Høringsuttalelse til NOU 2016:19 Samhandling for sikkerhet

Transkript

1 Forsvarsdepartementet Postboks 8126 Dep 0032 OSLO Dato: 20. januar 2017 Deres ref.: 2015/3139-7/FD V 3/MAY Vår ref.: AGr 16/02772 Høringsuttalelse til NOU 2016:19 Samhandling for sikkerhet Det vises til Forsvarsdepartementets høringsbrev av 17. oktober 2016 med anmodning om innspill vedrørende utredningen fra sikkerhetsutvalget (Traavik-utvalget); «Samhandling for sikkerhet Beskyttelse av grunnleggende samfunnsfunksjoner i en omskiftelig tid» (NOU 2016:19). Norges Bank er landets sentralbank. Den har som mål å fremme økonomisk stabilitet i Norge. Vi har utøvende og rådgivende oppgaver innenfor pengepolitikken, overvåker det finansielle systemet og skal bidra til robuste og effektive betalingssystemer og finansmarkeder. Norges Bank forvalter landets valutareserver og Statens pensjonsfond utland (SPU). Norges Bank støtter den helhetlige tilnærmingen til nasjonal sikkerhet som lovforslaget gir, og den generelle opprydningen i nasjonal sikkerhetsstyring forslaget innebærer. Denne høringsuttalelsen berører de sikkerhetsmessige forholdene knyttet til lovforslaget. Lovforslagets økonomiske konsekvenser vil bli adressert separat. Norges Bank har følgende spesifikke merknader til NOU 2016:19: Utvidelse av lovens virkeområde Norges Bank ser positivt på den modernisering av loven som foretas gjennom utvidelse av lovens virkeområde. Overgangen til å vurdere «grunnleggende nasjonale funksjoner» er i bankens vurdering mer relevant for å redusere den sikringsrisiko loven omhandler enn tilnærmingen som legges til grunn i eksisterende lov. Ansvars- og myndighetsfordeling for forebyggende sikkerhet Norges Bank støtter den foreslåtte endringen og presiseringen av ansvars- og myndighetsfordeling for sikkerheten til grunnleggende nasjonale funksjoner. Der endring av ansvars- og myndighetsfordeling synes nødvendig ut fra behovet for en helhetlig tilnærming og oversikt over sikkerhetssituasjonen i Norge, balanseres dette godt med involvering av eksisterende ordninger for sektortilsyn. Betalingssystemloven, kapittel 2, gir Norges Bank konsesjons- og tilsynsansvar for interbanksystemer i Norge. Dette innebærer at Norges Bank fører tilsyn med norske Postadresse Besøksadresse Telefon Organisasjonsnummer Postboks 1179 Sentrum Bankplassen 2 Telefaks NO MVA 0107 Oslo Oslo central.bank@norges-bank.no

2 systemer basert på felles regler for avregning, oppgjør eller overføring av penger mellom kredittinstitusjoner. Norges Banks oppgjørssystem er ikke underlagt krav om konsesjon og tilsyn etter betalingssystemloven. De foreslåtte lovendringene innebærer et utvidet ansvar. Norges Bank vil i denne sammenheng understreke at sikkerhetsmyndigheten samtidig må ivareta sin rolle i utarbeidelse av kriterier for tilsyn og opplæring av tilsynspersonell, som foreslått i 3-2. Norges Bank mener at forslaget til klage- og tvisteløsninger (jf. forslag til 2-6 og 2-7) er en ordning som kan fungere godt, og både ivareta sektorenes respektive behov og de mer overordnede behov for helhetlig og koordinert sikkerhetsarbeid på tvers av sektorene. Klageordningen fastsatt i 2-6 retter seg mot vedtak etter loven. Det kan eventuelt vurderes om det i lovens forarbeider bør sies noe om hvem som kan påklage vedtak etter sikkerhetsloven, dvs. hvem som har rettslig klageinteresse. Forslag til 2-6 siste ledd i ny sikkerhetslov gjelder selvstendige rettssubjekters klageadgang etter loven. Siden tredje ledd generelt viser til at forvaltningsloven kapittel VI gjelder, kan det isolert forstås som at det er overordnet forvaltningsorgan som skal behandle klager fra selvstendig rettssubjekter, jf. forvaltningsloven 28 første ledd. Det antas imidlertid at det kun er ment å gi uttrykk for at det er de øvrige reglene i forvaltningsloven kapittel VI som gjelder, ikke bestemmelsen om hvem som er klageorgan. Det kan for øvrig vurderes om det ikke også er grunn til å presisere i forslaget til 2-6 at klagesaksreglene i forvaltningsloven kap. VI kommer til anvendelse uavhengig av om det gjelder selvstendige rettssubjekters klageadgang eller andre med rettslig klageinteresse. Rådgivning og informasjonsdeling Norges Bank har etterlyst en klarere rådgivningsrolle for og informasjonsdeling fra sikkerhetsmyndighetene. Utvalgets forslag går langt i å imøtekomme dette, og banken støtter forslaget til rådgivningsplikt i 2-2 og om deling av trusselvurderinger og aktuell metodikk for risikovurderinger i 2-3 (ref. utredningens kap ). Banken viser til at allerede Ullring-utvalget (NOU 2006:6) foreslo slike ordninger, men at dette i liten grad har vært fulgt opp. Det er ikke etablert ordninger for automatisert varsling av objekteiere i forbindelse med kritiske situasjoner, slik som hendelser eller heving av trusselnivået i Norge, og dette har vanskeliggjort arbeidet med beredskap for rask skjerping av sikringsnivået for banken. Objekteiere, og spesielt virksomheter som har døgnbemannet sikkerhet og beredskap, får ikke tilstrekkelig hurtig varsling i sikre kanaler. Dermed er det heller ikke mulig å vurdere egne beredskapstiltak basert på tilgjengelig informasjon, og eventuelt iverksette relevante tiltak raskt. Norges Bank vil på denne bakgrunn understreke at det er vesentlig at 2-3 omfatter direkte varsling av objekt- og infrastruktureiere og -operatører uten ugrunnet opphold. Dette vil særlig gjelde for virksomheter som har etablert døgnkontinuerlig sikkerhet og beredskap. Det bør i tillegg åpnes for at sikkerhetsmyndighetene kan benytte relevante graderte kanaler for å kommunisere direkte med berørte virksomheter i aktuelle situasjoner, uten å gå via sektordepartement. Norges Bank støtter etableringen av arenaer for informasjons- og erfaringsutveksling, og foreslår at institusjoner med spesielt relevante sikkerhetsfaglige miljøer gjerne kan inngå i et eget nettverk med sikkerhetsmyndigheten og sikkerhetstjenesten. Disse institusjonene kan så være til støtte i sine respektive sektorvise erfaringsutvekslinger. Side 2 (7)

3 Av mer generell karakter etterlyser Norges Bank etableringen av to typer fora: - Et tverrsektorielt trusselutvekslingsforum med deltagelse fra etterretnings- og sikkerhetstjenestene og aktører hvis virke har kritisk betydning for grunnleggende nasjonale funksjoner. - Et koordineringsforum for sårbarhetsreduserende tiltak hos aktører hvis virke har kritisk betydning for grunnleggende nasjonale funksjoner. Eksisterende fora som ivaretas av Politiets sikkerhetstjeneste (Kontaktforum for forebygging av terror), som henvender seg til etatsledernivået, har i hovedsak til formål å forebygge terror og radikalisering. Det er informativt å få en årlig oversikt over trusselbildet og myndighetenes tiltak mot radikalisering, etc. Dette gir imidlertid lite merverdi i objektog infrastruktureieres arbeid med sikringstiltak. For disse virksomhetene er det særlig sårbarheten det er mulig å påvirke, og i mindre grad trusselbildet. Denne typen fora bør etter bankens syn gjøres mer relevant for virksomhetenes arbeid. I utredningens kapittel viser utvalget til gode erfaringer med Centre for the Protection of National Infrastructure (CPNI) i Storbritannia, og behovet for sterkere statlige rådgivningsordninger for sikkerhet. Det er nødvendig med en styrking av rådgivningsfunksjonen, og muligens en sterkere samling av de statlige kompetansemiljøene. Norges Bank vil i denne sammenheng vise til at CPNI også i stor grad gjør bruk av kompetanse hos konsulentfirmaer. Det kan være fornuftig om Nasjonal sikkerhetsmyndighet (NSM) tilsvarende holder oversikt over tilgjengelig kompetanse i privat sektor, samt i utlandet, som norske operatører og eiere av skjermingsverdige objekter og infrastruktur kan gjøre bruk av. Disse bør i så fall leverandørklareres av NSM før de presenteres som aktuelle ressurser. En slik ordning kan både innebære en styrking av det sikkerhetsfaglige miljøet og lette sikringsarbeidet betraktelig. Beskyttelse av informasjonssystemer Norges Bank støtter utvidelse av loven til å omfatte ugraderte informasjonssystemer som er av kritisk betydning for grunnleggende nasjonale funksjoner. Norges Bank ser det som prisverdig, og helt nødvendig, at utvalget legger opp til økt sikkerhetsrådgivning og deling av sikkerhetsrelevant informasjon til objekt- og infrastruktureiere og operatører. Forslaget til utvidelse av sikkerhetslovens virkeområde medfører både større behov for slik informasjon og trolig signifikant økning i antall virksomheter som har behov for å motta, oppbevare og sende BEGRENSET informasjon. I denne situasjonen er det vanskelig å se at isolerte informasjonssystemer for BEGRENSET vil fungere tilfredsstillende. Slik Norges Bank ser det har man da to valg. Man kan gjennomføre en signifikant utbygging av «Nasjonalt BEGRENSET nett», også til brukere i privat sektor. Alternativt kan man endre forslaget til 6-1 og tillate lagring og forsendelse av BEGRENSET informasjon på ikke-godkjente (dvs. ordinære/ugraderte) informasjonssystemer og ved bruk av internett som kommunikasjonsbærer (slik vi i utredningens kapittel 8.1 forstår at bl.a. Danmark tillater). Det siste bør i så fall kreve bruk av godkjente krypteringsløsninger og andre kontrolltiltak. Norges Bank foreslår at Forsvarsdepartementet utreder behovet for og en eventuell økning i bruk av BEGRENSET informasjon etter en utvidelse av sikkerhetsloven, samt beskriver praktiske, økonomiske og sikkerhetsmessige konsekvenser ved de to alternativene som er skissert over. Det er først etter et slikt beslutningsgrunnlag, sammen med en kartlegging av tilsvarende praksis hos våre allierte, at det i vår vurdering vil være mulig å beslutte sikringskravene til BEGRENSET informasjon. Side 3 (7)

4 Beskyttelse av infrastruktur Norges Bank ser positivt på innføringen av begrepet «skjermingsverdige objekter og infrastruktur». I dagens praktisering av objektsikkerhetsregelverket har Norges Bank opplevd at det er vanskelig å innpasse infrastruktur, og spesielt informasjonssystemer som i en viss grad er distribuerte. De foreslåtte lovendringene kommer i betydelig grad i møte de innvendinger banken har hatt mot dagens lovverk på dette området. I utredningen og lovforslaget fremstår det fremdeles noe uklart hvilke kriterier som skal legges til grunn for klassifisering av objekter og infrastruktur (ref. forslag til 7-2, jf. utredningens kapittel 9.5). Norges Bank vil foreslå at det i forskrifts form etableres verdi-/ skadevurderingsskalaer som kan komme til anvendelse ved identifikasjon av skjermingsverdige objekter og infrastruktur. Disse bør skissere nivåer for potensiell konsekvens for mange forskjellige potensielle skadeområder. Det kan for eksempel være nødvendig å spesifisere konsekvensnivåer for tap av BNP eller for tap av en viss andel av et likvid formuesobjekt som bidrar til de øverste statsorganers handlefrihet. Banken vil vise til de detaljerte «Business Impact Level Tables» som britiske myndigheter (Cabinet Office og daværende Communications-Electronics Security Group) publiserte i «HMG IA Standard Numbers 1 & 2 Supplement: Technical Risk Assessment and Risk Treatment» i 2012 som et godt eksempel på verdi-/skadevurderingsskalaer. Forslaget om å etablere et regime for testing av sikkerhetssystemer ( 7-4) er en positiv nyvinning. Erfaringen med eksisterende testordninger for informasjonssystemer er god, og denne utvidelsen til skjermingsverdige objekter og infrastruktur kan være til stor hjelp for eiere og operatører av funksjonene. Norges Bank vil anmode om at det i forskrifts form gis tydeligere føringer for sikkerhetshensyn der flere skjermingsverdige objekter og infrastruktur, med forskjellige eiere, kan være samlokalisert. Dette kan for eksempel være aktuelt for informasjonssystemer som er driftet i felles datasentre. Personellsikkerhet Norges Bank er positive til innføringen av en egen ordning med «adgangsklarering». Dette kan redusere behovet for sikkerhetsklareringer. I forslaget til 8-1 er det imidlertid ikke tydelig hva som menes med adgangsklarering. Dette bør gjøres eksplisitt i lovteksten, gjerne i en egen paragraf om adgangsklarering, og eventuelt i forskrifts form. Det fremstår ikke klart om adgangsklareringen også skal medføre behov for autorisasjon. Norges Bank har i dag en sikkerhetsgodkjenningsordning for personell utenom sikkerhetsloven som ikke er nevnt i opplistingen utredningen har i kapittel Sikkerhetsgodkjenningen skjer med hjemmel i sentralbankloven 11 og forskrift om politiattest ved arbeid eller tjeneste for Norges Bank. Dersom en adgangsklarering skal kunne erstatte Norges Bank eksisterende sikkerhetsgodkjenningsordning for aktuelle ansatte, må adgangsklareringen i tillegg til vandelskontroll inneholde en kredittsjekk. Av praktiske grunner vil det også være nødvendig at ordinær saksbehandlingstid for adgangsklareringssakene ikke overstiger to uker. Side 4 (7)

5 Utredningen viser til den britiske «Counter Terrorist Check» (CTC). Denne ordningen omfatter mer enn adgang til et objekt eller infrastruktur, og kan gjelde hele bygningen som objektet eller infrastrukturen inngår i eller hvor en trusselutsatt person oppholder seg. Det vil være nyttig om det i en separat paragraf om adgangsklareringen gis mulighet til å anvende adgangsklareringen noe videre enn det strengt avgrensede objekt eller infrastruktur. Dette kan gjerne spesifiseres nærmere i forskrifts form, eventuelt at det i loven gis adgang til at sikkerhetsmyndigheten eller ansvarlig departement kan gi tillatelse til en videre anvendelse av adgangsklareringen for bestemte virksomheter etter søknad. Norges Bank forutsetter at det for adgangsklareringen etableres ordninger som gjør det mulig å adgangsklarere utenlandske borgere. Det er også relevant for banken at det vurderes mulighet for å klarere utenlandsk personell som arbeider med norsk infrastruktur i utlandet. Andre forhold Sikkerhetsstyringssystemer Utvalget beskriver i kap svært overordnet visse utfordringer som følger av integrering av forskjellige sikkerhets- og risikohensyn i et felles styringssystem. I utvalgets anbefalinger virker imidlertid slike utfordringer ganske fraværende. Det vil være til stor fordel om en fremtidig lovproposisjon belyser hvordan forslag til ny sikkerhetslov kan ses i sammenheng med andre styringssystemer for sikkerhet og risiko som virksomheter måtte anvende (f.eks. ISO serien og ISO serien). Beskyttelsesinstruksen I Traavik-utvalgets mandat inngikk en bestilling om at «Utvalget skal foreslå en modernisering av Instruks 17. mars 1972 for behandling av dokumenter som trenger beskyttelse av andre grunner enn nevnt i sikkerhetsloven med forskrifter (beskyttelsesinstruksen). Det skal også vurdere om det er hensiktsmessig å implementere reglene i ny lovgivning.» Norges Bank mener det er uklart hvordan argumentene utvalget bruker for å unnlate å behandle beskyttelsesinstruksen stemmer overens med behovene innen nasjonal sikkerhetsstyring. Både den informasjon som omfattes av forslag til ny sikkerhetslov og den som ikke omfattes (og dermed omfattes av beskyttelsesinstruksen) må forvaltes innenfor ett system for sikkerhetsstyring. Opprettholdelsen av en separat og ukoordinert beskyttelsesinstruks innebærer en videreføring av praksisen med syv klassifiseringsnivåer for informasjon i norsk forvaltning (fire fra sikkerhetsloven, to fra beskyttelsesinstruksen og «unntatt offentlighet» fra offentleglova). Utvalget viser til hvordan man i britisk forvaltning har gått fra seks til tre klassifiseringsnivåer. Beskyttelsesinstruksen blir i begrenset grad forvaltet av regelverkseier og er ikke tilpasset en helhetlig sikkerhetsstyring i organisasjoner som må forholde seg til både sikkerhetsloven, offentleglova og beskyttelsesinstruksen. Det vil etter vårt syn motvirke gråsoner og uklarheter, og gi økt sikkerhet og effektivitet i forvaltningen, om regelverkene i større grad ble samordnet. Dette inkluderer harmonisering av krav til sikring av informasjon, slik at informasjonssikring på tvers av sikkerhetsloven, offentleglova og beskyttelsesinstruksen omfattes av et felles rammeverk. Norges Bank anmoder om at Forsvarsdepartementet i samarbeid med Statsministerens kontor (som regelverkseier for beskyttelsesinstruksen) vurderer nødvendig forenkling av byråkratiet på dette området. Side 5 (7)

6 En mulig løsning ville vært å gjøre sikkerhetslovens klassifiseringer gyldige for alle typer informasjon, slik at FORTROLIG informasjon ble klassifisert BEGRENSET, etc. Ved å anvende deskriptorer, kodeord og nasjonale krav kunne man likevel ivaretatt alle de hensyn som følger av informasjon som i dag er klassifisert etter sikkerhetsloven. Oversettelse av loven Norges Bank henstiller til en rask oversettelse av lov og forskrifter til engelsk. Banken har bruk for internasjonale spesialister ved en rekke prosjekter. Tilgjengelig lovtekst og forskrifter er derfor en stor fordel. Det må bemerkes at engelsk oversettelse av eksisterende sikkerhetslov inneholder en rekke avvik fra de termer som vanligvis anvendes på engelsk, og nye oversettelser bør derfor underlegges en sikkerhetsfaglig kvalitetssikring. Bruk av fagterminologi Tilsiktede uønskede hendelser I forslaget til 1-1 brukes betegnelsen «tilsiktede uønskede hendelser». I veiledninger fra sikkerhetsmyndighetene og i norske standarder i NS 5830-serien anvendes begrepet «tilsiktede uønskede handlinger». Loven beskriver også handlinger som utføres med hensikt (planmessig angrep), mens hendelser gjerne anvendes som et videre begrep. Det vil være en fordel om 1-1 forholder seg til det innarbeidede begrepet «tilsiktede uønskede handlinger». Risiko- og sårbarhetsanalyser Utredningen gir en god innføring til forskjellige metodiske tilnærminger til risikovurderinger i kap Derfor er det uheldig at selve lovforslaget angir én bestemt tilnærming til risikovurderinger. Flere steder i utredningen, og spesifikt i forslaget til 4-3, omtales risiko- og sårbarhetsanalyse (ROS). Det er overraskende at utvalget velger denne metodikken som grunnlag for vurdering av tilsiktede uønskede handlinger. ROS-metodikken er utbredt innenfor vurdering av utilsiktede uønskede hendelser (safety), men vil i liten grad ivareta behovet for å analysere de tilsiktede trusler som NOU 2016:19 påpeker er en vesentlig faktor i vurderingen av risiko for tilsiktede uønskede handlinger (security). Nasjonal sikkerhetsmyndighet, Politidirektoratet og Politiets sikkerhetstjeneste har vært samstemmige i sin anbefaling om at risikovurderinger knyttet til tilsiktede uønskede handlinger skjer på bakgrunn av verdi-, trussel-, og sårbarhetsvurderinger. Denne tilnærmingen er for øvrig i tråd med rådene fra Departement for Homeland Security i USA (gjennom serien Buildings and Infrastructure Protection Series) og samsvarer også med informasjonssikkerhetsstandarden ISO/IEC I den utmerkede gjennomgangen av risikostyring i utredningens underkapittel 4.1, vises det til Forsvarets forskningsinstitutts gjennomgang av forskjellige tilnærminger til risikovurderinger for tilsiktede uønskede handlinger (FFI-rapport 2015/00923). Felles for flertallet av disse er at sårbarhet er en eksplisitt eller implisitt faktor i risikobegrepet. Det blir derfor unødvendig å snakke om «risiko- og sårbarhetsvurderinger» i det sårbarheten er en av flere faktorer som inngår i risiko. Forslaget til 4-2 og 4-3 gir Kongen myndighet til å fastsette forskrifter og standarder som skal komme til anvendelse ved risikovurderinger. Problemet er imidlertid at utvalget ved å velge betegnelsen «risiko- og sårbarhetsanalyse» allerede har valgt tilnærming, og at denne tilnærmingen er i strid med metodiske anbefalinger fra de statlige organene som arbeider med tilsiktede uønskede handlinger. Side 6 (7)

7 lr På denne bakgrunn anbefales det at $ 4-3 får tittelen <Sikringsrisikovurdering> (i tråd med NS 5832:2014), og at betegnelsen <risiko- og sårbarhetsanalyse> endres til <sikringsrisikovurdering> gjennomgående i lovteksten. Dersom departementet ønsker en tittel som er mer uavhengig av vedtatte norske standarder kan betegnelsen < risikoanalyse >> anvendes i stedet for < sikri ngsrisikovurdering >. Véd behov èr Noigès Bànk tilgjéngelig for mér utførlige kommentáier elléi opþnàringei. hilsen r n Sundkjer Sikkerhetsdirektør Kopitil: Finansdepartementet Side 7 (71