Forskrift om objektsikkerhet

DatoFOR-2010-10-22-1362
DepartementForsvarsdepartementet
PublisertI 2010 hefte 12
Ikrafttredelse01.01.2011
Sist endret
Endrer
Gjelder forNorge
HjemmelLOV-1998-03-20-10-§17
Kunngjort26.10.2010   kl. 14.00
KorttittelForskrift om objektsikkerhet

Kapitteloversikt:

Hjemmel: Fastsatt ved kgl.res. 22. oktober 2010 med hjemmel i lov 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste (sikkerhetsloven) § 17 andre ledd. Fremmet av Forsvarsdepartementet.

Kapittel 1. Alminnelige bestemmelser

§ 1-1.Formål og virkeområde

Forskriften har samme formål og virkeområde som sikkerhetsloven.

§ 1-2.Forkortelser og definisjoner

Nasjonal sikkerhetsmyndighet er i denne forskrift forkortet til NSM.

Med virksomhet menes i denne forskrift den som eier eller på annen måte råder over objekt før det er tatt stilling til om objektet er skjermingsverdig.

Med objekteier menes i denne forskrift virksomhet eller person som eier eller på annen måte råder over skjermingsverdig objekt.

§ 1-3.Forholdet til sektorlovgivning og sektormyndigheter

Der det finnes relevante og tilstrekkelige bestemmelser innenfor sektorlovgivningen, og det er etablert tilsynsorgan, går disse foran bestemmelsene i denne forskriften.

Hvert enkelt departement som er gitt myndighet etter denne forskriften, kan delegere myndigheten videre til et tilsynsorgan for sektoren.

Kapittel 2. Utvelgelse og klassifisering av skjermingsverdige objekter

§ 2-1.Utpeking av skjermingsverdige objekter

Hvert enkelt departement utpeker skjermingsverdige objekter innen sitt myndighetsområde.

Virksomheten skal overfor vedkommende fagdepartement levere en dokumentert skadevurdering over hvilke objekter som kan være skjermingsverdige.

Der det finnes tilsynsorgan for sektoren, kan disse foreslå skjermingsverdige objekter uavhengig av objekteiers forslag. NSM kan også foreslå skjermingsverdige objekter for departementene.

Utvelgelsen skal ikke skje i større utstrekning enn nødvendig.

Dersom et objekt er avhengig av andre objekter for å kunne fungere etter sin hensikt, skal dette meddeles virksomhet som rår over det understøttende objekt. I meddelelsen skal avhengighetsgrad og skadefølger beskrives slik at dette kan inngå i vurderingsgrunnlaget ved klassifisering av det understøttende objekt jf. § 2-2.

Dersom et objekt foreslås som skjermingsverdig hos en virksomhet som ikke er underlagt sikkerhetsloven, skal det departement som har ansvar for vedkommende sektor ta initiativ til å bringe saken inn for Forsvarsdepartementet for å avgjøre om sikkerhetsloven skal gjøres gjeldende for den aktuelle virksomheten, jf. sikkerhetsloven § 2 tredje ledd.

§ 2-2.Klassifiseringen

Vedkommende departement skal fastsette klassifiseringsgrad for objekter innen sitt myndighetsområde.

Klassifisering av skjermingsverdige objekter skal skje etter en vurdering slik det er beskrevet i sikkerhetsloven § 17a. Det skal også tas hensyn til følgende:

a.Det skal ikke brukes høyere klassifiseringsgrad enn nødvendig.
b.Bare skjermingsverdige deler av objektet skal omfattes av klassifiseringen, og objektet kan inndeles i forskjellige klassifiseringsgrader.

Ved klassifiseringen skal det tas hensyn til objektets betydning for andre objekter.

§ 2-3.Omklassifisering

Ved endring av forhold som er relevante for skadevurderingen av objektet i henhold til sikkerhetslovens § 17, skal vedkommende fagdepartement foreta en ny skadevurdering og eventuelt en omklassifisering. Det forutsettes at objekteier melder inn forhold som tilsier en ny slik skadevurdering.

Omklassifisering kan foretas for å gi et objekt høyere (oppklassifisering) eller lavere (nedklassifisering) klassifiseringsgrad eller for å avklassifisere objektet. Omklassifisering kan gjelde hele objektet eller kun deler av det.

Et avklassifisert objekt regnes ikke som skjermingsverdig objekt etter sikkerhetsloven.

§ 2-4.Registrering og koordinering

De enkelte departementer skal føre register over skjermingsverdige objekter og klassifiseringen av disse innen eget myndighetsområde.

Alle skjermingsverdige objekter skal meldes til NSM med angivelse av klassifiseringsgrad. Ved omklassifisering etter § 2-3, skal endringer i tidligere foretatt klassifisering meldes til NSM.

Opplysning om at et objekt er sikkerhetsklassifisert er ugradert. Opplysning om hvilken klassifiseringsgrad et skjermingsverdig objekt har, skal sikkerhetsgraderes minst BEGRENSET. En oversikt over samtlige eller større antall av skjermingsverdige objekter med angivelse av klassifisering, skal sikkerhetsgraderes minst KONFIDENSIELT.

NSM skal i samarbeid med fagdepartementene ivareta nødvendig koordinering, slik at det blir tatt hensyn til tverrsektoriell avhengighet ved utvelgelse og klassifisering.

Kapittel 3. Beskyttelse av skjermingsverdige objekter

§ 3-1.Generelle krav til beskyttelsen

Sikkerhetstiltakene som skal implementeres etter sikkerhetsloven § 17b skal planlegges, gjennomføres og vedlikeholdes som permanent grunnsikring for objektene. Objekteier skal også planlegge for og gjennomføre påbygging av grunnsikringen ved økt risiko, jf. forskrift om sikkerhetsadministrasjon § 3-4.

Grunnsikringen skal oppfylle kravene innen den aktuelle klassifiseringsgrad, jf. sikkerhetsloven § 17b. Tiltakene skal bestå av en kombinasjon av barrierer, deteksjon, verifikasjon og reaksjon som er tilpasset det enkelte objekt.

Barrierer skal forhindre eller redusere muligheten for at sikkerhetstruende hendelser kan inntreffe. Barrierene kan være av fysisk, elektronisk eller administrativ art.

Deteksjonstiltak skal etableres for å avdekke hvorvidt etablerte barrierer brytes eller blir forsøkt brutt fra innsiden eller utsiden.

Verifikasjonstiltak skal ta sikte på å etablere en situasjonsforståelse hvis en sikkerhetstruende hendelse inntreffer. Tiltakene skal ha som formål å kunne identifisere og avdekke aktører, identifisere skadeomfang og identifisere de midler som eventuelt er anvendt av en aktør.

Reaksjonstiltak skal sikre opprettholdelse av objektets funksjonalitet ved en sikkerhetstruende hendelse, eller sikre forutsetninger for gjenopprettelse av funksjonalitet etter en slik hendelse. Aktuelle reaksjonstiltak skal være forberedt som en del av grunnsikringen.

Dersom grunnsikring etter sikkerhetsloven § 17b ikke kan gjennomføres uten at dette kommer i konflikt med de informasjonssikkerhetstiltak som objekteier skal implementere etter sikkerhetslovens kapittel 4, skal det etableres tilpassede sikkerhetstiltak etter en risikovurdering hvor de ulike sikkerhetshensyn avveies. Dersom slike tilpassede sikkerhetstiltak fraviker bestemmelser gitt i eller i medhold av sikkerhetslovens kapittel 4, skal tiltakene forelegges NSM for godkjenning før de gjennomføres.

Som grunnlag for fastsettelse av sikkerhetstiltak skal objekteier foreta risikovurdering og sikkerhetsrevisjon etter forskrift om sikkerhetsadministrasjon kapittel 4.

§ 3-2.Tiltak mot etterretningsaktivitet

Objekteier skal beskytte objektet mot informasjonsinnhenting som kan ha til hensikt å forberede sabotasje eller terrorhandling. Sikkerhetstiltakene skal ta sikte på i nødvendig grad å redusere muligheten for uønsket innhenting av opplysninger om funksjoner, betydning, kapasitet, sårbarhet og sikkerhetstiltak knyttet til objektet.

Når informasjon om et skjermingsverdig objekt må beskyttes av sikkerhetsmessige grunner, skal den sikkerhetsgraderes etter sitt innhold, og beskyttes etter bestemmelsene gitt i og i medhold av sikkerhetslovens kapittel 4.

§ 3-3.Tilrettelegging for beskyttelse av IKT-infrastruktur

Dersom tilknytning til internett utgjør en sårbarhet for sikkerheten til et skjermingsverdig objekt, kan fagdepartementet i samråd med objekteier bestemme at det skal søkes NSM om tilknytning til et sentralt system for varsling av koordinerte angrep via internett. NSM kan gi nærmere retningslinjer om hvordan tilknytningen skal settes opp og forvaltes.

§ 3-4.Tiltak mot elektromagnetisk puls og høyfrekvente mikrobølger

Ved gjennomføring av risikovurdering og sikkerhetsrevisjon etter forskrift om informasjonssikkerhet kapittel 4, skal behovet for å beskytte elektroniske systemer mot elektromagnetisk puls (EMP) og høyfrekvente mikrobølger (HPM) vurderes.

§ 3-5.Tilrettelegging for bruk av sikringsstyrker

Objekteier, utvalgt i henhold til bestemmelsene i denne forskriften, plikter å legge til rette for at sikringsstyrker kan forberede, øve og gjennomføre tiltak på og ved objektet for å beskytte dette.

§ 3-6.Sikkerhetsklarering og autorisasjon

Vedkommende departement kan bestemme at enhver som skal gis permanent adgang til skjermingsverdig objekt klassifisert som KRITISK eller MEGET KRITISK skal være autorisert og sikkerhetsklarert før slik adgang gis. Sikkerhetsklarering skal ikke foretas der dette ikke anses som et egnet virkemiddel. Dersom objekteier mener det bør stilles krav til sikkerhetsklarering for person som skal ha permanent adgang til objektet, må dette nærmere begrunnes.

Dersom det kreves sikkerhetsklarering, skal det for adgang til objekt eller del av objekt klassifisert KRITISK, kreves sikkerhetsklarering for KONFIDENSIELT eller høyere, og for objekter klassifisert MEGET KRITISK kreves sikkerhetsklarering for HEMMELIG eller høyere.

Ved sikkerhetsklarering og autorisasjon gjelder bestemmelsene gitt i og i medhold av sikkerhetslovens kapittel 6. NSM skal informeres om hvilke skjermingsverdige objekter det kreves sikkerhetsklarering for.

Besøkende som ledsages av autorisert representant behøver ikke sikkerhetsklareres.

Før besøkende gis adgang til skjermingsverdig objekt eller del av objekt klassifisert som KRITISK eller MEGET KRITISK, skal det forsikres om at deres identitet er korrekt. Alle besøkende skal registreres, og registreringen skal oppbevares i minimum fem år. For representanter for annen stat, internasjonal organisasjon eller utenlandsk rettssubjekt skal det også forsikres om at disse faktisk representerer vedkommende stat, organisasjon eller utenlandske rettssubjekt.

Det enkelte departement kan innen den sektor departementet forvalter fatte beslutning om nærmere sikkerhetsprosedyrer for godkjenning og gjennomføring av besøk fra representanter for fremmede stater, internasjonale organisasjoner og utenlandske rettssubjekter.

Kapittel 4. Administrative bestemmelser

§ 4-1.Iverksettelse av tiltak - kostnader og dispensasjon

Objekteier skal dekke egne kostnader som følge av tiltak eller pålegg i eller i medhold av sikkerhetslovens kapittel 5 og denne forskrift.

Objekteier kan i særlige tilfeller søke om dispensasjon fra sikkerhetstiltak der dette anses forsvarlig. Slik søknad avgjøres av vedkommende fagdepartement, om nødvendig etter konsultasjon med NSM.

§ 4-2.Internkontroll

Objekteier skal utføre internkontrolltiltak i samsvar med forskrift om sikkerhetsadministrasjon.

§ 4-3.Tilsyn og påleggskompetanse

NSM skal føre tilsyn med at utvelgelse og klassifisering av skjermingsverdige objekter skjer i henhold til sikkerhetsloven og denne forskrift, og eventuelt gi nødvendige pålegg i samsvar med sikkerhetslovens § 9 litra c.

Der det finnes tilsynsorganer med ansvar for forebyggende sikkerhet i en sektor, skal dette tilsynsorganet føre tilsyn med at sikkerhetstiltakene hos objekteierne tilfredsstiller de funksjonelle kravene i sikkerhetsloven kapittel 5 og denne forskrift. NSM skal føre overordnet tilsyn som sikrer implementering av sektorovergripende harmoniserte sikkerhetstiltak i henhold til denne forskriften.

§ 4-4.Klage

Rettssubjekt underlagt sikkerhetsloven som ikke er forvaltningsorgan, jf. § 2 tredje ledd i loven, kan påklage vedtak etter denne forskrift der det enkelte departement er førsteinstans. Klageinstans er Kongen i statsråd.

Kapittel 5. Sluttbestemmelser

§ 5-1.Ikrafttredelse

Denne forskriften trer i kraft 1. januar 2011.

§ 5-2.Overgangsbestemmelser

Ved første gangs fastsettelse av sikkerhetsklassifisering, jf. kapittel 2, og vurdering av tiltak mot etterretningstrussel i forbindelse med klassifisering, jf. § 3-2 andre ledd, skal dette skje senest to år etter ikrafttredelsen av forskriften.

Gjennomføring av sikkerhetstiltak i samsvar med kapittel 3 på bakgrunn av fastsatt sikkerhetsklassifisering og tilrettelegging for sikringsstyrker i samsvar med § 4-2, skal skje så raskt som mulig og senest tre år etter ikrafttredelsen. Gjennomføringen og tilretteleggingen kan etter søknad til NSM utsettes ytterligere med inntil ett år.

Opprettelse av internkontrollsystem, jf. § 4-2, skal skje senest tre år etter ikrafttredelsen.