En ny lov om nasjonal sikkerhet trådte i kraft 1. januar 2019. Loven skal bidra til å beskytte Norges sikkerhetsinteresser, slik som vår suverenitet og vårt demokrati. Sammenlignet med den tidligere sikkerhetsloven vil nå flere private aktører bli omfattet. Videre legger det nye regelverket mer vekt på beskyttelse av infrastruktur og IKT-systemer som har sentral betydning for nasjonal sikkerhet. For å være relevant over tid i et samfunn med rask digital utvikling og med stadig nye trusler, skal den nye loven være en dynamisk rammelov som stiller funksjonelle og ikke detaljerte sikkerhetskrav.

Hvem loven gjelder for

Loven gjelder for virksomheter som spiller en særlig viktig rolle for opprettholdelsen av sentrale samfunnsfunksjoner, slik som for eksempel elektronisk kommunikasjon, helse, kraftforsyning, transport, vannforsyning, bank og finans, politi, forsvar og regjering.

Loven gjelder direkte for statlige, fylkeskommunale og kommunale organer. Loven gjelder også for leverandører i sikkerhetsgraderte anskaffelser. Det er videre klart at loven gjelder for private virksomheter som var omfattet av den tidligere sikkerhetsloven.

Utover dette er det foreløpig ikke klart hvilke private virksomheter som konkret vil bli omfattet av loven. Dette vil bli fastsatt gjennom vedtak fra de enkelte departementene i tiden fremover. Departementene skal først identifisere og utpeke hvilke grunnleggende nasjonale funksjoner de har ansvar for. Deretter skal de identifisere og utpeke gjennom vedtak hvilke virksomheter som spiller en viktig rolle i opprettholdelsen av den eller de aktuelle samfunnsfunksjonene. En forsiktig antakelse er at de første vedtakene vil bli fattet i 2019.

Når vedtak fattes skal det samtidig gis en rimelig frist for å oppfylle kravene i loven. Fristen skal tilpasses omfanget av tiltak som må på plass.

Etablering av forsvarlig sikkerhetsnivå

Virksomheter som omfattes av den nye sikkerhetsloven, er forpliktet til å etablere et forsvarlig sikkerhetsnivå. Dette oppnås ved først å foreta en risikovurdering, for deretter å gjennomføre tiltak som reduserer risikoen til et forsvarlig nivå. Det kan være tiltak som reduserer risikoen for at uønskede hendelser inntreffer, eller som reduserer skadeomfanget dersom hendelsen inntreffer, eller gjerne en kombinasjon av disse.

Virksomheten plikter å etablere et styringssystem for sikkerhet. Sikkerhetsarbeidet skal være en del av virksomhetens styringssystem, og sikkerhetstilstanden i virksomheten skal kontrolleres regelmessig. Ansvaret for virksomhetens sikkerhetsarbeid tilligger virksomhetens leder.

Den generelle plikten til å oppnå et forsvarlig sikkerhetsnivå er i loven delt opp i beskyttelse av informasjon, informasjonssystemer og objekter og infrastruktur. Plikten til å sikre gjelder i den utstrekning det (litt forenklet sagt) kan skade nasjonale sikkerhetsinteresser dersom for eksempel uvedkommende får kjennskap til sensitiv informasjon, får tilgang til et IKT-system eller klarer å sette infrastruktur ut av spill. Kravene konkretiseres i forskrift om virksomhetssikkerhet.

Virksomheten må kunne dokumentere både risikovurderingen og sikkerhetstiltakene. Virksomheten må dessuten varsle myndighetene dersom den er rammet av eller står i fare for å bli rammet av sikkerhetstruende virksomhet, eller hvis det har skjedd alvorlige sikkerhetsbrudd.

Personellsikkerhet

Personer som skal få tilgang til virksomhetens sikkerhetsgraderte informasjon må autoriseres av virksomhetens leder. Tilgang til høyere gradert informasjon krever i tillegg sikkerhetsklarering. Klarering av personer i sivil sektor utføres av Sivil klareringsmyndighet. I en del tilfeller kreves det autorisasjon og sikkerhetsklarering for å få tilgang til objekter og infrastruktur. Ved særlig behov kan det gjøres unntak fra kravene om sikkerhetsklarering og adgangsklarering. Dette kan for eksempel være aktuelt der riktig kompetanse må innhentes fra utlandet.

Sikkerhet i anskaffelser

Virksomheter som er omfattet av loven må sørge for at leverandører og oppdragstakere har tilstrekkelig risiko- og sikkerhetsforståelse. Det må i en del tilfeller vurderes om anskaffelser kan innebære en ikke ubetydelig risiko. Det vil si anskaffelser som kan medføre at et informasjonssystem, objekt eller en infrastruktur kan bli rammet av eller bli brukt til sikkerhetstruende virksomhet. Poenget er å unngå at leverandøren eller andre skal utnytte anskaffelsen til å utføre spionasje eller sabotasje.

Gjennomføres anskaffelsen til tross for at den kan innebære en slik risiko skal departementet varsles. Kongen i Statsråd kan fatte vedtak om at anskaffelsen ikke skal gjennomføres eller at det skal settes vilkår for gjennomføringen.

Dersom en leverandør får tilgang til sensitiv informasjon eller særlige tilganger må det inngås en sikkerhetsavtale med leverandøren. I noen tilfeller vil utenlandske leverandører måtte godkjennes av Nasjonal sikkerhetsmyndighet før avtale kan inngås. Leverandører som skal ha tilgang til høyere gradert informasjon trenger leverandørklarering. Det kan også være aktuelt å benytte adgangsklarering for leverandører.

Dersom en anskaffelse gir tilgang til skjermingsverdige informasjonssystemer eller skjermingsverdig ugradert informasjon skal det inngås avtale mellom partene som bestemmer hvordan leverandøren skal forholde seg til de kravene som gjelder for anskaffelsen.

Eierskapskontroll – oppkjøp kan stanses

Dersom et oppkjøp av en virksomhet som omfattes av loven kan medføre en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet, har Kongen i statsråd adgang til å stanse oppkjøpet. Denne adgangen er ny.

Enhver aktør som ønsker å kjøpe en kvalifisert eierandel i en virksomhet som er underlagt sikkerhetsloven må varsle dette til det departementet som er ansvarlig for sektoren virksomheten tilhører, eventuelt Nasjonal sikkerhetsmyndighet. Med kvalifisert eierandel menes at erververen oppnår minst en tredjedel av aksjekapitalen, andelene eller stemmene, rett til å bli eier av minst en tredjedel eller på annen måte betydelig innflytelse over forvaltningen av selskapet. Det er kjøperens totale innflytelse på forvaltningen av selskapet som er avgjørende.

Formålet med adgangen til å stanse oppkjøp er å gi myndighetene en mulighet til å kontrollere eierskapet i strategisk viktige virksomheter. I forarbeidene vises det særlig til hensynet til forsyningssikkerhet og beredskap, behovet for å beholde og videreutvikle kritisk kompetanse og behovet for å beholde nasjonal kontroll med eierskapet i enkelte selskaper.

Myndighetene skal innen 60 arbeidsdager orientere melderen om at ervervet er godkjent eller at saken skal behandles av Kongen i statsråd.

Myndigheter og sanksjoner

Lovens utgangspunkt er at Nasjonal sikkerhetsmyndighet skal føre tilsyn med virksomheter som omfattes av loven. Det er imidlertid lagt opp til at de etablerte sektormyndighetene, slik som Nasjonal kommunikasjonsmyndighet, Norges vassdrags- og energidirektorat, Finanstilsynet osv. skal gjennomføre tilsyn med virksomheter i de ulike sektorene. Dette bestemmes av departementene.

Manglende etterlevelse kan sanksjoneres med tvangsmulkt, overtredelsesgebyr og straff. Ved vurdering av størrelsen på et eventuelt gebyr skal det legges vekt på hvor alvorlig overtredelse det er snakk om, varighet, utvist skyld og virksomhetens omsetning. For øvrig anses enhetlig praksis innenfor en sektor viktigere enn enhetlig praksis blant alle virksomheter som er underlagt loven. Det kan ikke utelukkes at overtredelsesgebyr vil bli brukt aktivt for å fremme etterlevelse. Det er imidlertid for tidlig å si hvilket nivå eventuelle gebyrer vil ligge på.