Fra 1. januar 2019 får vi ny sikkerhetslov i Norge. Loven skal bidra til å trygge våre overordnede nasjonale sikkerhetsinteresser og vil gjelde for flere virksomheter enn tidligere. Norske private virksomheter bør allerede nå vurdere hvilken påvirkning loven kan få.
Denne saken ble først publisert i Dagens Næringsliv 14.12.2018
Dagens sikkerhetslov er i all hovedsak relevant for statlige organer og leverandører av sikkerhetsgraderte anskaffelser, i tillegg til at enkelte private virksomheter er underlagt loven på selvstendig grunnlag.
Den nye sikkerhetsloven skal sikre større deler av verdikjedene som bygger opp under «grunnleggende nasjonale funksjoner». Loven ser i større grad statssikkerheten og sikringen av disse funksjonene som en helhet. Sammen med økt privatisering gjør dette at sikkerhetsloven nå blir relevant for vesentlig flere private virksomheter som på en eller annen måte er involvert i verdikjeder som samfunnet er avhengige av for å fungere. Klare eksempler er både aktører innenfor telekommunikasjon og shipping.
Den nye loven gjelder for det første for leverandører av varer eller tjenester i forbindelse med sikkerhetsgraderte anskaffelser. I tillegg kan loven gis hel eller delvis anvendelse for virksomheter dersom et departement fatter et slikt vedtak. Det blir altså det enkelte departement som får ansvaret for å fatte vedtak mot virksomheter innenfor sitt ansvarsområde som skal underlegges bestemmelsene i ny sikkerhetslov.
Departementene kan fatte slikt vedtak
- dersom virksomheten behandler sikkerhetsgradert informasjon,
- dersom virksomheten råder over informasjon, informasjonssystemer, objekter eller infrastruktur som har avgjørende betydning for «grunnleggende nasjonale funksjoner», eller
- dersom virksomheten driver aktivitet som har avgjørende betydning for nevnte funksjoner
Denne måten å regulere på gjør at loven vil være fleksibel og kunne ta inn over seg at samfunnet, og hva som er viktig for samfunnet, vil kunne endre seg over tid. Samtidig kan det være vanskelig for departementene å holde oversikt og på en god måte kunne utpeke hvilke virksomheter loven skal gjelde for.
I sitt høringssvar til lovens nye forskrifter peker Regelrådet på nettopp dette. Regelrådet skal bidra til at næringslivet ikke påføres unødvendige byder gjennom nytt eller endret regelverk. De skriver at forskriftene «kan innebære betydelige utgifter for virksomheter som blir underlagt det nye regelverket enten som utpekte virksomheter eller som leverandører til disse». Hvilke virksomheter dette er fremstår som uavklart per i dag.
Konsekvensene av å bli underlagt sikkerhetsloven
Hva vil et vedtak om å bli underlagt sikkerhetsloven bety for virksomheten? Det vil variere med omfanget av vedtaket, og om hele eller deler av virksomheten blir omfattet. Generelt vil virksomheten måtte forholde seg til regelverket om sikkerhetsklarering av ansatte og andre som skal ha tilgang til graderte objekter eller gradert informasjon. Dette er et omfattende regelverk, som kan gjøre det vanskelig eller i noen tilfeller umulig å trekke på utenlandsk kompetanse. Videre må man påberegne å sikre IT-systemer og informasjon i større grad enn i dag.
Kravene i forslaget til nye forskrifter er i stor grad funksjonelle, det vil si at de beskriver en målsetning for sikkerhetsnivået uten å gå i detalj på hvilke konkrete tiltak som skal gjennomføres. Dette gir fleksibilitet og mulig effektivisering, men det krever sikkerhetsfaglig kompetanse i virksomheten. Slik kompetanse er som kjent meget etterspurt om dagen, og potensielt både kostbar og vanskelig å rekruttere. Sikkerhetsmyndighetene blir pålagt å veilede, men det vites i skrivende stund lite om hvilken form denne veiledningen vil ta.
Gitt de potensielt store implikasjonene sikkerhetsloven kan få, bør private virksomheter snarest på egenhånd kartlegge hvorvidt den nye sikkerhetsloven kan gjelde for dem og hvilken betydning det vil ha for virksomheten.