Sikkerhetsloven-ordliste

Sikkerhetsloven (lov 2018-06-01-24) trådte i kraft 1. januar 2019 og gjelder forebyggende sikkerhet for å beskytte Norges nasjonale sikkerhetsinteresser. Den retter seg mot virksomheter som rår over informasjon, systemer, objekter eller infrastruktur av avgjørende betydning for staten.

NSM (Nasjonal sikkerhetsmyndighet) er fagmyndighet. Loven er gjeldende rett og bygger på risiko og forsvarlig sikkerhetsnivå fremfor detaljerte sjekklister.

Loven gjelder statlige, fylkeskommunale og kommunale organer, og virksomheter som et departement fatter vedtak om fordi de rår over noe avgjørende for en grunnleggende nasjonal funksjon. Den omfatter altså ikke alle – men de som treffes, får omfattende plikter.

Et departement kan fatte vedtak om at en privat virksomhet skal omfattes.

Nasjonale sikkerhetsinteresser er definert i loven og omfatter blant annet Norges suverenitet, territorielle integritet, demokratiske styreform og overordnede sikkerhetspolitiske interesser. Det er disse loven til syvende og sist skal beskytte.

Begrepet er styrende for hva som regnes som grunnleggende nasjonale funksjoner og skjermingsverdige verdier.

GNF er aktiviteter, tjenester eller produksjon som er av en slik betydning at et helt eller delvis bortfall vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser. Departementene identifiserer GNF innenfor sine sektorer.

GNF er navet i loven: det er koblingen til en GNF som avgjør om en verdi er skjermingsverdig og en virksomhet omfattet.

NSM er den sentrale fagmyndigheten: den gir råd og veiledning, fører tilsyn, utvikler regelverk og forvalter ordninger som sikkerhetsklarering. NSM utgir også veiledere og håndbøker til loven.

NSM samarbeider med sektormyndighetene, som har ansvar innenfor sine områder.

Sikkerhetsloven bygger på sektoransvar: hvert departement skal identifisere de grunnleggende nasjonale funksjonene i sin sektor, og fatte vedtak om hvilke virksomheter som skal omfattes av loven.

Dette gjør at ansvaret er fordelt etter fagområde, med NSM som tverrgående fagmyndighet.

Tilsynet er fordelt mellom NSM og sektortilsyn. Tilsynsmyndigheten kan kreve opplysninger, gjennomføre tilsyn og følge opp at virksomhetene har et forsvarlig sikkerhetsnivå.

Tilsynet er risikobasert og retter oppmerksomheten mot de mest kritiske verdiene.

Tilsyn etter sikkerhetsloven skal påse at virksomhetene oppfyller kravene til forebyggende sikkerhet. Det omfatter både dokumentkontroll og stedlig tilsyn, og kan lede til pålegg om utbedring.

Tilsynet er et viktig virkemiddel for å sikre at sikkerhetsnivået faktisk opprettholdes over tid.

Ved manglende etterlevelse kan tilsynsmyndigheten gi pålegg om retting, og det finnes hjemler for tvangsmulkt og straff ved alvorlige brudd. Reaksjonene skal sikre at kravene faktisk oppfylles.

Alvorlige sikkerhetstruende forhold kan også håndteres med mer inngripende tiltak.

Skjermingsverdige verdier er fellesbetegnelsen på det loven beskytter: skjermingsverdig informasjon (kap. 5), informasjonssystemer (kap. 6) og objekter og infrastruktur (kap. 7). En verdi er skjermingsverdig dersom den har betydning for en grunnleggende nasjonal funksjon.

Verdiene klassifiseres ut fra hvor alvorlige konsekvensene av bortfall eller kompromittering vil være.

Informasjon er skjermingsverdig dersom det kan skade nasjonale sikkerhetsinteresser om den blir kjent for uvedkommende, går tapt, endres eller blir utilgjengelig. Slik informasjon skal sikkerhetsgraderes og beskyttes deretter.

Beskyttelsen omfatter hele livsløpet – fra produksjon og lagring til deling og avhending.

Objekter og infrastruktur kan utpekes som skjermingsverdige og klassifiseres etter hvor alvorlig et bortfall ville være for en GNF. Eieren må da iverksette beskyttelsestiltak tilpasset klassifiseringen.

Dette dekker både selve anlegget og det som er nødvendig for at det skal fungere.

Skjermingsverdig informasjon graderes i fire nivåer – BEGRENSET, KONFIDENSIELT, HEMMELIG og STRENGT HEMMELIG – ut fra hvor alvorlig skade uautorisert kjennskap kan forårsake. Graderingen styrer hvordan informasjonen skal håndteres og hvem som kan få tilgang.

Jo høyere gradering, desto strengere krav til klarering, lagring og deling.

Kjernen i loven er å forebygge, ikke bare reagere. Virksomheten skal arbeide systematisk og risikobasert for å beskytte sine skjermingsverdige verdier mot blant annet spionasje, sabotasje og terror.

Arbeidet skal være forankret i ledelsen og integrert i virksomhetens styring.

Virksomheter omfattet av loven skal ha et styringssystem for sikkerhet, på linje med et ledelsessystem etter ISO/IEC 27001. Det omfatter risikovurdering, tiltak, roller, dokumentasjon og kontinuerlig forbedring.

Sikkerhetsstyring gjør sikkerheten til en styrt prosess og ikke et sett enkelttiltak.

Loven krever ikke maksimal sikkerhet, men et forsvarlig nivå – tilpasset verdienes betydning og det aktuelle trusselbildet. Det er en funksjonell standard som virksomheten må vurdere konkret.

Hva som er forsvarlig endrer seg med trusselbildet, og nivået må derfor vurderes løpende.

Virksomheten skal jevnlig vurdere risikoen for sine skjermingsverdige verdier – sammenhengen mellom verdi, trussel og sårbarhet. Vurderingen er grunnlaget for hvilke tiltak som er nødvendige for et forsvarlig sikkerhetsnivå.

Risikovurderingen skal oppdateres ved endringer i trusselbilde, verdier eller virksomhet.

Skjermingsverdige informasjonssystemer skal sikres gjennom hele livsløpet, med tiltak for konfidensialitet, integritet og tilgjengelighet. Kravene henger tett sammen med anerkjente rammeverk for IKT-sikkerhet.

NSMs grunnprinsipper for IKT-sikkerhet brukes ofte som praktisk veiledning her.

Personellsikkerhet skal redusere risikoen for at personer med tilgang til skjermingsverdige verdier utgjør en sikkerhetsrisiko. Virkemidlene er blant annet sikkerhetsklarering, autorisasjon og sikkerhetssamtaler.

Det handler om å balansere tillit og kontroll, og om å følge opp gjennom hele ansettelsesforholdet.

Sikkerhetsklarering er en grundig vurdering av en persons sikkerhetsmessige skikkethet, basert på personkontroll. Den gjelder for tilgang til informasjon gradert KONFIDENSIELT, HEMMELIG eller STRENGT HEMMELIG.

Klarering er ikke det samme som tilgang – den må følges av en konkret autorisasjon.

Mens klarering vurderer skikkethet, er autorisasjon den konkrete tildelingen av tilgang ut fra tjenstlig behov. Begge må være på plass – og bare det den enkelte trenger for jobben skal gis (need-to-know).

Autorisasjon kan trekkes tilbake uavhengig av klareringen.

Klareringsmyndigheten gjennomfører personkontroll og fatter vedtak om klarering. Avgjørelsene skal være forsvarlige og kan påklages. Sentralisering av klareringsmyndighet har styrket likebehandlingen.

Myndigheten balanserer hensynet til nasjonal sikkerhet mot den enkeltes rettssikkerhet.

Når en anskaffelse innebærer at en leverandør får tilgang til skjermingsverdig informasjon eller objekter, gjelder særlige krav. Leverandøren må sikkerhetsklareres, og det inngås sikkerhetsavtale som regulerer hvordan verdiene skal beskyttes.

Dette sikrer at sikkerhetsnivået opprettholdes også i leverandørkjeden.

På samme måte som personer klareres, må leverandører som skal håndtere skjermingsverdige verdier klareres som virksomhet. Vurderingen ser blant annet på eierforhold, styring og evne til å ivareta sikkerheten.

Leverandørklarering er et virkemiddel mot risiko i forsyningskjeden.

For å hindre at sikkerhetstruende aktører får kontroll over kritiske virksomheter, må visse erverv av eierandeler meldes og kan stanses av myndighetene. Dette er et stadig viktigere virkemiddel i en spent sikkerhetspolitisk tid.

Kontrollen retter seg mot oppkjøp som kan true nasjonale sikkerhetsinteresser.

Begrepet dekker økonomisk aktivitet – typisk oppkjøp og investeringer – som kan gi uønskede aktører innflytelse over, tilgang til eller mulighet til å skade skjermingsverdige verdier eller grunnleggende nasjonale funksjoner.

Eierskapskontrollen er hovedverktøyet for å håndtere slik risiko.