Forord. Norsk Sikkerhetsforening kan i fremtiden utgjøre en viktig premissleverandør ved utforming av regelverk på området. Son, 16.6.

Transkript

1 Forord Sikkerhet i norsk lovgivning er et stort og fragmentert område. Det er mange aktører på feltet både offentlige myndigheter og private virksomheter. Tilnærmingen til arbeidet med forskrifter synes ulik og noe klart skille mellom begrepene safety og security er det vanskelig å få øye på og enda mindre klare krav om kompetanse til sikkerhetsledere. Arbeidet med å kartlegge lovkravene på området har vært spennende og utfordrende både fordi jeg ved oppdraget har satt meg inn i et for meg relativt ukjent juridisk område og på bakgrunn av ovennevnte forhold. Norsk Sikkerhetsforening kan i fremtiden utgjøre en viktig premissleverandør ved utforming av regelverk på området. Son, Tone Marit Stensrud jurist

2 KRAV TIL KOMPETANSE OM SIKRING (SECURITY) I NORSK LOVGIVNING UTREDNING Innledning I notat av Sverre Røed-Larsen er mandatet for utredningen formulert slik: Utredningen skal gi en oversikt over kravspesifikasjoner i norsk rett med hensyn til: Å kartlegge krav til personlig kompetanse/ferdigheter (eller aktiviteter som krever slike ferdigheter på ledelsesnivå) for personer i ledelsesposisjoner i gjeldende norsk regelverk (lover/forskrifter) innenfor området security (security managment, sikring eller lignende). Jeg oppfatter mandatet slik at det er ønskelig å finne frem til kompetansekrav som stilles til ledere og sikkerhetsledere i forvaltningsorganer og virksomheter som fremgår av lover og forskrifter gitt med hjemmel i lov. Utenfor faller retningslinjer, direktiver og lignende som ikke er gitt i lovs form. Jeg har videre ikke foretatt en nærmere analyse av materialet. Sanksjonsbestemmelser ved brudd på lovpålagte oppgaver er heller ikke gjennomgått. Jeg er nok i tvil om kartleggingen er uttømmende. Ut i fra den tiden som har vært til rådighet har det ikke vært mulig å gå i dybden av lover, forskrifter, utreninger og annet skriftmateriale som foreligger på området. Det generelle utgangspunkt er at ethvert organ eller foretak har en egeninteresse i å tenke gjennom virksomhetens forhold til sikkerhet mot uønskede hendelser uavhengig av eventuelle lovpålagte oppgaver. Videre er det et klart prinsipp at enhver som begir seg inn på et område plikter å ha kunnskap om lover, forskrifter og andre bestemmelser som gjelder for området. Rettsvillfarelse anses ikke som unnskyldelig ved brudd på regelverket. Dette stiller store krav til ledere og til sikkerhetsledere i organisasjonen. Brudd på reglene vil kunne sanksjoneres direkte mot foretaket (foretaksstraff) og/eller direkte mot eier/leder/ansvarlige leder av foretaket. Etablerte standarder for risiko- og sårbarhetsanalyser (NS) fremstår som et viktig og sentralt verktøy ved virksomheters sikkerhetsarbeid, herunder også ved sikring. Krav om bruk av spesielle metoder i arbeidet er nedfelt både i lov/forskrift og i retningslinjer. En sikkerhetsleder må derfor ha grunnleggende kunnskaper om slike analyser. Kartleggingen viser at det i liten grad stilles konkrete krav til ledere eller sikkerhetslederes kompetanse. Kravene fremkommer indirekte ved at de krav som stilles til arbeidet som skal gjennomføres forutsetter kunnskaper om sikkerhet. Gjennomgående legges ansvaret for gjennomføring av kravene på virksomhetens eier eller leder. De engelske begrepene safety og security synes å ha blitt etablert som begreper innenfor området sikkerhet og som tillegges et bestemt innhold. Security og safety henger tett sammen. Resultat av en villet og uønsket handling kan være ulykke hvor safetytiltak må iverksettes. Det synes imidlertid ikke som om denne sondringen gjenspeiles i lovgivningen idet begrepet sikkerhet brukes om begge nevnte områder. I kartleggingen har jeg bare funnet to forskrifter hvor begrepet er security definert. I NOU 2006:6 2

3 ( ) Når sikkerhet er viktig, Vedlegg 5 har Finn Erik Vinje utredet begrepet sikkerhet. Vinje definerer security som en tilstand av sikkerhet mot uønskede villede hendelser og safety som en tilstand av sikkerhet mot uønskede hendelser forårsaket av ikke-villede hendelser. Videre foreslår han at begrepet trygghet tillegges samme betydning som dagens bruk av safety og at begrepet sikring tillegges samme betydning som dagens bruk av security. Jeg viser for øvrig til Vinjes utredning. Trygghet = safety Sikring = security Utfordringene knyttet til sikring er mange og nærmere betraktninger om hva som omfattes av begrepet må defineres i takt med utviklingen. For de fleste virksomheter vil det være sentralt å sikre eiendom og verdier mot tyveri, skadeverk, sabotasje og spionasje. Videre er sikkerhet mot terrorhandlinger aktuelt. Lover og forskrifter om sikring Lov nr 10 om forebyggende sikkerhetstjeneste (sikkerhetsloven). Jf. Lov om endringer i lov om forebyggende sikkerhetstjeneste (sikkerhetsloven). Endringer i 3, 17, 17a (ny) 17b (ny) og 19. Endringene trer i kraft fra den tid Kongen bestemmer. Endringene har pr dd ikke trådt i kraft. Sikkerhetsloven har som formål å redusere risiko for sikkerhetstrusler som følge av spionasje, sabotasje og terrorhandlinger gjennom forebyggende defensive tiltak. Nasjonal sikkerhetsmyndighet er tilsynsmyndighet etter loven. I 2 er lovens virkeområde nærmere bestemt. Loven gjelder for: Forvaltningsorganer jf fvl 2 Organ som kongen bestemmer er et forvaltningsorgan Ethvert rettssubjekt som ikke er forvaltningsorgan og som er leverandør av varer og tjenester til et forvaltningsorgan Ethvert annet rettssubjekt som eier eller kontrollerer eller fører tilsyn med Skjermingsverdig objekt eller gis tilgang til sikkerhetsgradert informasjon og domstolene. Etter 2 første ledd tredje setning og femte ledd er Stortinget, Riksrevisjonen, Stortingets ombudsmann for forvaltningen og andre organer for Stortinget unntatt. Etter 5 tredje ledd er det virksomhetens leder som har ansvaret for å påse at lovens krav oppfylles. Den daglige utøvende funksjon kan delegeres, jf 5 tredje ledd andre setning. Det er bare selve utøvelsen av ansvaret etter loven som kan delegeres. Ansvaret som loven pålegger organet eller rettssubjektet vil alltid påligge lederen. Andre ansatte i virksomheten skal ivareta sikkerheten og bidra til å forebygge sikkerhetsrisiko. I Forskrift nr 7 om sikkerhetsadministrasjon er det gitt utfyllende bestemmelser til loven. Etter forskriften 1 gjelder forskriften for virksomheter som omfattes av sikkerhetsloven. Den enkelte virksomhets ansvar fremgår av forskriften kap 3, 4 og 5. Leder skal sørge for at/å: sikkerheten ivaretas i alle virksomhetens aktiviteter personell får veiledning jevnlig 3

4 motivere og bevisstgjøre gi ansatte tilstrekkelig og tilpasset kompetanse ha eget personell med grunnleggende opplæring i sikkerhet ha oversikt over personellets sikkerhetsfaglige kompetanse ha grunnlagsdokument for sikkerhet ( 3-3) ha instrukser for rutiner og prosedyrer det er liste over oppdaterte sikkerhetstiltak som kan iverksettes ved økt risiko krav til kompetanse, myndighet og oppgaver skal inngå i stillingsbeskrivelsen det foretas risikovurdering og utøves risikohåndtering sikkerhetstiltak gjennomføres og korrigeres det foretas løpende kontroll av sikkerhetstiltak, foretas sikkerhetsrevisjon og evaluering en gang pr år. Dersom sikkerhetstruende hendelser oppstår, skal virksomheten undersøke hendelsen, iverksette tiltak for å begrense skaden, iverksett tiltak og vurdere reaksjon mot ansvarlige. Videre skal det i enkelte tilfeller utarbeides skadevurdering som skal forelegges Norsk sikkerhetsmyndighet (NSM), jf 5-2. Videre påligger det også virksomheten å rapportere til annen virksomhet som har tilvirket informasjonen og til andre dette har betydning for. I enkelte tilfeller skal det også rapporteres til NSM. Det påligger også virksomheten å vurdere om hendelsen skal rapporteres eller anmeldes til politiet. Med hjemmel i sikkerhetsloven er det gitt Forskrift nr 744 om informasjonssikkerhet. Forskriften har samme formål som sikkerhetsloven og gjelder sikkerhetsgradering, tilgang til sikkerhetsgraders informasjon, dokumentsikkerhet, informasjonssystemsikkerhet, administrativ kryptosikring, kurerposttjeneste, tekniske sikkerhetsundersøkelser, monitorering av og inntrengning i informasjonssystemer. I kap. 6 stilles det klare detaljerte krav til fysisk sikring mot ulovlig inntrengning. Dokumenter som omfattes av loven skal oppbevares og sikres fysisk. Videre er det gitt regler om sikring av konferanserom med mer mot uønsket avlytting og innsyn, jf kap 9, og om teknisk sikkerhetsundersøkelse i kap. 10. Lov nr 31 om behandling av personopplysninger (personopplysningsloven). Ved elektroniske sikkerhetstiltak som adgangskontrollanlegg og kameraovervåkning kreves det i utgangspunktet melding til Datatilsynet. Loven pålegger den behandlingsansvarlige en rekke plikter i forbindelse med behandling av personopplysninger. I 2, nr 4 defineres hva som menes med behandlingsansvarlig. Den behandlingsansvarlige er den som alene eller sammen med andre har bestemmelsesrett over personopplysningene og den elektroniske behandlingen av disse. Der den behandlingsansvarlige er en juridisk person, vil den juridiske personen representert ved dens ledelse, være behandlingsansvarlig. Ledelsen må sørge for at loven etterleves, og som ledd i dette foreta en intern arbeidsfordeling slik at det er klart hvilken stilling det ligger til å sørge for at loven etterleves i praksis, jf 18 første ledd bokstav b. Funksjonen bør knyttes til en lederstilling slik at stillingsinnehaveren har reell daglig innflytelse på behandlingene som foretas. Selv om den behandlingsansvarlige setter bort behandlingsoppdrag til andre («outsourcing»), vil man fortsatt være 4

5 behandlingsansvarlig. Den som utfører arbeid for den behandlingsansvarlige, vil være databehandler, jf 2 nr 5. Ansvarlig i virksomheten må ha god kjennskap til Personopplysningsloves regler. Lov nr 09 om sivilforsvaret. Lovens kapitel VI pålegger virksomheter å ha egenbeskyttelsestiltak. Med egenbeskyttelse menes sivilforsvar for den enkelte faste eiendom til beskyttelse av folk eller gods der, jf 39. Med hjemmel i loven 48 er det gitt forskrift nr 1092 om egenbeskyttelsestiltak ved industrielle bedrifter m.v. Plikten etter lov og forskrift pålegges eier og bruker, jf loven 41. Forskriften 3 pålegger de bedrifter og virksomheter der Næringslivets sikkerhetsorganisasjon (NSO) i henhold til 1 er pålagt å organisere og føre kontroll med egenbeskyttelsen, å forberede og sette i verk egenbeskyttelsestiltak etter retningslinjer som gis av Næringslivets sikkerhetsorganisasjon. Dette gjelder uansett hvor bedriften ligger eller hvor virksomheten drives. I heftet Retningslinjer og bestemmelser for industrivern er det gitt nærmere krav til industrivern. Her fremgår at bedriften også bør beskytte seg mot kriminelle handlinger på lik linje med annen beskyttelse mot uhell og ulykker. Med kriminelle handlinger menes brannstiftelse, sabotasje, hærverk og tyveri, industrispionasje, ondsinnede rykter, underslag, datakriminalitet, forfalskning, taushetsbrudd, avlytting osv. Dette er trusler som kan få betydning for bedriftens omtale, økonomi, drift og utvikling. Sikkerhet er ofte en kombinasjon av flere forskjellige tiltak. En helhetsvurdering med bakgrunn i en bred risikokartlegging av alle typer trusler og farer, som inkluderer ulike typer trusler og farer, vil gi det beste grunnlaget for en handlingsplan med kosteffektive, forebyggende og beredskapsmessige tiltak. Egenbeskyttelsen/industrivernet kan utvikles og tilpasses til å håndtere et bredt register av bedriftens trusler. Etter loven 41 kan departementet bestemme at eier og bruker av elektrisitetsverk og damanlegg av enhver art skal treffe særlige reserve- og sikringstiltak, for så vidt anleggene ikke går inn under lov 29. juni 1990 nr. 50 om produksjon, omforming, overføring, omsetning, fordeling og bruk av energi m.m. kapittel 6. Det samme gjelder gassverker. Videre kan det ved anlegg av enhver art, som kan medføre fare for omgivelsene hvis de blir ødelagt, etter nærmere bestemmelse av departementet pålegges eier og bruker å treffe særlige sikringstiltak. Lov nr 51 om havner og farvann m.v. Etter 11a skal eier av havn og havneterminal som er omfattet av annet ledd bokstav a, treffe tiltak for å forebygge og hindre terrorhandlinger og andre forsettlige, ulovlige handlinger mot havnen, eller fartøy som bruker havnen. Departementet kan gi forskrifter om sikkerhet og terrorberedskap i havner, herunder om: a) hvilke havner som skal være omfattet av reglene, b) plikt til å foreta en sårbarhetsvurdering, c) plikt til å ha en godkjent sikkerhets- og terrorberedskapsplan for havnen, d) inspeksjoner ved nasjonal eller internasjonal myndighet, e) utpeking og opplæring av særskilt personell med ansvar for sikkerhets- og terrorberedskap i havnen, f) forbud mot bruk av farvann (sikkerhetssone), 5

6 g) kontroll av personer, kjøretøy og gjenstander som er eller skal inn i havnen, herunder bortvisning, h) identifikasjonsdokumenter for dem som arbeider i havnen, i) adgang til å forby et fartøy å gå til havn, pålegge fartøyet å forlate havn eller fastsette andre nødvendige tiltak overfor fartøyet, j) stenging av havn. Med hjemmel i 11a er det gitt Forskrift nr 825 om sikring av havner og havneterminaler mot terrorhandlinger mv, (i kraft ) Formålet med forskriften er å forebygge og hindre terrorhandlinger og andre forsettlige ulovlige handlinger som kan skade havner, havneterminaler eller fartøy som anløper disse. I 3 bokstav ø er sikring definert: Med sikring menes i denne forskrift forebyggelse eller hindring av terrorhandlinger og andre forsettlige ulovlige handlinger som kan skade havnen eller fartøy som bruker havnen (security). Etter forskriften 6 er det terminaleier er ansvarlig for at alle oppgaver og forpliktelser knyttet til havneterminaler som følger av denne forskriften overholdes. Havnesikringsmyndigheten er ansvarlig for overholdelse av pålagte oppgaver knyttet til havner følges. Den ansvarlige - terminaleier og havnesikringsmyndigheten, skal utarbeide sårbarhetsvurdering og en sikringsplan. Sikringsplanen skal revideres en gang pr år. Nærmere krav til analysen og planen er gitt i vedlegg til forskriften. Etter 7, 1. ledd og 8, 4. ledd kan sårbarhetsanalyse og /eller sikringsplan foretas av en RSO (Recognized Security Organization), jf 2, bokstav z. Etter 12 skal hvert objekt oppnevne en sikringsoffiser (PSO, PSFO), jf 2 bokstav i og n, og kompetansekravene fastsettes av Kystverket. På Kystverkets hjemmeside fremgår det at Kystverkets hovedkontor har under utarbeidelse kompetansekrav/godkjenningskriterier til PSO-er og PFSO-er som vil bli lagt ut på Kystverkets hjemmeside så snart de foreligger. Jeg har ikke funnet slike kravspesifikasjoner i forskriftens vedlegg eller på Kystverkets hjemmeside. Med hjemmel i 11a er det videre gitt Forskrift nr 394 om sikkerhet og terrorberedskap i havner på Svalbard (i kraft ). Terminaleier er ansvarlig for at alle oppgaver og forpliktelser som følger av denne forskriften overholdes, jf 6. I 10 fremgår det at havneterminalen skal oppnevne en sikkerhets- og terrorberedskapssjef (PFSO) som tildeles oppgaver og ansvar i samsvar med ISPS-koden del A seksjon 17. Flere havneterminaler kan ha samme sikkerhets- og terrorberedskapssjef. Krav til kompetanse, samt opplæring av sikkerhets- og terrorberedskapssjefen, skal være i henhold til bestemmelsene gitt i ISPS-koden del A seksjon 18 og med hensyn til del B seksjon 18. Det skal også her utarbeides en sårbarhetsvurdering (PFSA) og sikkerhets- og terrorberedskapsplan (PFSP). Planene skal revideres hvert år. Lov nr 9 om skipssikkerhet (skipssikkerhetsloven) Etter 7 påligger det rederiet å etablere, gjennomføre og videreutvikle et dokumenterbart og verifiserbart sikkerhetsstyringssystem i rederiets organisasjon og på det enkelte skip, for å kartlegge og kontrollere risiko samt sikre etterlevelse av krav fastsatt i eller i medhold av lov eller i sikkerhetsstyringssystemet selv. Sikkerhetsstyringssystemets innhold, omfang og dokumentasjon skal være tilpasset behovet til rederiet og den aktiviteten det driver. Etter loven 6 påhviler plikten etter loven med utfyllende bestemmelser rederiet. Etter kap 6 skal det treffes tiltak for å 6

7 hindre og beskytte skipet mot terrorhandlinger, piratvirksomhet, blindpassasjerer og andre ulovlige handlinger. Etter 8 og 9 kreves det utarbeides en sårbarhetsvurdering (SSA) og Sikkerhets- og terrorberedskapsplan (SSP). Loven sikrer skipsførers og andre som har sitt arbeid om bord, medvirkningsrett. I forskrift nr 972 er det gitt nærmere regler om sikkerhet og terrorberedskap om bord på skip og flyttbare boreinnretninger. Forskriften 14 stiller krav om at det utnevnes en Sikkerhets- og terrorberedskapsoffiserer (CSO og SSO). Ethvert rederi skal utpeke en sikkerhets- og terrorberedskapsoffiser (CSO) som er pålagt de oppgaver som ISPS-kodens del A, seksjon 11 krever som et minimum. Videre kreves det at alle fartøy skal ha en sikkerhets- og terrorberedskapsoffiser (SSO) om bord som har særlig ansvar for sikkerheten og terrorberedskapen. Ansvaret omfatter som et minimum de oppgaver som beskrives i ISPS-kodens del A, seksjon 12. Opplæring av fartøyets og rederiets sikkerhets- og terrorberedskapsoffiserer skal være i henhold til kravene gitt i ISPSkodens del A, seksjon 13 og hensyn tatt til del B, seksjon 13, samt IMOs modellkurs for disse. Det må kunne dokumenteres at personen har gjennomført opplæring, med relevante henvisninger til ISPS-koden og IMOs modellkurs. Dokumentasjon for opplæring som fartøyets sikkerhets- og terrorberedskapsoffiser (SSO) skal oppbevares om bord. Lov nr 101 om luftfart (luftfartsloven) Med hjemmel i loven 7-24 og 7-25 er det gitt forskrift nr 715 om forebyggelse av anslag mot sikkerheten i luftfarten. Formålet med forskriften er å forebygge anslag mot sikkerhet i sivil lufthavn, jf 1. Forskriften gjelder for alle lufthavner med ervervsmessig luftfart, også del av militær lufthavn som benyttes til ervervsmessig luftfart, luftfartsselskaper som driver ervervsmessig luftfart, virksomheter som leverer varer og tjenester til en lufthavn og andre som arbeider på eller i tilknytning til en lufthavn, jf 2. I 4 første ledd, 9. setning er sikkerhet definert som forebyggelse av anslag på sikkerheten i luftfarten (security). Lufthavnoperatører og luftfartsselskaper skal ha sikkerhetsgodkjenning. Virksomheter som leverer varer og tjenester kan søke om slik godkjenning. Det er Luftfartstilsynet som godkjenner. Virksomheten skal ha en ansvarshavende for sikkerheten som skal godkjennes av LT, jf 7. Godkjenning skal baseres på faglige kvalifikasjoner, tidligere erfaring og praksis og personlige egenskaper, herunder forståelse for sikkerhetskravene. Ved lufthavner skal det etableres et sikkerhetsutvalg med en leder, som skal sørge for planlegging og samordning av tiltak og legge til rette for effektiv håndtering av krisesituasjoner, fj 9. Videre skal det utarbeides sikkerhetsprogrammer, jf 6, 3. ledd, krisehåndteringsplaner og prosedyrer, jf 8. Forskriften gir videre detaljerte regler om tiltak som omfattes av security. 7

8 LOV nr 100: Lov om anlegg og drift av jernbane, herunder sporvei, tunnelbane og forstadsbane m.m. (jernbaneloven). Med hjemmel i lovens 4 er det gitt Forskrift nr 1621 om krav til jernbanevirksomhet på det nasjonale jernbanenettet (sikkerhetsforskriften). Etter 2-1 skal virksomheten drives sikkerhetsmessig forsvarlig slik at jernbaneulykker, alvorlige jernbanehendelser og jernbanehendelser unngås så langt det med rimelighet er gjennomførbart. Virksomheten skal planlegges, organiseres og utføres med det formål å kontinuerlig forbedre sikkerheten. Jernbanevirksomheten skal ha en sikkerhetspolitikk som er forankret hos organisasjonens øverste leder og formidlet til alt personell. Videre stilles det en rekke krav til kvalitative og kvantitative mål som er egnet til å opprettholde og forbedre sikkerheten, planer, akseptkriterier, risikoanalyser, tydeliggjøring av ledelses- og ansvarsforhold, krav til leder med ansvar for sikkerhetssystemet, tilrettelegging av arbeidsmiljøet og kompetanse. Det fremkommer ikke krav om sikring/security. Forskriften synes i første rekke å gjelde krav som retter seg mot trygghetstiltak. Retningslinjer om sikring av verdier Retningslinjer gitt av Forsikringsselskapenes godkjenningsnemnd. Kravene er ikke gitt i form av lov eller formelle krav. Kravene fra FSG er forankret i inngått avtale mellom forsikringsgiver og forsikringstager. Kilder: Lovdata NOU 2006:6 Når sikkerheten er viktigst St.meld.nr. 22 Samfunnsikkerhet Tilsynsmyndighetenes hjemmesider Sikkerhetshåndboken 8