Generelt
DSB var kritisk til Traavik-utvalgets forslag til ny sikkerhetslov (NOU 2016:19 Samhandling for sikkerhet .) Vår hovedinnvending var at lovforslaget var upresist avgrenset, og at det i for stor grad ville medføre overlappende ansvar mellom sektormyndigheter, DSB og sikkerhetsmyndigheten. Loven, slik den nå er vedtatt, er etter vår mening vesentlig tydeligere i sin avgrensing og godt balansert med hensyn til ansvar og myndighet. I hovedsak mener vi også at den tydeligheten og balansen vi finner i lovforslaget er videreført og i noen grad styrket i forslaget til forskrifter. Forsvarsdepartementet (FD) fortjener honnør for arbeidet som er gjort med lovproposisjonen og forslaget til forskrifter, særlig tatt i betraktning de knappe tidsfristene man har måttet forholde seg til.
I høringsuttalelsen har vi valgt å fokusere på de bestemmelsene vi har merknader til samt de spørsmålene departementet eksplisitt har bedt høringsinstansene ta stilling til. Innspillene er dels av lovteknisk art og dels av materiell karakter.
Departementet foreslår tre separate forskrifter. Forskriftene skal regulere henholdsvis myndighetenes ansvar og roller knyttet til forebyggende sikkerhet ( myndighetsforskriften ), virksomhetens arbeid med forebyggende sikkerhet ( virksomhetsforskriften ), og klarering av personell og leverandører ( klareringsforskriften ). Vi synes i utgangspunktet tredelingen er en god tilnærming og lettere å forholde seg til enn dagens tematisk avgrensede forskrifter. Imidlertid savner vi innledende bestemmelser om formål eller virkeområde som tydeliggjør hvilke deler av loven de enkelte forskriftene retter seg mot. Formålsbestemmelser kan også bidra til å presisere sentrale momenter i tolkningen av forskriftene.
I høringsuttalelsen har vi valgt å fokusere på de bestemmelsene vi har merknader til samt de spørsmålene departementet eksplisitt har bedt høringsinstansene ta stilling til. Innspillene er dels av lovteknisk art og dels av materiell karakter.
Departementet foreslår tre separate forskrifter. Forskriftene skal regulere henholdsvis myndighetenes ansvar og roller knyttet til forebyggende sikkerhet ( myndighetsforskriften ), virksomhetens arbeid med forebyggende sikkerhet ( virksomhetsforskriften ), og klarering av personell og leverandører ( klareringsforskriften ). Vi synes i utgangspunktet tredelingen er en god tilnærming og lettere å forholde seg til enn dagens tematisk avgrensede forskrifter. Imidlertid savner vi innledende bestemmelser om formål eller virkeområde som tydeliggjør hvilke deler av loven de enkelte forskriftene retter seg mot. Formålsbestemmelser kan også bidra til å presisere sentrale momenter i tolkningen av forskriftene.
Sikkerhetslovens virkeområde
Forskriftsforslaget inneholder ikke noen ytterligere presisering av lovens virkeområde. Det pekes i høringsnotatet på at departementene nå arbeider med å identifisere grunnleggende nasjonale funksjoner (GNFer) innenfor eget sektoransvar og hvilke virksomheter som råder over informasjon, informasjonssystemer, infrastruktur og objekter som er av vesentlig eller avgjørende betydning for disse.
Departementet peker på at det i arbeidet med utpeking av GNFer sees hen til arbeidet som er gjort i forbindelse med DSBs kartlegging av samfunnskritiske funksjoner i forbindelse med arbeidet med dokumentet Samfunnets kritiske funksjoner (2016), ofte omtalt som "KIKS-modellen". I følge høringsnotatet vil de "grunnleggende nasjonale funksjonene være en delmengde av de kritiske samfunnsfunksjonene, men også omfatte funksjoner som ikke er omfattet av disse". De 14 samfunnsfunksjonene er konkretisert i 40 kapabiliteter med tilhørende definert kritisk funksjonsevne. Kapabilitetene angir hva samfunnet må planlegge for å opprettholde nær sagt uansett hva som skjer. En del av KIKS-kapabilitetene faller trolig utenfor rammene av hva som inngår i GNF-begrepet, mens andre i sin helhet faller innenfor. For øvrige kan utpekingen av GNFer etter vår oppfatning best skje ved at man gjør modifiseringer i definisjonene i Samfunnets kritiske funksjoner for å markere at GNFen er en delmengde av en kapabilitet definert der.
Dette kan f.eks. gjøres slik (for noen utvalgte kapabiliteter):
Samfunnets kritiske funksjoner
Grunnleggende nasjonal funksjon
Kriminalitetsbekjempelse
Evne til å avdekke, avverge og eventuelt stanse alvorlig kriminell virksomhet, herunder virksomhet som kan true Norges eller andres lands sikkerhet
Evne til å avdekke, avverge og eventuelt stanse alvorlig kriminell virksomhet som kan true Norges eller andres lands nasjonale sikkerhetsinteresser
Evne til å verne befolkningens liv og helse ved befolkningsrettede tiltak ved sykdomsutbrudd og andre hendelser
Evne til å verne befolkningens liv og helse med befolkningsrettede tiltak ved sykdomsutbrudd og andre hendelser utløst av tilsiktede handlinger
Meteorologiske tjenester
Evne til å opprettholde prioriterte meteorologiske tjenester
Evne til å opprettholde meteorologiske tjenester som er nødvendige for å ivareta Forsvarets behov
De grunnleggende nasjonale funksjonene må deretter ytterligere operasjonaliseres i sektorene for å gi grunnlag for utpeking av skjermingsverdig informasjon og skjermingsverdige informasjonssystemer, objekter og infrastruktur.
Etter vår oppfatning vil det være en fordel om det etableres en oversikt over GNFer som i rimelig grad er harmonisert med definisjonene av kritiske samfunnsfunksjoner og kapabiliteter. KIKS-modellen ble utviklet i dialog med sektormyndighetene og er godt forankret i departementene, i direktorater, hos fylkesmennene og til dels også i større kommuner. Dersom GNFer defineres med utgangspunkt i KIKS-modellen, vil man etter vår oppfatning kunne dra nytte av den forankringen KIKS-modellen har i departementene og forvaltningen for øvrig. Dette vil også synliggjøre at sikkerhetsarbeid etter sikkerhetsloven er en del av en større helhet, noe som etter vår mening er svært viktig.
Departementet peker på at det i arbeidet med utpeking av GNFer sees hen til arbeidet som er gjort i forbindelse med DSBs kartlegging av samfunnskritiske funksjoner i forbindelse med arbeidet med dokumentet Samfunnets kritiske funksjoner (2016), ofte omtalt som "KIKS-modellen". I følge høringsnotatet vil de "grunnleggende nasjonale funksjonene være en delmengde av de kritiske samfunnsfunksjonene, men også omfatte funksjoner som ikke er omfattet av disse". De 14 samfunnsfunksjonene er konkretisert i 40 kapabiliteter med tilhørende definert kritisk funksjonsevne. Kapabilitetene angir hva samfunnet må planlegge for å opprettholde nær sagt uansett hva som skjer. En del av KIKS-kapabilitetene faller trolig utenfor rammene av hva som inngår i GNF-begrepet, mens andre i sin helhet faller innenfor. For øvrige kan utpekingen av GNFer etter vår oppfatning best skje ved at man gjør modifiseringer i definisjonene i Samfunnets kritiske funksjoner for å markere at GNFen er en delmengde av en kapabilitet definert der.
Dette kan f.eks. gjøres slik (for noen utvalgte kapabiliteter):
Samfunnets kritiske funksjoner
Grunnleggende nasjonal funksjon
Kriminalitetsbekjempelse
Evne til å avdekke, avverge og eventuelt stanse alvorlig kriminell virksomhet, herunder virksomhet som kan true Norges eller andres lands sikkerhet
Evne til å avdekke, avverge og eventuelt stanse alvorlig kriminell virksomhet som kan true Norges eller andres lands nasjonale sikkerhetsinteresser
Evne til å verne befolkningens liv og helse ved befolkningsrettede tiltak ved sykdomsutbrudd og andre hendelser
Evne til å verne befolkningens liv og helse med befolkningsrettede tiltak ved sykdomsutbrudd og andre hendelser utløst av tilsiktede handlinger
Meteorologiske tjenester
Evne til å opprettholde prioriterte meteorologiske tjenester
Evne til å opprettholde meteorologiske tjenester som er nødvendige for å ivareta Forsvarets behov
De grunnleggende nasjonale funksjonene må deretter ytterligere operasjonaliseres i sektorene for å gi grunnlag for utpeking av skjermingsverdig informasjon og skjermingsverdige informasjonssystemer, objekter og infrastruktur.
Etter vår oppfatning vil det være en fordel om det etableres en oversikt over GNFer som i rimelig grad er harmonisert med definisjonene av kritiske samfunnsfunksjoner og kapabiliteter. KIKS-modellen ble utviklet i dialog med sektormyndighetene og er godt forankret i departementene, i direktorater, hos fylkesmennene og til dels også i større kommuner. Dersom GNFer defineres med utgangspunkt i KIKS-modellen, vil man etter vår oppfatning kunne dra nytte av den forankringen KIKS-modellen har i departementene og forvaltningen for øvrig. Dette vil også synliggjøre at sikkerhetsarbeid etter sikkerhetsloven er en del av en større helhet, noe som etter vår mening er svært viktig.
Generelt
Forslaget til forskrift er innledningsvis delt inn i to kapitler om hhv. roller og ansvar for departementenes og Nasjonal sikkerhetsmyndighet (NSM). Det bør vurderes nærmere om denne systematikken er hensiktsmessig. §§ 1 og 2 omhandler både departementene og NSM, mens kapitteloverskriften kun omhandler departementene. § 11 om unntak er plassert i kapittel 2 om NSM, men gjelder også departementene. Kapittel 3 gjelder også oppgaver for NSM, men er skilt ut i et eget kapittel.
Betegnelsene "departementet" og "departementene" (og Forsvarsdepartementet) brukes om hverandre. Dette bør unngås for ikke å skape forvirring. Flere av forslagets bestemmelser bør etter vår oppfatning også skrives om slik at pliktsubjektene løftes frem, og det tydeligere fremgår hva som er oppgaven/plikten, se f.eks. kommentar til §§ 1, 3 og 4. Dette vil også skape en mer helhetlig oppbygging av forskriften.
Betegnelsene "departementet" og "departementene" (og Forsvarsdepartementet) brukes om hverandre. Dette bør unngås for ikke å skape forvirring. Flere av forslagets bestemmelser bør etter vår oppfatning også skrives om slik at pliktsubjektene løftes frem, og det tydeligere fremgår hva som er oppgaven/plikten, se f.eks. kommentar til §§ 1, 3 og 4. Dette vil også skape en mer helhetlig oppbygging av forskriften.
Til § 1 Klassifisering av skjermingsverdige objekter og infrastruktur
For å tydeligere få frem hva som er oppgaven/plikten, bør bestemmelsen innledes med et nytt første ledd: "Departementene skal klassifisere… ". Nytt annet ledd kan utformes slik: "Departementene skal ved klassifiseringen legge vekt på …"
Etter forslagets første ledd skal det legges vekt på to vilkår ved klassifiseringen. Forholdet mellom disse vilkårene bør tydeliggjøres. Er dette kumulative vilkår? Eller er tanken at det ved vurderingen knyttet til bokstav a også skal ses hen til vilkåret i bokstav b (virksomhetenes skadevurdering)?
Vi vil dessuten peke på at innrapportering av avhengigheter fra egen sektor eller fra andre sektorer gjennom sektoransvarlig departement også kan ha betydning for departementets vurderinger med hensyn til klassifisering av skjermingsverdige objekter og infrastruktur. FD bør vurdere om dette skal tas inn som ny bokstav c i første ledd. Vi viser for øvrig til vår merknad til § 11 i virksomhetsforskriften.
Departementet legger i høringsnotatet opp til at departementene skal ta utgangspunkt i KIKS-modellen (dvs. dokumentet Samfunnets kritiske funksjoner ) ved utpeking av objekter og infrastrukturer og særlig vektlegge avhengigheter og grad av redundans. Etter vår oppfatning bør det i merknadene til forskriften også påpekes at Justis- og beredskapsdepartementet i henhold til Instruks for departementenes arbeid med samfunnssikkerhet (samfunnssikkerhetsinstruksen) kap. VI har ansvar for å "utvikle og vedlikeholde oversikt over hvilke funksjoner som i et tverrsektorielt perspektiv er kritiske for samfunnssikkerheten". Slik oversikt er tatt inn i departementets Prop. 1 S. Samfunnets kritiske funksjoner er en veiledende utdyping og konkretisering av denne oversikten.
DSB er enig i FDs tilnærming til fremgangsmåte ved utpeking av GNFer, men vil legge til at det er behov for veiledningsmateriell som kan bidra til at de ulike departementenes vurderinger blir mest mulig konsistent. Over har vi pekt på hvordan GNFer med utgangspunkt i KIKS-modellen kan defineres.
Etter forslagets første ledd skal det legges vekt på to vilkår ved klassifiseringen. Forholdet mellom disse vilkårene bør tydeliggjøres. Er dette kumulative vilkår? Eller er tanken at det ved vurderingen knyttet til bokstav a også skal ses hen til vilkåret i bokstav b (virksomhetenes skadevurdering)?
Vi vil dessuten peke på at innrapportering av avhengigheter fra egen sektor eller fra andre sektorer gjennom sektoransvarlig departement også kan ha betydning for departementets vurderinger med hensyn til klassifisering av skjermingsverdige objekter og infrastruktur. FD bør vurdere om dette skal tas inn som ny bokstav c i første ledd. Vi viser for øvrig til vår merknad til § 11 i virksomhetsforskriften.
Departementet legger i høringsnotatet opp til at departementene skal ta utgangspunkt i KIKS-modellen (dvs. dokumentet Samfunnets kritiske funksjoner ) ved utpeking av objekter og infrastrukturer og særlig vektlegge avhengigheter og grad av redundans. Etter vår oppfatning bør det i merknadene til forskriften også påpekes at Justis- og beredskapsdepartementet i henhold til Instruks for departementenes arbeid med samfunnssikkerhet (samfunnssikkerhetsinstruksen) kap. VI har ansvar for å "utvikle og vedlikeholde oversikt over hvilke funksjoner som i et tverrsektorielt perspektiv er kritiske for samfunnssikkerheten". Slik oversikt er tatt inn i departementets Prop. 1 S. Samfunnets kritiske funksjoner er en veiledende utdyping og konkretisering av denne oversikten.
DSB er enig i FDs tilnærming til fremgangsmåte ved utpeking av GNFer, men vil legge til at det er behov for veiledningsmateriell som kan bidra til at de ulike departementenes vurderinger blir mest mulig konsistent. Over har vi pekt på hvordan GNFer med utgangspunkt i KIKS-modellen kan defineres.
Til § 2 Bruk av adgangsklarering
Vilkårene nevnt i første ledd bør vurderes delt opp for å gjøre det tydeligere hva som skal til for å fatte vedtak. Annet ledd omfatter både adgangsklarering og utvidet adgangsklarering. Her bør det også i forskriftsteksten vurderes å skille tydeligere mellom de to klareringstypene.
Til § 3 Iverksettelse av inntrengingstesting, kommunikasjons- og innholdskontroll og testing av sikkerhetstiltak og § 4 Iverksettelse av tekniske sikkerhetsundersøkelser
Både §§ 3 og 4 første ledd kan skrives om slik at pliktsubjekt løftes frem og plikten/oppgaven blir tydeligere. F.eks. "Nasjonal sikkerhetsmyndighet kan iverksette … når virksomhetens leder ber om det" og "Nasjonal sikkerhetsmyndighet og virksomheten skal inngå avtale .."
Til § 3 Iverksettelse av inntrengingstesting, kommunikasjons- og innholdskontroll og testing av sikkerhetstiltak og § 4 Iverksettelse av tekniske sikkerhetsundersøkelser
Både §§ 3 og 4 første ledd kan skrives om slik at pliktsubjekt løftes frem og plikten/oppgaven blir tydeligere. F.eks. "Nasjonal sikkerhetsmyndighet kan iverksette … når virksomhetens leder ber om det" og "Nasjonal sikkerhetsmyndighet og virksomheten skal inngå avtale .."
Til § 11 Unntak fra krav om sikkerhetsklarering og autorisasjon
Det bør ses på plassering av denne bestemmelsen. Den gjelder både Nasjonal sikkerhetsmyndighet og departementene, men er plassert i kapittel om Nasjonal sikkerhetsmyndighets roller og ansvar.
Til §1 Definisjoner
Departementet ber om høringsinstansenes syn på om definisjonene i bestemmelsen er nødvendig, og på om det er andre begreper som bør defineres. DSB har ingen merknader til de definisjonene som er gitt i bestemmelsen, men ser behov for at man i tillegg definerer informasjonssystem, infrastruktur , eventuelt også objekt .
Sidestillingen av objekt og infrastruktur i den nye sikkerhetsloven kan oppfattes som en utvidelse av lovens virkeområde. Riktig nok er infrastrukturbegrepet også benyttet i gjeldende lov, og kritisk infrastruktur definert i denne lovens § 3, men uten at det knyttes direkte til objektsikkerhetsbestemmelsene. Hverken den nye loven eller forskriftsforslaget inneholder definisjoner som kan bidra til å skille begrepene objekt og infrastruktur fra hverandre og klargjøre hva en eventuell utvidelse av virkeområdet faktisk består i.
Etter vår oppfatning er infrastruktur å oppfatte som et system av objekter som til sammen leverer en funksjon. Sikring av infrastrukturer vil derfor i realiteten være en sikring av objekter. I vurderingen av skjermingsverdighet for hvert enkelt objekt i infrastrukturen vil objektets betydning for infrastrukturens samlede funksjonsdyktighet være avgjørende. Infrastrukturer kan i større grad enn enkeltobjekter sikres gjennom etablering av redundans. Det er etter vår oppfatning først og fremst dette som gjør det viktig å kunne skille mellom objekt og infrastruktur. Se også vår kommentar til denne forskriftens § 11.
I Prop. 153 L (2016-2017) pekes det på at begrepet informasjonssystem skal forstås vidt. "Begrepet omfatter både manuelle og digitale informasjonssystemer, og favner alt fra saksbehandlingssystemer, kontorstøttesystemer og rene kommunikasjonssystemer til kontroll- og styringssystemer." Etter vår oppfatning kan denne definisjonen med fordel tas inn i virksomhetsforskriften, enten i § 1 Definisjoner eller som innledning til kapittel 6. Hva som skiller et informasjonssystem fra et objekt eller en infrastruktur fremgår imidlertid ikke av loven, forskriftsforslagene eller høringsnotatet.
Det er vanlig å oppfatte informasjonssystemer som bestående av to hovedelementer: maskinvare (hardware) og programvare (software). Vi antar at det primært er programvaredelen bestemmelsene om informasjonssystemsikkerhet i loven og forskriftsforslaget er ment å omfatte, mens maskinvaren skal behandles som objekt eller infrastruktur. Informasjonen systemet inneholder antar vi vil være omfattet av bestemmelsene om informasjonssikkerhet. Vi er klar over at det er vanskelig å trekke et klart skille mellom maskin- og programvare fordi de to elementene ikke kan fungere uavhengig av hverandre. På den annen side krever de også til dels helt ulike sikringstiltak.
Skillet mellom objekter og infrastrukturer på den ene siden og informasjonssystemer på den andre er viktig fordi de to førstnevnte etter loven skal klassifiseres og dermed inngå i den oversikten departementene skal melde inn til NSM. Tilsvarende gjelder ikke for informasjonssystemer, som riktig nok i noen tilfeller skal godkjennes av NSM.
Sidestillingen av objekt og infrastruktur i den nye sikkerhetsloven kan oppfattes som en utvidelse av lovens virkeområde. Riktig nok er infrastrukturbegrepet også benyttet i gjeldende lov, og kritisk infrastruktur definert i denne lovens § 3, men uten at det knyttes direkte til objektsikkerhetsbestemmelsene. Hverken den nye loven eller forskriftsforslaget inneholder definisjoner som kan bidra til å skille begrepene objekt og infrastruktur fra hverandre og klargjøre hva en eventuell utvidelse av virkeområdet faktisk består i.
Etter vår oppfatning er infrastruktur å oppfatte som et system av objekter som til sammen leverer en funksjon. Sikring av infrastrukturer vil derfor i realiteten være en sikring av objekter. I vurderingen av skjermingsverdighet for hvert enkelt objekt i infrastrukturen vil objektets betydning for infrastrukturens samlede funksjonsdyktighet være avgjørende. Infrastrukturer kan i større grad enn enkeltobjekter sikres gjennom etablering av redundans. Det er etter vår oppfatning først og fremst dette som gjør det viktig å kunne skille mellom objekt og infrastruktur. Se også vår kommentar til denne forskriftens § 11.
I Prop. 153 L (2016-2017) pekes det på at begrepet informasjonssystem skal forstås vidt. "Begrepet omfatter både manuelle og digitale informasjonssystemer, og favner alt fra saksbehandlingssystemer, kontorstøttesystemer og rene kommunikasjonssystemer til kontroll- og styringssystemer." Etter vår oppfatning kan denne definisjonen med fordel tas inn i virksomhetsforskriften, enten i § 1 Definisjoner eller som innledning til kapittel 6. Hva som skiller et informasjonssystem fra et objekt eller en infrastruktur fremgår imidlertid ikke av loven, forskriftsforslagene eller høringsnotatet.
Det er vanlig å oppfatte informasjonssystemer som bestående av to hovedelementer: maskinvare (hardware) og programvare (software). Vi antar at det primært er programvaredelen bestemmelsene om informasjonssystemsikkerhet i loven og forskriftsforslaget er ment å omfatte, mens maskinvaren skal behandles som objekt eller infrastruktur. Informasjonen systemet inneholder antar vi vil være omfattet av bestemmelsene om informasjonssikkerhet. Vi er klar over at det er vanskelig å trekke et klart skille mellom maskin- og programvare fordi de to elementene ikke kan fungere uavhengig av hverandre. På den annen side krever de også til dels helt ulike sikringstiltak.
Skillet mellom objekter og infrastrukturer på den ene siden og informasjonssystemer på den andre er viktig fordi de to førstnevnte etter loven skal klassifiseres og dermed inngå i den oversikten departementene skal melde inn til NSM. Tilsvarende gjelder ikke for informasjonssystemer, som riktig nok i noen tilfeller skal godkjennes av NSM.
Til § 11 Plikt til å vurdere risiko
Loven fastsetter at Kongen kan gi forskrift om hvordan vurdering av risiko skal gjennomføres (§4-2, femte ledd). Vi registrerer at virksomhetsforskriften ikke inneholder slike krav, og støtter de vurderingene departementet har gjort her. Det har vært betydelig diskusjon i fagmiljøene om metoder for vurdering av risiko knyttet til tilsiktede handlinger de senere årene. Virksomheter som må forholde seg til et bredt spekter av risikoforhold har andre behov enn de som primært innretter sikkerhetsarbeidet mot etterretning, sabotasje og terror. Dersom man etter høringen eller på et senere tidspunkt velger å ta inn metodekrav for vurdering av risiko i forskriften, må disse være generelle og ta hensyn til at de virksomhetene som omfattes av regelverket er svært forskjellige og har ulike behov. DSB regner med å bli involvert dersom det igangsettes arbeid med å fastsette metode for vurdering av risiko.
I fjerde ledd heter det at virksomheten skal sende en oversikt over hvilke virksomheter den er avhengig av for å fungere, til eget departement. Denne bestemmelsen kan med fordel konkretiseres enten i selve forskriftsteksten eller i merknader til denne. Hensikten med slik innrapportering må være at departementet skal få grunnlag til å vurdere om virksomheter innenfor eget eller andre departementers sektoransvar skal underlegges sikkerhetsloven. En presisering i tråd med dette vil kunne gi en mer målrettet innrapportering til departementene.
I fjerde ledd heter det at virksomheten skal sende en oversikt over hvilke virksomheter den er avhengig av for å fungere, til eget departement. Denne bestemmelsen kan med fordel konkretiseres enten i selve forskriftsteksten eller i merknader til denne. Hensikten med slik innrapportering må være at departementet skal få grunnlag til å vurdere om virksomheter innenfor eget eller andre departementers sektoransvar skal underlegges sikkerhetsloven. En presisering i tråd med dette vil kunne gi en mer målrettet innrapportering til departementene.
Til § 12 Plikt til å håndtere risiko
Departementet ber om høringsinstansenes syn på innretningen av § 12. Bestemmelsen pålegger virksomhetene en plikt til å håndtere risiko uten å konkretisere hvordan dette kan gjøres. I høringsnotatet pekes det på at risiko kan håndteres på ulike måter: avhending av skjermingsverdig verdi, akseptering av risiko, etablering av redundans eller etablering av sikringstiltak.
Siden denne delen av forskriften er generell og skal favne så vel informasjonssikkerhet, informasjonssystemsikkerhet som objekt- og infrastruktursikkerhet, skjønner vi at mye kan tale for å gjøre den så overordnet som mulig. Likevel mener vi at det vil være hensiktsmessig å nevne ulike sikringsstrategier i tråd med den oversikten som er tatt inn høringsnotatet. Gjeldende lov og forskrifter har et ensidig fokus på robusthet, og den åpnere tilnærmingen til risikohåndtering som høringsnotatet legger opp til, bør derfor også synliggjøres i forskriftsteksten. I alle fall bør etablering eller styrking av redundans omtales siden dette er et viktig alternativ innenfor objekt- og infrastruktursikkerhetsområdet, til dels også innenfor informasjons- og informasjonsystemsikkerhetsområdet.
Siden denne delen av forskriften er generell og skal favne så vel informasjonssikkerhet, informasjonssystemsikkerhet som objekt- og infrastruktursikkerhet, skjønner vi at mye kan tale for å gjøre den så overordnet som mulig. Likevel mener vi at det vil være hensiktsmessig å nevne ulike sikringsstrategier i tråd med den oversikten som er tatt inn høringsnotatet. Gjeldende lov og forskrifter har et ensidig fokus på robusthet, og den åpnere tilnærmingen til risikohåndtering som høringsnotatet legger opp til, bør derfor også synliggjøres i forskriftsteksten. I alle fall bør etablering eller styrking av redundans omtales siden dette er et viktig alternativ innenfor objekt- og infrastruktursikkerhetsområdet, til dels også innenfor informasjons- og informasjonsystemsikkerhetsområdet.
Til § 20 Forsvarlig sikkerhetsnivå for skjermingsverdig informasjon
Kapittel 3 Beskyttelse av skjermingsverdig informasjon bør etter vår oppfatning innledes med en bestemmelse om virksomhetenes plikt til å gjøre en vurdering av hvilken skade det kan medføre om den aktuelle informasjonen blir kjent for uautoriserte personer, om informasjonens integritet blir kompromittert eller tilgjengeligheten blir hindret. Vi vil i denne sammenheng peke på at det på objekt- og infrastruktursikkerhetsområdet er formulert et krav om skadevurdering (§ 52), og at dette også er et krav på informasjonssikkerhetsområdet i henhold til gjeldende forskrift (§ 2.1).
Bestemmelsens andre ledd lyder: "Behovet for å beskytte både konfidensialitet, integritet og tilgjengelighet må ses i sammenheng og avveies mot hverandre". I høringsnotatet skriver departementet at dette leddet "er et uttrykk for lovens intensjon om at informasjonens konfidensialitet, integritet og tilgjengelighet må sees i sammenheng og avveies mot hverandre. Sikkerhetsloven sidestiller i større grad enn i dag behovet for å beskytte disse tre egenskapene. Det vil kunne forekomme tilfeller hvor behovet for tilgjengelighet er større enn behovet for konfidensialitet. Virksomheten må foreta en konkret helhetsvurdering av de ulike hensynene og spørre seg hva som totalt sett er viktigst av hensyn til nasjonal sikkerhet."
Vi er litt usikker på hvordan denne merknaden i høringsnotatet skal oppfattes. Begrepet "tilgjengelighet" beskriver etter vår oppfatning en tilstand hvor informasjon kan hentes frem ved behov. Når ordet brukes sammen med konfidensialitet og integritet som her, er tilgjengelighet å oppfatte som et mål for sikringstiltak. Spørsmålet vi stiller oss er om departementet med denne merknaden har ment at informasjon som kan være skjermingsverdig kan gjøres tilgjengelig uten at den nødvendigvis er etterspurt, når dette ut fra en helhetsvurdering er i tråd med nasjonale sikkerhetsinteresser.
Vi vil peke på at informasjon som i utgangspunktet kan være gradert i noen tilfeller likevel bør gjøres kjent for uautoriserte personer, fordi nytten av slik tilgjengeliggjøring er klart større enn den skaden den kan påføre nasjonale sikkerhetsinteresser. Dette gjelder i første rekke ulike trussel- og risikovurderinger som kan bidra til å styrke risikoforståelsen i samfunnet og beredskapen hos aktører som normalt ikke mottar gradert informasjon. Det er vår oppfatning at det er vanlig å gjøre slike avveininger i dag, uten at det finnes en eksplisitt hjemmel for dette i lov og forskrift.
DSB ønsker at forskriften stadfester at det er adgang til å veie nytteverdien av tilgjengeliggjøring opp mot det skadepotensialet slik tilgjengeliggjøring kan ha.
Konkret foreslår vi følgende som nytt første ledd i § 20:
Virksomheten skal vurdere hvilken skade det kan medføre for nasjonale sikkerhetsinteresser dersom informasjon blir kjent for uautoriserte, informasjonens integritet blir kompromittert eller tilgjengeligheten hindret. Informasjon som ellers ville være gradert, kan gjøres tilgjengelig for uautoriserte dersom nytteverdien for nasjonale sikkerhetsinteresser klart overstiger den skaden slik tilgjengeliggjøring kan medføre.
Bestemmelsens andre ledd lyder: "Behovet for å beskytte både konfidensialitet, integritet og tilgjengelighet må ses i sammenheng og avveies mot hverandre". I høringsnotatet skriver departementet at dette leddet "er et uttrykk for lovens intensjon om at informasjonens konfidensialitet, integritet og tilgjengelighet må sees i sammenheng og avveies mot hverandre. Sikkerhetsloven sidestiller i større grad enn i dag behovet for å beskytte disse tre egenskapene. Det vil kunne forekomme tilfeller hvor behovet for tilgjengelighet er større enn behovet for konfidensialitet. Virksomheten må foreta en konkret helhetsvurdering av de ulike hensynene og spørre seg hva som totalt sett er viktigst av hensyn til nasjonal sikkerhet."
Vi er litt usikker på hvordan denne merknaden i høringsnotatet skal oppfattes. Begrepet "tilgjengelighet" beskriver etter vår oppfatning en tilstand hvor informasjon kan hentes frem ved behov. Når ordet brukes sammen med konfidensialitet og integritet som her, er tilgjengelighet å oppfatte som et mål for sikringstiltak. Spørsmålet vi stiller oss er om departementet med denne merknaden har ment at informasjon som kan være skjermingsverdig kan gjøres tilgjengelig uten at den nødvendigvis er etterspurt, når dette ut fra en helhetsvurdering er i tråd med nasjonale sikkerhetsinteresser.
Vi vil peke på at informasjon som i utgangspunktet kan være gradert i noen tilfeller likevel bør gjøres kjent for uautoriserte personer, fordi nytten av slik tilgjengeliggjøring er klart større enn den skaden den kan påføre nasjonale sikkerhetsinteresser. Dette gjelder i første rekke ulike trussel- og risikovurderinger som kan bidra til å styrke risikoforståelsen i samfunnet og beredskapen hos aktører som normalt ikke mottar gradert informasjon. Det er vår oppfatning at det er vanlig å gjøre slike avveininger i dag, uten at det finnes en eksplisitt hjemmel for dette i lov og forskrift.
DSB ønsker at forskriften stadfester at det er adgang til å veie nytteverdien av tilgjengeliggjøring opp mot det skadepotensialet slik tilgjengeliggjøring kan ha.
Konkret foreslår vi følgende som nytt første ledd i § 20:
Virksomheten skal vurdere hvilken skade det kan medføre for nasjonale sikkerhetsinteresser dersom informasjon blir kjent for uautoriserte, informasjonens integritet blir kompromittert eller tilgjengeligheten hindret. Informasjon som ellers ville være gradert, kan gjøres tilgjengelig for uautoriserte dersom nytteverdien for nasjonale sikkerhetsinteresser klart overstiger den skaden slik tilgjengeliggjøring kan medføre.
Til § 29 Hvem som kan omgradere
Denne bestemmelsen er en videreføring fra gjeldende forskrift. Bestemmelsen slår fast at bare virksomheten som har utstedt informasjonen, en virksomhet overordnet denne, eller Nasjonal sikkerhetsmyndighet kan omgradere informasjon med norsk sikkerhetsgradering.
Vi antar at bestemmelsen videreføres uforandret fordi den så langt ikke har medført utfordringer. Rent prinsipielt vil vi likevel peke på at det er uheldig at to organer har den samme myndigheten. Det bør i alle fall avklares hvilke av disse organene som har siste ord dersom det skulle oppstå uenighet.
Vi antar at bestemmelsen videreføres uforandret fordi den så langt ikke har medført utfordringer. Rent prinsipielt vil vi likevel peke på at det er uheldig at to organer har den samme myndigheten. Det bør i alle fall avklares hvilke av disse organene som har siste ord dersom det skulle oppstå uenighet.
Til § 33 Sending av informasjon gradert KONFIDENSIELT eller høyere
Vi merker oss at departementet foreslår at det ved fysisk forsendelse av informasjon gradert KONFIDENSIELT eller høyere skal brukes kurer. Dagens regelverk tillater som kjent fremføring som registrert postforsendelse. Vi har forståelse for departementets argumentasjon på dette punktet, men vil likevel peke på at mange virksomheter som er eller vil bli underlagt sikkerhetsloven ikke har mulighet for å motta høygradert informasjon elektronisk. Endringen kan derfor medføre utfordringer i en situasjon der en avsender har behov for å nå mange med slik informasjon samtidig. Det vil for eksempel i praksis være nokså krevende for mange fylkesmennene å nå ut til alle kommuner med høygradert informasjon innen rimelig tid når registrert postforsendelse ikke kan benyttes. Selv om et slikt behov oppstår svært sjelden, kan en ikke se bort fra at det kan være tilfellet i en nasjonal krisesituasjon.
Til § 40 Behandling av informasjon gradert KONFIDENSIELT eller høyere
I fjerde ledd heter det at dokumenter eller lagringsmedier kan tas med til visse land "dersom en person tar vare på informasjonen gjennom hele reisen, og dersom det er mulig å deponere informasjonen ved en norsk utenriksstasjon eller et norsk kontrollert område ved ankomst". Bestemmelsen er en videreføring av tilsvarende bestemmelse i gjeldende forskrift om informasjonssikkerhet. Vi har imidlertid registrert noe usikkerhet rundt tolkningen av dagens bestemmelse. Både i gjeldende forskrift og i forslaget til ny forskrift heter det at det skal være mulig å deponere informasjonen ved ankomst, ikke at man faktisk skal foreta en slik deponering. Dersom bestemmelsen likevel skal forstås som et krav om deponering, er det også et spørsmål hvilket tidsrom som omfattes av begrepet reisen . Ved dagsreiser til f.eks. Brüssel vil det normalt ikke være naturlig å deponere dokument eller lagringsmedium hos utenriksstasjon eller lignende. Spørsmålet er hvordan dette forholder seg ved overnatting, konkret om et dokument eller lagringsmedium kan oppbevares på hotellrom så lenge en selv er til stede. Det er ønskelig at departementet ser nærmere på formuleringene i bestemmelsen.
Til § 15 Vurderingsgrunnlaget for adgangsklarering
DSB støtter departementets forslag til krav til den som skal gis adgangsklarering.
Til § 29 Klareringsmyndighet for leverandørklarering
Departementet ber om synspunkter på hvilken myndighet som bør ha ansvar for klarering av leverandører i fremtiden. I høringsnotatet argumenterer departementet for at dette ansvaret bør legges til et annet organ enn Nasjonal sikkerhetsmyndighet, og departementet ber om synspunkter på dette. DSB støtter konklusjonen i notatets pkt. 4.6.5 om at Sivil klareringsmyndighet bør ha dette ansvaret.
for Direktoratet for samfunnssikkerhet og beredskap
Dokumentet er godkjent elektronisk.
Justis- og beredskapsdepartementet
[1] Eksemplene er hentet fra et materiale som er spilt inn til NSM i forbindelse med deres arbeid med veileder
for Direktoratet for samfunnssikkerhet og beredskap
Dokumentet er godkjent elektronisk.
Justis- og beredskapsdepartementet
[1] Eksemplene er hentet fra et materiale som er spilt inn til NSM i forbindelse med deres arbeid med veileder