BDO viser til NOU 2016:19 som er på høring med frist 20. januar 2016.

Transkript

1 Tlf: Fax: Postboks 1704 Vika Munkedamsveien Oslo Forsvarsdepartementet Pb Dep 0032 Oslo Oslo, Høringsuttalelse om NOU 2016:19 1. Bakgrunn BDO viser til NOU 2016:19 som er på høring med frist 20. januar BDO har et stort kompetansemiljø og bredt tjenestespekter innen sikkerhet og beredskap relatert til spesielt tilsiktede uønskede handlinger. Våre kunder spenner fra sentralforvaltningen, herunder tilsynsmyndigheter og regulatoriske myndigheter, til store og mellomstore norske og internasjonale bedrifter. Flere av kundene våre forvalter sikkerhetsgradert informasjon og skjermingsverdige objekter etter sikkerhetsloven. 2. Hovedinntrykk BDO mener forslaget redegjør for historikk, utfordringer, behov og mulige reguleringsløsninger for beskyttelse av nasjonale grunnleggende funksjoner på en meget god måte. BDO er også i det alt vesentlige enig i utvalgets forslag til konkrete bestemmelser i en ny lov på området. Det er imidlertid enkelte av forslagene BDO har innvendinger til eller i det minste er usikker på om er formålstjenlige. Vi vil i det følgende redegjøre nærmere for vårt syn på utvalgte deler av forslaget. 3. Kommentarer til utvalgte deler av forslaget 3.1 Forslag som BDO anser er spesielt viktige og riktige BDO anser at spesielt følgende forslag er viktige og riktige: At lovens organisatoriske virkeområde innrettes slik at loven gjelder uavhengig av virksomhetsform og heller ut i fra om virksomheten råder over angitt informasjon, informasjonssystem, skjermingsverdig objekt eller infrastruktur, jf. forslaget til 1-2. Avgrensningen i gjeldende sikkerhetslov til primært forvaltningsorganer er uhensiktsmessig. Avgrensningen fører til store ulikheter i reguleringen av virksomheter som råder over nasjonal kritisk infrastruktur og har behov for å motta eller selv produsere sikkerhetsgradert informasjon, ut ifra om virksomhetene er forvaltningsorganer eller ikke. BDO-nettverket, som består av uavhengige selskaper i de enkelte land.

2 At lovens saklige virkeområde utvides og fokuserer på grunnleggende nasjonale funksjoner, fremfor bare rikets sikkerhet. Videre at skjermingsverdig infrastruktur for slike funksjoner innføres som et viktig forhold å beskytte, i tillegg til sikkerhetsgradert informasjon og skjermingsverdig objekt. Det vil gi en mer moderne og helhetlig tilnærming til det som er viktigst å beskytte i samfunnet. At det innføres en klage- og tvisteordning for nærmere angitte saker der departementene og Sikkerhetsmyndigheten er uenige, samt for virksomheter som vil prøve et vedtak de oppfatter som urimelig, jf I teorien bør tvister mellom departementer kunne løses uten et eget tvisteorgan. Empiri de siste årene har imidlertid vist med all tydelighet at det i praksis dessverre ikke er tilfelle innen objektsikkerhet selv ikke når toppledelsen ved Statsministerens kontor involveres for å finne løsninger/kompromisser. Å fortsette som før, med sterke og langvarige stridigheter som sprer seg helt ut i ytre etat og virksomheter i sektorer, er ingen tjent med. Det er også slik at det av og til er viktigere å få en avklaring, enn akkurat hvem som får medhold eller ikke i avklaringen, og det vil et slikt tvisteorgan i hvert fall bidra til. At departementene kan bestemme at sektormyndigheter innen departementets sektoransvar skal føre tilsyn etter loven i sektoren, samt det toveis-samarbeidet mellom Sikkerhetsmyndigheten og sektortilsynsmyndighetene som pålegges, jf. 3-1 og 3-2. BDO anser det viktig at det utøvende ansvaret for både regulering og tilsyn i ulike sektorer i størst mulig grad overlates til den enkelte sektors myndigheter. Det er sektormyndighetene som best kjenner sektoren, samtidig som Sikkerhetsmyndigheten da i større grad kan fokusere på fagmyndighetsoppgaver innen sikkerhet og tverrsektorielle forhold. I tillegg vil en slik fordeling av ansvar og oppgaver i større grad skape eierskap til sikkerhet hos sektormyndigheter som ikke allerede har dette som et ansvar. At eierskapskontroll innføres for utenlandske rettssubjekter som ønsker å erverve eierandel i en virksomhet som er av kritisk betydning for grunnleggende nasjonale funksjoner, jf BDO er kjent med flere tilfeller de senere årene der private virksomheter som råder over nasjonal kritisk infrastruktur, eller sikkerhetsgradert informasjon ifm. leveranser til staten, har blitt kjøpt opp eller forsøkt kjøpt opp av utenlandske eiere eller forsøkt fusjonert med utenlandske selskaper. Noen av disse eierinteressene har kommet fra stater som ikke er medlem av NATO eller EU/EØS, og endog stater med høy etterretningsaktivitet mot Norge og norske interesser. At det innføres hjemmel for at tilsynsmyndighetene etter loven kan ilegge tvangsmulkt og overtredelsesgebyr, jf og Empiri viser dessverre at mange virksomheter som ilegges pålegg om å lukke avvik fra krav i gjeldende sikkerhetslov, ikke lukker selv alvorlige avvik. BDO har inntrykk av at dette ikke primært skyldes at påleggene er urimelige eller ikke mulige å etterkomme, men at det ofte står på viljen til å prioritere sikkerhetsarbeidet. Samtidig sitter det naturlig nok meget langt inne å bruke et så ytterliggående virkemiddel som politianmeldelse. Det er altså meget liten fleksibilitet i de virkemidlene som i dag er tilgjengelig for tilsynsmyndigheten på området. Det er flere andre reguleringsområder der tilsynsorganet har hjemmel til å ilegge tvangsmulkt eller overtredelsesgebyr. Det vil være meget uheldig og fremstå uproporsjonalt ut i fra mulige konsekvenser av avvik,

3 dersom tilsynsmyndigheter innen grunnleggende nasjonale funksjoner ikke skal ha slike virkemidler. At det innføres et nytt virkemiddel og sikkerhetskrav i form av adgangsklarering, jf. 8-5 og 7-3. BDO anser at det i gjeldende rett er for stor avstand mellom omkostningene og effekten som kan oppnås med på den ene siden sikkerhetsklarering og på den annen side politiattest. Det er bare innen noen få sektorer at det finnes andre former for bakgrunnskontroll og sikkerhetsmessig skikkethetsvurdering. Det er altså for liten fleksibilitet i tilgjengelig virkemidler på området. En retning videre der det beholdes og videreutvikles sektorvise ordninger vil imidlertid være både samfunnsøkonomisk uheldig og føre til manglende likebehandling av både sikringsnivået og rettssikkerhetsgarantiene i de ulike ordningene. En felles regulering forvaltet av myndighetsorganene som også er klareringsmyndighet for «ordinær» sikkerhetsklarering, slik utvalget foreslår, er derfor å foretrekke. 3.2 Lovforslagets 1-1 I merknaden til lovforslagets 1-1 vises det til at angivelsen i bestemmelsen av de grunnleggende nasjonale interessene ikke er en uttømmende oppregning av de interessene loven tar sikte på å trygge, men kun en fremheving av avgjørende interesser. BDO anser det regelteknisk uheldig at ordlyden i bestemmelsen ikke gir noen indikasjoner på at det også kan være andre grunnleggende nasjonale interesser som loven tar sikte på å beskytte. I stedet for at ordlyden skal tolkes utvidende i så stor grad, bør det heller tas inn i ordlyden en formulering som viser at oppregningen ikke er uttømmende. En måte å gjøre dette på er å benytte følgende formulering: «Loven skal bidra til å trygge Norges suverenitet, territorielle integritet, demokratiske styreform og andre nasjonale grunnleggende interesser, ved å» 3.3 Terminologi Utvalget har i rapporten og lovforslaget, jf. 4-1, 4-3 og 7-2, valgt å benytte uttrykket «risiko- og sårbarhetsanalyse» forkortet til ROS-analyse. Videre har utvalget definert risiko som en funksjon av sannsynlighet og konsekvens av tilsiktede uønskede hendelser. Valg av begrepsbruk fremfor alternative begreper er i liten grad forklart på dette området i utredningen. BDO anser «risiko- og sårbarhetsanalyse» som et unødvendig omstendelig begrep. Vurdering av sårbarhet inngår alltid som et delelement i en risikovurdering, sammen med en vurdering av verdier (skadepotensial), trusler og scenarioer. Innen fagmiljøer som jobber primært med tiltak mot tilsiktede uønskede handlinger, har man lenge bare benyttet uttrykket risikovurdering eller risikoanalyse. Også internasjonal brukes tilsvarende uttrykk; «(Security) Risk Assessment/Analysis». ROS-analyse fremstår således som et gammeldags og unødvendig omstendelig uttrykk. BDO vil også gjøre oppmerksom på at utvalgets definisjon av risiko ikke gjenspeiler den utviklingen som har skjedd internasjonalt det senere årene. Det vises spesielt til ISO 31000, som også er fastsatt som norsk standard, der risiko primært knyttes til begrepet usikkerhet,

4 men også beskrives på flere alternative måter. Utvalget har også sett bort fra begrepsbruken innen risiko i NS 5830, som er spesielt tilpasset tilsiktede uønskede handlinger og benyttes av stadig flere offentlige og private virksomheter. 3.4 Lovforslagets bestemmelser om virksomheter som ikke anses å falle innenfor et departements myndighetsområde Flere steder i utredningen og forslagene om konkrete bestemmelser, legges det opp til at virksomheter som ikke anses å falle innenfor et departements myndighetsområde ved ulike regler om varsling, vedtak osv. skal forholde seg direkte til Sikkerhetsmyndigheten. En del av begrunnelsen er at en del virksomheter ikke tilhører en bestemt sektor, men har oppgaver og funksjoner som i stor grad går på tvers av flere sektorer. BDO anser det som uheldig at en del virksomheter skal forholde seg direkte til Sikkerhetsmyndigheten, og dermed omgå departementsnivået, med den begrunnelsen at det er uklart hvilken sektor virksomheten skal anses å tilhøre. Sikkerhetsmyndigheten vil da gis en annen og mer operasjonell rolle enn Sikkerhetsmyndigheten for øvrig har og burde ha. Slike avgrensingsutfordringer bør heller løses ved at Justis- og beredskapsdepartementet, som samordnende departement, gis myndighet til å utpeke hvilket departement som skal være hovedansvarlig etter sikkerhetsloven. Alternativt at dersom departementene ikke kommer til enighet på dette punkt, tilfaller ansvaret Justis- og beredskapsdepartementet. Da kan virksomheten forholde seg til det utpekte departementet i saker etter loven, og det utpekte departementet koordinerer med andre berørte departementer. Det vil gi en mer konsekvent og prinsipielt riktig tilnærming til ansvar og roller som loven legger til henholdsvis departementene og Sikkerhetsmyndigheten som direktorat. Gjør også at Sikkerhetsmyndigheten vil måtte fokusere mer faglig og ressursmessig på enkeltvirksomheter fremfor nasjonale og overordnede forhold. 3.5 Lovforslagets 2-5 Forslaget til 2-5 fastsetter at for at Kongen i statsråd skal kunne fatte enkeltvedtak om å stanse, begrense eller endre en planlagt eller pågående aktivitet, må aktiviteten med stor grad av sannsynlighet (vår utheving) kunne få kritiske skadevirkninger for grunnleggende nasjonale funksjoner. BDO anser at kravet til sannsynlighetsovervekt for at vedtak skal fattes, er for strengt. Det kan passe på aktører som ikke har noen skjult agenda og derfor spiller med åpne kort overfor norske myndigheter. I denne typen saker vil det imidlertid lett kunne dreie seg om aktører med stor kapasitet som arbeider fordekt dvs. som under dekke av en utad tilsynelatende legitim og uskadelig aktivitet søker å utøve annen og skadelig aktivitet, f. eks. anvende teknologiske installasjoner til etterretning eller sabotasje. Hvilken intensjon aktøren har og på hvilken måte aktiviteten kan (mis)brukes til å ramme grunnleggende nasjonale funksjoner, vil da ikke være mulig å utlede med sikkerhet ut i fra åpne kilder alene. En viktig del av beslutningsgrunnlaget i slike saker vil derfor ofte være basert på etterretning i form av skjult innhenting, med de utfordringer det gir mht. å sannsynliggjøre faren. Det må derfor forvente at i slike tilfeller vil den mulige trusselaktørens intensjon og muligheten for å teknologisk utnytte en installasjon til noe annet enn forespeilet, ofte være noe uklar og usikker for

5 norske myndigheter. Muligheten for skadelig aktivitet og skadepotensialet kan imidlertid være såpass høy at myndighetene ut i fra en «føre var»-tilnærming bør stanse, begrense eller endre aktiviteten. Dersom beviskravet i slike saker settes for høyt vil bestemmelsen i praksis miste mye av sin funksjon. Det at bestemmelsen legger opp til både kontradiksjon, risikoavveining, proporsjonalitet og mulig kompensasjon vil i stor grad ivareta rettssikkerheten samt redusere faren for utilsiktede negative virkninger av vedtaket. Til sammenligning stilles det i forslaget til 10-1 kun krav om en «ikke ubetydelig skade» for vedtak om å nekte eller stille vilkår for et utenlandsk erverv av eierandel i virksomhet som er av kritisk betydning for grunnleggende nasjonale funksjoner. Selv om konsekvensene av vedtak i henholdsvis 10-1 og 2-5 ikke er identiske, er det påfallende stor forskjell i hvilken sannsynlighetsgrad som kreves for bruk av de to hjemlene. BDO foreslår derfor at uttrykket «med stor grad av sannsynlighet» erstattes med uttrykket «sannsynlig». 3.6 Lovforslagets 3-2 sammenholdt med 4-1 Forslagets 3-2 regulerer samarbeidet mellom Sikkerhetsmyndigheten og sektormyndighetene. Videre er det i forslaget til 4-1 gitt bestemmelser om plikt til å gjennomføre sikkerhetstiltak, der Kongen er gitt myndighet til å gå forskrift om nærmere plikter for virksomhetene. BDO støtter utvalgets tilnærming til fordeling av ansvar og roller mellom Sikkerhetsmyndigheten og sektormyndighetene. Det fører imidlertid til at en annen risiko må håndteres, og det er risikoen for at det skjer en dobbeltregulering, og til en viss grad også underregulerte områder (hvis sektormyndigheter ikke tar ansvar). BDO anser at sektorlovgivning om sikkerhet bør videreføres og videreutvikles. Når det gjelder faren for dobbeltregulering og underregulerte områder, er det viktig at Kongen i sin bruk av hjemmel til å gi forskrifter, skaper klarhet i hvilke myndigheter som skal gi forskrifter om hva. BDO mener det er å foretrekke at FD og JD gis myndighet (og plikt) til å vedta eller fremme for Kongen forskrifter om sikring av informasjonssystemer, og muligens også «vanlige» kontorbygg, mens det enkelte fagdepartement får myndighet (og plikt) til å gi sektorspesifikke forskrifter om alle andre typer objekter og infrastruktur. Dette fordi det er umulig å gi gode og tilpassede felles forskrifter for enhver type objekt og infrastruktur. For akkurat informasjonssystemer, og muligens vanlige kontorbygg, stiller dette seg annerledes, fordi typiske sårbarheter og egnede sikringskrav i stor grad vil være av samme art på tvers av sektorene. Dette er et forhold som BDO mener er underkommunisert i utredningen, og som det er viktig å fokusere på i operasjonaliseringen av loven etter at den eventuelt blir vedtatt. 3.7 Lovforslagets 3-3 Forslaget fastsetter at opplysninger som tilsynsmyndigheten innhenter som ledd i tilsynsvirksomheten bare skal nyttes i direkte forbindelse med tilsyn. BDO anser en slik formålsavgrensing som for streng. Det er meget viktig at slike opplysninger kan benyttes av tilsynsmyndigheten også til strategiske analyser av aggregerte opplysninger om tilstanden og utfordringer i en sektor som helhet, om et tverrgående sikkerhetsfaglig tema eller summert på nasjonalt nivå. I resultatet av en slik analyse og bruken av resultatet er det da selvsagt viktig at enkeltvirksomheter ikke «henges ut» ved å bli identifisert - både av

6 hensyn til den fremtidige fortroligheten og tilliten mellom tilsynsorganene og virksomhetene, og av hensyn til å unngå at sårbarheter som kan utnyttes blir synlige for trusselaktører. Det er imidlertid fullt mulig å anonymisere resultatene fra en slik analyse, slik at resultatet ikke kan knyttes til en bestemt virksomhet. I tillegg kan bestemmelsen tolkes til at tilsynsorganet heller ikke kan rapportere selv alvorlige funn videre til ansvarlig departement. Det vises til at avgrensningen i forslaget til 4-6 tredje ledd om hvilke hendelser tilsynsorganet skal/kan rapportere til ansvarlig departement, i denne sammenheng antas å måtte tolkes antitetisk. BDO anser det som meget viktig at tilsynsorganer kan bruke opplysninger fra enkelttilsyn til å foreta strategiske analyser og varsle ansvarlig departementet for sektoren om alvorlige funn hos tilsynsobjektet. 3.8 Lovforslagets 3-6 Forslaget fastsetter at pålegg etter loven bare kan gis dersom det er utvilsomt (vår utheving) at tiltaket er nødvendig for å ivareta lovens formål og kostnadene som påføres virksomheten står i et rimelig forhold til det som kan oppnås ved tiltaket. BDO er enig i at det er viktig at pålegg er relevante og proporsjonale, både av samfunnsøkonomiske hensyn, enkeltvirksomheters økonomiske interesser og personverninteresser. Mange av påleggene som typisk er aktuelle å gi, dreier seg imidlertid ikke om konkrete tiltak etter en fri risikovurdering. Ved f. eks. tilsyn er det normalt slik at det gis pålegg om å «lukke avvik», dvs. sørge for at virksomheten kommer i samsvar med lovens krav hvordan virksomheten velger å gjøre det, er ikke noe tilsynsmyndigheten skal befatte seg med, annet enn å gi veiledning av generell art. Slik bestemmelsen er utformet kan den gi inntrykk av at det ikke kan gis pålegg om å lukke avvik fra kravene, med mindre det er utvilsomt at det er nødvendig og kostnadene er rimelige. I praksis vil mange virksomheter da kunne «risikovurdere seg bort fra» krav i lov og forskrift, fordi det er vanskelig å dokumentere at et nivå utvilsomt er for lavt. Hvis tilsynsmyndigheten på sin side må sannsynliggjøre at et pålegg om å lukke et avvik utvilsomt er nødvendig, legges det etter BDOs oppfatning derfor en for stor bevisbyrde på tilsynsorganet. Formuleringen i bestemmelsen bør derfor revurderes. 3.9 Lovforslagets 4-2 Forslaget til 4-2 fastsetter et krav om å påse at «tilstrekkelig opplæring i sikkerhetsspørsmål» foreligger. BDO er enig i at det er viktig med opplæring i sikkerhet og at det bør fastsettes som et krav i loven. Vi antar at mange vil forstå formulering som primært å omhandle kunnskap og ferdigheter om virksomhetens rutiner for sikkerhet og til en viss grad overordnet regelverk på området. Vel så viktig er imidlertid å skape risikoforståelse, slik at ledere og medarbeidere ut ifra risikofaktorer vil handle riktig ved små og store aktiviteter og hendelser som ikke nødvendigvis er dekket av rutinebeskrivelser. I tillegg fremstår ordet «sikkerhetsspørsmål» i bestemmelsen noe muntlig i formen. BDO foreslår derfor at ordet «sikkerhetsspørsmål» erstattes med uttrykket «risikoforståelse og sikkerhet».

7 3.10 Lovforslagets 4-3 I forslaget til 4-3 er det fastsatt at Sikkerhetsmyndigheten skal gi råd. Bestemmelsen må tolkes i lys av utredningens kap 7.7.3, der utvalget omtaler hva de mener Sikkerhetsmyndighets og andres rolle bør være innen rådgivning. Det fremgår der at utvalget mener Sikkerhetsmyndigheten må gi utstrakt, aktiv og konkret rådgivning til både offentlige myndigheter og andre virksomheter som omfattes av loven. Videre vises det til Nasjonalt kompetansesenter for sikring av bygg (NKSB). BDO vil på både prinsipielt og praktisk grunnlag utfordre synspunktet om at det er Sikkerhetsmyndighetens oppgave å gi utstrakt, aktiv og konkret rådgivning. Slike BDO ser det, bør Sikkerhetsmyndigheten fokusere på overordnede, tverrsektorielle og nasjonale forhold, samt ha spesialiserte kapabiliteter på de områdene det ikke er hensiktsmessig eller mulig å bygge opp flere miljøer nasjonalt. Det bør ikke være en slik myndighets rolle å gi inngående og konkrete råd til en stor mengde enkeltvirksomheter. Ut ifra empiri på området tviler BDO på at det uansett vil være vilje hos bevilgende myndigheter å gi NSM de ressursene som er nødvendige for å gi inngående og konkrete råd til en stor mengde enkeltvirksomheter. Erfaringen over mange år viser at det dessverre er en urealistisk forventning, og det gir falske forhåpninger hos virksomheter som ønsker bistand. I tillegg mener BDO det er viktig at myndighetsorganer ikke konkurrerer med private leverandører, også på dette området. BDO har erfart å tape oppdrag for infrastruktureiere som har valgt å heller benytte NKSB. NKSB skal som forvaltningsorgan kun dekke sine kostnader og har ikke et krav om fortjeneste slik virksomheter i næringslivet har. BDO og andre konsulentselskapet kan åpenbart ikke konkurrere på pris med offentlige tjenesteleverandører, og det fører til konkurransevridning. Hvis det ikke er tilstrekkelige oppdrag til at det kan bygges opp gode kompetansemiljøer hos private tjenesteleverandører innen sikkerhet i Norge, som så kan bistå virksomheter som ikke kan få bistand fra offentlige myndigheter, vil det føre til dårligere samfunnssikkerhet. Samme situasjon vil i realiteten oppstå dersom Sikkerhetsmyndigheten, og da uten å måtte forholde seg til oppdraget som en anskaffelse fra kunden, skal gi inngående og konkrete råd til enkeltvirksomheter. BDO mener ikke med dette at Sikkerhetsmyndighetene ikke skal ha en praktisk tilnærming overfor virksomhetene. Vi mener imidlertid at myndighetene bør fokusere på å oppfylle veiledningsplikten i forvaltningsloven 11 dvs. gi veiledning om hvordan regelverket skal forstås og hvilke metoder virksomhetene bør benytte. Sikkerhetsmyndigheten bør derfor i stedet for å gi råd om konkrete tiltak og løsninger til enkeltvirksomheter, heller gi mer konkrete veiledninger, som retter seg til en ubestemt eller stor krets, gjerne i samarbeid med bransjeorganisasjoner Lovforslagets 4-6 Forslaget til 4-6 fastsetter i første ledd bokstav d at virksomheten omgående skal varsle brudd på sikkerhetskrav i kap. 5, 6 og 7, eller forskrifter, til tilsynsmyndigheten. Bestemmelsen gir ingen vilkår eller unntak i så måte, og må således tolkes som at varslingsplikten gjelder alle sikkerhetsbrudd, uavhengig av alvorlighetsgrad. Kongen er i femte ledd riktignok gitt hjemmel til å gi forskrift om varslingsplikten, men BDO antar hjemmelen - slik den er formulert ikke åpner for at Kongen kan gjøre unntak fra hvilke brudd som skal rapporteres eller med hvilke tidsintervaller.

8 BDO er enig i at en del sikkerhetsbrudd bør varsles til tilsynsmyndigheten. Vi mener imidlertid at bestemmelsen går altfor langt ved at alle sikkerhetsbrudd skal varsles omgående. I praksis vil det i forskriftene være en del krav som det vil begås mindre brudd mot, og der alvorlighetsgraden av det enkelte brudd vil være liten. Det kan f. eks. være enkeltpersoner i en virksomhet som kan komme til å glemme å låse en skapdør, glemme adgangskortet hjemme eller ikke «låse» skjermen for innlogging når de forlater kontoret en kort stund. Dette er sikkerhetsbrudd som skjer den enkelte sjelden, men som i en stor virksomhet som helhet skjer rett som det er og over tid kan utgjøre et ikke ubetydelig antall. Normalt skjer det ingen skade ved slike sikkerhetsbrudd. Det fremstår som uhensiktsmessig og unødvendig byråkratiserende både for virksomhetene og tilsynsmyndighetene at alle slike sikkerhetsbrudd skal rapporteres omgående. Det er også grunnen til at det i gjeldende forskrift om sikkerhetsadministrasjon, gitt med hjemmel i sikkerhetsloven, er presisert nærmere hvilke sikkerhetsbrudd (som anses så alvorlige at) de skal rapporteres til andre organer, jf. også NSMs rundskriv 1/11. I den grad slike brudd er av interesse for en tilsynsmyndighet, er det i så fall i aggregert form ved f. eks. en årlig rapportering av det samlede antall sikkerhetsbrudd. BDO anbefaler derfor at bestemmelsens utforming revurderes Lovforslagets 7-2 Forslaget til 7-2 fastsetter at klassifisering av objekter og infrastruktur skal skje på bakgrunn av en «risiko- og sårbarhetsanalyse». BDO anser at klassifisering av objekter og infrastruktur bør skje på bakgrunn av en verdivurdering. I verdivurderingen bør det inngå en vurdering av skapepotensialet ved redusert funksjonalitet. Det er slik tilnærmingen er for gradering av informasjon både i gjeldende sikkerhetslov 11 og utvalgets lovforslag 5-1, og det er også tilnærmingen for klassifisering etter gjeldende sikkerhetslov 17a. BDO mener det er uheldig og lite pedagogisk at det er annen tilnærming ved klassifisering av objekter og infrastruktur, enn ved gradering av informasjon. I tillegg mener BDO det er fare for at bestemmelsen, slik den er formulert, fører til at objekter og infrastruktur ikke blir klassifisert med den begrunnelse at trusselnivået er lavt eller at sårbarheten er lav. BDO kjenner til at det også i dag er enkelte virksomheter som har en slik tilnærming i klassifiseringen, selv om det er i strid med gjeldende bestemmelser. Videre er det en logisk brist i den forstand at plikten til å utarbeide risiko- og sårbarhetsanalyser for objekter og infrastruktur naturlig nok - først inntrer i det et objekt eller en infrastruktur har blitt klassifisert. Før klassifiseringen skjer er det altså ikke plikt etter loven til å vurdere f. eks. sårbarheten ved objektet eller infrastrukturen. BDO anbefaler derfor at uttrykket «risiko- og sårbarhetsanalyse» erstattes med «verdivurdering» Lovforslagets 7-1 til 7-3 Utvalgets tilnærming til sikring av objekter og infrastruktur er i utredningen knyttet til det som er av kritisk betydning for grunnleggende nasjonale funksjoner, uttrykt spesielt i 7-1 til 7-3. BDO er enig i viktigheten av å inkludere infrastruktur og dermed få en mer systemrettet tilnærming til hva som skal sikres og hvordan. Samtidig er vi bekymret for at forslaget ikke tar med objekter som kan utnyttes til å påføre befolkningen og det ytre miljøet meget store eller

9 langvarige skader. Det vises i denne sammenheng til at gjeldende sikkerhetslov i 17 første ledd bokstav d har en slik kategori som grunnlag for utvelgelse av skjermingsverdige objekter. Dette er objekter som ikke behøver å ha en kritisk funksjon for samfunnet, men som ved rettstridig overtakelse eller tyveri av materiale derfra, kan utnyttes til omfattende skade på andre. Et eksempel er atomreaktorer for forskningsformål eller store giftdeponier. Dersom denne typen objekter, slik BDO forstår utvalgets forslag, ikke lenger skal (kunne) omfattes av sikkerhetsloven, må det utredes nærmere hvilke andre sikkerhetsregelverk disse i stedet skal/kan underlegges, og om det vil være en tilstrekkelig regulering ut ifra det skadepotensialet objektene representerer Lovforslagets 8-2 sammenholdt med 8-12 Forslagets 8-2 fjerde ledd fastsetter at virksomheter løpende skal orientere Sikkerhetsmyndigheten om hvilke personer som er autorisert. Bestemmelsen må sammenholdes med 8-12 første ledd bokstav c om at Sikkerhetsmyndigheten på anmodning fra Politiets sikkerhetstjeneste (PST) skal gi informasjon om klarerte personers tjenestested. I utredningen er denne plikten begrunnet i at det er viktig for PSTs arbeid å vite hvor personer som kan utgjøre en risiko tjenestegjør, samt at det uansett er nyttig for Sikkerhetsmyndigheten å vite hvor alle autoriserte til enhver tid tjenestegjør. BDO mener bestemmelsen er altfor vidtgående. Vi støtter forslaget om at Sikkerhetsmyndigheten skal informere PST om klareringsstatus for personer med tilknytning til andre stater. Vi mener imidlertid at det fremstår uproporsjonalt ut ifra samfunnsøkonomiske hensyn, men også unødvendig, at den enkelte virksomhet skal rapportere om hvem de har autorisert. Dersom Sikkerhetsmyndigheten og PST har behov for å vite hvilken arbeidsgiver personene dette gjelder har, antar vi det vil være langt enklere at Sikkerhetsmyndigheten eller PST selv knytter opplysninger fra Arbeidsgiver- og arbeidstaker registeret (Aa-registeret) opp mot enten klareringsregisteret eller bare opp mot de opplysningene som PST mottar. Aa-registeret er et register med lav sensitivitet, som mange offentlige virksomheter har tilgang til, og bør være uproblematisk at også Sikkerhetsmyndigheten og PST kan benytte. Dersom en rapportering skal skje slik utvalget foreslår, medfører det en samlet sett meget stor arbeidsmengde for virksomheter eller Sikkerhetsmyndigheten. Alle virksomheter med autorisert personell, som i sum antas å utgjør over personer, må da antakeligvis enten gis tilgang til å legge opplysninger direkte inn i klareringsregisteret, eller sende dette manuelt til Sikkerhetsmyndigheten som så legger det inn, med de kostnader det medfører. BDO anbefaler derfor at nevnte bestemmelser revurderes, og da spesielt opp imot alternative måter å oppnå samme målsetning på Lovforslagets 8-7 Forslagets 8-7 fjerde ledd fastsetter at det ved personkontroll ifm. sikkerhets- og adgangsklarering skal innhentes opplysninger fra offentlige registre. Private registre er ikke nevnt. BDO anser det som viktig at det ved personkontroll også kan innhentes opplysninger fra enkelte private registre, og da spesielt kredittopplysninger. Det er da også hjemmel for slik innhenting i gjeldende regelverk og det BDO kjenner til at hjemmelen også benyttes. Det er

10 mulig at det ikke har vært intensjonen å avskjære adgangen til å innhente kredittopplysninger, men det er i tolkningen av bestemmelsen vanskelig å komme til et annet resultat enn det ordlyden sier. BDO anbefaler derfor at bestemmelsen endres slik at det også gis hjemmel til å innhente kredittopplysninger, samt eventuelle andre relevante opplysninger i private registre der det ikke anses å utgjøre et uforholdsmessig inngrep i personvernet Lovforslagets 8-16 I forslagets 8-16 første ledd er det vist til en konkret forskrift (forskrift om personellsikkerhet). BDO anser det uheldig å vise til en konkret forskrift i lover. Det er også et brudd på regeltekniske normer. Forskrifter vedtas først etter at en lov er fastsatt. Det er viktig at loven ikke sementerer eksisterende forskrifter eller tittelen på disse, og at Kongen gis frihet til å oppheve, endre og titulere forskrifter. BDO antar at henvisningen skyldes en inkurie. BDO mener det bør revurderes om det overhode skal vises til at en forskrift kan gi unntak fra lovbestemmelsens utgangspunkt om at forvaltningsloven kap. VI gjelder tilsvarende. Hensikten med at lovgiver fastsetter bestemmelser om individers klageadgang overfor forvaltningen, er at forvaltningen ikke selv skal bestemme hvilke sentrale rettigheter og plikter som gjelder på området. Ved å åpne for unntak fra klageregler i lov kan gis ved forskrift, kan forvaltningen (Kongen) i prinsippet gjøre alle de unntak forvaltningen måtte se seg tjent med, selv om det går ut over rettssikkerheten. Eventuelle unntak bør derfor fastsettes direkte i loven Lovforslagets 9-1 Forslagets 9-1 fastsetter at reglene for sikkerhetsgradert anskaffelse gjelder der leverandøren har tilgang til et skjermingsverdig objekt eller infrastruktur. I utredningen og lovforslaget for øvrig, veksles det mellom å beskrive risikoen ved tilgang i betydningen at personell fra leverandøren får adgang til objektet, og risiko ifm. at leverandøren kan råde over objektet eller infrastrukturen. BDO vil gjøre oppmerksom på at reglene om sikkerhetsgraderte anskaffelser eller gjeldende sikkerhetslov, er basert på prinsippet om at reglene kommer til anvendelse først hvis leverandører besitter gradert informasjon fra kunden i sine lokaler eller systemer. Det at personell fra leverandøren, f. eks. konsulenter eller håndverkere, får tilgang til gradert informasjon i kundens lokaler og systemer, utløser ikke krav om sikkerhetsavtale eller leverandørklarering. En del andre land har et to-nivåsystem for sikkerhetsgraderte anskaffelser, der det laveste sikkerhetsnivået er at personell fra leverandøren kun får tilgang som nevnt i kundens lokaler og systemer, og det høyeste nivået er der leverandøren besitter gradert informasjon i sine egne lokaler og systemer. Slik forslaget er utformet fremstår det som uklart for BDO om utvalget mener det skal foreligge sikkerhetsavtale og leverandørklarering også der tilgangen kun består i at personell fra leverandøren får adgang til objekt og infrastruktur som kundens og ikke leverandøren råder over.

11 3.18 Lovforslagets 9-3 Forslagets 9-3 fastsetter at det er Sikkerhetsmyndigheten som er klareringsmyndighet for leverandørklareringer. BDO anser det som meget uheldig at klareringsmyndigheten for leverandørklareringer fastsettes direkte i loven. Det er noe som bør overlates til Kongen å fastsette, etter hva som anses formålstjenlig ut i fra ulike hensyn, herunder organisatoriske forhold. Til sammenligning er det slik det er løst i 8-4 om klareringsmyndighet for personklareringer. BDO mener det kan være gode grunner til at myndigheten til å gi leverandørklarering legges til de to klareringsmyndighetene som Kongens skal utpeke for personklareringer, og at Sikkerhetsmyndigheten da får samme rolle som for personklareringer, dvs. virksomhetskontroll, fagmyndighet, klageinstans og tilsynsmyndighet. I tillegg til en riktigere fordeling av ansvar og roller, vil det også kunne gi synergier, jf. femte ledd i paragrafen som fastsetter at reglene i kap. 8 om personellsikkerhet gjelder for leverandørklareringer så langt de passer. Dersom det fastsettes direkte i loven at det er Sikkerhetsmyndigheten som skal være klareringsmyndighet for leverandørklareringer, fratas Kongen en mulighet til å beslutte en annen og bedre fordeling av ansvar og roller på området. Ut ifra ovennevnte resonnement mener BDO at det ikke bør stå i loven at Sikkerhetsmyndigheten er klareringsmyndighet for leverandørklareringer. Det bør heller overlates til Kongen å fastsette hvem som er leverandørklareringsmyndighet, slik som for personklareringer. Det kan videre være bedre at NSM rendyrkes som klageinstans også for leverandørklareringer, og at de nye myndighetene for personklarering (den sivile og den militære klareringsmyndigheten) også blir klareringsmyndighet for leverandørklareringer Lovforslagets 10-1 Forslagets 10-1 fastsetter bestemmelser for eierskapskontroll. BDO støtter forslaget og mener det er et viktig og riktig reguleringstiltak. Ordlyden gjelder imidlertid bare utenlandske rettssubjekters erverv. Bestemmelsene kan søkes omgått ved at norske selskaper som kontrolleres av utenlandske eiere for øvrig, brukes som investeringsselskaper. Dette kan være en utfordring i forhold til PE-bransjen som ofte bruker fond registrert utenlands til å kjøpe selskaper i Norge. Denne problemstillingen er slik BDO forstår det delvis omtalt i utredningens merknader til bestemmelsen. BDO mener imidlertid bestemmelsens ordlyd burde vært tydeligere på dette punktet. Med vennlig hilsen BDO AS Karl-Ludvig Mauland Partner