Søk i innholdsfortegnelse

Ditt søk ga dessverre ingen treff.

Opphevet

Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven)

Dato	LOV-1998-03-20-10
Departement	Forsvarsdepartementet
Ikrafttredelse	01.07.2001
Sist endret	LOV-2018-06-01-24 fra 01.01.2019, LOV-2016-08-12-78 fra 01.01.2017
Korttittel	Sikkerhetsloven

Loven er opphevet ved lov 1 juni 2018 nr. 24 (ikr. 1 jan 2019 iflg. res. 20 des 2018 nr. 2052).

Kapittel 1. Alminnelige bestemmelser

§ 1.Lovens formål

Formålet med denne lov er å

a.	legge forholdene til rette for effektivt å kunne motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser,

b.	ivareta den enkeltes rettssikkerhet, og

c.	trygge tilliten til og forenkle grunnlaget for kontroll med forebyggende sikkerhetstjeneste.

§ 2.Lovens generelle virkeområde

Loven gjelder for forvaltningsorganer. Som forvaltningsorgan regnes i loven ethvert organ for stat eller kommune.¹ Kongen kan i tvilstilfelle bestemme om et organ er å regne som forvaltningsorgan. Kongen kan også bestemme at et forvaltningsorgan helt eller delvis skal være unntatt fra loven når det foreligger særlige grunner for det, og kan da i stedet fastsette særlige regler.

Loven gjelder også for ethvert rettssubjekt som ikke er forvaltningsorgan og som er leverandør av varer eller tjenester til et forvaltningsorgan i forbindelse med en sikkerhetsgradert anskaffelse.²

Kongen kan bestemme at loven helt eller delvis også skal gjelde for ethvert annet rettssubjekt, herunder enkeltpersoner, foreninger, stiftelser, selskaper og privat og offentlig næringsvirksomhet,

a.	som eier eller på annen måte har kontroll over eller fører tilsyn med skjermingsverdig objekt,³ eller

b.	som av et forvaltningsorgan gis tilgang til sikkerhetsgradert informasjon.⁴

§ 29 a gjelder for alle anskaffelser til kritisk infrastruktur.⁵ Kongen kan gi forskrift om identifisering av kritisk infrastruktur og om informasjon til rettssubjekter som eier eller rår over kritisk infrastruktur.

Loven gjelder for domstolene med de særregler som følger av bestemmelsene om sikkerhetsklarering⁶ og autorisasjon⁷ i og i medhold av domstolloven⁸ og straffeprosessloven.⁹ Kongen kan fastsette ytterligere særregler.

Bestemmelsene gitt i og i medhold av lovens kapittel 6 om personellsikkerhet gjelder ikke for regjeringens medlemmer og dommere i Høyesterett.

Loven gjelder ikke for Stortinget, Riksrevisjonen, Stortingets ombudsmann for forvaltningen¹⁰ og andre organer for Stortinget.

Loven gjelder for Svalbard¹¹ og Jan Mayen¹² i den utstrekning Kongen bestemmer.

0	Endret ved lov 12 aug 2016 nr. 78 (ikr. 1 jan 2017 iflg. res. 16 des 2016 nr. 1641).
1	Se fvl. § 1.
2	Se § 3 (1) nr. 17 og kap. 7.
3	Se § 3 (1) nr. 12.
4	Se § 3 (1) nr. 9.
5	Se § 3 (1) nr. 21.
6	Se § 3 (1) nr. 19.
7	Se § 3 (1) nr. 20.
8	Lov 13 aug 1915 nr. 5. Se dens §§ 12, 21 og 91.
9	Lov 22 mai 1981 nr. 25. Se dens § 102 og § 141.
10	Se lov 22 juni 1962 nr. 8.
11	Se lov 17 juli 1925 nr. 11 § 1 (2).
12	Se lov 27 feb 1930 nr. 2.

§ 3.Definisjoner

I denne lov forstås med:

1.	Forebyggende sikkerhetstjeneste; planlegging, tilrettelegging, gjennomføring og kontroll av forebyggende sikkerhetstiltak som søker å fjerne eller redusere risiko som følge av sikkerhetstruende virksomhet.

2.	Sikkerhetstruende virksomhet; forberedelse til, forsøk på og gjennomføring av spionasje, sabotasje eller terrorhandlinger, samt medvirkning til slik virksomhet.

3.	Spionasje; innsamling av informasjon ved hjelp av fordekte midler i etterretningsmessig hensikt.

4.	Sabotasje; tilsiktet ødeleggelse, lammelse eller driftsstopp av utstyr, materiell, anlegg eller aktivitet, eller tilsiktet uskadeliggjøring av personer, utført av eller for en fremmed stat, organisasjon eller gruppering.

5.	Terrorhandlinger; ulovlig bruk av, eller trussel om bruk av, makt eller vold mot personer eller eiendom, i et forsøk på å legge press på landets myndigheter eller befolkning eller samfunnet for øvrig for å oppnå politiske, religiøse eller ideologiske mål.

6.	Virksomhet; et forvaltningsorgan eller annet rettssubjekt som loven gjelder for, jfr § 2.

7.	Informasjon; enhver form for opplysninger i materiell eller immateriell form.

8.	Skjermingsverdig informasjon; informasjon som skal merkes med sikkerhetsgrad etter reglene i § 11 i loven her.

9.	Sikkerhetsgradert informasjon; informasjon som er merket med sikkerhetsgrad i henhold til reglene i § 11 i loven her.

10.	Informasjonssystem; en organisert samling av periferutrustning, programvare, datamaskiner og kommunikasjonsnett som knytter dem sammen.

11.	Monitoring; avlytting av tale eller avlesing av elektroniske signaler som kommuniseres i eller mellom informasjonssystemer.

12.	Skjermingsverdig objekt; eiendom som må beskyttes mot sikkerhetstruende virksomhet av hensyn til rikets eller alliertes sikkerhet eller andre vitale nasjonale sikkerhetsinteresser.

13.	Eiendom; områder, bygninger, anlegg, transportmidler eller annet materiell, eller deler av slik eiendom.

14.	Objekteier; virksomhet eller person som eier eller på annen måte råder over skjermingsverdig objekt.

15.	Funksjon/funksjonalitet; produksjon, forsyning, kommunikasjon eller annen rettmessig bruk eller aktivitet tilknyttet en eiendom.

16.	Anskaffelsesmyndighet; et forvaltningsorgan som har til hensikt å anskaffe, eller har anskaffet, varer eller tjenester fra rettssubjekt som ikke er forvaltningsorgan.

17.	Sikkerhetsgradert anskaffelse; anskaffelse, foretatt av anskaffelsesmyndighet, som innebærer at leverandøren av varen eller tjenesten vil kunne få tilgang til skjermingsverdig informasjon eller objekt, eller som innebærer at anskaffelsen må sikkerhetsgraderes av andre årsaker.

18.	Personkontroll; innhenting av relevante opplysninger til vurdering av sikkerhetsklarering.

19.	Sikkerhetsklarering; avgjørelse, foretatt av klareringsmyndighet og bygget på personkontroll, om en persons antatte sikkerhetsmessige skikkethet for angitt sikkerhetsgrad.

20.

Autorisasjon; avgjørelse, foretatt av autorisasjonsansvarlig, om at en person etter forutgående sikkerhetsklarering (med unntak for tilgang til informasjon sikkerhetsgradert BEGRENSET), bedømmelse av kunnskap om sikkerhetsbestemmelser, tjenstlig behov samt avlagt skriftlig taushetsløfte, gis tilgang til informasjon med angitt sikkerhetsgrad.

21.	Kritisk infrastruktur; anlegg og systemer som er nødvendige for å opprettholde samfunnets grunnleggende behov og funksjoner.

Krav i eller i medhold av loven her om at meddelelse eller annet skal være skriftlig, er ikke til hinder for bruk av elektronisk kommunikasjon, forutsatt at dette ikke vil stride mot bestemmelser gitt i eller i medhold av lovens §§ 11 – 14.

0	Endret ved lover 21 des 2001 nr. 117 (ikr. 1 jan 2002 iflg. res. 21 des 2001 nr. 1475), 11 apr 2008 nr. 9 (ikr. 1 jan 2011 iflg. res. 22 okt 2010 nr. 1361), 12 aug 2016 nr. 78 (ikr. 1 jan 2017 iflg. res. 16 des 2016 nr. 1641).

Kapittel 2. Generelt om ansvar for og utøvelse av forebyggende sikkerhetstjeneste

§ 4.Overordnet ansvar

Departementet har det overordnede ansvar for forebyggende sikkerhetstjeneste. Dette begrenser ikke den enkeltes ansvar og plikter etter bestemmelsene i eller i medhold av loven her.

Departementets utøvende funksjoner ivaretas av Nasjonal sikkerhetsmyndighet.¹

1	Se kap. 3.

§ 5.¹Den enkelte virksomhets plikter

Enhver virksomhet² plikter å utøve forebyggende sikkerhetstjeneste i henhold til bestemmelsene gitt i eller i medhold av loven her.

Virksomheten skal

a.	utarbeide intern instruks for å ivareta sikkerheten,

b.	sørge for at virksomhetens ansatte og engasjerte får tilstrekkelig opplæring i sikkerhetsspørsmål, og

c.	regelmessig kontrollere sikkerhetstilstanden i virksomheten.

Ansvaret påhviler lederen for virksomheten. Dersom utøvende funksjoner delegeres internt i virksomheten, skal dette gjøres skriftlig.

Alt ansatt eller engasjert personell har i sitt arbeid eller oppdrag for virksomheten ansvar for å ivareta sikkerhetsmessige hensyn, og plikter å bidra til forebyggende sikkerhetstjeneste.

Nærmere bestemmelser gis av Nasjonal sikkerhetsmyndighet.³

1	Jf. § 31.
2	Se § 3 (1) nr. 6.
3	Se kap. 3.

§ 5 a.Varslingsplikt og myndighet til å fatte vedtak ved risiko for sikkerhetstruende virksomhet

En virksomhet¹ som får kunnskap om en planlagt eller pågående aktivitet som kan medføre en ikke ubetydelig risiko for at sikkerhetstruende virksomhet² blir etablert eller gjennomført, skal varsle overordnet departement om dette. Dersom den varslingspliktige virksomheten ikke er underlagt noe departement, skal varselet gis til Forsvarsdepartementet. Varslingsplikten gjelder uten hinder av lovbestemt taushetsplikt. Ved behandling av varsel etter første og andre punktum bør det innhentes rådgivende uttalelser fra relevante organer med kompetanse innenfor det aktuelle fagområdet.

Kongen i statsråd kan fatte nødvendige vedtak for å hindre en planlagt eller pågående aktivitet som nevnt i første ledd første punktum. Et slikt vedtak kan fattes uten hensyn til begrensningene i forvaltningsloven³ § 35, og uavhengig av om aktiviteten er tillatt etter annen lov eller annet vedtak. Vedtak etter første punktum er særlig tvangsgrunnlag etter tvangsfullbyrdelsesloven⁴ kapittel 13.

Kongen i statsråd kan gi forskrift om varslingsplikten i første ledd og om hvilke vedtak som kan fattes etter andre ledd.

0	Tilføyd ved lov 12 aug 2016 nr. 78 (ikr. 1 jan 2017 iflg. res. 16 des 2016 nr. 1641).
1	Se § 3 (1) nr. 6.
2	Se § 3 (1) nr. 2.
3	Lov 10 feb 1967.
4	Lov 26 juni 1992 nr. 86.

§ 6.Generelt om utøvelse av forebyggende sikkerhetstjeneste

Når utøvelse av forebyggende sikkerhetstjeneste¹ etter eller i medhold av loven her overlates til den ansvarliges skjønn, skal det ikke nyttes mer inngripende midler og metoder enn det som fremstår som nødvendig i forhold til den aktuelle sikkerhetsrisiko og omstendighetene for øvrig.

Ved utøvelse av forebyggende sikkerhetstjeneste skal det særlig tas hensyn til den enkeltes rettssikkerhet.

Bruk av elektronisk kommunikasjon ved underretning om et vedtak er bare tillatt når den vedtaket retter seg mot uttrykkelig har godtatt dette.

0	Endret ved lov 21 des 2001 nr. 117 (ikr. 1 jan 2002 iflg. res. 21 des 2001 nr. 1475).
1	Se § 3 (1) nr. 1.

§ 7.Samarbeid

Kongen gir bestemmelser om nasjonalt, regionalt og lokalt samarbeid om forebyggende sikkerhetstjeneste.¹

1	Se § 3 (1) nr. 1.

Kapittel 3. Nasjonal sikkerhetsmyndighet

§ 8.Generelle oppgaver

Nasjonal sikkerhetsmyndighet skal koordinere de forebyggende sikkerhetstiltak og kontrollere sikkerhetstilstanden. Nasjonal sikkerhetsmyndighet er også utøvende organ i forholdet til andre land og internasjonale organisasjoner.

§ 9.Nærmere om oppgavene

Nasjonal sikkerhetsmyndighet skal

a.	innhente og vurdere informasjon av betydning for gjennomføringen av forebyggende sikkerhetstjeneste,¹

b.	søke internasjonalt samarbeid, herunder med andre lands og organisasjoners tilsvarende tjenester, når dette tjener norske interesser,

c.	føre tilsyn med sikkerhetstilstanden i virksomheter,² herunder kontrollere at den enkeltes plikter i eller i medhold av loven her overholdes, og eventuelt gi pålegg³ om forbedringer,

d.	bidra til at sikkerhetstiltak utvikles, herunder iverksette forskning og utvikling på områder av betydning for forebyggende sikkerhetstjeneste,

e.	drive en nasjonal responsfunksjon for alvorlige dataangrep mot kritisk infrastruktur⁴ og et nasjonalt varslingssystem for digital infrastruktur,

f.	gi informasjon, råd og veiledning til virksomheter.

Kongen kan gi nærmere bestemmelser om Nasjonal sikkerhetsmyndighets utøvelse av oppgavene.

0	Endret ved lov 12 aug 2016 nr. 78 (ikr. 1 jan 2017 iflg. res. 16 des 2016 nr. 1641).
1	Se § 3 (1) nr. 1.
2	Se § 3 (1) nr. 6.
3	Jf. § 31.
4	Se § 3 (1) nr. 21.

§ 10.¹Nasjonal sikkerhetsmyndighets adgangsrett

Så langt det er nødvendig for å gjennomføre kontrolloppgavene i eller i medhold av loven her, skal Nasjonal sikkerhetsmyndighet gis uhindret adgang² til ethvert område hvor skjermingsverdig informasjon³ eller objekt⁴ befinner seg, dersom området eies, brukes eller på annen måte kontrolleres av en virksomhet.⁵

1	Jf. § 31.
2	Jf. strl. § 156.
3	Se § 3 (1) nr. 8.
4	Se § 3 (1) nr. 12.
5	Se § 3 (1) nr. 6.

§ 10 a.Behandling av personopplysninger

Når det er nødvendig for å utføre oppgavene etter § 9 første ledd bokstav e, kan Nasjonal sikkerhetsmyndighet¹ behandle personopplysninger i form av

a.	metadata om IKT-trafikk til og fra virksomheter² som er knyttet til det nasjonale varslingssystemet for digital infrastruktur

b.	informasjon³ som er nødvendig for å analysere utløste alarmer i varslingssystemet

c.	IP-adresser mottatt fra nasjonale og internasjonale samarbeidspartnere

d.	logger og infisert maskinvare, etter samtykke fra en virksomhet der dette er nødvendig i forbindelse med bistand til håndtering av alvorlige dataangrep.

I andre tilfeller enn nevnt i første ledd, kan personopplysninger også behandles når dette er strengt nødvendig for å ivareta oppgavene etter § 9 første ledd bokstav e, og behandlingen etter en konkret vurdering framstår som både nødvendig og proporsjonal i forhold til det inngrepet den representerer i personvernet.

Kongen kan gi forskrift om Nasjonal sikkerhetsmyndighets behandling av personopplysninger.

0	Tilføyd ved lov 12 aug 2016 nr. 78 (ikr. 1 jan 2017 iflg. res. 16 des 2016 nr. 1641).
1	Jf. kap. 3.
2	Se § 3 (1) nr. 6.
3	Se § 3 (1) nr. 7.

Kapittel 4. Informasjonssikkerhet

§ 11.Sikkerhetsgradering

Når informasjon¹ må beskyttes av sikkerhetsmessige grunner, skal en av følgende sikkerhetsgrader benyttes:

a.	STRENGT HEMMELIG nyttes dersom det kan få helt avgjørende skadefølger for Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende.

b.	HEMMELIG nyttes dersom det alvorlig kan skade Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende.

c.	KONFIDENSIELT nyttes dersom det kan skade Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende.

d.	BEGRENSET nyttes dersom det i noen grad kan medføre skadefølger for Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende.

Den som utsteder eller på annen måte tilvirker skjermingsverdig informasjon,² skal³ sørge for at informasjonen merkes med aktuell sikkerhetsgrad. Sikkerhetsgradering skal ikke skje i større utstrekning enn strengt nødvendig, og det skal ikke brukes høyere sikkerhetsgrad enn nødvendig.

Sikkerhetsgradering skal ikke gis virkning for lengre tid enn det som er strengt nødvendig, og graderingen skal senest bortfalle etter 30 år. Nærmere regler om ned- og avgradering gis av Kongen. Kongen kan for særskilte tilfeller fastsette unntak fra 30 års regelen i første punktum.

Kongen kan under forutsetning om gjensidighet treffe overenskomst med fremmed stat eller internasjonal organisasjon om sikkerhetsgradering av mottatt informasjon som er sikkerhetsgradert av vedkommende stat eller internasjonale organisasjon, og om plikt til å treffe tiltak for å sikre slik informasjon.

1	Se § 3 (1) nr. 7.
2	Se § 3 (1) nr. 8.
3	Jf. § 31.

§ 12.¹Plikt til å beskytte sikkerhetsgradert informasjon²

Enhver som får tilgang til sikkerhetsgradert informasjon som ledd i arbeid, oppdrag eller verv for en virksomhet,³ plikter å hindre at uvedkommende får kjennskap til informasjonen. Taushetsplikten gjelder også etter at vedkommende har avsluttet arbeidet, oppdraget eller vervet. Sikkerhetsgradert informasjon skal bare overlates til personer som har tjenstlig behov for tilgang til den. Taushetsplikten er likevel ikke til hinder for at sikkerhetsgradert informasjon blir gitt til andre når dette har særskilt hjemmel i lov eller i generell forskrift fastsatt av Kongen.

Kongen⁴ gir nærmere regler om håndteringen av sikkerhetsgradert informasjon, herunder om journalisering, oppbevaring, forsendelse og tilintetgjøring. Kongen⁴ kan også gi regler om plikt til å legge forholdene til rette for at sikkerhetsgradert informasjon er korrekt, fullstendig og tilgjengelig.

1	Jf. § 31.
2	Jf. offl. § 13.
3	Se § 3 (1) nr. 6.
4	Forsvarsdepartementet iflg. res. 29 juni 2001 nr. 721.

§ 13.¹Sikkerhetsmessig godkjenning av informasjonssystemer

Før skjermingsverdig informasjon² behandles, lagres eller transporteres i et informasjonssystem, skal Nasjonal sikkerhetsmyndighet,³ eller den Nasjonal sikkerhetsmyndighet bemyndiger, godkjenne systemet for angjeldende sikkerhetsgrad.

Nasjonal sikkerhetsmyndighet er sertifiseringsmyndighet for informasjonssystemer⁴ som skal håndtere skjermingsverdig informasjon.²

Nasjonal sikkerhetsmyndighet kan godkjenne at andre virksomheter⁵ utfører tjenester for sikring av informasjonssystemer⁴ som skal håndtere skjermingsverdig informasjon.²

Nasjonal sikkerhetsmyndighet gir nærmere forskrifter om sikkerhetsmessig godkjenning av informasjonssystemer.⁴

1	Jf. § 31.
2	Se § 3 (1) nr. 8.
3	Se kap. 3.
4	Se § 3 (1) nr. 10.
5	Se § 3 (1) nr. 6.

§ 13 a.Sikkerhetsmessig overvåking av godkjente informasjonssystemer

Den enkelte virksomhet¹ skal kontinuerlig overvåke et godkjent informasjonssystem for sikkerhetstruende hendelser² mot informasjonssystemet³ eller informasjon⁴ i systemet, fortrinnsvis ved bruk av automatisert systemovervåking. Sikkerhetsrelevante hendelser skal registreres.

Informasjon som utveksles mellom systemer, på tvers av autorisasjonsskiller eller til bærbare lagringsmedier, skal registreres og lagres.

Flere virksomheter som er tilknyttet samme informasjonssystem, kan avtale at en av virksomhetene skal forestå overvåking og registrering etter første og andre ledd på vegne av den ansvarlige virksomheten.

Informasjon registrert etter første og andre ledd skal lagres i fem år. Slik informasjon skal kun benyttes for å håndtere sikkerhetstruende hendelser.

Den enkelte virksomhet skal påse at autoriserte brukere av informasjonssystemer som overvåkes i henhold til denne bestemmelse får informasjon om formålet med behandlingen, om de tiltak som er iverksatt, om informasjonen vil bli utlevert og eventuelt om hvem som er mottaker.

Kongen kan gi forskrift om

a.	hvilke typer data som kan eller skal registreres og lagres

b.	hvem som skal ha tilgang til registrert og lagret data

c.	hvordan tilgang skal gis

d.	unntak fra lagringstid på fem år.

0	Tilføyd ved lov 12 aug 2016 nr. 78 (ikr. 1 jan 2017 iflg. res. 16 des 2016 nr. 1641).
1	Se § 3 (1) nr. 6.
2	Se § 3 (1) nr. 2.
3	Se § 3 (1) nr. 10.
4	Se § 3 (1) nr. 7.

§ 14.¹Kryptosikkerhet

Bare kryptosystemer som er godkjent av Nasjonal sikkerhetsmyndighet,² tillates brukt for beskyttelse av skjermingsverdig informasjon.³

Nasjonal sikkerhetsmyndighet² er nasjonal forvalter av kryptomateriell og leverandør av kryptosikkerhetstjenester til virksomheter.⁴ Nasjonal sikkerhetsmyndighet kan likevel godkjenne andre leverandører av kryptosikkerhetstjenester. Disse skal undertegne en særskilt avtale om dette med Nasjonal sikkerhetsmyndighet.

Nasjonal sikkerhetsmyndighet² skal godkjenne kryptoalgoritmer som brukes i utstyr som tenkes eksportert.

Nærmere bestemmelser fastsettes av Nasjonal sikkerhetsmyndighet.²

1	Jf. § 31.
2	Se kap. 3.
3	Se § 3 (1) nr. 8.
4	Se § 3 (1) nr. 6.

§ 15.Monitoring av og inntrengning i informasjonssystemer

En virksomhet¹ kan gi Nasjonal sikkerhetsmyndighet² adgang til gjennom monitoring³ å kontrollere om informasjonssystemer⁴ i vedkommende virksomhet lagrer, behandler eller transporterer skjermingsverdig informasjon⁵ uten at de er godkjent for dette. Virksomhetens ansatte skal på forhånd ha blitt orientert om kontrollen. Monitoring skal ikke i noe tilfelle omfatte privat kommunikasjon eller kommunikasjon som blir formidlet til eller fra andre enn virksomheter.

En virksomhet¹ kan gi Nasjonal sikkerhetsmyndighet² adgang til å forsøke og eventuelt gjennomføre inntrengning i informasjonssystemer⁴ som lagrer, behandler eller transporterer skjermingsverdig informasjon, for å kontrollere motstandskraften i systemene. Virksomhetens ansatte skal på forhånd ha blitt orientert om kontrollen.

Informasjon som Nasjonal sikkerhetsmyndighet² blir kjent med ved kontrollvirksomhet etter første og annet ledd, skal makuleres når den ikke lenger har betydning for kontrollen.

Kongen⁶ gir nærmere bestemmelser, herunder om varsling og gjennomføring av monitoring³ og inntrengning og om oppbevaring og makulering av informasjon.

1	Se § 3 (1) nr. 6.
2	Se kap. 3.
3	Se § 3 (1) nr. 11.
4	Se § 3 (1) nr. 10.
5	Se § 3 (1) nr. 8.
6	Forsvarsdepartementet iflg. res. 29 juni 2001 nr. 721.

§ 16.Tekniske sikkerhetsundersøkelser

Nasjonal sikkerhetsmyndighet,¹ eller den Nasjonal sikkerhetsmyndighet bemyndiger, kan foreta undersøkelser av lokaler, bygninger og andre objekter som eies, brukes eller på annen måte kontrolleres av en virksomhet,² i den hensikt å fastslå hvorvidt uvedkommende med eller uten tekniske hjelpemidler kan skaffe seg tilgang til skjermingsverdig informasjon³ gjennom avtitting, avlytting av tale eller avlesing av elektroniske signaler.

Kongen gir nærmere forskrifter om gjennomføring av tekniske sikkerhetsundersøkelser.

1	Se kap. 3.
2	Se § 3 (1) nr. 6.
3	Se § 3 (1) nr. 8.

Kapittel 5. Objektsikkerhet mv.

0	Overskriften endret ved lov 19 juni 2015 nr. 65 (ikr. 1 okt 2015).

§ 17.¹Utvelgelse av skjermingsverdige objekter

Hvert enkelt departement utpeker skjermingsverdige objekter¹ innen sitt myndighetsområde. Objekteier² plikter overfor departementet å foreslå hvilke objekter som er skjermingsverdige. Utvelgelse av skjermingsverdig objekt skal skje på grunnlag av en skadevurdering, hvor det innenfor lovens formål særlig tas hensyn til objektets:

a.	betydning for sikkerhetspolitisk krisehåndtering og forsvar av riket,

b.	betydning for kritiske funksjoner for det sivile samfunn,

c.	symbolverdi, og

d.	mulighet for å utgjøre en fare for miljøet eller befolkningens liv og helse.

I skadevurderingen skal det også tas hensyn til akseptabel tidsperiode for funksjonssvikt, mulighet til å gjenopprette funksjonalitet, og hensynet til objektets betydning for andre objekter.

Kongen kan gi utfyllende bestemmelser om utvelgelse av skjermingsverdige objekter.

0	Endret ved lov 11 apr 2008 nr. 9 (ikr. 1 jan 2011 iflg. res. 22 okt 2010 nr. 1361).
1	Se § 3 (1) nr. 12.
2	Se § 3 (1) nr. 14.

§ 17 a.Klassifisering av skjermingsverdige objekter

Når skjermingsverdige objekter¹ må beskyttes av sikkerhetsmessige grunner, skal en av følgende klassifiseringsgrader benyttes:

a.	MEGET KRITISK nyttes dersom det kan få helt avgjørende skadefølger for rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser om objektet får redusert funksjonalitet² eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse av uvedkommende.

b.	KRITISK nyttes dersom det alvorlig kan skade rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser om objektet får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse av uvedkommende.

c.	VIKTIG nyttes dersom det kan skade rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser om objektet får redusert funksjonalitet² eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse av uvedkommende.

Kongen kan gi utfyllende bestemmelser om klassifisering av skjermingsverdige objekter.

0	Tilføyd ved lov 11 apr 2008 nr. 9 (ikr. 1 jan 2011 iflg. res. 22 okt 2010 nr. 1361).
1	Se § 3 (1) nr. 12.
2	Se § 3 (1) nr. 15.

§ 17 b.Plikt til å beskytte skjermingsverdig objekt

Objekteier¹ plikter å beskytte objektet² med sikkerhetstiltak.

Sikkerhetstiltakene skal bestå av en kombinasjon av barrierer, deteksjon, verifikasjon og reaksjon, som i sum tilfredsstiller følgende krav:

a.	Objekt klassifisert MEGET KRITISK skal beskyttes slik at tap av funksjon, ødeleggelse og rettsstridig overtakelse avverges.

b.	Objekt klassifisert KRITISK skal beskyttes slik at tap av funksjon og ødeleggelse begrenses, og rettsstridig overtakelse av vesentlige funksjoner avverges.

c.	Objekt klassifisert VIKTIG skal beskyttes slik at tap av vesentlig funksjon og ødeleggelse begrenses.

Sikkerhetstiltakene skal også ta sikte på å redusere muligheten for etterretningsaktivitet mot objektet.

Kongen kan bestemme at det kreves sikkerhetsklarering etter reglene i kapittel 6 for den som skal gis tilgang til skjermingsverdig objekt klassifisert MEGET KRITISK eller KRITISK.

Kongen kan gi nærmere bestemmelser om planlegging og gjennomføring av sikkerhetstiltak, herunder bruk av sikringsstyrker.

0	Tilføyd ved lov 11 apr 2008 nr. 9 (ikr. 1 jan 2011 iflg. res. 22 okt 2010 nr. 1361).
1	Se § 3 (1) nr. 14.
2	Se § 3 (1) nr. 12.

§ 18.Beskyttelse av utenlandske objekter i Norge

Kongen kan under forutsetning om gjensidighet treffe overenskomst med fremmed stat eller internasjonal organisasjon om plikt til å treffe tiltak for å beskytte utenlandske objekter i Norge som anses skjermingsverdige¹ av vedkommende stat eller organisasjon.

1	Se § 3 (1) nr. 12.

§ 18 a.Adgang til steder og områder

Kongen kan av forsvarshensyn forby uvedkommende adgang til

a.	forsvarsbygg og -anlegg hvor gjenstander av interesse for rikets forsvar fremstilles, istandsettes eller oppbevares,

b.	bestemt angivne områder, og

c.	å overvære militære øvelser eller forsøk.

0	Tilføyd ved lov 19 juni 2015 nr. 65 (ikr. 1 okt 2015).

Kapittel 6. Personellsikkerhet

§ 19.Når sikkerhetsklarering og autorisasjon skal gjennomføres

Person som skal gis tilgang til skjermingsverdig informasjon,¹ skal autoriseres.²

Person som skal autoriseres for tilgang til skjermingsverdig informasjon gradert KONFIDENSIELT eller høyere, skal på forhånd sikkerhetsklareres.³

Person som i sitt arbeid vil kunne få tilgang til skjermingsverdig informasjon gradert KONFIDENSIELT eller høyere, skal sikkerhetsklareres dersom ikke sikkerhetstiltak for å fjerne risikoen for tilgang med rimelighet lar seg gjennomføre.

Sikkerhetsklarering gis for følgende nasjonale sikkerhetsgrader, eventuelt også for tilsvarende sikkerhetsgrader i NATO eller annen internasjonal organisasjon:

a.	KONFIDENSIELT (eventuelt NATO CONFIDENTIAL/tilsvarende).

b.	HEMMELIG (eventuelt NATO SECRET/tilsvarende).

c.	STRENGT HEMMELIG (eventuelt COSMIC TOP SECRET/tilsvarende).

0	Endret ved lov 11 apr 2008 nr. 9 (ikr. 1 jan 2011 iflg. res. 22 okt 2010 nr. 1361).
1	Se § 3 (1) nr. 8.
2	Se § 3 (1) nr. 20
3	Se § 3 (1) nr. 19.

§ 20.Gjennomføring av personkontroll¹

Personkontroll iverksettes etter anmodning fra autorisasjonsansvarlig,² med mindre annet er bestemt av Nasjonal sikkerhetsmyndighet.³

Personkontroll skal ikke finne sted uten at den som sikkerhetsklareres er gjort oppmerksom på og har samtykket i at slik kontroll vil bli foretatt. Personkontroll skal alltid omfatte opplysninger gitt av vedkommende selv. Vedkommende plikter å gi fullstendige opplysninger om forhold som antas å kunne være av betydning for vurderingen av sikkerhetsmessig skikkethet etter § 21.

Ved sikkerhetsklarering⁴ for HEMMELIG/tilsvarende eller høyere sikkerhetsgrader, og i andre særlige tilfeller, kan personkontroll gjennomføres for nærstående personer som er knyttet til vedkommende ved familiebånd.

For øvrig skal kontrollen omfatte opplysninger som vedkommende klareringsmyndighet selv sitter inne med og avlesing av relevante offentlige registre, jf. femte ledd første punktum. Registeransvarlig plikter å utlevere registeropplysninger uten hinder av taushetsplikt. Registeropplysninger skal meddeles skriftlig. Kontrollen kan også omfatte andre kilder, herunder uttalelser fra tjenestesteder eller arbeidsplasser, offentlige myndigheter eller oppgitte eller supplerende referanser. Personkontrollopplysninger skal gis vederlagsfritt til klareringsmyndigheten.

Kongen bestemmer hvilke registre som er relevante for personkontroll. Kongen gir også bestemmelser om fremgangsmåten ved registerundersøkelser i utlandet og om utlevering av opplysninger i forbindelse med andre lands myndigheters tilsvarende personkontroll. Under ingen omstendighet skal det innhentes, registreres eller videreformidles opplysninger om politisk engasjement som omfattes av § 21 annet ledd.

Opplysninger som er gitt klareringsmyndigheten² i forbindelse med personkontroll, skal ikke benyttes til andre formål enn vurdering av sikkerhetsklarering. Autorisasjonsansvarlig kan likevel meddeles slike opplysninger dersom dette anses påkrevet av hensyn til den sikkerhetsmessige ledelse og kontroll av vedkommende.

1	Se § 3 (1) nr. 18.
2	Se § 23.
3	Se kap. 3.
4	Se § 3 (1) nr. 16.

§ 21.Vurderingsgrunnlaget for sikkerhetsklarering

Sikkerhetsklarering¹ skal bare gis eller opprettholdes dersom det ikke foreligger rimelig tvil om vedkommendes sikkerhetsmessige skikkethet. Ved avgjørelse om sikkerhetsmessig skikkethet skal det bare legges vekt på forhold som er relevante for å vurdere vedkommendes pålitelighet, lojalitet og sunne dømmekraft i forhold til behandling av skjermingsverdig informasjon.² Opplysninger om følgende forhold kan tillegges betydning:

a.	Spionasje,³ planlegging eller gjennomføring av sabotasje,⁴ attentat eller lignende, og forsøk på slik virksomhet.

b.	Straffbare handlinger eller forberedelser eller oppfordringer til slike.

c.	Forhold som kan lede til at vedkommende selv eller nærstående personer som er knyttet til vedkommende ved familiebånd, utsettes for trusler som innebærer fare for liv, helse, frihet eller ære med risiko for å kunne presse vedkommende til å handle i strid med sikkerhetsmessige interesser.

d.	Forfalskning av, eller feilaktig eller unnlatt fremstilling om, faktiske forhold som vedkommende måtte forstå er av betydning for sikkerhetsklareringen.

e.	Misbruk av alkohol eller andre rusmidler.

f.	Enhver sykdom som på medisinsk grunnlag anses å kunne medføre forbigående eller varig svekkelse av pålitelighet, lojalitet eller sunn dømmekraft.

Kompromittering av skjermingsverdig informasjon,⁵ brudd på gitte sikkerhetsbestemmelser, nektelse av å gi personopplysninger om seg selv, unnlatelse av å gi autorisasjonsansvarlig løpende underretning om egne forhold av betydning for sikkerheten, nektelse av å gi taushetsløfte, tilkjennegivelse av ikke å ville være bundet av taushetsløfte eller nektelse av å delta i sikkerhetssamtale.

h.	Økonomiske forhold som kan friste til utroskap.

i.	Forbindelse med innen- eller utenlandske organisasjoner som har ulovlig formål, som kan true den demokratiske samfunnsordenen eller som anser vold eller terrorhandlinger som akseptable virkemidler.

j.	Manglende mulighet for gjennomføring av en tilfredsstillende personkontroll.

k.	Tilknytning til andre stater.

l.	Andre forhold som kan gi grunn til å frykte at vedkommende vil kunne opptre i strid med sikkerhetsmessige interesser.

Politisk engasjement, herunder medlemskap i, sympati med eller aktivitet for lovlige politiske partier eller organisasjoner og annet lovlig samfunnsengasjement, skal ikke ha betydning for vurdering av en persons sikkerhetsmessige skikkethet.

Klareringsavgjørelser skal baseres på en konkret og individuell helhetsvurdering av de foreliggende opplysninger. Klareringsmyndigheten⁶ skal påse at klareringssaken er så godt opplyst som mulig før avgjørelse fattes. Sikkerhetssamtale skal gjennomføres der dette ikke anses som åpenbart unødvendig.

Negative opplysninger om nærstående personer, jf. § 20 tredje ledd, skal bare tas i betraktning dersom det antas at nærståendes forhold vil kunne påvirke vedkommendes sikkerhetsmessige skikkethet.

I særlige tilfeller kan det settes vilkår for sikkerhetsklarering.

0	Endret ved lov 17 juni 2005 nr. 81 (ikr. 1 jan 2006 iflg. res. 21 des 2005 nr. 1605).
1	Se § 3 (1) nr. 19.
2	Se § 3 (1) nr. 8.
3	Se § 3 (1) nr. 3.
4	Se § 3 (1) nr. 4.
5	Se § 3 (1) nr. 8.
6	Se § 23.

§ 22.¹Sikkerhetsklarering av utenlandske statsborgere

En utenlandsk statsborger kan gis sikkerhetsklarering² etter en vurdering av hjemlandets sikkerhetsmessige betydning og vedkommendes tilknytning til hjemlandet og Norge.

Nærmere regler om sikkerhetsklarering av utenlandske statborgere fastsettes av Kongen.

0	Endret ved lov 17 juni 2005 nr. 81 (ikr. 1 jan 2006 iflg. res. 21 des 2005 nr. 1605).
1	Se § 23 (4).
2	Se § 3 (1) nr. 19.

§ 23.Autorisasjonsansvarlig og klareringsmyndighet

Autorisasjon¹ kan gis dersom autorisasjonsansvarlig ikke har opplysninger som gjør det tvilsomt om vedkommende sikkerhetsmessig er til å stole på. Autorisasjon gis normalt av virksomhetens leder.² Autorisasjon skal ikke gis før det foreligger melding om sikkerhetsklarering,³ med unntak for de tilfeller som er beskrevet i § 19 tredje ledd, og en autorisasjonssamtale er avholdt. Nasjonal sikkerhetsmyndighet⁴ gir nærmere regler om autorisasjon og om hvem som er autorisasjonsansvarlig.

Kongen utpeker en klareringsmyndighet for forsvarssektoren og en for den sivile sektoren. Kongen kan utpeke andre klareringsmyndigheter når særlige grunner taler for det. Etterretnings- og sikkerhetstjenestene klarerer eget personell.

0	Endret ved lov 12 aug 2016 nr. 78 (ikr. 1 jan 2017 iflg. res. 16 des 2016 nr. 1641).
1	Se § 3 (1) nr. 20.
2	Se § 3 (1) nr. 6.
3	Se § 3 (1) nr. 19.
4	Jf. kap. 3.

§ 24.Bortfall, tilbakekall, nedsettelse og suspensjon av sikkerhetsklarering og autorisasjon

Sikkerhetsklarert og autorisert personell skal holde autorisasjonsansvarlig¹ orientert om forhold som antas å kunne være av betydning for vedkommendes sikkerhetsmessige skikkethet.

Fremkommer det opplysninger som reiser tvil om en sikkerhetsklarert persons sikkerhetsmessige skikkethet, skal klareringsmyndigheten vurdere å tilbakekalle eller nedsette klareringen, eller suspendere klareringen og iverksette nærmere undersøkelser for å avklare forholdet.

Er en sikkerhetsklarering² besluttet tilbakekalt, nedsatt eller suspendert, skal begrunnet melding om dette sendes til Nasjonal sikkerhetsmyndighet.³ Autorisasjonsansvarlig skal varsles umiddelbart.

Autorisasjon⁴ bortfaller automatisk

a.	når personen fratrer den stilling som autorisasjonen omfatter,

b.	når behovet for autorisasjon av andre grunner ikke lenger er til stede, eller

c.	når vedkommende ikke lenger har tilstrekkelig sikkerhetsklarering.

Får autorisasjonsansvarlig opplysninger som gir grunn til tvil om en autorisert person fortsatt kan anses sikkerhetsmessig skikket, skal autorisasjonen vurderes tilbakekalt, nedsatt eller suspendert. Avgjørelse om dette skal innberettes til vedkommende klareringsmyndighet.

Nasjonal sikkerhetsmyndighet fastsetter generell gyldighetstid for sikkerhetsklareringer.

1	Se § 23.
2	Se § 3 (1) nr. 19.
3	Se kap. 3.
4	Se § 3 (1) nr. 20.

§ 25.Begrunnelse og underretning

Forvaltningsloven¹ kapittel IV og V gjelder ikke for avgjørelser om sikkerhetsklarering² eller autorisasjon.³

Den som har vært vurdert sikkerhetsklarert, har rett til å bli gjort kjent med resultatet. Ved negativ avgjørelse skal vedkommende uoppfordret underrettes om resultatet og opplyses om klageadgangen.

Begrunnelse for en avgjørelse skal gis samtidig med underretningen om utfallet av klareringssaken. Vedkommende har ikke krav på begrunnelse i den utstrekning begrunnelse ikke kan gis uten å røpe opplysninger som

a.	er av betydning for Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser,

b.	er av betydning for kildevern,

c.	det av hensyn til vedkommendes helse eller hans forhold til personer som står denne nær, må anses utilrådelig at vedkommende får kjennskap til,

d.	angår tekniske innretninger, produksjonsmetoder, forretningsmessige analyser og berekninger og forretningshemmeligheter ellers, når de er av en slik art at andre kan utnytte dem i sin næringsvirksomhet.

Klareringsmyndigheten⁴ skal i tillegg utarbeide en intern samtidig begrunnelse hvor alle relevante forhold inngår, herunder forhold som nevnt i tredje ledd.

0	Endret ved lov 17 juni 2005 nr. 81 (ikr. 1 jan 2006 iflg. res. 21 des 2005 nr. 1605).
1	Lov 10 feb 1967.
2	Se § 3 (1) nr. 19.
3	Se § 3 (1) nr. 20.
4	Se § 23.

§ 25 a.Innsyn

Etter at avgjørelse om sikkerhetsklarering¹ er fattet, har den som har vært vurdert sikkerhetsklarert rett til å gjøre seg kjent med sakens dokumenter. Vedkommende har etter samme tidspunkt rett til å se audiovisuelt opptak av egen sikkerhetssamtale.

Vedkommende har ikke krav på innsyn i de deler av et dokument som inneholder opplysninger som nevnt i § 25 tredje ledd. Vedkommende har heller ikke krav på innsyn i et dokument som er utarbeidet for den interne saksforberedelsen ved klareringsmyndigheten² eller klageinstansen, med unntak av faktiske opplysninger eller sammendrag eller annen bearbeidelse av faktum.

På anmodning skal den som har krav på innsyn gis kopi av dokumentet. Gjennomsyn av audiovisuelt opptak av sikkerhetssamtale skjer ved oppmøte hos klareringsmyndigheten.²

0	Tilføyd ved lov 17 juni 2005 nr. 81 (ikr. 1 jan 2006 iflg. res. 21 des 2005 nr. 1605).
1	Se § 3 (1) nr. 19.
2	Se § 23.

§ 25 b.Oversendelse av sak til særskilt oppnevnt advokat

Forsvarsdepartementet oppnevner en gruppe advokater som skal sikkerhetsklareres for høyeste nivå. Disse skal benyttes i de tilfeller som er nevnt i andre ledd.

Der begrunnelse ikke gis, jf. § 25 tredje ledd, og klagefristen ikke er løpt ut, skal klareringsmyndigheten¹ på begjæring av den som er vurdert sikkerhetsklarert, gjøre sakens dokumenter tilgjengelig for en advokat som er oppnevnt for dette formålet. Det samme gjelder avslag på begjæring om innsyn, jf. § 25 a andre ledd første punktum. Vedkommende må ha utprøvd klageadgangen vedrørende nektet begrunnelse eller avslag på begjæring om innsyn, jf. § 25 c andre ledd, før denne retten til bruk av advokat inntrer.

Advokaten skal ha tilgang til sakens faktiske opplysninger og den begrunnelse som er ukjent for den som har vært vurdert sikkerhetsklarert. Dokument som er utarbeidet for den interne saksforberedelsen ved klareringsmyndigheten eller klageinstansen, jf. § 25 a andre ledd siste punktum, skal ikke gis advokaten.

Advokaten skal gi den som er vurdert sikkerhetsklarert råd om hvorvidt vedkommende bør klage.

0	Tilføyd ved lov 17 juni 2005 nr. 81 (ikr. 1 jan 2006 iflg. res. 21 des 2005 nr. 1605).
1	Se § 23.

§ 25 c.Klage

Bestemmelsene i forvaltningsloven¹ kapittel VI gjelder tilsvarende i klareringssaker om ikke annet følger av denne lov eller forskrift om personellsikkerhet.

Negativ avgjørelse om sikkerhetsklarering,² herunder vilkår og når klareringssaken tidligst kan tas opp på nytt, kan påklages av den avgjørelsen retter seg mot. Det samme gjelder nektet begrunnelse og avslag på begjæring om innsyn.

Klage på avgjørelse om sikkerhetsklarering² sendes vedkommende klareringsmyndighet. Nasjonal sikkerhetsmyndighet³ er klageinstans. Departementet er klageinstans for klareringsavgjørelser truffet av Nasjonal sikkerhetsmyndighet³ i første instans.

Fristen for å klage er tre uker fra den dag underretningen om avgjørelsen, manglende begrunnelse eller avslag på begjæring om innsyn har kommet frem til vedkommende. Dersom det klages på nektet begrunnelse eller avslag på begjæring om innsyn, avbrytes klagefristen. Ny klagefrist løper fra det tidspunkt underretning om begrunnelse eller innsyn er kommet frem til vedkommende eller på annen måte er gjort kjent med den. I saker der advokat har gjennomgått saken, løper ny klagefrist fra den dag rådet fra advokaten har kommet frem til vedkommende.

0	Tilføyd ved lov 17 juni 2005 nr. 81 (ikr. 1 jan 2006 iflg. res. 21 des 2005 nr. 1605).
1	Lov 10 feb 1967.
2	Se § 3 (1) nr. 19.
3	Se § 4 og kap. 3.

§ 26.Utfyllende bestemmelser

Kongen kan gi forskrifter om opprettelse av et sentralt register for klareringsavgjørelser.

Nasjonal sikkerhetsmyndighet¹ fastsetter utfyllende bestemmelser om personellsikkerhet, herunder om

a.	sikkerhetsklarering av bestemte kategorier personell, bl.a. vernepliktige² mannskaper i Forsvaret,

b.	arkivering, oppbevaring og forsendelse av dokumenter i klarerings- og personkontrollsaker, og

c.	avholdelse av sikkerhetssamtaler.

1	Se kap. 3.
2	Se lov 12 aug 2016 nr. 77 kap. 2.

Kapittel 7. Sikkerhetsgraderte anskaffelser og anskaffelser til kritisk infrastruktur

0	Overskrift endret ved lov 12 aug 2016 nr. 78 (ikr. 1 jan 2017 iflg. res. 16 des 2016 nr. 1641).

§ 27.¹Inngåelse av sikkerhetsavtale

Ved sikkerhetsgraderte anskaffelser² skal det inngås en sikkerhetsavtale mellom anskaffelsesmyndigheten³ og leverandøren. Sikkerhetsavtale skal være inngått før leverandøren kan få tilgang til skjermingsverdig informasjon.⁴ Sikkerhetsavtale med utenlandske leverandører kan bare inngås etter godkjenning av Nasjonal sikkerhetsmyndighet.⁵ Nasjonal sikkerhetsmyndighet kan bestemme at sikkerhetsavtale også skal inngås dersom leverandøren vil kunne få tilgang til skjermingsverdig objekt⁶ eller dersom det av andre grunner er nødvendig å sikkerhetsgradere anskaffelsen.

Sikkerhetsavtalen skal fastsette nærmere detaljer om ansvar og plikter etter bestemmelsene i og i medhold av loven her, herunder om

a.	anskaffelsens sikkerhetsgrad, spesifisert for de enkelte deler av oppdraget,

b.	praktisk gjennomføring av undersøkelser hos leverandøren og annen kontroll med denne for å vurdere sikkerhetstilstanden og kontrollere at leverandøren forholder seg i samsvar med sikkerhetsbestemmelsene og øvrige plikter etter loven her, og

c.	konsekvenser ved brudd på sikkerhetsavtalen.

Utgifter eller krav leverandøren måtte ha for å oppfylle bestemmelsene i eller i medhold av loven her og inngått sikkerhetsavtale, er anskaffelsesmyndigheten og Nasjonal sikkerhetsmyndighet⁵ uvedkommende, med mindre annet er uttrykkelig avtalt i sikkerhetsavtalen.

1	Se § 2 (2).
2	Se § 3 (1) nr. 17.
3	Se § 3 (1) nr. 16.
4	Se § 3 (1) nr. 8.
5	Se kap. 3.
6	Se § 3 (1) nr. 12.

§ 28.Leverandørklarering

Før en leverandør kan få tilgang til skjermingsverdig informasjon¹ sikkerhetsgradert KONFIDENSIELT eller høyere,² eller dersom det av andre grunner anses nødvendig, skal leverandøren ha gyldig leverandørklarering for angitt sikkerhetsgrad. Kongen gir forskrift om gyldighetstiden for leverandørklareringer.

Leverandørklarering skal ikke gis dersom det foreligger rimelig tvil om leverandørens sikkerhetsmessige skikkethet. Ved avgjørelse om sikkerhetsmessig skikkethet skal det bare legges vekt på forhold som er relevante for å vurdere leverandørens evne og vilje til å utøve forebyggende sikkerhetstjeneste etter bestemmelsene i eller i medhold av loven her. I vurderingen skal inngå personkontroll av personer i leverandørens styre og ledelse.

Leverandøren skal gi alle opplysninger som antas å kunne være av betydning for klareringsspørsmålet.

Leverandøren skal uten ugrunnet opphold orientere Nasjonal sikkerhetsmyndighet² om endringer i styre eller ledelse, forandringer i eierstrukturen, flytting av lokaliteter og utstyr, åpning av gjeldsforhandling eller begjæring om konkurs og andre forhold som kan ha betydning for leverandørens sikkerhetsmessige skikkethet. Anses slike forhold å representere en sikkerhetsrisiko og risikoen ikke kan elimineres gjennom å utøve forebyggende sikkerhetstjeneste, kan Nasjonal sikkerhetsmyndighet³ inndra leverandørklareringen. Skjermingsverdig informasjon eller objekt⁴ kan ikke overføres til ny eier eller inngå i bobehandling ved gjeldsforhandling eller konkurs, med mindre Nasjonal sikkerhetsmyndighet har samtykket til dette.

For øvrig gjelder reglene i kapittel 6, herunder reglene om begrunnelse og klage, så langt de passer.

0	Endret ved lov 12 aug 2016 nr. 78 (ikr. 1 jan 2017 iflg. res. 16 des 2016 nr. 1641).
1	Se § 3 (1) nr. 8.
2	Se § 11.
3	Se kap. 3.
4	Se § 3 (1) nr. 12.

§ 29.Utfyllende bestemmelser m.v.

Kongen¹ kan gi utfyllende bestemmelser om sikkerhetsgraderte anskaffelser,² samt fastsette særskilte regler for gjennomføring av internasjonale sikkerhetsgraderte anskaffelser.

1	Forsvarsdepartementet iflg. res. 29 juni 2001 nr. 721.
2	Se § 3 (1) nr. 17.

§ 29 a.Varslingsplikt og myndighet til å fatte vedtak ved anskaffelser til kritisk infrastruktur

Ved anskaffelser til kritisk infrastruktur¹ skal det foretas en risikovurdering. I vurderingen skal det tas stilling til om anskaffelsen innebærer en ikke ubetydelig risiko for at sikkerhetstruende virksomhet² blir etablert eller gjennomført mot eller ved bruk av infrastrukturen. Plikten til å foreta en risikovurdering gjelder ikke dersom det framstår som åpenbart at anskaffelsen ikke kan innebære noen slik risiko.

En virksomhet som eier eller rår over kritisk infrastruktur, skal varsle overordnet departement dersom en risikovurdering som nevnt i første ledd konkluderer med at anskaffelsen kan innebære en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført. Virksomheter som ikke er underlagt noe departement, skal varsle Forsvarsdepartementet. Varslingsplikten gjelder uten hinder av lovbestemt taushetsplikt. Plikten gjelder ikke dersom virksomheten selv iverksetter risikoreduserende tiltak som fjerner risikoen, eller gjør den ubetydelig.

Et departement som mottar varsel etter andre ledd, bør innhente en rådgivende uttalelse fra relevante organer om leveransens risikopotensial, og leverandørers sikkerhetsmessige pålitelighet.

Dersom en anskaffelse til kritisk infrastruktur kan medføre en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført, kan Kongen i statsråd fatte vedtak om at anskaffelsen skal nektes gjennomført, eller om at det settes vilkår for gjennomføringen. Dette gjelder også dersom det allerede er inngått avtale om anskaffelsen. Dersom det ikke fattes vedtak etter første punktum, skal departementet underrette virksomheten om dette. Vedtak etter første punktum er særlig tvangsgrunnlag etter tvangsfullbyrdelsesloven³ kapittel 13.

Kongen i statsråd kan gi forskrift om anskaffelser til kritisk infrastruktur.

0	Tilføyd ved lov 12 aug 2016 nr. 78 (ikr. 1 jan 2017 iflg. res. 16 des 2016 nr. 1641).
1	Se § 3 (1) nr. 21.
2	Se § 3 (1) nr. 6.
3	Lov 26 juni 1992 nr. 86.

Kapittel 8. Kontroll- og tilsynsordninger. Straffebestemmelser

§ 30.Kontroll- og tilsynsordninger

Forebyggende sikkerhetstjeneste¹ i medhold av loven her er underlagt kontroll og tilsyn av Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjeneste, i samsvar med bestemmelsene i og i medhold av lov av 3. februar 1995 nr. 7 om kontroll med etterretnings-, overvåkings- og sikkerhetstjeneste.

Kongen kan etablere særskilte ordninger for å kontrollere og føre tilsyn med Nasjonal sikkerhetsmyndighet² og andre virksomheters³ forebyggende sikkerhetstjeneste,¹ i den hensikt å påse at utøvelsen holdes innen rammen av gjeldende lov, administrative eller militære direktiver og ulovfestet rett, eller for å sørge for at rettssikkerhetsmessige og andre hensyn ivaretas.

1	Se § 3 (1) nr. 1.
2	Se kap. 3.
3	Se § 3 (1) nr. 6.

§ 31.Straff¹

Den som forsettlig eller uaktsomt overtrer bestemmelser gitt i eller i medhold av §§ 5, 10, 12 annet ledd, 13 første og fjerde ledd, 14 første, tredje og fjerde ledd og 17 i loven her, eller overtrer pålegg gitt av Nasjonal sikkerhetsmyndighet i medhold av § 9 første ledd bokstav c i loven her, straffes med bøter eller fengsel inntil seks måneder, hvis ikke forholdet går inn under en strengere straffebestemmelse.

Den som forsettlig eller grovt uaktsomt overtrer § 11 annet ledd første punktum i loven her, straffes med bøter eller fengsel inntil seks måneder, hvis ikke forholdet går inn under en strengere straffebestemmelse.

Den som forsettlig eller grovt uaktsomt krenker taushetsplikt etter § 12 første ledd, straffes med bøter eller fengsel inntil ett år, hvis ikke forholdet går inn under en strengere straffebestemmelse.

Den som overtrer forbud med hjemmel i § 18 a straffes med bot eller fengsel inntil 1 år, hvis ikke forholdet går inn under en strengere straffebestemmelse.

Forsøk straffes på samme måte.

0	Endret ved lov 19 juni 2015 nr. 65 (ikr. 1 okt 2015).
1	Jf. strl. kap. 17.

Kapittel 9. Ikrafttredelse og endringer i andre lover

§ 32.Ikrafttredelse

Denne lov trer i kraft fra den tid Kongen bestemmer.

0	Loven trådte ikr. 1 juli 2001 iflg. res. 29 juni 2001 nr. 720.

§ 33.Endringer i andre lover

Fra den tiden loven trer i kraft gjøres følgende endringer i andre lover: