IKKE I KRAFTIKKE I KRAFTIKKE I KRAFTIKKE I KRAFTIKKE I KRAFTIKKE I KRAFTIKKE I KRAFTIKKE I KRAFT

Lov om endringer i sikkerhetsloven (reduksjon av antall klareringsmyndigheter mv.)

DatoLOV-2016-08-12-78
DepartementForsvarsdepartementet
Sist endret
PublisertI 2016 hefte 11
IkrafttredelseKongen bestemmer
EndrerLOV-1998-03-20-10
Kunngjort12.08.2016   kl. 14.00
KorttittelEndringslov til sikkerhetsloven

Kapitteloversikt:

I

I lov 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste gjøres følgende endringer: 

§ 2 fjerde til åttende ledd skal lyde:

§ 29 a gjelder for alle anskaffelser til kritisk infrastruktur. Kongen kan gi forskrift om identifisering av kritisk infrastruktur og om informasjon til rettssubjekter som eier eller rår over kritisk infrastruktur.

Loven gjelder for domstolene med de særregler som følger av bestemmelsene om sikkerhetsklarering og autorisasjon i og i medhold av domstolloven og straffeprosessloven. Kongen kan fastsette ytterligere særregler.

Bestemmelsene gitt i og i medhold av lovens kapittel 6 om personellsikkerhet gjelder ikke for regjeringens medlemmer og dommere i Høyesterett.

Loven gjelder ikke for Stortinget, Riksrevisjonen, Stortingets ombudsmann for forvaltningen og andre organer for Stortinget.

Loven gjelder for Svalbard og Jan Mayen i den utstrekning Kongen bestemmer. 

§ 3 første ledd nytt nr. 21 skal lyde:

21.Kritisk infrastruktur; anlegg og systemer som er nødvendige for å opprettholde samfunnets grunnleggende behov og funksjoner. 

Ny § 5 a skal lyde:

§ 5 a. Varslingsplikt og myndighet til å fatte vedtak ved risiko for sikkerhetstruende virksomhet

En virksomhet som får kunnskap om en planlagt eller pågående aktivitet som kan medføre en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført, skal varsle overordnet departement om dette. Dersom den varslingspliktige virksomheten ikke er underlagt noe departement, skal varselet gis til Forsvarsdepartementet. Varslingsplikten gjelder uten hinder av lovbestemt taushetsplikt. Ved behandling av varsel etter første og andre punktum bør det innhentes rådgivende uttalelser fra relevante organer med kompetanse innenfor det aktuelle fagområdet.

Kongen i statsråd kan fatte nødvendige vedtak for å hindre en planlagt eller pågående aktivitet som nevnt i første ledd første punktum. Et slikt vedtak kan fattes uten hensyn til begrensningene i forvaltningsloven § 35, og uavhengig av om aktiviteten er tillatt etter annen lov eller annet vedtak. Vedtak etter første punktum er særlig tvangsgrunnlag etter tvangsfullbyrdelsesloven kapittel 13.

Kongen i statsråd kan gi forskrift om varslingsplikten i første ledd og om hvilke vedtak som kan fattes etter andre ledd. 

§ 9 første ledd bokstav e og f skal lyde

e)drive en nasjonal responsfunksjon for alvorlige dataangrep mot kritisk infrastruktur og et nasjonalt varslingssystem for digital infrastruktur,
f)gi informasjon, råd og veiledning til virksomheter. 

I kapittel 3 skal ny § 10 a lyde:

§ 10 a. Behandling av personopplysninger

Når det er nødvendig for å utføre oppgavene etter § 9 første ledd bokstav e, kan Nasjonal sikkerhetsmyndighet behandle personopplysninger i form av

a)metadata om IKT-trafikk til og fra virksomheter som er knyttet til det nasjonale varslingssystemet for digital infrastruktur
b)informasjon som er nødvendig for å analysere utløste alarmer i varslingssystemet
c)IP-adresser mottatt fra nasjonale og internasjonale samarbeidspartnere
d)logger og infisert maskinvare, etter samtykke fra en virksomhet der dette er nødvendig i forbindelse med bistand til håndtering av alvorlige dataangrep.

I andre tilfeller enn nevnt i første ledd, kan personopplysninger også behandles når dette er strengt nødvendig for å ivareta oppgavene etter § 9 første ledd bokstav e, og behandlingen etter en konkret vurdering framstår som både nødvendig og proporsjonal i forhold til det inngrepet den representerer i personvernet.

Kongen kan gi forskrift om Nasjonal sikkerhetsmyndighets behandling av personopplysninger. 

Ny § 13 a skal lyde:

§ 13 a. Sikkerhetsmessig overvåking av godkjente informasjonssystemer

Den enkelte virksomhet skal kontinuerlig overvåke et godkjent informasjonssystem for sikkerhetstruende hendelser mot informasjonssystemet eller informasjon i systemet, fortrinnsvis ved bruk av automatisert systemovervåking. Sikkerhetsrelevante hendelser skal registreres.

Informasjon som utveksles mellom systemer, på tvers av autorisasjonsskiller eller til bærbare lagringsmedier, skal registreres og lagres.

Flere virksomheter som er tilknyttet samme informasjonssystem, kan avtale at en av virksomhetene skal forestå overvåking og registrering etter første og andre ledd på vegne av den ansvarlige virksomheten.

Informasjon registrert etter første og andre ledd skal lagres i fem år. Slik informasjon skal kun benyttes for å håndtere sikkerhetstruende hendelser.

Den enkelte virksomhet skal påse at autoriserte brukere av informasjonssystemer som overvåkes i henhold til denne bestemmelse får informasjon om formålet med behandlingen, om de tiltak som er iverksatt, om informasjonen vil bli utlevert og eventuelt om hvem som er mottaker.

Kongen kan gi forskrift om

a)hvilke typer data som kan eller skal registreres og lagres
b)hvem som skal ha tilgang til registrert og lagret data
c)hvordan tilgang skal gis
d)unntak fra lagringstid på fem år. 

§ 23 skal lyde:

§ 23. Autorisasjonsansvarlig og klareringsmyndighet

Autorisasjon kan gis dersom autorisasjonsansvarlig ikke har opplysninger som gjør det tvilsomt om vedkommende sikkerhetsmessig er til å stole på. Autorisasjon gis normalt av virksomhetens leder. Autorisasjon skal ikke gis før det foreligger melding om sikkerhetsklarering, med unntak for de tilfeller som er beskrevet i § 19 tredje ledd, og en autorisasjonssamtale er avholdt. Nasjonal sikkerhetsmyndighet gir nærmere regler om autorisasjon og om hvem som er autorisasjonsansvarlig.

Kongen utpeker en klareringsmyndighet for forsvarssektoren og en for den sivile sektoren. Kongen kan utpeke andre klareringsmyndigheter når særlige grunner taler for det. Etterretnings- og sikkerhetstjenestene klarerer eget personell. 

§ 28 første ledd andre punktum skal lyde:

Kongen gir forskrift om gyldighetstiden for leverandørklareringer. 

Kapittel 7 overskriften skal lyde:

Kapittel 7. Sikkerhetsgraderte anskaffelser og anskaffelser til kritisk infrastruktur 

I kapittel 7 skal ny § 29 a lyde:

§ 29 a. Varslingsplikt og myndighet til å fatte vedtak ved anskaffelser til kritisk infrastruktur

Ved anskaffelser til kritisk infrastruktur skal det foretas en risikovurdering. I vurderingen skal det tas stilling til om anskaffelsen innebærer en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført mot eller ved bruk av infrastrukturen. Plikten til å foreta en risikovurdering gjelder ikke dersom det framstår som åpenbart at anskaffelsen ikke kan innebære noen slik risiko.

En virksomhet som eier eller rår over kritisk infrastruktur, skal varsle overordnet departement dersom en risikovurdering som nevnt i første ledd konkluderer med at anskaffelsen kan innebære en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført. Virksomheter som ikke er underlagt noe departement, skal varsle Forsvarsdepartementet. Varslingsplikten gjelder uten hinder av lovbestemt taushetsplikt. Plikten gjelder ikke dersom virksomheten selv iverksetter risikoreduserende tiltak som fjerner risikoen, eller gjør den ubetydelig.

Et departement som mottar varsel etter andre ledd, bør innhente en rådgivende uttalelse fra relevante organer om leveransens risikopotensial, og leverandørers sikkerhetsmessige pålitelighet.

Dersom en anskaffelse til kritisk infrastruktur kan medføre en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført, kan Kongen i statsråd fatte vedtak om at anskaffelsen skal nektes gjennomført, eller om at det settes vilkår for gjennomføringen. Dette gjelder også dersom det allerede er inngått avtale om anskaffelsen. Dersom det ikke fattes vedtak etter første punktum, skal departementet underrette virksomheten om dette. Vedtak etter første punktum er særlig tvangsgrunnlag etter tvangsfullbyrdelsesloven kapittel 13.

Kongen i statsråd kan gi forskrift om anskaffelser til kritisk infrastruktur.

II

Loven gjelder fra den tid Kongen bestemmer. Kongen kan bestemme at de forskjellige bestemmelsene skal tre i kraft til forskjellig tid.