Lov om nasjonal sikkerhet (sikkerhetsloven)

Kapittel 1. Formål og virkeområde

§ 1-1. Formål

Loven skal bidra tilå trygge Norges suverenitet, territorielle integritet og demokratiske styreform og andre nasjonale sikkerhetsinteresserå forebygge, avdekke og motvirke sikkerhetstruende virksomhetat sikkerhetstiltak gjennomføres i samsvar med grunnleggende rettsprinsipper og verdier i et demokratisk samfunn.

å trygge Norges suverenitet, territorielle integritet og demokratiske styreform og andre nasjonale sikkerhetsinteresser

å forebygge, avdekke og motvirke sikkerhetstruende virksomhet

at sikkerhetstiltak gjennomføres i samsvar med grunnleggende rettsprinsipper og verdier i et demokratisk samfunn.

§ 1-2. Hvem loven gjelder for

Loven gjelder for statlige, fylkeskommunale og kommunale organer.

Loven gjelder for leverandører av varer eller tjenester i forbindelse med sikkerhetsgraderte anskaffelser etter kapittel 9.

For virksomheter på Svalbard, Jan Mayen og i bilandene gjelder loven i det omfanget og med de stedlige tilpasningene Kongen bestemmer.

Kongen i statsråd kan gi forskrift om lovens virkeområde og helt eller delvis unnta bestemte virksomheter eller visse typer informasjon, informasjonssystemer, objekter og infrastruktur.

§ 1-3. Vedtak om at loven skal gjelde for andre virksomheter

Et departement skal innenfor sitt ansvarsområde fatte vedtak om at loven helt eller delvis skal gjelde for virksomheter sombehandler sikkerhetsgradert informasjonråder over informasjon, informasjonssystemer, objekter eller infrastruktur som har avgjørende betydning for grunnleggende nasjonale funksjoner, eller som har avgjørende betydning for nasjonale sikkerhetsinteresser, uten å kunne knyttes direkte til en grunnleggende nasjonal funksjondriver aktivitet som har avgjørende betydning for grunnleggende nasjonale funksjoner, eller som har avgjørende betydning for nasjonale sikkerhetsinteresser, uten å kunne knyttes direkte til en grunnleggende nasjonal funksjon.

behandler sikkerhetsgradert informasjon

råder over informasjon, informasjonssystemer, objekter eller infrastruktur som har avgjørende betydning for grunnleggende nasjonale funksjoner, eller som har avgjørende betydning for nasjonale sikkerhetsinteresser, uten å kunne knyttes direkte til en grunnleggende nasjonal funksjon

driver aktivitet som har avgjørende betydning for grunnleggende nasjonale funksjoner, eller som har avgjørende betydning for nasjonale sikkerhetsinteresser, uten å kunne knyttes direkte til en grunnleggende nasjonal funksjon.

Et departement kan innenfor sitt ansvarsområde fatte vedtak om at kapittel 10 skal gjelde for virksomheter som har vesentlig betydning for grunnleggende nasjonale funksjoner, eller virksomheter som har vesentlig betydning for nasjonale sikkerhetsinteresser, uten å kunne knyttes direkte til en grunnleggende nasjonal funksjon.

Virksomhetene skal forhåndsvarsles om vedtak etter første og andre ledd.

Sikkerhetsmyndigheten kan på eget initiativ fremme forslag overfor et departement om å fatte vedtak etter første og andre ledd. Dersom departementet ikke fatter vedtak i samsvar med sikkerhetsmyndighetens anbefaling, kan sikkerhetsmyndigheten bringe saken inn for endelig avgjørelse til det departementet som har overordnet ansvar for forebyggende sikkerhetsarbeid i sivil sektor, eller det departementet som har overordnet ansvar for forebyggende sikkerhetsarbeid i forsvarssektoren.

Sikkerhetsmyndigheten skal fatte vedtak etter første og andre ledd overfor virksomheter som ikke omfattes av noe departements ansvarsområde. Departementet er klageinstans.

§ 1-4. Lovens anvendelse for Stortinget, Stortingets organer, regjeringen og domstolene

Loven gjelder for Stortinget og Stortingets organer så langt Stortinget bestemmer det.

Bestemmelsene som er gitt i og i medhold av kapittel 8, gjelder ikke for stortingsrepresentanter, regjeringens medlemmer og dommere i Høyesterett.

Loven gjelder for domstolene med de særreglene som følger av bestemmelsene om sikkerhetsklarering og autorisasjon i og i medhold av domstolloven og straffeprosessloven. Kongen kan fastsette ytterligere særregler.

§ 1-5. Definisjoner

I denne loven menes mednasjonale sikkerhetsinteresser: landets suverenitet, territorielle integritet og demokratiske styreform og overordnede sikkerhetspolitiske interesser knyttet tilde øverste statsorganers virksomhet, sikkerhet og handlefrihetforsvar, sikkerhet og beredskapforholdet til andre stater og internasjonale organisasjonerøkonomisk stabilitet og handlefrihetsamfunnets grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhetgrunnleggende nasjonale funksjoner: tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresserforebyggende sikkerhetsarbeid: planlegging, tilrettelegging, gjennomføring og kontroll av forebyggende tiltak mot sikkerhetstruende virksomhet og følger av slik virksomhetsikkerhetstruende virksomhet: tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteressernærstående: personer som er i nær familie eller som har annen nær tilknytning som kan ha betydning for om en person er sikkerhetsmessig skikket.

nasjonale sikkerhetsinteresser: landets suverenitet, territorielle integritet og demokratiske styreform og overordnede sikkerhetspolitiske interesser knyttet tilde øverste statsorganers virksomhet, sikkerhet og handlefrihetforsvar, sikkerhet og beredskapforholdet til andre stater og internasjonale organisasjonerøkonomisk stabilitet og handlefrihetsamfunnets grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhet

de øverste statsorganers virksomhet, sikkerhet og handlefrihet

forsvar, sikkerhet og beredskap

forholdet til andre stater og internasjonale organisasjoner

økonomisk stabilitet og handlefrihet

samfunnets grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhet

grunnleggende nasjonale funksjoner: tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser

forebyggende sikkerhetsarbeid: planlegging, tilrettelegging, gjennomføring og kontroll av forebyggende tiltak mot sikkerhetstruende virksomhet og følger av slik virksomhet

sikkerhetstruende virksomhet: tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser

nærstående: personer som er i nær familie eller som har annen nær tilknytning som kan ha betydning for om en person er sikkerhetsmessig skikket.

Kapittel 2. Ansvar og myndighet for forebyggende sikkerhetsarbeid

§ 2-1. Departementenes ansvar og myndighet for forebyggende sikkerhetsarbeid

Departementene er ansvarlige for forebyggende sikkerhetsarbeid innenfor sine ansvarsområder og skalidentifisere og holde oversikt over grunnleggende nasjonale funksjoneridentifisere og holde oversikt over virksomheter som har vesentlig betydning for grunnleggende nasjonale funksjoner eller for nasjonale sikkerhetsinteresserfatte vedtak etter § 1-3 første og andre ledd.melde inn oversikter til sikkerhetsmyndigheten etter bokstav a og b og vedtak etter bokstav c.

identifisere og holde oversikt over grunnleggende nasjonale funksjoner

identifisere og holde oversikt over virksomheter som har vesentlig betydning for grunnleggende nasjonale funksjoner eller for nasjonale sikkerhetsinteresser

fatte vedtak etter § 1-3 første og andre ledd.

melde inn oversikter til sikkerhetsmyndigheten etter bokstav a og b og vedtak etter bokstav c.

Kongen i statsråd kan gi forskrift om departementenes ansvar og myndighet for forebyggende sikkerhetsarbeid.

§ 2-2. Sikkerhetsmyndighetens ansvar for forebyggende sikkerhetsarbeid

Sikkerhetsmyndigheten har det sektorovergripende ansvaret for at forebyggende sikkerhetsarbeid i virksomhetene utføres i samsvar med loven.

Sikkerhetsmyndigheten har det overordnede ansvaret for at sikkerhetstilstanden i alle sektorer kontrolleres, og skal se til at virksomhetene oppfyller sine plikter etter loven. Sikkerhetsmyndigheten skal blant annetse til at det føres tilsyn med at virksomheter oppfyller krav til forebyggende sikkerhetsarbeidutarbeide og vedlikeholde grunnleggende kriterier for tilsyninnhente og vurdere informasjon som har betydning for forebyggende sikkerhetsarbeidgi informasjon, råd og veiledning om forebyggende sikkerhetsarbeid og krav til tiltakholde oversikt over de funksjonene og virksomhetene departementene har identifisert etter § 2-1holde oversikt over virksomheter som det er fattet vedtak om etter § 1-3legge til rette for informasjonsdeling etter § 2-3bidra til å utvikle sikkerhetstiltak og fastsette krav til forebyggende sikkerhetsarbeid.holde oversikt over eiendommer av sikkerhetsmessig betydning som det er sendt varsel om etter § 7-6 andre ledd.

se til at det føres tilsyn med at virksomheter oppfyller krav til forebyggende sikkerhetsarbeid

utarbeide og vedlikeholde grunnleggende kriterier for tilsyn

innhente og vurdere informasjon som har betydning for forebyggende sikkerhetsarbeid

gi informasjon, råd og veiledning om forebyggende sikkerhetsarbeid og krav til tiltak

holde oversikt over de funksjonene og virksomhetene departementene har identifisert etter § 2-1

holde oversikt over virksomheter som det er fattet vedtak om etter § 1-3

legge til rette for informasjonsdeling etter § 2-3

bidra til å utvikle sikkerhetstiltak og fastsette krav til forebyggende sikkerhetsarbeid.

holde oversikt over eiendommer av sikkerhetsmessig betydning som det er sendt varsel om etter § 7-6 andre ledd.

Sikkerhetsmyndigheten er nasjonal fagmyndighet overfor andre land og internasjonale organisasjoner.

Så langt det er nødvendig for å gjennomføre oppgavene i eller i medhold av loven, skal sikkerhetsmyndigheten gis uhindret adgang til skjermingsverdig informasjon, informasjonssystem, objekt eller infrastruktur.

Kongen kan gi forskrift om sikkerhetsmyndighetens ansvar for forebyggende sikkerhetsarbeid.

§ 2-3. Utveksling av trusselvurderinger og annen sikkerhetsinformasjon

Sikkerhetsmyndigheten skal legge til rette for at virksomheter som loven gjelder for, får tilgang til informasjon om trusselvurderinger og andre opplysninger som er av betydning for virksomhetenes forebyggende sikkerhetsarbeid.

Sikkerhetsmyndigheten skal i samråd med sektormyndigheter og andre relevante myndigheter sikre at det etableres nødvendige fora for informasjons- og erfaringsutveksling.

Kongen kan gi forskrift om utveksling av trusselvurderinger og annen sikkerhetsinformasjon.

§ 2-4. Responsfunksjon og varslingssystem for digital infrastruktur

Kongen utpeker en myndighet som skal drive en nasjonal responsfunksjon for alvorlige digitale angrep og et nasjonalt varslingssystem for digital infrastruktur.

Når det er nødvendig for å utføre oppgaver etter første ledd, kan denne myndigheten behandle personopplysninger i form avmetadata om IKT-trafikk til og fra virksomheter som er knyttet til det nasjonale varslingssystemet for digital infrastrukturinformasjon som er nødvendig for å analysere utløste alarmer i varslingssystemetIP-adresser mottatt fra nasjonale og internasjonale samarbeidspartnerelogger og infisert maskinvare, når det er nødvendig for å bistå en virksomhet i håndteringen av alvorlige digitale angrep og virksomheten samtykker til det.

metadata om IKT-trafikk til og fra virksomheter som er knyttet til det nasjonale varslingssystemet for digital infrastruktur

informasjon som er nødvendig for å analysere utløste alarmer i varslingssystemet

IP-adresser mottatt fra nasjonale og internasjonale samarbeidspartnere

logger og infisert maskinvare, når det er nødvendig for å bistå en virksomhet i håndteringen av alvorlige digitale angrep og virksomheten samtykker til det.

Når det er strengt nødvendig for å utføre oppgaver etter første ledd, kan også andre personopplysninger enn det som er nevnt i andre ledd, behandles.

Behandlingen av personopplysninger og inngrepet i personvernet skal ikke være mer omfattende enn det som er nødvendig for å oppnå formålet.

Kongen kan gi forskrift om nasjonal responsfunksjon og nasjonalt varslingssystem for digital infrastruktur.

§ 2-5. Vedtak ved risiko for skadevirkninger for nasjonale sikkerhetsinteresser

Kongen i statsråd kan fatte nødvendige vedtak for å hindre sikkerhetstruende virksomhet eller annen planlagt eller pågående aktivitet som kan innebære en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet. Et slikt vedtak kan fattes uten hensyn til begrensningene i forvaltningsloven § 35 og uavhengig av om aktiviteten er tillatt etter annen lov eller annet vedtak.

Før det fattes vedtak, bør det innhentes rådgivende uttalelser fra relevante organer med kompetanse innenfor det aktuelle fagområdet.

Vedtak etter første ledd er særlig tvangsgrunnlag etter tvangsfullbyrdelsesloven kapittel 13.

Kongen i statsråd kan gi forskrift om hvilke vedtak som kan fattes etter første ledd.

Kapittel 3. Tilsyn

§ 3-1. Tilsyn med virksomheter

Sikkerhetsmyndigheten fører tilsyn med virksomheter som er omfattet av loven.

Departementet kan bestemme at myndigheter med sektoransvar som fører tilsyn med beskyttelse av informasjon, informasjonssystemer, objekter eller infrastruktur, skal føre tilsyn med virksomheter som er omfattet av loven. Sikkerhetsmyndigheten skal likevel gjennomføre tilsyn når det følger av internasjonale forpliktelser eller når det er tvingende nødvendig.

Sikkerhetsmyndigheten skal føre tilsyn med departementene og myndigheter med tilsynsansvar etter andre ledd.

Kongen kan gi forskrift om tildeling av tilsynsansvar og om fordeling av ansvaret mellom sikkerhetsmyndigheten og aktuelle myndigheter med sektoransvar.

§ 3-2. Samarbeid mellom sikkerhetsmyndigheten og andre myndigheter med tilsynsansvar

Sikkerhetsmyndigheten og myndigheter med tilsynsansvar etter § 3-1 andre ledd skal inngå en avtale om samarbeid. Gjennomføring av tilsyn skal så langt det er mulig samordnes med andre tilsynsmyndigheter.

Sikkerhetsmyndigheten skal utarbeide og utvikle grunnleggende kriterier for tilsyn etter loven, og legge til rette for felles opplæring av tilsynspersonell.

Sikkerhetsmyndigheten kan om nødvendig medvirke til forberedelse og gjennomføring av tilsyn som utføres av myndigheter med tilsynsansvar. Myndigheter med tilsynsansvar kan be sikkerhetsmyndigheten om slik bistand.

Myndigheter med tilsynsansvar skal orientere sikkerhetsmyndigheten om planlagte tilsyn, redegjøre for gjennomførte tilsyn og informere om eventuelle avvik og pålegg.

Kongen kan gi forskrift om samarbeid og informasjonsutveksling mellom sikkerhetsmyndigheten og myndigheter med tilsynsansvar.

§ 3-3. Generelle prinsipper for tilsyn

Tilsyn etter § 3-1 skal ikke forstyrre tilsynsobjektenes daglige drift mer enn nødvendig.

Opplysninger som tilsynsmyndigheten innhenter, kan bare brukes i forbindelse med tilsynet og i det forebyggende sikkerhetsarbeidet.

§ 3-4. Adgangsrett og varslingsplikt ved stedlige tilsyn

Tilsynsmyndigheten kan kreve tilgang til virksomhetens informasjon, informasjonssystemer, objekter og infrastruktur. Virksomheten skal stille med relevant personell under tilsynet så langt det er nødvendig.

Stedlige tilsyn skal varsles skriftlig. Tilsyn kan likevel gjennomføres uten varsel dersom sikkerhetshensyn gjør det nødvendig.

Kongen kan gi forskrift om stedlige tilsyn.

§ 3-5. Tilsynsmyndighetens behandling av personopplysninger

Tilsynsmyndigheten kan behandle personopplysninger dersom det er nødvendig for å utføre sine oppgaver.

Behandlingen av personopplysninger må ikke utgjøre et uforholdsmessig inngrep i personvernet.

Personopplysninger skal om mulig behandles ved hjelp av virksomhetens informasjonssystem, uten at de blir kopiert eller overført til tilsynsmyndigheten. Tilsynsmyndigheten kan likevel kreve kopi av personopplysninger når dette er nødvendig for å dokumentere om bestemmelser i loven er brutt.

Kongen kan gi forskrift om tilsynsmyndighetens behandling av personopplysninger.

§ 3-6. Pålegg

Tilsynsmyndigheten kan gi virksomheter pålegg om gjennomføring av tiltak som er nødvendige for å ivareta lovens formål. Pålegg om konkrete tiltak kan bare gis dersom kostnadene som påføres virksomheten, framstår som rimelige sett i forhold til det som kan oppnås ved tiltaket.

Dersom myndigheter med tilsynsansvar ikke fører tilsyn i samsvar med krav fastsatt i eller i medhold av loven, kan sikkerhetsmyndigheten gi pålegg om å utføre slikt tilsyn.

Pålegg etter første og andre ledd kan påklages. Reglene i forvaltningsloven kapittel VI gjelder for selvstendige rettssubjekters klageadgang.

Kapittel 4. Generelle krav til forebyggende sikkerhetsarbeid

§ 4-1. Sikkerhetsstyring

Virksomhetens leder har ansvaret for det forebyggende sikkerhetsarbeidet. Forebyggende sikkerhetsarbeid skal være en del av virksomhetens styringssystem. Sikkerhetstilstanden i virksomheten skal regelmessig kontrolleres.

Virksomheten skal sørge for at ansatte, leverandører og oppdragstakere har tilstrekkelig risiko- og sikkerhetsforståelse. For leverandører til sikkerhetsgraderte anskaffelser gjelder kapittel 9.

Kongen kan gi forskrift om sikkerhetsstyring.

§ 4-2. Vurdering av risiko

Virksomheten skal regelmessig gjennomføre vurdering av risiko. Vurderingen skal danne grunnlag for iverksetting av forebyggende sikkerhetstiltak.

Virksomheten skal som del av vurderingen kartlegge hvilke virksomheter den er avhengig av for å fungere som den skal.

Vurderingen skal gjennomgås jevnlig og om nødvendig revideres.

Tilsynsmyndigheten skal etter forespørsel gi råd og veiledning i forbindelse med vurderingen.

Kongen kan gi forskrift om hvordan en vurdering av risiko skal gjennomføres.

§ 4-3. Plikt til å gjennomføre sikkerhetstiltak og øvelser

Virksomheten skal gjennomføre de forebyggende sikkerhetstiltakene som må til for å gi et forsvarlig sikkerhetsnivå og redusere risikoen knyttet til sikkerhetstruende virksomhet. Slike tiltak kan gjennomføres i sammenheng med andre forebyggende sikkerhetstiltak i virksomheten, så lenge kravene i denne loven oppfylles.

Kostnadene ved et sikkerhetstiltak skal stå i et rimelig forhold til det som kan oppnås ved tiltaket.

Virksomheten skal regelmessig gjennomføre øvelser for å vurdere effekten av iverksatte sikkerhetstiltak.

Kongen kan gi forskrift om plikter for virksomheter som omfattes av loven, og om øvelser.

§ 4-4. Krav til dokumentasjon

Virksomheten skal dokumentere vurderingen av risiko og de gjennomførte og planlagte sikkerhetstiltakene.

Kongen kan gi forskrift om krav til dokumentasjon.

§ 4-5. Varslingsplikt

Virksomheten skal straks varsle sikkerhetsmyndigheten og andre myndigheter som skal utføre tilsyn i medhold av § 3-1 andre ledd, dersomden har blitt rammet av sikkerhetstruende virksomhetdet er begrunnet mistanke om at sikkerhetstruende virksomhet har rammet eller vil kunne ramme virksomheten eller andre virksomheterdet har skjedd alvorlige brudd på krav til sikkerhet etter kapittel 5, 6 eller 7.

den har blitt rammet av sikkerhetstruende virksomhet

det er begrunnet mistanke om at sikkerhetstruende virksomhet har rammet eller vil kunne ramme virksomheten eller andre virksomheter