Virksomhetsikkerhetsforskriften § 25 Utlevering av sikkerhetsgradert informasjon til fremmede stater og internasjonale organisasjoner

Fremmede stater og internasjonale organisasjoner kan bare gis tilgang til norsk sikkerhetsgradert informasjon dersom det
a) er i samsvar med nasjonale sikkerhetsinteresser
b) ikke er i strid med lovbestemt taushetsplikt og
c) foreligger en sikkerhetsavtale mellom Norge og den aktuelle staten eller internasjonale organisasjonen.

Når myndigheter eller virksomheter i andre stater eller internasjonale organisasjoner skal ha tilgang til sikkerhetsgradert informasjon, skal informasjonen behandles i samsvar med bestemmelsene i sikkerhetsavtalen som er inngått mellom Norge og den aktuelle staten eller organisasjonen.

Dersom det ikke er praktisk mulig å inngå en sikkerhetsavtale, men det likevel er i Norges interesse å utlevere informasjonen, kan Forsvarsdepartementet og Justis- og beredskapsdepartementet gjøre unntak fra kravet til sikkerhetsavtale innenfor sine fagsektorer.

 

Virksomhetsikkerhetsforskriften § 26 Tilsvarende sikkerhetsgrader

Informasjon som er sikkerhetsgradert av en fremmed stat eller internasjonal organisasjon, skal beskyttes på samme måte som informasjon gradert med en tilsvarende norsk sikkerhetsgrad etter sikkerhetsloven § 5-3.

Nasjonal sikkerhetsmyndighet fastsetter hvilke sikkerhetsgrader fastsatt av fremmede stater eller internasjonale organisasjoner som tilsvarer de norske sikkerhetsgradene etter sikkerhetsloven § 5-3.

Fremmede stater og internasjonale organisasjoner kan bare gis tilgang til norsk sikkerhetsgradert informasjon dersom det er i samsvar med norske interesser og ikke er i strid med taushetsplikt. For at slik tilgang skal gis er det en forutsetning at det foreligger en sikkerhetsavtale med den aktuelle stat eller organisasjon om utveksling av informasjonen og sikkerhetsmessige forhold. Sikkerhetsavtaler mellom samarbeidende stater og internasjonale organisasjoner forplikter partene til gjensidig beskyttelse av hverandres graderte informasjon.

Fremmed stat som gis tilgang til norsk gradert informasjon er således forpliktet til å beskytte denne som om det var sin egen – og Norge er forpliktet til å beskytte andre staters og internasjonale organisasjoners graderte informasjon på samme måte som vi beskytter vår egen graderte informasjon, så fremt Norge har undertegnet en statlig bilateral sikkerhetsavtale med de aktuelle statene og/eller internasjonale organisasjonene. De bilaterale sikkerhetsavtalene vil spesifisere ekvivalenter i de ulike staters og organisasjoners graderingssystemer, som sikrer at informasjonen skal bli korrekt beskyttet.

Dersom det ikke foreligger en bilateral sikkerhetsavtale mellom en fremmed stat og Norge kan det som hovedregel ikke utleveres norsk sikkerhetsgradert informasjon til representanter fra den aktuelle fremmede staten. Unntaksvis vil det kunne forekomme i forbindelse med operativ aktivitet, som i internasjonale operasjoner.

For NATO er C-M49(2002) den overordnede sikkerhetsavtalen mellom alle NATOs medlemsland. Denne avtalen innebærer en gjensidig forpliktelse til å beskytte sikkerhetsgradert informasjon utstedt av andre parter eller av NATO som organisasjon. Avtalen innebærer også at slik informasjon ikke skal frigis til andre parter enn dem omfattet av avtalen, uten utsteders forhåndsgodkjenning. Dette kalles prinsippet om Utsteders kontroll, eller principle of originators control/consent, og er et generelt prinsipp for behandling av sikkerhetsgradert informasjon. Prinsippet gjelder også ved frigivelse av norsk sikkerhetsgradert informasjon; informasjon som er sikkerhetsgradert av andre skal ikke frigis uten samtykke fra utstedende virksomhet. Dette betyr for eksempel at Forsvaret ikke vil kunne frigi til NATO norsk informasjon som er utstedt av en annen virksomhet enn Forsvaret (et forvaltningsorgan eller rettssubjekt).

Videre innebærer dette at en om en virksomhet benytter sikkerhetsgradert informasjon fra en annen virksomhet som grunnlag eller del av egne dokumenter, så må den andre virksomheten godkjenne at delmengden av informasjon som den har utstedt blir frigitt. En virksomhet står fritt til å frigi informasjon som er utstedt i egen organisasjon, uavhengig av nivå for utstedelse, såfremt dette er i samsvar med norske interesser og ikke er i strid med taushetsplikt. Ved beslutning om frigivelse påføres informasjonen gradering og merking i samsvar med inngått sikkerhetsavtale.