Dette vedlegget forklarer ulike forhold rundt objekt og infrastruktur.

A1 Bakgrunn
Hvilke objekter og infrastrukturer som til enhver tid er utpekt og klassifisert som skjermingsverdige vil kunne endres over tid. Dette skyldes to forhold.

Det første forholdet er den kontinuerlige utviklingen i sikkerhetspolitikken og samfunnet for øvrig, som over tid påvirker hva som inngår i, og hva som er av betydning for de nasjonale sikkerhetsinteressene.

Det andre forholdet er at betydningen av objekter og infrastrukturer i seg selv kan endres. Dette kan være som følge av etablering av systemisk redundans eller robusthet, eksempelvis ved at det bygges et tilsvarende objekt i tillegg til det som allerede er utpekt som skjermingsverdig. Et slikt tiltak vil ha som formål å øke motstandsdyktigheten i systemet som understøtter en grunnleggende nasjonal funksjon.

A2 Begrepene objekt og infrastruktur
Skjermingsverdig objekt forstås i Prop 153L (2016-2017) som en enkeltstående eiendom (bygninger, anlegg, transportmidler eller annet materiell, eller deler av slik eiendom) med en funksjon som er av betydning for GNF, og der denne funksjonen i sin helhet utføres, avgrenses til, eller finner sted innenfor eiendommens rammer. Et eksempel kan være lokale for kriseledelse eller et sjøfartøy.

Skjermingsverdig infrastruktur (anlegg og systemer som må beskyttes mot tilsiktede uønskede hendelser av hensyn til opprettholdelse av grunnleggende nasjonale funksjoner, ref. Prop 153L (2016- 2017)) vil ofte innbefatte to eller flere bestanddeler og koblingene mellom disse.

Bestanddelene kan være objekter eller annen infrastruktur. En kjede av radiolinjestasjoner som distribuerer TV-signaler kan være eksempel på infrastruktur som består av objekter og koblingene mellom disse. Det blir unaturlig å se på den enkelte radiolinjestasjons funksjon isolert, da stasjonens funksjon er avhengig av de andre stasjonene i kjeden.

Infrastrukturens funksjon er altså summen av bestanddelenes og koblingenes delfunksjoner (se Figur 3.1).

Likeså viser eksempelet at det vil være gjensidige avhengighetsforhold mellom bestanddelene i en infrastruktur. Et objekts betydning for infrastrukturens funksjon kan være stor nok til at objektet selv skal utpekes som skjermingsverdig (f. eks. objekt D i Figur 3.1).

Alternativt kan en skjermingsverdig infrastruktur bestå av objekter og koblinger som i seg selv ikke er kritiske nok til å være skjermingsverdige, men der summen av objektenes delfunksjoner er av betydning for opprettholdelse av GNF.

 

Figur 3.1 Eksempel på infrastruktur

Figur 3.1 Eksempel på infrastruktur

Sikkerhetsutvalget peker i NOU 2016:19 (Ref. /2/) på at begrepene objekt og infrastruktur er delvis overlappende, men at de hver for seg ikke anses som tilstrekkelig dekkende for det loven skal regulere. Denne systematikken er ment å gi en bedre fleksibilitet i hvordan og med hvilke typer tiltak et gitt sikkerhetsnivå kan oppnås, og Sikkerhetsutvalget har pekt på at det særlig er vektlagt behov for å stimulere til tiltak som øker redundans (tilgang på alternativer) og motstandsdyktighet som bakgrunn for å utvide objektsikkerhetsfeltet til og også inkludere infrastruktur.

Det skal være en relativt høy terskel for utpeking av skjermingsverdige objekter og infrastruktur. Verdiene skal heller ikke klassifiseres høyere enn nødvendig. §7-1 i loven presiserer at klassifiseringsnivået kan være forskjellig for ulike deler av et objekt eller en infrastruktur. I den grad det er mulig, skal slike deler defineres som selvstendige objekter eller infrastruktur. Det er altså mulig å definere objekt i objekt, infrastruktur i infrastruktur og objekt i infrastruktur (se Figur 3.2). Eksempelvis kan en bygning utpekes som et skjermingsverdig objekt og klassifiseres på et nivå, og rom i bygningen utpekes og klassifiseres på et høyere nivå. Avgrensning og klassifisering er en forutsetning for virksomhetens oppfyllelse av prinsippet om ikke å bruke mer inngripende sikkerhetstiltak enn det som fremstår som nødvendig for å håndtere den aktuelle risikoen, ettersom utpeking og klassifiseringen gir føringer for hvilke sikkerhetstiltak virksomheten skal bruke for å beskytte verdiene.

 

Figur 3.2: Objekt og infrastruktur

Figur 3.2: Objekt og infrastruktur

En del av et objekt eller infrastruktur kan også ha høyere klassifisering enn resten av objektet eller infrastrukturen. I disse tilfellene skal denne delen av objektet eller infrastrukturen defineres som et selvstendig objekt eller infrastruktur (jf. SL § 7-2, 3. ledd). Eksempel på dette er en felles bestanddel i to uavhengige infrastrukturer som vist i Figur 3.3.

 

Figur 3.3: Objekt og infrastruktur

Figur 3.3: Objekt og infrastruktur

 

A3 Begrepene informasjonssystemer og objekt/infrastruktur
Forarbeidene til lov om nasjonal sikkerhet (Prop 153L, s. 177) definerer begrepet informasjonssystem som «systemer som anvendes for å løse en oppgave eller utføre en funksjon i en organisasjon. Det omfatter menneskelige, organisatoriske og tekniske ressurser, metoder og teknikker». Videre står det

«Informasjonssystem skal i sikkerhetsloven forstand forstås vidt. Begrepet omfatter både manuelle og digitale informasjonssystemer, og favner alt fra saksbehandlingssystemer, kontorstøttesystemer og rene kommunikasjonssystemer til kontroll- og styringssystemer».

I Sikkerhetsloven § 6-1 står det at «Et informasjonssystem er skjermingsverdig dersom det behandler skjermingsverdig informasjon, eller dersom det i seg selv har avgjørende betydning for grunnleggende nasjonale funksjoner.» Det er informasjonssystemer som i seg selv har avgjørende betydning for GNF som omhandles som skjermingsverdig informasjonssystem i denne håndboken.

En hensiktsmessig begrepsavklaring for skjermingsverdig informasjonssystem i kontekst av skadevurdering er dermed: «system som anvendes for å løse en oppgave eller utføre en funksjon som er av avgjørende betydning for GNF.»

Det er viktig å avklare om informasjonssystemet er av avgjørende betydning for virksomhetens leveranse av sine kritiske tjenester. Eksempler på slike skjermingsverdige informasjonssystemer:

  • Styringssystemer som er helt avgjørende for å opprettholde en grunnleggende nasjonal funksjon.
  • Styringssystemer som er avgjørende for å opprettholde funksjonaliteten til et skjermingsverdig objekt eller infrastruktur.

I noen tilfeller kan disse informasjonssystemene være et objekt eller infrastruktur i seg selv og i andre tilfeller kan de inngå i et objekt eller infrastruktur.

 

Figur 3.3: Eksempler på informasjonssystemer som kan være av betydning for virksomhetens funksjon

Figur 3.3: Eksempler på informasjonssystemer som kan være av betydning for virksomhetens funksjon

Et skjermingsverdig informasjonssystem kan bestå av flere objekter, hvorav enkelte objekter - for eksempel sentrale serverrom, kan være skjermingsverdige og må klassifiseres. Siden begrepene objekt, infrastruktur, og informasjonssystem ikke er gjensidig utelukkende er det i denne håndboken hensiktsmessig å illustrere hvordan man behandler de delvis overlappende begrepene skjermingsverdig objekt og skjermingsverdig informasjonssystem.

Skjermingsverdige informasjonssystem består ofte av kombinasjoner av flere logiske funksjoner og fysiske komponenter plassert i større antall lokasjoner (objekter). Hensikten er å sikre redundans og robusthet, da det er tilgjengeligheten og integriteten til informasjonssystemet som er vesentlig. Forutsatt at en har redundans vil derfor sikring av enkeltobjekter ha liten effekt. Tilgjengeligheten til informasjonssystemet vil kun påvirkes av en «fellesfeil»; større utfall i kraftforsyningen, feilkonfigurering eller et større cyber-angrep. Skadepotensialet vil i denne sammenheng variere avhengig av informasjonssystemet betydning. Slike skjermingsverdige informasjonssystemer bør defineres som skjermingsverdig infrastruktur og behandles deretter som beskrevet under «Begrepene objekt og infrastruktur»

 

Figur 3.4: Skjermingsverdig informasjonssystemer

Figur 3.4: Skjermingsverdig informasjonssystemer

Eventuell skjermingsverdig informasjon i informasjonssystemet vil være omfattet av lov- og forskriftsbestemmelsene om informasjonssikkerhet.

A4 Objekter med symbolverdi
I hht. Prop 153L (s. 112) kan også skjermingsverdig objekter innbefatte objekter med stor nasjonal symbolverdi, og som dermed vil kunne være mulige terrormål. Eksempler på objekter kan være bygninger som nasjonen knytter sin identitet til; eksempelvis Nasjonalbiblioteket, Nidarosdomen, Akershus slott, eller objekter som riksregaliene eller det originale grunnlovdokumentet.

A5 Fremtidige/planlagte objekter og infrastrukturer
For objekter og infrastrukturer som er planlagt oppført eller etablert i fremtiden vil man allerede i planleggingsprosessen kunne vurdere hvorvidt objektet eller infrastrukturen vil bli skjermingsverdig. Å kunne prosjektere med og implementere hensiktsmessige beskyttelsestiltak under selve oppføringen eller etableringen av et objekt eller en infrastruktur vil kunne være svært kostnadsbesparende, sammenlignet med å etablere beskyttelsestiltak etter at oppføringen eller etableringen er fullført. Med bakgrunn i dette anbefales det at virksomheten skadevurderer, og departementet utpeker og klassifiserer, objekter og infrastruktur som vil bli skjermingsverdige når ferdigkonstruert.

A6 Objekter og infrastrukturer med situasjonsbestemt kritikalitet for GNF
Forarbeidene til lov om forebyggende sikkerhetstjeneste (Ot.prp. nr. 49 (1996-1997) bemerker at (…) "aktiviteter i seg selv kan være skjermingsverdige, og vil indirekte kunne dekkes av definisjonen (av skjermingsverdig objekt), ved at stedet hvor aktiviteten foregår pga. aktiviteten vil være et skjermingsverdig objekt.” Videre påpekes det at definisjonen av et skjermingsverdig objekt “(…) "også i gitte situasjoner (vil kunne) dekke bygninger eller områder hvor personer befinner seg, utelukkende som følge av personenes tilstedeværelse, dersom personene for eksempel har en slik funksjon i den nasjonale beslutningsprosessen eller lignende at det vil kunne skade rikets sikkerhet m.v. om deres tiltenkte funksjon elimineres eller på annen måte umuliggjøres eller hemmes som følge av sikkerhetstruende virksomhet.

Aktiviteter som beskrevet ovenfor vil kunne være avgrenset i tidsmessig omfang til kun gitte tidspunkter eller perioder, eller ved gitte hendelser. Noen objekter og infrastrukturers verdi for grunnleggende nasjonale funksjoner vil derfor variere basert på om funksjonen utføres eller ikke.

Et eksempel kan være et operasjonsrom for krisehåndtering. Skadevurderingen av objektet eller infrastrukturen bør ta utgangspunkt i tidspunktet eller perioden, eller ved de hendelser der hvor objektet eller infrastrukturen utfører den rollen eller aktiviteten som det er tiltenkt å utføre. Eksempelvis bør et operasjonsrom for krisehåndtering vurderes ut ifra dets betydning for grunnleggende nasjonale funksjoner når operasjonsrommet er i drift og utfører dets tiltenkte oppgaver.

Det vil ikke være relevant å vurdere rommet med utgangspunkt i dets betydning når det ikke er i bruk. Denne tilnærmingen bør også være retningsgivende for departementenes utpeking og klassifisering av slike objekter og infrastrukturer.

A7 Skjermingsverdige objekter med iboende skadepotensiale
Denne håndboken omhandler i hovedsak en prosess for kartlegging og skadevurdering av objekter og infrastruktur som har en betydning for nasjonale sikkerhetsinteresser fordi de understøtter en eller flere grunnleggende nasjonale funksjoner. Forarbeidene til loven åpner imidlertid også for at loven kan omfatte virksomheter som forvalter objekter som ikke anses å ha en avgjørende betydning for grunnleggende nasjonale funksjoner. Dette gjelder objekter som har et iboende skadepotensiale som direkte kan ha konsekvenser for nasjonale sikkerhetsinteresser, om objektet blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse. I hovedsak vil dette gjelde objekter som produserer, behandler eller oppbevarer kjemiske stoffer, biologiske agens, radioaktive stoffer, nukleært materiale eller eksplosiver med høyt skadepotensiale (CBRNE).

Ettersom disse objektene kan være skjermingsverdige selv om de ikke har en funksjon som er av betydning for grunnleggende nasjonale funksjoner, vil man ikke kunne sikre en helhetlig kartlegging av disse objektene gjennom prosessen som er beskrevet i denne håndboken. Kartleggingen vil likevel kunne inngå som en tilleggsprosess i forbindelse med den funksjonsbaserte kartleggingen med utgangspunkt i de grunnleggende nasjonale funksjonene. Tilsyn- og kompetanseorgan innenfor CBRNE vil ha en særlig viktig rolle i arbeidet med å identifisere disse objektene.

Om departementet, i samråd med virksomheten og eventuelle tilsyns- og kompetanseorgan, har identifisert et potensielt skjermingsverdig objekt kan departementet anmode virksomheten om å gjennomføre en skadevurdering etter virksomhetssikkerhetsforskriftens § 57 med hovedfokus på i hvilken grad rettstridig overtakelse av objektet kan påvirke befolkningens grunnleggende sikkerhet. «Rettstridig overtakelse» må i denne sammenheng, også forstås som at kontrollen over objektet er overtatt med trusler og/eller tvang, i tillegg til tyveri, av en aktør som rettmessig ikke har anledning til å ha kontroll over dette objektet. Hva formålet/motivasjonen for slik overtagelse måtte være er strengt tatt underordnet, men det vil være rimelig å betrakte dette som en fiendtlig handling utført av en trusselaktør. Videre må rettsstridig overtagelse forstås på en slik måte at objektet ikke behøver å være destruert, men kan være delvis eller helt intakt, slik at den som har foretatt rettsstridig overtagelse i realiteten vil ha kontroll over objektets funksjonalitet, og kunne styre denne i den retning aktøren måtte ønske – enten ved å fjerne funksjonaliteten (bortfall), eller ved å endre funksjonaliteten (produsere noe annet, benytte innsatsfaktorer til skadelig virksomhet).

Om et objekt med iboende skadepotensiale blir utpekt og klassifisert etter sikkerhetsloven så skal objektet sikres i henhold til kravet til forsvarlig sikkerhetsnivå som følger av objektets klassifisering. For objekter innenfor CBRNE-området eksisterer det en lang rekke nasjonale og internasjonale regelverk som stiller krav til forebyggende sikkerhet. Disse vil kunne fungere i kombinasjon med sikkerhetslovens funksjonelle krav til sikring, såfremt sikkerhetslovens minstekrav til forebyggende sikkerhet oppnås.

Terskelen for å utpeke og klassifisere objekter med et iboende skadepotensial skal være høy.