NATOs sikkerhetsregelverk
Den gamle sikkerhetsloven av 1998 med tilhørende forskrifter ble ansett å reflektere kraven i NATOs sikkerhetsregelverk. NATO gradert informasjon ble derfor beskyttet på samme måte som nasjonalt gradert informasjon. Av denne grunn har NSM ikke tidligere sett behov for å publisere NATOs sikkerhetsregelverk. Med ny sikkerhetslov er situasjonen en annen.
Dagens reguleringer er mer overordnede og det tidligere «presumsjonsprinsippet» må tolkes på en annen måte. NSM publiserer derfor relevante deler av NATOs regelverk som er offentlig tilgjengelig. Publiseringen skjer først nå da NATOs regelverk har vært under revisjon.
Nedenfor følger en kort redegjørelse for forholdet mellom de to regelverkene, samt en mer detaljert gjennomgang av enkelte problemstillinger knyttet til klarering for tilgang til NATO gradert informasjon.
Nasjonalt regelverk
Sikkerhetsloven av 2018 stiller krav til beskyttelse av nasjonalt gradert informasjon. Sikkerhetsloven utfylles av forskrifter, der de mest sentrale er virksomhetssikkerhetsforskriften og klareringsforskriften. Regelverket er i hovedsak funksjonelt utformet, og stiller krav om at virksomheten skal etablere et forsvarlig sikkerhetsnivå. Sikkerhetstiltak skal identifiseres og implementeres basert på virksomhetens egen risikovurdering. Virksomheten har i stor utstrekning frihet til selv å velge egnede tiltak, og balansere de ulike tiltakene opp mot hverandre. På noen områder stilles det minimumskrav som må tilfredsstilles (for eksempel krav om godkjente oppbevaringsenheter, godkjente informasjonssystemer og krav til sikkerhetsklarering og autorisasjon).
NATO regelverk
Forpliktelser til å beskytte NATO gradert informasjon følger av en sikkerhetsavtale som alle NATOs medlemsland har tiltrådt. Denne avtalen utfylles av vedlegg, direktiver og veiledningsdokumenter. Avtalen, vedleggene og direktivene er bindende for både NATOs organisasjon og for medlemslandenes håndtering av NATO gradert informasjon. Det er imidlertid ikke krav om at regelverket skal implementeres ordrett men det forutsettes at nasjonene implementerer tiltak som minimum gir en samme grad av sikkerhet. NATOs krav er minimumstiltak og nasjonene står fritt til å stille strengere krav i nasjonalt regelverk.
Følgende dokumenter inngår i NATOs regelverk og er frigitt for offentlig publisering;
- CM (2002)49 SECURITY WITHIN THE NORTH ATLANTIC TREATY ORGANIZATION (NATO) (PDF, 704KB)
- AC/35-D(2000) Directive on Personnel Security (PDF, 715KB)
- AC/35-D(2001) Directive on Physical Security (PDF, 462KB)
- AC/35-D(2002) Directive on Information Security (PDF, 688KB)
- AC/35-D(2003) Directive on Industrial Security (PDF, 1MB)
- AC/35-D(2004) Primary Directive on CIS security (PDF, 536KB)
- AC/35-D(2005) Management Directive on CIS Security (PDF, 502KB)
NATO har en reguleringsteknikk som i stor grad avviker fra vår nasjonale tilnærming. Regelverket stiller overordnede krav, men har i direktivene til dels detaljerte og omfattende konkrete krav. NATO har i liten grad fokus på risikovurdering og individuell tilpasning av tiltakene opp mot den enkelte virksomhets behov.
På flere områder er reguleringen imidlertid slik at NATOs krav bare kommer til anvendelse dersom det er forenelig med nasjonal lovgivning. Dette er typisk på områder hvor tiltakene kan være inngripende overfor enkeltindivider, hvor medlemslandene har ulike nasjonale reguleringer og det er vanskelig å finne felles løsninger som alle nasjoner kan implementere innenfor rammen av nasjonal rett. I NATOs direktiv om personellsikkerhet er det for eksempel bare krav til vurderinger av nærstående der dette er i samsvar med nasjonal rett. I tillegg er NATOs vurderingskriterier ved en sikkerhetsklarering bare anvendelig i den utstrekning de samsvarer med nasjonal rett.
Forholdet mellom regelverkene
Det følger av virksomhetssikkerhetsforskriftens §21 at NATO informasjon og informasjonssystemer skal beskyttes i samsvar med kravene i, eller med hjemmel i, sikkerhetsloven, dersom ikke annet følger av NATOs regler for sikkerhet. I utgangspunktet kommer derfor nasjonalt regelverk til anvendelse når vi i Norge håndterer NATO gradert informasjon. På en rekke områder inneholder NATOs regelverk mer detaljerte krav enn nasjonale regler. Det er imidlertid i liten grad motstrid mellom NATOs krav og våre nasjonale krav. Som tidligere nevnt er vårt nasjonale regelverk i hovedsak funksjonelt utformet, og stiller krav om at virksomheten skal etablere et forsvarlig sikkerhetsnivå. For å oppnå et forsvarlig sikkerhetsnivå ved behandling av NATO gradert informasjon vil NATOs detaljerte krav være førende for de tiltak som må implementeres. Ved virksomhetenes beskyttelse av NATO gradert informasjon er det derfor viktig at begge regelverkene sees i sammenheng.
Informasjonssystemer som behandler både nasjonal gradert og NATO gradert informasjon må sikres på et nivå som også tilfredsstiller NATOs krav. Godkjenning i disse tilfellene vil spesifisere at systemet er godkjent for både nasjonal og NATO gradert informasjon på et gitt nivå. Hva angår sikring av informasjonssystemer som behandler NATO gradert informasjon, så er det NSMs ambisjon at NATOs krav i størst mulig grad skal ivaretas av NSMs tekniske råd (G-veiledningene, Tempest og TSU), der mulig og hensiktsmessig. Den enkelte virksomhet har likevel fremdeles et selvstendig ansvar for å sette seg inn i NATOs policy og følge NATOs krav.
NSM er i gang med å utarbeide et veiledningsdokument som detaljert vil klargjøre på hvilke områder NATO stiller mer detaljerte krav enn våre nasjonale regler. Dette vil etter hvert bli publisert på NSMs hjemmesider.
Implementering og kontroll
NSM er ihht sikkerhetsloven §2-2,3.ledd nasjonal fagmyndighet overfor andre land og internasjonale organisasjoner. Dette innebærer at NSM er det nasjonale kontaktpunkt mot NATO på sikkerhetsrelaterte spørsmål. NSM representerer Norge i sikkerhetskomiteen i NATO og deltar gjennom dette i de løpende revisjoner av NATOs sikkerhetsregelverk.
Det er ansvaret til den enkelte virksomhet som behandler NATO gradert informasjon å påse at det etableres et sikkerhetsnivå i virksomheten som samsvarer med NATOs krav. NSM vil i sine tilsyn føre kontroll med beskyttelse av NATO gradert informasjon. NATO inspiserer også jevnlig de enkelte medlemsnasjonene for å sikre at NATOs sikkerhetsregelverk er implementert. I denne forbindelse foretas det stikkprøve kontroller av virksomheter. Slike inspeksjoner vil være varslet i forkant, og gjennomført koordinert med NSM.
Særskilt om sikkerhetsklareringer med tilgang til NATO gradert informasjon
Tilgang til gradert informasjon på nivå KONFIDENSIELT eller høyere krever sikkerhetsklarering for det aktuelle nivå. Dette gjelder både for tilgang til nasjonalt gradert informasjon og tilgang til NATO gradert informasjon. For nasjonalt gradert informasjon følger dette av sikkerhetslovens kapittel 8, med tilhørende forskrifter. For NATO gradert informasjon følger dette av artikkel 3 i Enclosure A til CM (2002)49, med utfyllende bestemmelser i NATOs personellsikkerhetsdirektiv AC/35-D(2000).
I det følgende vil vi belyse noen sentrale spørsmål som kan oppstå om forholdet mellom regelverkene.
Nærmere om NATOs krav til klarering
Frem til november 2020 fulgte det av NATOs regelverk at tilgang til NATO gradert informasjon krevde en NATO klarering og et NATO klareringsbevis. Dette ble utstedt av de enkelte medlemslands klareringsmyndigheter.
En rekke nasjoner har imidlertid tatt opp at nasjonalt regelverk bare åpner for å gi nasjonale klareringer, og at de ikke har hjemmel til å utstede særskilte NATO klareringer. Det har også blitt vist til at det i EU regimet gis tilgang til EU gradert informasjon basert på nasjonale klareringer.
På denne bakgrunn ble NATOs regelverk endret på dette punkt, slik at nasjonale klareringer i fremtiden skal legges til grunn for tilgang til NATO informasjon. Det skal ikke lenger utstedes NATO klareringsbevis. Det er imidlertid krav om bekreftelse på at nasjonal klarering foreligger, og at denne tilfredsstiller NATOs krav. Dette følger av AC/35-D(2000) –REV8, som også inneholder en mal for bekreftelse av klarering. Denne vil etter hvert bli implementert i NSMs mal verk.
Hva betyr dette?
Endringen kan fremstå som omfattende. Den vil kreve en omlegging av nasjonal praksis og vil ta noe tid å implementere. Ved re-klarering skal det ikke lenger anmodes om/gis egne NATO klareringer. Det skal i stedet anmodes om/gis nasjonale klareringer med spesifisering av om den bare gjelder for nasjonal informasjon, bare for NATO informasjon, eller for begge deler.
Inntil den praktiske omleggingen fullt ut er gjennomført, vil det i en overgangsperiode fortsatt kunne utstedes NATO klareringsbevis.
Ved klareringsavgjørelser vil det i realiteten bli få endringer. NATO klareringer har frem til i dag vært gitt etter vurdering av sikkerhetsmessig skikkethet etter kravene i sikkerhetslovens §8-4. Dette vil ikke bli endret.
Der hvor en nasjonal klarering utelukkende skal benyttes til tilgang til NATO gradert informasjon, kan imidlertid vurderingen av tilknytning til andre stater avgrenses til nasjoner utenfor alliansen.
Klareringsmyndighet for tilgang til NATO gradert informasjon
Alle klareringsmyndigheter kan utstede klareringer for tilgang til både nasjonal og NATO gradert informasjon, og utstede nødvendige bekreftelser. Tilgang til NATO gradert informasjon skal bekreftes ved bruk av malen nevnt ovenfor. I tillegg vil NSM, på forespørsel fra NATO, være nasjonalt kontaktpunkt og vil kunne bekrefte klareringer utstedt fra alle klareringsmyndigheter.
Forholdet mellom nasjonalt regelverk og NATOs regelverk
NSM legger til grunn at vårt nasjonale regelverk tilfredsstiller NATOs krav på dette området. Vurderingskriteriene er i det vesentlige sammenfallene og det følger uttrykkelig av AC/35-D(2000)–REV8 at nasjonalt regelverk har forrang.
Det er enkelte forskjeller mellom de to regelverkene. NATOs krav til personhistorikk er kortere enn våre nasjonale krav. For klareringer opp til NATO SECRET er kravet i NATO 5 års personhistorikk. For klareringer med tilgang til CTS er kravet 10 år. Nasjonale krav skal legges til grunn.
Når det gjelder klareringens varighet, åpner NATOs regelverk for at klareringer for tilgang til informasjon opptil NATO SECRET kan gis for en periode av 10 år. Klareringer for tilgang til CTS for en periode på 7 år. NATOs krav er imidlertid minimumskrav og den norske gyldighetstiden på 5 år skal derfor alltid legges til grunn.
Ved re-klarering av en person åpner NATOs regelverk for at eksisterende klarering kan forlenges, at det kan gis en midlertidig klarering, eller at det gis tilgang til informasjon uten klarering mens re-klareringsprosessen pågår. Regelverket presiserer imidlertid at dette bare er mulig der nasjonale regelverk åpner for dette. Norske klareringer for tilgang til NATO informasjon kan derfor bare forlenges i samsvar med klareringsforskriftens § 26, for en periode på inntil ett år. De øvrige alternativene er ikke aktuelle i Norge.