Autorisasjon

Autorisasjon er med andre ord en vurdering og avgjørelse av om en person etter forutgående sikkerhetsklarering (med unntak for tilgang til informasjon sikkerhetsgradert BEGRENSET), bedømt etter kunnskap om sikkerhetsbestemmelser, tjenstlig behov samt avlagt skriftlig taushetsløfte, kan gis tilgang til informasjon med angitt sikkerhetsgrad (virksomhetsikkerhetsforskriften § 67).

Å være autorisert innebærer at personen er vurdert sikkerhetsmessig skikket, og gitt nødvendig tillit til å  behandle sikkerhetsgradert informasjon eller gis adgang til skjermingsverdige objekter og infrastruktur. Autorisasjon er en viktig del av sikkerhetsmessig ledelse.

Sikkerhetsmessig ledelse består av en rekke tiltak og må tilpasses den enkelte virksomhet. Dette gjøres gjennom dialog, observasjon, håndtering av sårbarheter, oppfølging av vilkår, opplæring, holdningsskapende arbeid, kontroll, motivasjon osv. Autorisasjonsansvarlig har ansvaret for sikkerhetsmessig ledelse. Sikkerhetsmessig ledelse handler i stor grad om å kjenne sin medarbeider. Den enkelte medarbeider kan eksempelvis ha sårbarheter som gir behov for en tettere oppfølging fra start, mens det hos andre kan dukke opp nye sårbarheter underveis. 

Hva sikkerhetsloven krever:
Sikkerhetsloven § 8-1: Personer som skal få tilgang til sikkerhetsgradert informasjon skal autoriseres i samsvar med § 8-9 (autorisasjon). Det samme gjelder personer som skal ha adgang til skjermingsverdige objekter og infrastruktur som det er fattet vedtak om etter § 8-3 (adgangsklarering). Personer som skal autoriseres for tilgang til informasjon gradert KONFIDENSIELT eller høyere, må ha gyldig sikkerhetsklarering. Personer som skal autoriseres for tilgang til skjermingsverdige objekter eller infrastruktur som det er fattet vedtak om etter § 8-3, må ha gyldig adgangsklarering.

Ansvarsforhold (sikkerhetsloven § 8-11)
En klarert og autorisert person skal umiddelbart varsle den autorisasjonsansvarlige om forhold som kan være av betydning for om personen er sikkerhetsmessig skikket. Varslingsplikten omfatter alle forhold som kan være av betydning for en persons sikkerhetsmessige skikkethet. I praksis betyr dette opplysninger om forhold som fremgår av sikkerhetsloven § 8-4 fjerde ledd bokstav a til o, opplysninger som nevnt i klareringsforskriften § 6, jf. § 7, samt opplysninger som på en negativ måte kan påvirke personens evne til å følge opp eventuelle vilkår for klareringen.

Sikkerhetsloven § 8-10: Dersom autorisasjonsansvarlig får opplysninger som gir rimelig grunn til å tvile på at en autorisert person fortsatt kan anses sikkerhetsmessig skikket, skal den autorisasjonsansvarlige vurdere om autorisasjonen skal opprettholdes, tilbakekalles, nedsettes eller suspenderes. Autorisasjonsansvarlige skal melde fra til klareringsmyndigheten om avgjørelsen. NSM viser innledningsvis til virksomhetsikkerhetsforskriften § 74. At en autorisasjon opprettholdes innebærer at den autoriserte beholder sin autorisasjon. Blir autorisasjonen tilbakekalt betyr det at den autoriserte ikke lenger har gyldig autorisasjon. Autorisasjonsansvarlig kan også bestemme at autorisasjonen blir nedsatt, hvilket betyr at den autoriserte får en autorisasjon på et lavere nivå enn vedkommende hadde tidligere. Blir en autorisasjon suspendert innebærer dette at personen midlertidig mister sin autorisasjon, i påvente av å innhente ytterligere informasjon, eller i påvente av at opplysningene som foreligger blir vurdert. 

Autorisasjonsansvarlig (sikkerhetsloven § 8-9)
Virksomhetens leder er autorisasjonsansvarlig og har ansvaret for sikkerhetsmessig ledelse og kontroll av autoriserte personer. Autorisasjonsansvarlig er ansvarlig for å autorisere personell for tilgang til sikkerhetsgradert informasjon.

Myndigheten til å gi autorisasjon kan ved behov delegeres, men det presiseres at det er virksomhetens ledelse som har ansvaret. Myndigheten til å ha sikkerhetsmessig ledelse og kontroll av personellet, vil i praksis følges opp av den som har fått delegert myndighet, eksempelvis autorisert personells nærmeste foresatte. Av hensyn til notoritet anbefaler NSM at delegering skjer skriftlig.

Ved delegasjon av autorisasjonsmyndighet bør virksomhetens leder særlig ta hensyn til at den som får ansvaret også har en reell mulighet til å drive sikkerhetsmessig ledelse av den autoriserte. Oppfølging av sårbarheter hos den enkelte og eventuelle vilkår fastsatt av klareringsmyndigheten er eksempler på forhold som krever nærhet i det daglige mellom autoriserende leder og den autoriserte.

Autorisasjon skal ikke gis dersom autorisasjonsansvarlig har opplysninger som gir rimelig grunn til å tvile på om personen er sikkerhetsmessig skikket jf. sikkerhetsloven § 8-9 (2).

Vilkår for å gi autorisasjon (virksomhetsikkerhetsforskriften § 67, jf. § 7)

• Identitetskontroll er foretatt
• Tjenstlig behov
• Nødvendig klarering iht. sikkerhetsloven § 8-1
• Taushetserklæring er undertegnet
• Kjennskap til de relevante delene av styringssystemet for sikkerhet
• Tilstrekkelig kompetanse om sikkerhet
• Informere om endringer i kravene til sikkerheten
• Kjennskap til relevante sikkerhetstrusler og sikkerhetsbestemmelser
• Autorisasjonssamtale er gjennomført
• Sikkerhetsmessig skikkethet er avklart

Autorisasjonssamtale

Når man er sikkerhetsklarert eller adgangsklarert, må man autoriseres for å få tilgang til sikkerhetsgradert informasjon eller adgang til skjermingsverdig objekt og infrastruktur hos virksomheten. 

For å bli autorisert, gjennomføres en autorisasjonssamtale mellom autorisasjonsansvarlig og den som skal autoriseres. Autorisasjonssamtalen er en formell samtale, og er et verktøy for autorisasjonsansvarlig i virksomheten som et ledd i arbeidet med forebyggende sikkerhet. 

Hensikten er å avklare om autorisasjonsansvarlig har nødvendig tillit til at personen vil håndtere sikkerhetsgradert informasjon eller skjermingsverdig objekt og infrastruktur i henhold til lov, forskrifter, instruks og lokalt regelverk, og at personen er sikkerhetsmessig skikket.

Under en autorisasjonssamtale undertegnes en taushetserklæring. Taushetserklæringen er en bekreftelse på at den som skal autoriseres har satt seg inn i sikkerhetsbestemmelsene og for å bevisstgjøre taushetsplikten. Taushetserklæringen er en skriftlig dokumentasjon på dette jf. sikkerhetsloven § 5-4.

Personen har taushetsplikt etter at vedkommende har sluttet i stillingen (også etter klareringen har gått ut på tid). 

Autorisasjonssamtale skal gjennomføres (virksomhetsikkerhetsforskriften § 68):

• Før det gis autorisasjon 
• Når en autorisert person selv ber om det
• Ved ny forespørsel om sikkerhetsklarering (reklarering)
• Når autorisasjonsansvarlig ellers finner grunn til det

Autorisasjonssamtalens innhold (virksomhetsikkerhetsforskriften § 68)
Gjennom autorisasjonssamtalen skal autorisasjonsansvarlig forsikre seg om at den som skal autoriseres, kjenner til relevante sikkerhetstrusler og sikkerhetsbestemmelser og forstår sin rolle i sikkerhetsarbeidet til virksomheten.

Autorisasjonsansvarlig skal også kontrollere at opplysningene den som skal autoriseres gir, er tilstrekkelige og oppdaterte.

I løpet av samtalen skal autorisasjonsansvarlig og den som skal autoriseres drøfte eventuelle risikofaktorer ved personen som er relevante for personellsikkerheten samt drøfte tiltak som kan redusere risikofaktorer ved personen, eller som kan oppfylle vilkår som klareringsmyndigheten har gitt for klareringen.

Dersom personen har vært autorisert før, skal den som autoriserer hente inn opplysninger av betydning fra forrige autorisasjonsavgjørelse.

Autorisasjon av utenlandske statsborgere

Før en utenlandsk statsborger, som ikke har klarering, kan autoriseres for informasjon gradert BEGRENSET skal autorisasjonsansvarlig vurdere om personens tilknytning til hjemlandet og hjemlandets sikkerhetsmessige betydning utgjør en akseptabel risiko (virksomhetsikkerhetsforskriften § 70). Dersom det oppstår usikkerhet vedrørende dette kan autorisasjonsansvarlig ta kontakt med klareringsmyndigheten om en slik vurdering av hjemlandets sikkerhetsmessige betydning. Dersom personen kommer fra en stat Politiets sikkerhetstjeneste (PST) mener utgjør en høy sikkerhetsrisiko mot Norge må autorisasjonsansvarlig innhente samtykke fra klareringsmyndigheten før den utenlandske statsborgeren kan autoriseres for BEGRENSET.

Den utenlandske statsborgeren kan bare autoriseres for tilgang til informasjon sikkerhetsgradert av en fremmed stat dersom personen er borger av denne staten eller dersom NSM har innhentet tillatelse fra statens myndigheter. Utenlandske statsborgere kan også bare autoriseres for tilgang til informasjon sikkerhetsgradert av en internasjonal organisasjon dersom staten personen er borger av, er medlem av organisasjonen eller dersom NSM har innhentet tillatelse fra organisasjonen.

Hvem regnes som utenlandske statsborgere? 

Som utenlandsk borger regnes etter sikkerhetsloven personer som: 

• kun har statsborgerskap fra annet land enn Norge 
• har dobbelt statsborgerskap; norsk statsborgerskap og et annet 
• er statsløse eller har uavklart statsborgerskap 

Enkelte kan ikke si fra seg sitt ikke-norske statsborgerskap fordi vedkommende stat ikke tillater dette. Det er landets statsborgerskapslovgivning som regulerer dette, uavhengig av hva norsk lovgivning bestemmer. Dette gjelder for eksempel (i praksis) Iran. Noen statsborgerskap arves også, uavhengig av fødested. Dette gjelder for eksempel Armenia. 

NSMs råd for vurdering av hjemlandets sikkerhetsmessige betydning

• Gjør deg kjent med de nasjonale trusselvurderingene fra PST og Etterretningstjenesten. Er landet omtalt her, og på hvilken måte? 
• Sett deg inn i UDs reiseråd og vurderinger. Er landet særskilt omtalt i slike, og på hvilken måte?
• Innhent informasjon om generelle forhold i landet, for eksempel ved å lese generelle rapporter på nettsidene til Utlendingsforvaltningens fagenhet for landinformasjon (Landinfo) på landinfo.no, eller hos andre seriøse kunnskapsleverandører. 
• Har landet vært gjenstand for hendelser eller annet den siste tiden? Her vil det internasjonale nyhetsbildet være av interesse.

Du kan be klareringsmyndigheten om råd til vurdering av det aktuelle landet. 

Vær oppmerksom på at den generelle kunnskapen og vurderingen av landet alltid må vurderes opp mot personens individuelle forhold. Det må alltid foretas en konkret vurdering.

Når du har innhentet informasjon om og vurdert landets sikkerhetsmessige betydning, og innhentet informasjon om og vurdert personens tilknytning til landet, må du ta stilling til om disse to forholdene sammen utgjør en uakseptabel risiko for tilgang til informasjon gradert BEGRENSET. 

Dersom du er i tvil om risikoen er uakseptabel, skal hensynet til nasjonal sikkerhet gå foran hensynet til personen, og autorisasjon skal ikke gis. Det er større rom for aksept for risiko på nivå BEGRENSET enn de høyere graderingsnivåene som det kreves sikkerhetsklarering for. 

Når du har autorisert en utenlandsk statsborger til nivå BEGRENSET skal du orientere Nasjonal sikkerhetsmyndighet, se virksomhetssikkerhetsforskriften § 70 femte ledd. Rutiner og skjema for innmelding finnes på NSMs nettsider.

Krav om samtykke til å autorisere utenlandske statsborgere fra høyrisikoland til BEGRENSET 

Dersom en utenlandsk statsborger kommer fra en stat som Politiets sikkerhetstjeneste mener utgjør en høy sikkerhetsrisiko for Norge, må den autorisasjonsansvarlige i tillegg innhente samtykke fra klareringsmyndigheten før den utenlandske statsborgeren kan autoriseres for BEGRENSET. Hvilke land dette gjelder finnes i Politiets sikkerhetstjenestes årlige trusselvurdering. 

Forespørsel om samtykke fremsendes klareringsmyndigheten på fastsatt skjema, se skjema på NSMs nettsted. Det er ikke klagerett på avslag om samtykke. Forespørsel om samtykke skal inneholde begrunnelse for behovet for autorisasjon. Dette innebærer arbeidsoppgaver, hvilken virksomhet som eier den sikkerhetsgraderte informasjonen, samt beskrivelse av informasjonen personen vil få tilgang til.