Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

Innstilling fra utenriks- og forsvarskomiteen om Endringer i sikkerhetsloven (reduksjon av antall klareringsmyndigheter mv.)

Dette dokument

Innhold

Til Stortinget

Forsvarsdepartementet legger i proposisjonen fram forslag til enkelte endringer i lov 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste (sikkerhetsloven).

De mest sentrale forslagene er en reduksjon av antall klareringsmyndigheter, med én sentral klareringsmyndighet i sivil sektor og én tilsvarende i forsvarssektoren (§ 23), nye bestemmelser om varsling og myndighet til å fatte vedtak ved risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført (§ 5 a) og ved anskaffelser til kritisk infrastruktur, dersom en slik anskaffelse kan innebære en risiko som nevnt foran (§ 29 a). Videre foreslås det en endring fra oppdragsbaserte til tidsbaserte leverandørklareringer i forbindelse med sikkerhetsgraderte anskaffelser (§ 28). I forslaget til endringer i loven inngår også lovfesting av gjeldende praksis på enkelte områder. Dette gjelder særlig den nasjonale responsfunksjonen for alvorlige dataangrep mot kritisk infrastruktur (NorCERT) og varslingssystemet for digital infrastruktur (VDI) (§ 9 e), rammer for behandling av personopplysninger i den forbindelse (§ 10 a) og sikkerhetsmessig overvåking av godkjente informasjonssystemer (§ 13 a).

Forsvarsdepartementet påpeker at forslagene samlet sett vil dekke et behov som gjeldende regelverk ikke ivaretar, og dessuten bidra til effektivisering og legitimering av gjeldende praksis.

Ved kongelig resolusjon 27. mars 2015 ble det oppnevnt et eksternt utvalg med mandat til å foreslå et nytt lovgrunnlag for forebyggende nasjonal sikkerhet (Sikkerhetsutvalget). Utvalget skal etter mandatet avgi rapport i form av en NOU høsten 2016. Rapporten vil deretter bli sendt på alminnelig høring. Det er imidlertid behov for å fremme de foreliggende forslag til lovendring, uten å påvente Sikkerhetsutvalgets rapport og etterfølgende behandling.

Sikkerhetsloven har i liten utstrekning vært gjenstand for endringer siden loven trådte i kraft 1. juli 2001. Hovedsakelig har dette dreid seg om justeringer i kapittel 6 om personellsikkerhet (endringslov 17. juni 2005 nr. 81) og i bestemmelsene i kapittel 5 om objektsikkerhet, der det ble gitt nærmere bestemmelser om utvelgelse og klassifisering av skjermingsverdige objekter (endringslov 11. april 2011 nr. 9).

Med bakgrunn i de samfunnsmessige utviklingstrekkene innenfor sikkerhetsområdet de senere årene har Forsvarsdepartementet sett behov for en mer gjennomgående vurdering av i hvilken utstrekning gjeldende lov møter dagens og morgendagens utfordringer innenfor forebyggende sikkerhet.

I november 2012 ble det utarbeidet en evalueringsrapport av en bredt sammensatt departementsgruppe, ledet av Forsvarsdepartementet. Gruppen konkluderte med at dagens utvikling innen teknologi og andre utviklingstrender representerer nye sikkerhetsutfordringer som tilsier en revisjon av sikkerhetsloven. Som eksempel på andre utviklingstrender ble det vist til økt globalisering, internasjonalisering og tverrsektorielle avhengigheter.

I februar 2013 ble det derfor etablert en arbeidsgruppe bestående av Forsvarsdepartementet, Justis- og beredskapsdepartementet og Nasjonal sikkerhetsmyndighet. Arbeidsgruppen fikk i oppdrag å foreta en helhetlig revisjon av sikkerhetsloven. Samtidig ble det etablert en referansegruppe av øvrige berørte departementer.

Revisjonsarbeidet avdekket grunnleggende utfordringer om hva sikkerhetsloven bør regulere, deriblant forholdet mellom sikkerhetsloven og annet sikkerhetsrelatert sektorregelverk. Det er ulike oppfatninger om hva lovens formål og virkeområde bør være i framtiden. Innenfor objektsikkerhetsområdet er det også avdekket uenighet mellom ulike sektorer om hva reglene skal ta sikte på å beskytte mot, og på hvilken måte.

På denne bakgrunn besluttet regjeringen å dele opp arbeidet med revisjon av loven i to faser. Dette for å kunne gjennomføre enkelte av endringsforslagene uten å måtte vente på analysene som er nødvendig for å løse de forannevnte temaene.

I den første fasen vil departementet foreslå endringer i gjeldende sikkerhetslov som det er behov for å få på plass raskt. Prop. 97 L (2015–2016) er en oppfølging av første fase. Sikkerhetsutvalget, nevnt i punkt 1, representerer fase to.

Det foreslås at loven trer i kraft fra den tid Kongen bestemmer. I dette tilfellet er det nødvendig med forskjellig ikrafttredelsestidspunkt for de forskjellige bestemmelsene, bl.a. av hensyn til at etablering av ny sivil klareringsmyndighet vil ta noe tid. Etter forslaget kan Kongen derfor fastsette forskjellige ikraftsettingstidspunkter for de forskjellige bestemmelsene.

Komiteen, medlemmene fra Arbeiderpartiet, Svein Roald Hansen, lederen Anniken Huitfeldt, Marit Nybakk, Kåre Simensen og Jonas Gahr Støre, fra Høyre, Elin Rodum Agdestein, Regina Alexandrova, Sylvi Graham, Øyvind Halleraker og Trond Helleland, fra Fremskrittspartiet, Harald T. Nesvik, Jørund Rytman og Christian Tybring-Gjedde, fra Kristelig Folkeparti, Astrid Aarhus Byrknes, fra Senterpartiet, Liv Signe Navarsete, fra Venstre, Trine Skei Grande, og fra Sosialistisk Venstreparti, Bård Vegar Solhjell, viser til at proposisjonen viser nødvendigheten av å gjøre endringer i sikkerhetsloven.

Komiteen viser til at formålet med sikkerhetsloven er å legge forholdene til rette for effektivt å kunne motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser, å ivareta den enkeltes rettssikkerhet og å trygge tilliten til og forenkle grunnlaget for kontroll med forebyggende sikkerhetstjeneste.

Komiteen merker seg at det kom inn mange høringsinnspill og mener at de foreslåtte endringene i loven ivaretar innholdet i flertallet av de innspillene som er kommet inn.

Komiteen viser til at vi i dag står overfor et sammensatt risiko- og trusselbilde. Den sikkerhetspolitiske situasjonen er i stadig endring. Samfunnet blir mer og mer sårbart, og teknologien utvikler seg i raskt tempo. Det er viktig at sikkerhetsloven holder tritt med utviklingen. Lovforslaget er et viktig tiltak for å styrke vår forebyggende sikkerhet.

Komiteen merker seg at sikkerhetsloven ikke har vært under særskilt revidering siden den trådte i kraft i 2001. Komiteen deler derfor Forsvarsdepartements vurdering av behov for en mer gjennomgående gjennomgang av gjeldende lov sett opp mot dagens og morgendagens nasjonale og globale utfordringer innenfor forebyggende sikkerhet.

Komiteen merker seg at det gjøres endringer i lovens generelle virkeområde og støtter at dette utvides til å gjelde alle anskaffelser til kritisk infrastruktur. Komiteen viser også til høringsinnspill som omtaler viktigheten av at olje- og energisektoren også omfattes av sikkerhetsloven. Komiteen merker seg forslaget om å lovfeste unntak for regjeringens medlemmer og dommere i Høyesterett fra plikten til sikkerhetsklarering og autorisering. Komiteen merker seg at dette har vært en langvarig praksis og ser ingen grunn til at det skal være et skille mellom disse posisjonene og de som allerede er unntatt dette, som f.eks. stortingsrepresentanter.

Komiteen støtter at det innføres en varslingsplikt for virksomheter underlagt sikkerhetsloven som får kunnskap om en planlagt eller pågående aktivitet som kan medføre en ikke ubetydelig risiko for rikets selvstendighet og sikkerhet. Komiteen viser til at det i høringsuttalelsene nevnes tilfeller der det kan fremstå uklart hvilket departement som utgjør den overordnede virksomheten og at det derfor kan oppstå uklarhet knyttet til hvem som skal motta varselet. Komiteen understreker derfor viktigheten av at presiseringer til dette utarbeides på egnet måte og i dialog med virksomhetene.

Komiteen merker seg at innføring av en hjemmel for innføring av gebyr utredes videre.

Komiteen merker seg at den nasjonale responsfunksjon for alvorlige dataangrep mot kritisk infrastruktur, i dag kjent som NorCERT, og varslingssystemet for digital infrastruktur, VDI, herunder behandling av personopplysninger, tas inn i loven og at en nærmere konkretisering av oppgavene vil komme i en forskrift. Komiteen merker seg at dette er en kodifisering av gjeldende praksis i forbindelse med respons- og varslingssystemene og at det ikke innebærer en utvidet adgang til å behandle innholdsdata.

Komiteen merker seg at § 5-18 i eksisterende forskrift om informasjonssikkerhet, som gir bestemmelse om at registrering av sikkerhetsrelevante hendelser (logger) skal lagres i minst 5 år, tas inn i loven.

Komiteen er enig i at det lenge har vært et behov for å få etablert en ny klareringsmyndighetsstruktur med få, men kompetente klareringsmyndigheter. Det antallet man har i dag med 42 klareringsmyndigheter skaper utfordringer. Fagmiljøene er fragmenterte, og det er en skjev fordeling av saker. I tillegg stilles det stadig større krav til kompetanse for å behandle klareringssaker tilfredsstillende. Komiteen mener færre klareringsmyndigheter vil øke rettssikkerheten til den enkelte og gi bedre grunnlag for likebehandling av saker.

Komiteen støtter forslaget om konkretiseringer på autorisasjonsfeltet, herunder forslaget om en betydelig reduksjon av antall klareringsmyndigheter, fra 42 til 7, og at det kun skal være en klareringsmyndighet for sivil sektor og en for forsvarssektoren. Komiteen støtter videre at de tre EOS-tjenestene fortsetter å klarere eget personell, grunnet de særlige forhold som gjør seg gjeldende for disse tjenestene, samt at domstolene og statsministerens kontor, av konstitusjonelle hensyn, fortsatt skal opprettholdes som egne klareringsmyndigheter.

Komiteen merker seg at det nye forslaget om varslingsplikt ved anskaffelser til kritisk infrastruktur ikke er betinget av at anskaffelsen er definert som en sikkerhetsgradert anskaffelse. Komiteen merker seg at virksomheter pålegges å varsle myndighetene dersom de ønsker å gjennomføre anskaffelser til kritisk infrastruktur som kan innebære en ikke ubetydelig risiko for rikets selvstendighet og sikkerhet, også utover det som er utpekt som skjermingsverdige objekter.

Komiteen merker seg at den nye § 5 a gjelder en plikt for virksomheter underlagt sikkerhetsloven til å varsle overordnet departement dersom man får kunnskap om en planlagt eller pågående aktivitet som kan medføre en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført. Det er viktig å få på plass en slik bestemmelse som gir myndighetene mulighet til å reagere før en sikkerhetstruende situasjon er blitt en realitet.

Komiteen merker seg videre at det gis hjemmel for Kongen i statsråd til å gripe inn i anskaffelser til kritisk infrastruktur der en slik risiko foreligger. Komiteen ser på dette som hjelpemidler for å hindre spionasje og sabotasje og merker seg presiseringene og justeringene som er foretatt siden høringsnotatet og at dette vil føre til at virksomhetene selv utøver kontroll, vurderer risiko og iverksetter risikoreduserende tiltak, før en eventuell varsling blir sendt til myndighetene.

Komiteen har for øvrig ingen merknader, viser til proposisjonen og rår Stortinget til å gjøre slikt

vedtak til lov

om endringer i sikkerhetsloven (reduksjon av antall klareringsmyndigheter mv.)

I

I lov 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste gjøres følgende endringer:

§ 2 fjerde til åttende ledd skal lyde:

§ 29 a gjelder for alle anskaffelser til kritisk infrastruktur. Kongen kan gi forskrift om identifisering av kritisk infrastruktur og om informasjon til rettssubjekter som eier eller rår over kritisk infrastruktur.

Loven gjelder for domstolene med de særregler som følger av bestemmelsene om sikkerhetsklarering og autorisasjon i og i medhold av domstolloven og straffeprosessloven. Kongen kan fastsette ytterligere særregler.

Bestemmelsene gitt i og i medhold av lovens kapittel 6 om personellsikkerhet gjelder ikke for regjeringens medlemmer og dommere i Høyesterett.

Loven gjelder ikke for Stortinget, Riksrevisjonen, Stortingets ombudsmann for forvaltningen og andre organer for Stortinget.

Loven gjelder for Svalbard og Jan Mayen i den utstrekning Kongen bestemmer.

§ 3 første ledd nytt nr. 21 skal lyde:

21. Kritisk infrastruktur; anlegg og systemer som er nødvendige for å opprettholde samfunnets grunnleggende behov og funksjoner.

Ny § 5 a skal lyde:

§ 5 a Varslingsplikt og myndighet til å fatte vedtak ved risiko for sikkerhetstruende virksomhet

En virksomhet som får kunnskap om en planlagt eller pågående aktivitet som kan medføre en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført, skal varsle overordnet departement om dette. Dersom den varslingspliktige virksomheten ikke er underlagt noe departement, skal varselet gis til Forsvarsdepartementet. Varslingsplikten gjelder uten hinder av lovbestemt taushetsplikt. Ved behandling av varsel etter første og andre punktum bør det innhentes rådgivende uttalelser fra relevante organer med kompetanse innenfor det aktuelle fagområdet.

Kongen i statsråd kan fatte nødvendige vedtak for å hindre en planlagt eller pågående aktivitet som nevnt i første ledd første punktum. Et slikt vedtak kan fattes uten hensyn til begrensningene i forvaltningsloven § 35, og uavhengig av om aktiviteten er tillatt etter annen lov eller annet vedtak. Vedtak etter første punktum er særlig tvangsgrunnlag etter tvangsfullbyrdelsesloven kapittel 13.

Kongen i statsråd kan gi forskrift om varslingsplikten i første ledd og om hvilke vedtak som kan fattes etter andre ledd.

§ 9 første ledd bokstav e og f skal lyde

e) drive en nasjonal responsfunksjon for alvorlige dataangrep mot kritisk infrastruktur og et nasjonalt varslingssystem for digital infrastruktur,

f) gi informasjon, råd og veiledning til virksomheter.

I kapittel 3 skal ny § 10 a lyde:

§ 10 a Behandling av personopplysninger

Når det er nødvendig for å utføre oppgavene etter § 9 første ledd bokstav e, kan Nasjonal sikkerhetsmyndighet behandle personopplysninger i form av

a) metadata om IKT-trafikk til og fra virksomheter som er knyttet til det nasjonale varslingssystemet for digital infrastruktur

b) informasjon som er nødvendig for å analysere utløste alarmer i varslingssystemet

c) IP-adresser mottatt fra nasjonale og internasjonale samarbeidspartnere

d) logger og infisert maskinvare, etter samtykke fra en virksomhet der dette er nødvendig i forbindelse med bistand til håndtering av alvorlige dataangrep.

I andre tilfeller enn nevnt i første ledd, kan personopplysninger også behandles når dette er strengt nødvendig for å ivareta oppgavene etter § 9 første ledd bokstav e, og behandlingen etter en konkret vurdering framstår som både nødvendig og proporsjonal i forhold til det inngrepet den representerer i personvernet.

Kongen kan gi forskrift om Nasjonal sikkerhetsmyndighets behandling av personopplysninger.

Ny § 13 a skal lyde:

§ 13 a Sikkerhetsmessig overvåking av godkjente informasjonssystemer

Den enkelte virksomhet skal kontinuerlig overvåke et godkjent informasjonssystem for sikkerhetstruende hendelser mot informasjonssystemet eller informasjon i systemet, fortrinnsvis ved bruk av automatisert systemovervåking. Sikkerhetsrelevante hendelser skal registreres.

Informasjon som utveksles mellom systemer, på tvers av autorisasjonsskiller eller til bærbare lagringsmedier, skal registreres og lagres.

Flere virksomheter som er tilknyttet samme informasjonssystem, kan avtale at en av virksomhetene skal forestå overvåking og registrering etter første og andre ledd på vegne av den ansvarlige virksomheten.

Informasjon registrert etter første og andre ledd skal lagres i fem år. Slik informasjon skal kun benyttes for å håndtere sikkerhetstruende hendelser.

Den enkelte virksomhet skal påse at autoriserte brukere av informasjonssystemer som overvåkes i henhold til denne bestemmelse får informasjon om formålet med behandlingen, om de tiltak som er iverksatt, om informasjonen vil bli utlevert og eventuelt om hvem som er mottaker.

Kongen kan gi forskrift om

a) hvilke typer data som kan eller skal registreres og lagres

b) hvem som skal ha tilgang til registrert og lagret data

c) hvordan tilgang skal gis

d) unntak fra lagringstid på fem år.

§ 23 skal lyde:

§ 23 Autorisasjonsansvarlig og klareringsmyndighet

Autorisasjon kan gis dersom autorisasjonsansvarlig ikke har opplysninger som gjør det tvilsomt om vedkommende sikkerhetsmessig er til å stole på. Autorisasjon gis normalt av virksomhetens leder. Autorisasjon skal ikke gis før det foreligger melding om sikkerhetsklarering, med unntak for de tilfeller som er beskrevet i § 19 tredje ledd, og en autorisasjonssamtale er avholdt. Nasjonal sikkerhetsmyndighet gir nærmere regler om autorisasjon og om hvem som er autorisasjonsansvarlig.

Kongen utpeker en klareringsmyndighet for forsvarssektoren og en for den sivile sektoren. Kongen kan utpeke andre klareringsmyndigheter når særlige grunner taler for det. Etterretnings- og sikkerhetstjenestene klarerer eget personell.

§ 28 første ledd andre punktum skal lyde:

Kongen gir forskrift om gyldighetstiden for leverandørklareringer.

Kapittel 7 overskriften skal lyde:

Kapittel 7. Sikkerhetsgraderte anskaffelser og anskaffelser til kritisk infrastruktur

I kapittel 7 skal ny § 29 a lyde:

§ 29 a Varslingsplikt og myndighet til å fatte vedtak ved anskaffelser til kritisk infrastruktur

Ved anskaffelser til kritisk infrastruktur skal det foretas en risikovurdering. I vurderingen skal det tas stilling til om anskaffelsen innebærer en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført mot eller ved bruk av infrastrukturen. Plikten til å foreta en risikovurdering gjelder ikke dersom det framstår som åpenbart at anskaffelsen ikke kan innebære noen slik risiko.

En virksomhet som eier eller rår over kritisk infrastruktur, skal varsle overordnet departement dersom en risikovurdering som nevnt i første ledd konkluderer med at anskaffelsen kan innebære en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført. Virksomheter som ikke er underlagt noe departement, skal varsle Forsvarsdepartementet. Varslingsplikten gjelder uten hinder av lovbestemt taushetsplikt. Plikten gjelder ikke dersom virksomheten selv iverksetter risikoreduserende tiltak som fjerner risikoen, eller gjør den ubetydelig.

Et departement som mottar varsel etter andre ledd, bør innhente en rådgivende uttalelse fra relevante organer om leveransens risikopotensial, og leverandørers sikkerhetsmessige pålitelighet.

Dersom en anskaffelse til kritisk infrastruktur kan medføre en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført, kan Kongen i statsråd fatte vedtak om at anskaffelsen skal nektes gjennomført, eller om at det settes vilkår for gjennomføringen. Dette gjelder også dersom det allerede er inngått avtale om anskaffelsen. Dersom det ikke fattes vedtak etter første punktum, skal departementet underrette virksomheten om dette. Vedtak etter første punktum er særlig tvangsgrunnlag etter tvangsfullbyrdelsesloven kapittel 13.

Kongen i statsråd kan gi forskrift om anskaffelser til kritisk infrastruktur.

II

Loven gjelder fra den tid Kongen bestemmer. Kongen kan bestemme at de forskjellige bestemmelsene skal tre i kraft til forskjellig tid.

Oslo, i utenriks- og forsvarskomiteen, den 1. juni 2016

Anniken Huitfeldt

Øyvind Halleraker

leder

ordfører