasjon der økonomiske betraktninger blir styrende for om man tar i bruk sikkerhetstjenestene. Etterretningstjenesten uttaler blant annet:
«Det ligger i dagen at dersom det blir vesentlig mer kostbart for virksomhetene å samhandle med NSM, vil virksomhetene unnlate å melde forhold til NSM og unnlate å gjøre bruk av NSMs kompetanse, i hvert fall i tvilstilfeller hvor unnlatelse ikke representerer et klart lovbrudd.»
Nasjonal sikkerhetsmyndighet (NSM) viser også til at det finnes eksempler på at tilsvarende finansieringsmodell tidligere har ført til at betalingsviljen, og evnen, er styrende i risikovurderingen:
«Ved innføring av gebyr kan det medføre en fare for at innsats og fokus ikke blir på de områder og mot de virksomheter hvor behovet ut fra risiko og en bredere sikkerhetsmessig vurdering er størst, men at betalingsevne og -vilje blir styrende. Finansieringsmodellen for VDI/NorCERT er et eksempel på en slik utvikling.»
Flere av høringsinstansene har også prinsipielle innvendinger mot at ordningen innføres, og påpeker at det offentlige ikke burde kunne ta betalt for en lovpålagt tjeneste, hvor NSM er i en monopolsituasjon. Etterretningstjenesten viser til at:
«det ikke kan innføres brukerbetaling for arbeid som egentlig ikke er ‘tjenester’, men lovpålagte krav om tiltak hvor NSM er i en nasjonal monopolsituasjon, f. eks når det gjelder kryptogodkjenning, tekniske sikkerhetsundersøkelser (TSU) og monitoring. Prinsipielt ser vi forslaget som en alternativ finansieringsmåte av NSM, som reiser en rekke prinsipielle problemstillinger og motforestillinger som ikke er berørt. Herunder kan det på prinsipielt grunnlag reises spørsmål om et tilsynsdirektorat som både utøver nasjonale kontroll- og veiledningsfunksjoner, forestår risikovurderinger og gjennomfører enkelte operative utøvende funksjoner, bør brukerfinansieres.»
NSM viser til at tjenestene NSM leverer primært kommer samfunnet og samfunnssikkerheten til gode, og at det da er betenkelig å ta betalt for de tjenestene som blir levert:
«statssikkerhet, herunder NSMs ansvar for forbyggende sikkerhet, [bør] fullt ut være bevilgningsfinansiert. NSM er av den oppfatning at de tjenestene direktoratet utfører, leveres i egenskap av å være Norges nasjonale sikkerhetsmyndighet, og at disse tjenestene primært kommer samfunnet og samfunnssikkerheten til gode.»
Forsvarets logistikkorganisasjon/Investering, Forsvarets sikkerhetsavdeling (FSA) og Kystverket viser i tillegg til at det er unaturlig å ta betalt for slike tjenester innad i staten, mens Telenor hevder at myndighetene ikke må påføre private rettssubjekter unødige kostnader for at disse skal forholde seg til loven, og skriver:
«Det er i myndighetenes interesser at vi forholder oss til lovverket, og at vi bruker myndighetene som rådgivere for å ta best mulige beslutninger. Telenor mener at myndighetene selv må dimensjonere sin organisasjon etter lovens nedslagsfelt, og ikke påføre private rettssubjekter unødige kostnader for at disse skal forholde seg til loven.»
Nasjonal kommunikasjonsmyndighet, Norsk senter for informasjonssikring og privatpersonen Anders Bakke støtter i utgangspunktet forslaget om å innføre en gebyrordning, men har noen av de samme prinsipielle innvendingene mot forslaget som de øvrige høringsinstansene. AndersBakke viser i all hovedsak til at risikoen for en svekket sikkerhetstilstand må veie tyngre enn de eventuelle fordelene et gebyr vil ha på dette området.
Dersom ordningen likevel blir innført mener flere av høringsinstansene at det bør settes strengere krav til sikkerhetsklareringsmyndighetene når det gjelder servicenivå, saksbehandlingstid og kvalitet på tjenestene. NSM mener at det må gjennomføres grundige analyser for hvilke områder gebyrordningen er egnet for, der mulige negative konsekvenser for samfunnssikkerheten må gis en framtredende plass og tillegges stor vekt.
5.4 Departementets vurderinger
Innføring av en klar hjemmel for å kunne kreve gebyr, der en virksomhet utfører tjenester etter loven for en annen, vil etter departementets oppfatning, etter en nærmere utredning, kunne ha fordeler som oppveier de eventuelle ulemper en slik adgang vil kunne ha. Departementet viser særlig til at en gebyrordning vil kunne bidra til en bedre og mer effektiv tjenesteyting, samt at virksomheter som ber om en tjeneste i større grad foretar en reell vurdering av det aktuelle behovet for tjenesten. Forslaget vil dessuten gi § 5-24 andre ledd i forskrift om informasjonssikkerhet en sterkere forankring i lov.
Departementet har imidlertid merket seg de innspillene som har kommet inn, og de argumentene som taler mot forslaget. Departementet er på denne bakgrunn kommet til at det bør foretas ytterligere utredning før det eventuelt fremmes nytt forslag om egen hjemmel for å kunne kreve gebyr for sikkerhetstjenester. Ett område for slik utredning kan eksempelvis være innføring av gebyr for sikkerhetsklareringer på høyeste nivå (STRENGT HEMMELIG/ Cosmic Top Secret). Dette er et klareringsnivå som ikke bør foretas med mindre det foreligger et særskilt behov, og der innføring av gebyr derfor kan være et hensiktsmessig virkemiddel. Nederland er eksempel på et land der det tas gebyr for Cosmic Top Secret-klareringer. Departementet vil derfor vurdere å komme tilbake til spørsmålet om hjemmel for å kunne legge gebyr på visse sikkerhetstjenester på et senere tidspunkt.