Foto: Carl Erik Eriksson OBN, jun 2019 Sikkerhetsloven og kommunen - noen refleksjoner og erfaringer KINS, 5. juni 2019
Bestillingen: - Kan du dele din erfaring med hvordan sikkerhetsloven treffer kommunen?
Kjøreplan 1. Hva gjør vi i Trondheim? 2. Sikkerhetsloven med forskrifter. 3. Hva treffer en kommune?
Trondheim kommune (1) - Startet for alvor for 2 år siden, virksomhetsikkerhetsforskriften (Forskrift om virksomhetens arbeid med forebyggende sikkerhet) - Utløsende var grenseflaten mot FM, Politiet, PST, Forsvaret, og objektseiere. Vi opplevde å bli stengt ute fra informasjon som var gradert, hadde ikke nok klarert personell, eller verktøy. -Analyse pekte på noen aktuelle områder vi selv eier ; kriseledelse, SLT, annet samarbeid med PST/Politi, hemmelig adresse /krisesenter, V&A, og Trondheim Havn. Etterhvert også Helseplattformen, Byplan,Plan og bygning, Kommunalteknikk, og Analysesenteret. -
Trondheim kommune (2) - Etablerte sikkerhetsorg med sikkerhetssjef, stedfortredende sikkerhetssjef, informasjonssikkerhetssjef, og kryptosjef. Startet kompetansebygging. Ingen ekstra ansatte. - Etablerte underutvalg; objektsikkerhet, personellsikkerhet, informasjonssystemsikkerhet -Sikkerhetsklarert et antall personer H og K. Vurderer rutine for B. -Gradert ROS-prosjekt sammen med Ørland og Stjørdal og FMTL, internasjonal krise, hybrid angrep mot Midt-Norge -
Sikkerhetsloven Kapittel 1. Formål og virkeområde ( 1-1 - 1-5) Kapittel 2. Ansvar og myndighet for forebyggende sikkerhetsarbeid ( 2-1 - 2-5) Kapittel 3. Tilsyn ( 3-1 - 3-6) Kapittel 4. Generelle krav til forebyggende sikkerhetsarbeid ( 4-1 - 4-5) Kapittel 5. Informasjonssikkerhet ( 5-1 - 5-6) Kapittel 6. Informasjonssystemsikkerhet ( 6-1 - 6-6) Kapittel 7. Objekt- og infrastruktursikkerhet ( 7-1 - 7-5) Kapittel 8. Personellsikkerhet ( 8-1 - 8-17) Kapittel 9. Sikkerhetsgraderte anskaffelser mv. ( 9-1 - 9-4) Kapittel 10. Eierskapskontroll ( 10-1 - 10-3) Kapittel 11. Særskilte kontroll- og tilsynsordninger. Tvangsmulkt, overtredelsesgebyr og straff ( 11-1 - 11-4) Kapittel 12. Ikrafttredelse og endringer i andre lover ( 12-1 - 12-2)
Forskrifter til sikkerhetsloven Forskrift om virksomheters arbeid med forebyggende sikkerhet (virksomhetsikkerhetsforskriften) Forskrift om sikkerhetsklarering og annen klarering (klareringsforskriften) Forskrift om kryptosikkerhet Ikraftsetting av lov 1. juni 2018 nr. 24 om nasjonal sikkerhet med overgangsregler, fordeling av myndighet, videreføring av forskrifter m.m. Forskrift om utenlandske fartøyers anløp til og ferdsel i norsk territorialfarvann Forskrift om militære forbudsområder Forskrift om militære forbudsområder innen Sjøforsvaret Forskrift om sikkerhetslovens anvendelse for Svalbard og Jan Mayen Osv.
1-1 Formål: Loven skal bidra til. a) å trygge Norges suverenitet, territorielle integritet og demokratiske styreform og andre nasjonale sikkerhetsinteresser b) å forebygge, avdekke og motvirke sikkerhetstruende virksomhet c) at sikkerhetstiltak gjennomføres i samsvar med grunnleggende rettsprinsipper og verdier i et demokratisk samfunn
1-2 Hvem loven gjelder for Loven gjelder for statlige, fylkeskommunale og kommunale organer. Loven gjelder for leverandører av varer eller tjenester i forbindelse med sikkerhetsgraderte anskaffelser etter kapittel 9. For virksomheter på Svalbard, Jan Mayen osv.
1-5 Definisjoner 1. nasjonale sikkerhetsinteresser: e) samfunnets grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhet. 2. grunnleggende nasjonale funksjoner (GNF): tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser 3. forebyggende sikkerhetsarbeid: planlegging, tilrettelegging, gjennomføring og kontroll av forebyggende tiltak mot sikkerhetstruende virksomhet og følger av slik virksomhet 4. sikkerhetstruende virksomhet: tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser
Kapittel 4 generelle krav til forebyggende sikkerhetsarbeid - Sikkerhetsstyring ( 4-1) - Vurdering av risiko ( 4-2) - Gjennomføringsplikt; sikkerhetstiltak, og øvelser ( 4-3) - Dokumentasjonskrav ( 4-4) - Varslingsplikt ( 4-5)
Kapittel 5 Informasjonssikkerhet - Skjermingsverdig informasjon ( 5-1) - Beskyttelse av skjermingsverdig informasjon ( 5-2) - Sikkerhetsgradert informasjon B,K,H,SH ( 5-3) - Tilgang til og taushetsplikt ( 5-4) - Tekniske sikkerhetsundersøkelser ( 5-5) - Kryptosikkerhet ( 5-6)
Kapittel 6 Informasjonssystemsikkerhet - Skjermingsverdige informasjonssystem ( 6-1) - Beskyttelse av skjermingsverdige informasjonssystem ( 6-2) - Godkjenning av skjermingsverdige informasjonssystem ( 6-3) - Overvåking av skjermingsverdige informasjonssystem ( 6-4) - Inntrengningstesting av skjermingsverdige informasjonssystemer ( 6-5) - Kommunikasjons- og innholdskontroll av informasjonssystemer ( 6-6)
Kapittel 7 Objekt og infrastruktursikkerhet - Skjermingsverdige objekter og infrastruktur ( 7-1) - Klassifisering av skjermingsverdige objekter og infrastruktur ( 7-2) - Beskyttelse av objekter og infrastruktur ( 7-3) - Testing av sikkerhetstiltak ( 7-4) - Forbud mot adgang til steder og områder ( 7-5)
Kapittel 8 Personellsikkerhet - Krav om sikkerhetsklarering, adgangsklarering, og autorisasjon ( 8-1) - Sikkerhetsklarering ( 8-2) - Adgangsklarering ( 8-3) - Avgjørelse om klarering ( 8-4) - Gjennomføring av personkontroll ( 8-5) - Bruk av vilkår ved klarering ( 8-6) - Klarering av personer med utenlands statsborgerskap ( 8-7) - Tilbakekallelse, nedsettelse eller suspensjon av klarering ( 8-8) - Autorisasjon ( 8-9) - Nedsettelse, suspensjon, og tilbakekallelse av autorisasjon ( 8-10) - Varslingsplikt om forhold som kan påvirke sikkerhetsmessig skikkethet - Utlevering av informasjon til Politiets sikkerhetstjeneste ( 8-12) - Begrunnelse for og melding om avgjørelse i klareringssaker ( 8-13) - Innsyn i klareringssaker ( 8-14) -Oversendelse til særskilt oppnevnt advokat ( 8-15) - Klareringsmyndigheter og sentralt register for klareringsavgjørelser ( 8-16) - Klage på avgjørelse om klarering ( 8-17)
Kapittel 9 Sikkerhetsgraderte anskaffelser - Sikkerhetsgraderte anskaffelser ( 9-1) - Sikkerhetsavtale med leverandør ( 9-2) - Leverandørklarering ( 9-3) - Varslingsplikt og myndighet til å fatte vedtak ved anskaffelser til skjermingsverdig informasjonssystem, objekt, og infrastruktur( 9-4)
Læringspunkter (1): - Vi har fått tilgang til nye opplysninger - Kommuner har sikkerhetsobjekter uten å vite om/eie dem. - Sikkerhetsloven er omfattende og kompleks for de som aldri har hatt med den å gjøre før. Det tar tid å bygge kompetanse og struktur. - NSM har lagt ut en mengde informasjon på sine sider. Meget bra, noe henger litt etter ifm ny lov. - Dokumentasjonskrav er krevende risikovurderinger er så mangt (ROS, VTS, verdianalyse, osv).
Læringspunkter (2): - Virksomhetsikkerhetsforskriften er god. Anbefales! - Personellklarering er ressurskrevende, og reiser mange dilemma ift utlendinger. Sivil klareringsmyndighet er strenge. - Vi har identifisert store sårbarheter men usikker på hvordan vi skal håndtere dem! Bortfall av strømforsyning, ekom, vann, er ikke en GNF, men kritisk for byen. KMD? - Beskyttelsesinstruksen. - Savner digital meldingsformidler for forvaltningen klarert for B.
Klassifisering, Trondheim kommune
Noen råd: - Start med et forprosjekt - Bygg kompetanse hos noen nøkkelpersoner Bli kjent med lov/forskrift, og veiledningdokumenter (se nsm.stat.no) - Gjør en grovanalyse/ros : - noen aktuelle GNF-objekt i kommunen? - samarbeid med FM, Forsvaret, politi/pst som gir/kan gi behov for å utveksle graderte opplysninger? - ønsker å kunne ta i bruk sikkerhetsloven/ beskyttelsesinstruksen for å ha flere verktøy i kassen? -Hvis ja : Bygg en sikkerhetsorganisasjon, start jobben! - Vurder ISO 27000 og CIM som verktøy
Sektorer og samarbeid på tvers Et sentralt tema for Traavik-utvalget, som også ligger til grunn for utformingen av lovforslaget, er avveiningen mellom behovet for en helhetlig og sektorovergripende tilnærming til forebyggende sikkerhet på den ene siden og ivaretakelse av den enkelte samfunnssektors særegenheter og ekspertise på den andre. Traavik-utvalget konkluderer med at den beste løsningen for balansert ivaretakelse av begge aspekter er ett felles regelverk for alle samfunnssektorer
Hva er nytt? Mer handlingsrom for virksomhetene (fra direkte krav til egenvurdering) Mer vekt på forebyggende arbeid Mer vekt på balanse mellom infosikkdimensjonene konfidensialitet, integritet og tilgjengelighet Enklere språk (?)
Kapittel 10 Eierskapskontroll - Meldeplikt ved erverv av virksomhet ( 10-1) - Behandling av melding om erverv av virksomhet ( 10-2) - Vedtak om stans av erverv av virksomhet ( 10-3)