DEL III Om eierskap og andre virkemidler for nasjonal kontroll

8 Eierskap og eierskapstransaksjoner som påvirker nasjonal kontroll

8.1 Innledning

I dette kapittelet redegjør utvalget for hvilke eierskap og eierskapstransaksjoner som gi innflytelse i et foretak, samt eiers rettigheter i et foretak og terskler for innflytelse. Det ses også på kilder for norske myndigheters kontroll med eierskap. Til slutt ser utvalget nærmere på hvordan utenlandsk eierskap kan svekke nasjonal kontroll.

8.2 Innflytelse i foretak

8.2.1 Innledning

Aksjeselskap er den vanligste foretaksformen i Norge, og som det framgår av punkt 6.2.1, er alle de identifiserte aktørene som eier eller råder over kritisk digital infrastruktur, organisert som aksjeselskaper (med unntak av De-Cix Management GmbH som er organisert som et NUF 72 samt Telenor ASA (allmennaksjeselskap 73 ). Det betyr at investeringer og eierskifter i disse selskapene normalt skjer ved erverv av aksjer enten gjennom direkte kjøp i annenhåndsmarkedet eller ved nytegning. Utgangspunktet er at alle aksjer gir lik rett i selskapet (jf. aksjeloven (asl.) § 4-1) og at en aksjonærs eierandel i selskapet er avgjørende for hvilken innflytelse aksjonæren har over beslutningene som fattes i selskapet. Den som eier alle aksjer i et aksjeselskap, vil dermed også ha full kontroll over selskapet og kan utøve sitt eierskap innenfor de rammer som følger av regelverket. Innflytelse i selskaper utøves imidlertid ikke bare gjennom eierskap – for eksempel kan aksjonæravtaler og andre avtaler som inngås, endre kontroll og innflytelse på beslutningene. At aksjeeiers innflytelse i selskapet påvirkes for eksempel av aksjonæravtaler om hvordan stemmerettigheter skal utøves og som ikke trenger være kjent for andre enn avtalepartene, eller ved at aksjene kan ha ulik stemmerett, kan gjøre det vanskelig å få oversikt over hvem som har den reelle innflytelse knyttet til selskapsbeslutninger.

8.2.2 Ulike typer innvesteringer som gir innflytelse i et aksjeselskap

I NOU 2023: 28 Investeringskontroll punkt 10.2 gis det en nærmere oversikt over hvordan et selskap eller en person gjennom investeringer i et aksjeselskap, kan skaffe seg innflytelse i det aktuelle selskapet. Nedenfor følger en kort oversikt over ulike transaksjoner og avtaler som direkte eller indirekte kan gi innflytelse i et selskap.

Det betegnes gjerne som oppkjøp dersom investor kjøper opp alle eller flertallet av aksjene i et selskap. Et oppkjøp vil gi kjøper bestemmende innflytelse når det gjelder forvaltningen av selskapet og selskapets verdier. Mens oppkjøp gjelder transaksjoner knyttet til eierandelene i selve foretaket, brukes virksomhetsoverdragelse som betegnelse på en transaksjon som innebærer overdragelse av innholdet i et foretak – gjerne kalt en innmatstransaksjon.

Kjøp av enkeltaksjer eller mindre aksjeposter vil normalt ikke gi bestemmende innflytelse i selskapet med mindre investor allerede eier aksjer i selskapet og kjøpet medfører at eierandelen samlet sett representerer flertallet av aksjene i selskapet.

For børsnoterte allmennaksjeselskaper gjelder det særlige regler om tilbudsplikt ved erverv av aksjer. Det følger av verdipapirhandelloven § 6-1 at « Den som gjennom erverv blir eier av aksjer som representerer mer enn 1/3 av stemmene i et norsk selskap hvis aksjer er notert på norsk regulert marked (notert selskap), plikter å gi tilbud om kjøp av de øvrige aksjene i selskapet ». Dette betyr at den som erverver tilstrekkelig antall aksjer til å oppnå såkalt negativt flertall 74 , og dermed kan forhindre vedtak på generalforsamling som krever kvalifisert flertall, har plikt til å tilby å kjøpe også de øvrige aksjene i selskapet når selskapet er notert på norsk regulert marked. Videre må aksjeeier som eier aksjer som representerer mer enn en tredel av stemmene i et notert selskap, gi tilbud om kjøp av de øvrige aksjene i selskapet (gjentatt tilbudsplikt) ved erverv av aksjer som øker antall stemmer i selskapet til 40 prosent eller mer og 50 prosent eller mer. Det er beskyttelse av minoritetsaksjonærer som er hovedhensynet bak reglene om tilbudsplikt og gjentatt tilbudsplikt.

Aksjer kan også erverves ved nytegning . En emisjon gjennom nytegning gjennomføres for å skaffe selskapet egenkapital. I slike tilfeller er det selskapet selv som utsteder nye aksjer og som mottar oppgjøret.

En opsjon på kjøp av aksjer er et finansielt instrument som gir en rett, men ingen plikt, til å kjøpe eller tegne aksjer innen en bestemt tidsperiode, og til en bestemt pris eller en pris knyttet til en prismekanisme.

Konvertible lån er lån som gir långiver rett til å kreve aksjer i selskapet som er låntaker. Långiver kan betale aksjeinnskudd i penger, eller ved å motregne lånet mot aksjeinnskuddsforpliktelsen. Lånet vil i sistnevnte tilfelle anses nedbetalt. Også andre typer låneavtaler kan gi långiver innflytelse i selskapet, for eksempel ved at det stilles som vilkår for lånet at långiver må godkjenne visse selskapstransaksjoner.

To eller flere selskaper kan slås sammen til ett selskap gjennom en fusjon. Det overtakende selskap videreføres, mens overdragende selskap slettes. Aksjonærene i det overdragende selskapet får vederlag for verdiene sine gjennom aksjer i det overtakende selskapet. Et selskap kan gjennom en fisjon deles i to eller flere selskaper. Aksjonærene i selskapet som fisjonerer – det overdragende selskapet – vil som vederlag for eiendelene som overdras, få aksjer i overtakende selskap. Fisjon kan innebære at det overdragende selskapet overfører alle eiendeler til to eller flere selskaper og selv opphører å eksistere, eller ved at det overdragende selskapet beholder deler av verdiene selv, og overfører de resterende verdiene til overtakende selskap. Det overtakende selskap kan enten være nystiftet eller være et eksisterende selskap som vil foreta en kapitalforhøyelse ved overføringen av eiendelene.

8.2.3 Eiers rettigheter og innflytelse i et aksjeselskap – terskelverdier for ulik innflytelse

Eier av en aksje i et aksjeselskap har ulike aksjonærrettigheter som kan deles inn i

• økonomiske rettigheter som rett til utbytte og tilbakebetaling av aksjekapitalen, fusjonsvederlag og fortrinnsrett til aksjer som utstedes ved kapitalforhøyelse,
• disposisjonsrettigheter som rett til å erverve, realisere og pantsette aksjer, samt
• forvaltningsrettigheter som retten til å møte, tale og stemme på generalforsamlingen.

Knyttet til innflytelse i selskapet er særlig retten til å møte, tale og stemme på generalforsamlingen viktig. Generalforsamlingen er øverste myndighet i et aksjeselskap og det er gjennom deltakelse på generalforsamlingen at eierne utøver den øverste myndigheten i selskapet. Det følger av aksjeloven at det er generalforsamlingen som treffer beslutningen i en rekke viktige spørsmål, for eksempel om utdeling av utbytte, kapitalforhøyelse, kapitalnedsettelse, fusjon eller fisjon.

Gjennom vedtekter, instrukser og andre beslutninger, fastsetter generalforsamlingen overordnede rammer og nærmere regler for styret og daglig leder om driften av selskapet. Det følger av aksjeloven § 6-3 at det er generalforsamlingen som velger alle eller flertallet av styremedlemmene. Har selskapet bedriftsforsamling 75 , er det den som velger medlemmene i styret.

Et aksjeselskap ledes av styret og eventuelt en daglig leder. Det er styret som har det overordnede ansvaret for at selskapet drives i tråd med selskapets formål, det vil si at selskapet drives innenfor det som er vedtektenes angivelse av virksomhetsområde, vedtektene for øvrig og eventuelle instrukser fra eierne. Styret har også ansvaret for at selskapet etterlever lover og regler samt avtaler selskapet har inngått. Daglig leder skal forholde seg til de pålegg og retningslinjer som styret gir. For å kunne utøve eierinnflytelse i et aksjeselskap, er det derfor sentralt å ha kontroll over styret. Som oftest kan den som har flertallet av stemmene på generalforsamlingen, sikre seg at styret eller i hvert fall flertallet av styret består av medlemmer som flertallsaksjonæren foretrekker. Den som erverver mer enn halvparten av aksjene i selskapet, vil dermed kunne fjerne alle eller flertallet av de sittende styremedlemmene og velge nye styremedlemmer.

Terskler for innflytelse

Utgangspunktet i aksjeloven (§ 5-17) er at en beslutning som treffes av generalforsamlingen krever flertallet av de avgitte stemmene, med mindre det er fastsatt noe annet i lov eller vedtektene. At flertallskravet knytter seg til avgitte stemmer, betyr at aksjonæren må delta på generalforsamlingen selv eller ved fullmektig.

For å kunne treffe beslutning i enkelte saker av mer grunnleggende betydning, kreves det kvalifisert flertall. Begrunnelsen for dette er at utgangspunktet om at flertallet bestemmer, kan gi flertallet for sterk stilling overfor mindretallet, og at flertallsmakten kan misbrukes til skade for minoriteten. Dette gjelder blant annet forslag om å endre vedtektene, og må ses i sammenheng med at innenfor lovens rammer kan aksjonærrettigheter reguleres gjennom vedtektene i det enkelte selskap. En slik regulering gjennom vedtekter kan for eksempel gjelde regler om aksjeklasser. Det vil si at selskapet har ulike typer aksjer der aksjer i en av selskapets aksjeklasser har én stemme, mens aksjer i en annen aksjeklasse ikke har stemmerett – gjerne kalt A-aksjer og B-aksjer.

Normalt krever vedtektsendring to tredels flertall både av avgitte stemmer og av aksjekapitalen som er representert på generalforsamlingen. Når det kreves at også to tredeler av kapitalen står bak beslutningen, har det sammenheng med at rettighetene også skal tilkomme aksjonærer med aksjer som ifølge selskapets vedtekter er uten stemmerett.

Tilsvarende flertallskrav som for vedtektsendringer må være oppfylt for blant annet:

• Beslutning om å oppløse selskapet
• Beslutning om fusjon (§ 13-10) og fisjon (§ 14-6)
• Styrefullmakt til å forhøye eller sette ned aksjekapitalen
• Styrefullmakt til erverv av egne aksjer
• Beslutning om å sette til side bestemmelser om aksjeeieres fortrinnsrett til å tegne nye aksjer ved kapitalforhøyelse (§ 10-5, jf. § 10-4)
• Beslutning om å ta opp konvertibelt lån (§ 11-2)

I enkelte tilfeller er det satt strengere krav for at en beslutning kan treffes. Dette gjelder for vedtektsendringer som endrer en eller flere aksjeklassers rettsstilling, uten at andre aksjeklassers rettsstilling endres tilsvarende (§ 5-18). Beslutning som forringer en hel aksjeklasses rett, må tiltres av eiere av to tredeler av den representerte kapital i den berørte aksjeklassen. Dessuten må minst halvdelen av stemmene fra de aksjeeiere som ikke eier aksjer i noen annen klasse, være avgitt for forslaget.

I selskaper der aksjer kan skifte eier uten samtykke fra selskapet, kreves det tilslutning fra eiere av aksjer som utgjør mer enn ni tideler av den aksjekapitalen som er representert på generalforsamlingen, samt tilslutning fra minst to tredeler av de avgitte stemmene, dersom

• det for allerede utgitte aksjer skal vedtektsfestes en forkjøpsrett,
• aksjer bare kan erverves med samtykke fra selskapet, eller
• aksjeerverver eller aksjeeiere skal ha visse egenskaper (§ 5-19).

Hvis allerede utgitte aksjer skal være underlagt andre vilkår for omsetning, kreves ikke bare flertall som for vedtektsendring, men også tilslutning fra samtlige berørte aksjeeiere. Aksjeloven krever også at vedtak må fattes med enstemmig tilslutning fra samtlige aksjonærer hvis generalforsamlingen skal treffe beslutning om

• at aksjeeiernes forpliktelser i forhold til selskapet økes,
• at aksjer kan være gjenstand for tvungen innløsning, og
• at forholdet mellom tidligere likestilte aksjer skal endres. Dette betyr at det kreves enstemmighet for et vedtak om at selskapets aksjer skal inndeles i forskjellige aksjeklasser.

Kravet om enstemmighet henger sammen med utgangspunktet i aksjeloven om at hver aksje gir lik rett i selskapet og dermed at en aksjonær ikke må godta at aksjene hans får færre rettigheter enn andre aksjer i selskapet. Kravet gir den enkelte aksjonær mulighet til å forhindre et vedtak som flertallet eller alle andre aksjonærer går inn for.

En aksjonærrettighet knyttet til erverv av aksjer og som har betydning for aksjeeierens innflytelse i selskapet, følger av aksjeloven § 4-26. En aksjeeier som eier 90 prosent av aksjene, kan tvangsinnløse aksjonærminoriteten i selskapet og på denne måten sikre seg full kontroll på alle beslutninger som treffes på selskapets generalforsamling. Motsetningsvis har minoritetsaksjonær rett til å kreve at majoritetsaksjonæren innløser minoritetsaksjonærens aksjer.

I NOU 2023: 28 side 75 gis denne skjematiske oversikten over eierskap, rettigheter og kontroll i et aksjeselskap:

Tabell 8.1 Eierskap, rettigheter og kontroll i et aksjeselskap

Kilde: NOU 2023: 26 Investeringskontroll

8.3 Kilder for norske myndigheters kontroll med eierskap

I NOU 2023: 28 kapittel 4 (side 36) pekes det på at for å få oversikt over hvem som kontrollerer eller har innflytelse over et foretak, er det en forutsetning at man kan identifisere de personene som er reelle rettighetshavere og at det i praksis kan være komplisert å få oversikt over hvem disse er. Med reelle rettighetshavere bruker Investeringskontrollutvalget i denne sammenheng begrepet om den fysiske personen eller de fysiske personene, eller den staten, som i siste instans eier eller kontrollerer en juridisk person 76 , enhet eller annen sammenslutning.

Investeringskontrollutvalget fremhever at lange eierkjeder kan være en utfordring i saker hvor eierskap i et foretak kan ha betydning for nasjonale sikkerhetsinteresser, og viser til Nasjonal sikkerhetsmyndighets rapport Risiko 2023 side 16 der det står:

«Norske virksomheter som forvalter viktige verdier eller har strategisk plassert eiendom bør være oppmerksomme på fordekte investeringer og oppkjøp fra andre land Norge ikke har et sikkerhetssamarbeid med. Slike økonomiske transaksjoner kan skje gjennom stråselskaper og komplekse selskapsstrukturer og kan dermed være vanskelig å avdekke».

Skatteetaten, Kartverket og Brønnøysundregistrene fikk i september 2023 oppdrag av Finansdepartementet (FIN), NFD og Kommunal- og distriktsdepartementet (KDD) om å kartlegge offentlige myndigheters behov for opplysninger om direkte og indirekte eierforhold til aksjer og fast eiendom. Rapporten 77 som ble lagt fram i januar 2024, viser at opplysninger om eierskap er viktig for å utøve en rekke samfunnsoppdrag – herunder samfunnsoppdrag knyttet til stats- og samfunnssikkerhet. Kartleggingen viser at det kan være krevende å skaffe oversikt over viktige opplysninger på en effektiv måte og at det ofte er nødvendig å innhente opplysninger fra flere ulike kilder. Kartleggingen peker på at eierstrukturer kan være komplekse og at det ofte er vanskelig å finne fram til hvem som egentlig eier et aksjeselskap fordi selskapet eies gjennom flere ledd. Kartleggingen viser også at det er utfordrende å identifisere utenlandske eiere.

I punkt 7.1 i NOU 2023: 28 redegjør utvalget for kilder til informasjon om eierskap. Nedenfor følger en beskrivelse hentet fra denne redegjørelsen av ulike kilder som også vil være relevante når det gjelder eierskap i foretak som eier eller råder over kritisk digital kommunikasjonsinfrastruktur, eller har en viktig eller kritisk rolle for utbygging, drift og vedlikehold av slik infrastruktur. I tillegg gis en særlig beskrivelse av registeret over reelle rettighetshavere som ble etablert fra 1. oktober 2024.

Fra NOU 2023: 28 punkt 7.1 siteres følgende:

«Skatteetatens oversikt over aksjeeiere

Det såkalte aksjonærregisteret i Skatteetaten er utviklet for skatteformål og inneholder opplysninger om aksjeeiere i alle norske aksjeselskaper og utenlandske aksjeselskaper registrert på Oslo Børs.

Alle aksjeselskaper og allmennaksjeselskaper er forpliktet til å sende inn aksjonærregisteroppgave med informasjon om alle aksjeeiere per 31. desember, senest 31. januar påfølgende år. Registeret oppdateres ikke løpende gjennom året. Registeret skal gi oversikt over innskudd, gevinster, overdragelser osv. Registeret gjelder formelle aksjeeiere (fysisk eller juridisk person som direkte eier). Aksjonærregisteret gir dermed ikke nødvendigvis informasjon om hvem som er reell rettighetshaver.

Aksjeeierregisteret (VPS)

Alle allmennaksjeselskaper skal registreres i en verdipapirsentral. I Norge er det kun Verdipapirsentralen ASA (Euronext VPS). Aksjeselskaper med mange eiere kan også velge å registrere aksjene i Euronext VPS.

Registrering i VPS skal dokumentere eierskap, og gir selskapet oversikt over aksjeeiernes kontaktinformasjon. Hvis selskapet er registrert i norsk verdipapirsentral, skal registrering også gi rettsvern (sikre rettigheten mot tredjeparter). VPS gjelder formelle aksjeeiere (fysisk eller juridisk person som direkte eier).

Utenlandske aksjeeiere kan velge å registrere eierskapet gjennom en forvalter. Det vil da være forvalterens navn som står oppført som eier av verdipapiret. Forvalter kan motta meldinger, bistå med kommunikasjon og bistå med informasjon om rapporteringsforpliktelser e.l. Forvalter er ofte en bank eller en annen finansinstitusjon som er godkjent av Finanstilsynet. Forvalter har ikke eierskap til aksjen. Forvalter er forpliktet til å oppgi informasjon om reell eier på forespørsel, og om nødvendig innhente opplysninger fra andre forvaltere i kjeden.

Aksjeeierbok

Ifølge aksjeloven er alle norske aksjeselskaper forpliktet til å holde en til enhver tid oppdatert aksjeeierbok, hvis de ikke vedtektsfester å ha aksjeeierregister. Denne oppbevares hos selskapet selv, regnskapsfører eller annen leverandør. Aksjeeierboken dokumenterer aksjeeiere (fysisk eller juridisk person som direkte eier). Registrering i aksjeeierboken gir rettigheter «som tilkommer en aksjeeier», men gir ikke rettsvern. Disse kan også oppnås ved at eierskapet er meldt og godtgjort, ikke avhengig av innføring i aksjeeierboken.

Foretaksregisteret

Brønnøysundregistrene utvikler og driver flere registre, herunder Foretaksregisteret. Foretak som driver næringsvirksomhet i Norge, plikter å oppdatere informasjonen i Foretaksregisteret ved endringer. Registeret skal gi oversikt over hendelser i aksjeselskaper og allmennaksjeselskaper m.fl., som kapitalendringer, vedtekter, styreendringer og lignende.

Foretaksregisteret inneholder informasjon om hvem som stiftet aksjeselskapet, dvs. aksjeeiere på opprettelsestidspunktet, foretaksregisterloven § 4-4 jf. aksjeloven § 2-3. Foretaksregisteret inneholder også informasjon om deltakerne i ansvarlige selskaper. Foretaksregisteret inneholder ikke opplysninger om eiere utover dette.

Foretaksregisteret inneholder blant annet følgende informasjon: Selskapets vedtekter, styremedlemmer og eventuelt varamedlemmer, og hvem som er styrets leder, daglig leder, hvem som representerer selskapet utad og tegner dets firma. Foretaksregisteret viser om selskapet er unntatt fra revisjonsplikt.

Grunnboken (Statens kartverk)

Grunnboken er et offentlig register som viser tinglyste rettigheter og forpliktelser i eiendom. Grunnboken viser hvem som er tinglyst eier av eiendommen. Den viser også eventuelle pengeheftelser, erklæringer og avtaler, eller om andre eiendommer eller personer har tinglyste rettigheter på eiendommen.

Statens kartverk fører også det offisielle eiendomsregisteret (matrikkelen). Matrikkelen omfatter ca. 3,3 millioner eiendommer, 4,3 millioner bygninger, 2,6 millioner boliger og 2,5 millioner veiadresser. Matrikkelen inneholder registrert eiers eller festers navn eller organisasjonsnummer. Matrikkelen inneholder også opplysninger om eiendomsgrenser, adresser, bygninger, boliger og gårds- og bruksnummer. Informasjonen omfatter også historiske opplysninger fra grunnboken.»

Lov om register over reelle rettighetshavere ble vedtatt i 2019 og formålet med loven er å sikre økt åpenhet om norske virksomheters eierstrukturer og gi bedre oversikt over utenlandske eiere av norske selskaper.

Reelle rettighetshavere er de fysiske personene som i siste instans eier eller kontrollerer en juridisk person, arrangement, enhet eller annen sammenslutning. En reell rettighetshaver er ifølge dette regelverket en fysisk person som gjennom sin eierandel eller stemmeandel i virksomheten, kontrollerer virksomheten. Andelen må overstige 25 prosent. Også en fysisk person som har rett til å utnevne eller avsette minimum 50 prosent av medlemmene i virksomhetens styrende organer, anses å være en reell rettighetshaver. Det skal også innhentes og registreres opplysninger om personer som på annen måte utøver kontroll over virksomheten. Regelverket vil bidra til å motvirke misbruk av de aktuelle virksomhetene til hvitvasking, terrorfinansiering og økonomisk kriminalitet.

Registeret skal inneholde opplysninger om reelle rettighetshavere samt hvilken måte de kontrollerer den registreringspliktige på, det vil si om det er gjennom eierskap, stemmerett eller annen måte. Det betyr at hvis det er relevant, må registreringspliktige innhente opplysninger om eventuelle formelle eller uformelle avtaler som regulerer utøvelsen av eierrettigheter og stemmerettigheter i den registreringspliktige virksomheten. Registreringen skal angi om det er direkte eller indirekte eierskap, altså om det foreligger mellomliggende norske eller utenlandske foretak. Eies eierandelen gjennom et annet foretak, skal navn og organisasjonsnummer på mellomliggende foretak registreres. På denne måten gir registeret bedre oversikt over selskapsstrukturen.

Registreringspliktige virksomheter skal registrere reelle rettighetshavere. Med registreringspliktige menes juridiske personer, enheter og andre sammenslutninger og forvaltere av utenlandske truster og lignende juridiske arrangementer som driver virksomhet i Norge 78 . Det er altså foretaket selv som skal identifisere og registrere reelle rettighetshavere, og både navn, fødselsnummer/D-nummer, bostedsland og statsborgerskap skal registreres. Har ikke rettighetshaveren fødselsnummer eller D-nummer, skal fødselsdato registreres.

Registreringspliktig skal dokumentere grunnlaget for identifisering av den reelle rettighetshaveren. Mener den registreringspliktige at det ikke finnes noen reell rettighetshaver, skal det også begrunnes og dokumenteres.

Registeret – som driftes av Brønnøysundregistrene 79 – åpnet mulighet til å starte registrering 1. oktober 2024. For at virksomhetene skal få tid til å innrette seg, er det en innfasingsperiode fram til 31. juli 2025 for virksomhetene til å gjennomføre registreringen.

Regelverket legger til rette for et register som gir visse offentlige myndigheter tilgang til opplysninger om hvem som i realiteten har kontroll over foretak. Informasjon fra registeret er tilgjengelig for følgende myndigheter, jf. forskriften § 3-11:

1. Politi- og påtalemyndighet
2. Enheten for finansiell etterretning ansvarlig for å motta opplysninger om mistenkelige forhold etter hvitvaskingsloven § 26
3. Skattemyndigheter
4. Tilsynsmyndigheter for rapporteringspliktige etter hvitvaskingsregelverket
5. Andre myndigheter med ansvar for å etterforske og påtale hvitvasking, primærforbrytelser og terrorfinansiering
6. Andre myndigheter med ansvar for sporing, båndlegging og inndragning av utbytte
7. Sikkerhetsmyndigheten
8. Tilsynsmyndighet for stiftelser

Forskriften gir altså «sikkerhetsmyndigheten» tilgang til opplysninger. Et departement er ansvarlige for forebyggende sikkerhetsarbeid innenfor sine ansvarsområder. Begrepet «sikkerhetsmyndigheten» er i forskriften tatt inn i entallsform – i motsetning til «skattemyndigheter» – noe som kan tilsi at «sikkerhetsmyndigheten» kun omfatter NSM. Ordlyden i forskriften skaper usikkerhet om for eksempel et departement som er sektormyndighet etter sikkerhetsloven, anses som «sikkerhetsmyndigheten» i denne sammenhengen og kan innhente opplysninger fra registeret. På denne bakgrunn har utvalget følgende anbefaling:

«Utvalget mener at Finansdepartementet må klargjøre hvem som etter dagens regelverk vil kunne få adgang til registeret over reelle rettighetshavere, knyttet til oppgaver etter sikkerhetsloven. Hvis dagens regelverk ikke åpner for at et departement som har sektoransvar etter sikkerhetsloven får tilgang til opplysninger, bør forskriften til lov om register over reelle rettighetshavere endres, slik at alle myndigheter som har sektoransvar etter sikkerhetsloven, gis tilgang til opplysninger fra registeret.»

8.4 Hva er spesielt med utenlandsk eierskap?

8.4.1 Innledning

Utvalget har tidligere, særlig i kapittel 4, drøftet hvordan utenlandsk eierskap kan svekke nasjonal kontroll. Formålet med det utenlandske eierskapet kan i ekstreme tilfeller være sikkerhetstruende (jf. punkt 4.2.3). Imidlertid har utvalget også påpekt at de aller fleste utenlandske eiere ikke vil ha slike hensikter, men ha normale forretningsmotiver. Utvalget tar nå sistnevnte utgangspunkt og prøver å se nærmere på hva som likevel kan gi opphav til bekymring ved utenlandsk eierskap. Følgelig drøftes altså hva som synes å være kildene til at utenlandsk eierskap kan svekke nasjonal styringsevne selv om den utenlandske aktørens motiv er legitimt. Det bidrar også til at man får fram hvilke kilder som kan gjøre norske eiere utsatt for utilbørlig press fra en utenlandsk statsledelse.

Diskusjonen her komplementerer den som er skrevet i 4.3 om økonomisk aktivitet som kan ha kontrollsvekkende effekt. Der er fokuset primært på organisatoriske forhold og eierskapsformer, mens her ser utvalget kun på eierskapets nasjonale tilknytning. Nærmere bestemt går man inn på de markedsmessige, økonomiske, juridiske og sikkerhetsmessige sidene ved utenlandsk eierskap i aksjeselskaper som kontrollerer kritisk digital kommunikasjonsinfrastruktur.

I de fleste tilfeller skulle det ikke være noen forskjell på nasjonalt eller utenlandsk eierskap så lenge alt annet enn nasjonaliteten til eierne er likt. Dersom eierne er frie og har samme formål – for eksempel profittmaksimering – og samme perspektiv, skulle de typisk treffe tilsvarende avgjørelser, for eksempel hva angår å opprettholde selskapets leveranseforpliktelser overfor sine kunder og gjøre investeringer i utvikling av selskapets tjenester for framtiden.

Åpenbart kan offentlige, utenlandske eiere (altså ikke private) ha andre formål enn profittmaksimering. I tillegg kan de være del av eller kontrollert av den utenlandske statsledelsen. Selv om formålet opprinnelig skulle vært profittmaksimering, kan statsledelsen formodentlig selv endre sitt formål. Således kan den utenlandske statsledelsen potensielt bruke sitt eierskap til å fremme sin egen nasjon sine interesser i strid med høyest mulig avkastning for det aktuelle selskapet og i strid med norske sikkerhetsinteresser.

Det kan også forekomme politiske systemer som gjør at avstanden mellom myndigheter og private selskaper fra samme land blir kort og at skillet mellom offentlige og private selskaper blir uklart. Det vil si at myndighetenes innflytelse over private selskaper er betydelig og målsettingen sammenfaller mer med myndighetenes mål. Et eksempel på dette er følgende beskrivelse av det politiske systemet i Russland fra Bergen Engines-vedtaket (Kongelig resolusjon, 21/1898, s. 3):

«Russland har et politisk system med en tett sammenblanding mellom politikk og økonomi, mellom statlig og privat virksomhet, og mellom sivile og militære sfærer. De russiske etterretnings- og sikkerhetstjenestene griper dypt inn i alle samfunnssektorer. Det er i liten grad formålstjenlig å skille mellom statlige og private interesser og aktiviteter i Russland når det gjelder vurderinger som har betydning for Norges nasjonale sikkerhet. Russiske myndigheter bruker en stor bredde av virkemidler for å understøtte statlige målsettinger, inkludert sivile selskap og andre næringslivsaktører.»

Det er ganske åpenbart at selskaper som den utenlandske statsledelsen kontrollerer enten direkte gjennom sitt eierskap eller grunnet uvanlig tette forbindelse som nevnt foran. Her velger utvalget derfor å fokusere på private utenlandske selskaper med en armlengde avstand til sin statsledelse, altså med hva man i Norge ville tenke på som en normal uavhengighet fra statsledelsen.

I drøftingen forutsettes så langt mulig at alt annet er likt utenom at nasjonaliteten til eierskapet er utenlandsk istedenfor norsk. Med alt annet likt menes, for eksempel, at eierne har identisk kompetanse, identiske eierandeler i det aktuelle og andre, relaterte selskaper, og at ikke slike forskjeller gir insentiver til å opptre forskjellig. 80 Dette er selvsagt stilisert, men vil bidra til å holde fokuset på nasjonalitetsdimensjonen (andelen utenlandsk eierskap). Det legges til grunn at både utenlandske og norske private eiere er profittmaksimerende, altså at de søker å maksimere avkastningen på sin investering. 81 Det forutsettes videre at eierne er uavhengige av staten i den forstand at staten ikke er medeier i selskapet eller har særlige bindinger til selskapet eller dets eiere. Utvalget søker altså å isolere betydningen av at det kun er eierens nasjonalitet som er forskjellig i drøftingen. Dette gjøres for å tydeligere belyse årsakene til at utenlandsk privat eierskap påvirker nasjonal kontroll.

Det kan være flere årsaker til at utenlandsk privat eierskap, selv med slik armlengde avstand, gir den utenlandske statsledelsen mer innflytelse enn om samme eierandel var eiet av norske private, noe som medfører økt risiko og redusert norsk nasjonal kontroll. Eksempler på slike årsaker kan være at utenlandske eiere er:

• lovpålagt å samarbeide
• mer avhengige av sin nasjon
• lojale mot sin nasjon

8.4.2 Lovpålagt innflytelse

Den utenlandske statsledelsen kan ha større innflytelse og kontroll dersom eieren er et privat selskap eller personlige eiere fra den utenlandske statsledelsens land og derfor underlagt den utenlandske statsledelsens jurisdiksjon. I noen tilfeller har den utenlandske statsledelsen eksplisitt innflytelse over egne statsborgere ved lov, jf. Waage et al. 2021 (FFI-rapport 20/03149), s. 63:

«Enkelte land, herunder Kina, har sikkerhetslovgivning som pålegger kinesiske borgere i utlandet å samarbeide med kinesiske sikkerhetstjenester. På den måten kan en kinesisk samarbeidspartner bli satt under betydelig press for å samarbeide, og kan i praksis ha få muligheter til å nekte. Mange amerikanske selskaper har også rapportert om tilsvarende press fra amerikanske myndigheter, hjemlet i amerikansk sikkerhetslovgivning (Normann 2020).»

Dette er juridiske sider ved utenlandsk eierskap som vil kunne øke trusselen fra et utenlandsk eierskap relativt til et norsk eierskap, ved at en utenlandsk stat får økt beslutningsdyktighet over kritisk digital kommunikasjonsinfrastruktur i fred, krise og krig, på bekostning av Norges nasjonale sikkerhetsinteresser.

8.4.3 Avhengighet

Utenlandske eiere (juridiske og fysiske personer) vil typisk ha en større avhengighet til sin nasjon og derigjennom kunne være mer utsatt for press eller tvang fra sin statsledelse, også i fravær av et lovpålegg om å samarbeide.

Statsborgere har normalt en rettighetsavhengighet til sitt land hvor de har rettigheter som følger av statsborgerskapet, som for eksempel rett til permanent opphold, til å ta arbeid, til å eie eiendom, til sosiale ytelser, med mer. Motsvarende har de typisk færre og mer begrensede slike rettigheter i land hvor de ikke er statsborgere, eksempelvis begrenset oppholdstillatelse. Derfor kan de være mer utsatt for press fra sitt hjemlands statsledelse enn fra et annet lands statsledelse. De må typisk oppholde seg mest i sitt hjemland og er under sitt hjemlands jurisdiksjon. En statsledelse kan kreve dem utlevert til sitt hjemland under visse omstendigheter. Denne avhengigheten til hjemlandet, hvor de har sitt statsborgerskap, vil således kunne gjøre dem mer utsatt for press fra sitt hjemlands statsledelse.

Normalt vil det også foreligge ressursmessige avhengigheter, dersom man har betydelige eiendeler i sitt hjemland som er immobile, som fast eiendom. I tillegg er det gjerne også sosiale avhengigheter knyttet til familie og venner som følge av å være født og oppvokst i et land. Disse avhengighetene kan gjøre en person mer sårbar for sin statsledelses bruk av press. Selv om disse to avhengighetene normalt er knyttet til landet hvor man har statsborgerskap, kan også slike avhengigheter gjelde norske statsborgere som har bodd lenge i et annet land enn Norge. De kan også gjelde i mindre grad for utenlandske statsborgere som i liten grad har bodd i sitt hjemland.

For selskaper vil det også kunne foreligge en viss juridisk avhengighet knyttet til sitt hjemland (hvor de har registrert sitt hovedkontor), eksempelvis skatteplikter eller nødvendige tillatelser, konsesjoner og lignende knyttet til virksomheten. I tillegg kommer ressursmessige avhengigheter eller bindinger som ofte følger av at et utenlandsk selskap normalt har virksomhet i sitt hjemland. For eksempel, dersom selskapet har betydelige verdier i hjemlandet som både er lite mobile og vanskelig omsettelige. Merk at slike avhengigheter også vil kunne gjelde norske selskaper som har investert betydelig i utlandet. Det vil kunne gjøre et norsk selskap utsatt for press fra den utenlandske statsledelsen.

Avhengigheten til selskaper kan også være knyttet til markeder eller kundesiden (analogt til på leverandørsiden, jf. fokuset på avhengighet til utenlandske leverandører omtalt tidligere). En norsk bedrift som eksporterer det meste av sin produksjon til et bestemt utland, eller har virksomhet i utlandet, vil kunne tape mye dersom de står i fare for å miste tilgang til det markedet. Derigjennom vil selskapet kunne være utsatt for press fra landets statsledelse, eksempelvis for tilgang til å selge i landet eller drive virksomhet der. Mange selskaper er multinasjonale med avhengigheter til flere land, både på leverandørsiden, i forhold til i hvilke land de har sine egne ressurser lokalisert, samt på markedssiden i forhold til land hvor de selger det meste av sin produksjon.

8.4.4 Lojalitet

Statsborgere – både utenlandske og norske – vil generelt føle en lojalitet og tilhørighet til egen nasjon, noe som gjør at de gjerne ønsker å samarbeide med sin statsledelse til fordel for sin egen nasjons interesser, selv i fravær av et lovpålegg eller press om dette. 82 Lojaliteten kan være knyttet til et språklig og kulturelt fellesskap, til sosiale relasjoner med andre statsborgere (som familie, venner og bekjente), med videre. Det kan også henge sammen med ressursmessige og sosiale avhengigheter nevnt foran og en interesse av å beskytte sine verdier i eget hjemland. Dette kan gjøre utenlandske eiere mer tilbøyelige til å samarbeide med sitt hjemlands statsledelse i strid med norske interesser og derigjennom utgjøre en økt risiko mot nasjonal sikkerhet. En slik lojalitet kan imidlertid også forekomme hos norske statsborgere som, for eksempel, har tilbragt mye tid i et annet land og fått en tilhørighet der. En slik lojalitet kan gjøre at eiere kan treffe avgjørelser til fordel for et annet land og som kan redusere avkastningen til selskapet. En slik lojalitet kan muligens også øke faren at eiere blir mottagelige for kompensasjon eller bestikkelser.

8.4.5 Bestikkelser og økonomisk press

Den utenlandske statsledelsen kan i hvert av tilfellene over hvor den utnytter en årsak eller kilde til innflytelse over private utenlandske eiere (lovpålegg, avhengighet, lojalitet), også kompensere dem for eventuell tapt avkastning eller andre kostnader slik at de private eierne ikke blir økonomisk skadelidende. En kompensasjon til eieren for å treffe ugunstige avgjørelser for seg selv og selskapet, ville kunne kategoriseres som belønning av lojalitet eller kompensasjon/bestikkelse. Statsledelsen kan utnytte en kombinasjon av årsakene samtidig til å utøve innflytelse, som trusler om press og lovnad om belønning.

En statsledelse kan ty til mange former for bestikkelser eller belønning for samarbeid til private eiere. Eksempler inkluderer tilskudd og andre direkte betalinger, skattelettelser, ettergivelse av gjeld, fordelaktig behandling i regulatoriske saker (eksempelvis tildeling av konsesjoner/driftstillatelser), subsidier i naturalier, fordelaktig finansiering fra statlige (eller statsstøttede) finansinstitusjoner, privilegert tilgang til informasjon, eksplisitt eller implisitte garantier, fordelaktig behandling ved offentlige anskaffelser, støtte i form av kommersielt diplomati og unntak fra antitrusthåndhevelse eller konkursregler. 83 Slike fordeler kan også tildeles andre selskaper som de private eier, i bytte for samarbeid i selskapet som eier kritisk digital kommunikasjonsinfrastruktur.

De fleste av fordelene nevnt foran kan statsledelsen også bruke med motsatt fortegn for å presse private eiere til å samarbeide. For eksempel en trussel om ufordelaktig behandling ved offentlige anskaffelser.

Her kan det igjen være på sin plass å minne om at også norske selskaper eller eiere som har en avhengighet til utlandet, kan være utsatt for en del av de samme pressmidlene fra den utenlandske statsledelsen. Det er selvsagt også slik at det finnes eiere som ut fra selviske hensyn er tilbøyelige til å bli bestukket, helt uavhengig av nasjonalitet.

8.4.6 Forsterkende faktorer

Noen faktorer kan potensielt forsterke risikoen knyttet til utenlandsk eierskap som skyldes en av de tre grunnleggende årsakene; lovpålegg, avhengighet og lojalitet. En slik faktor er at utenlandske eiere kan lettere unndra seg norsk jurisdiksjon. Dette kan redusere nedsiden for utenlandske eiere ved ulovlige handlinger i Norge (f.eks. tyveri av informasjon eller sabotasje) på vegne av en utenlandsk statsledelse. 84 Merk at også norske eiere kan prøve å unndra seg håndhevelse av norsk jurisdiksjon ved å flytte utenlands, og eventuelt få nytt statsborgerskap. Dette vil imidlertid være mer krevende slik at det er større risiko ved utenlandsk eierskap, alt annet likt.

En annen faktor er at eiere kan ha en (ubevisst) preferanse for å samarbeide og samhandle med lignende personer («similarity attraction»), eksempelvis med samme nasjonalitet, kultur og språk. Dette kan gjøre at utenlandsk eierskap øker sannsynligheten for at det også blir flere utenlandske statsborgere ansatt i eller tilknyttet selskapet. 85 Det kan igjen øke muligheten for en utenlandsk statsledelse til å utøve innflytelse grunnet årsakene nevnt foran (lovpålegg, avhengighet og lojalitet).

Utvalget vil nå se på hvilke trusler mot nasjonal sikkerhet denne innflytelsen kan brukes til. Trusler er nevnt tidligere, eksempelvis i punkt 4.2, men vil her knyttes mer direkte opp mot utenlandsk kontra norsk eierskap.

8.4.7 Fra eierskap til trusler mot nasjonal sikkerhet

Med eierskap følger kontroll og muligheten til å påvirke kritisk digital infrastruktur som nevnt innledningsvis i kapittelet. Videre vil utenlandsk eierskap kunne gi en utenlandsk statsledelse økt innflytelse i forhold til om samme eierandelen var norsk eier som diskutert foran. Denne innflytelsen eller kontrollen kan en utenlandsk statsledelse bruke til å arbeide langsiktig i fredstid for å svekke nasjonal sikkerhet i tilfelle en eventuell fremtidig krise eller konflikt. Innflytelsen vil også kunne brukes mer akutt i en krise eller konflikt til å skade funksjoner som er kritiske for norsk samfunn, som kritisk digital kommunikasjonsinfrastruktur.

Det er flere typer risiko for eller trusler mot nasjonale sikkerhetsinteresser. Disse inkluderer (Moran 2009, NOU 2023: 28, Waage et al. 2021):

1. tilgang til og kontroll med kunnskap, informasjon, infrastruktur og/eller eiendom
1. infiltrasjon (forberede sabotasje)
2. overvåking og informasjonslekkasje
3. overføring av kapasitet og kompetanse til utenlandsk eiers hjemstat
4. utkontraktering og nedbygging av kapasitet og kompetanse i Norge
2. påvirkning av norske politikere eller andre sentrale aktører til å endre beslutninger, eller motivere oppførsel og beslutninger som er fordelaktige for hjemstaten til eier
3. bortfall av varer, tjenester eller kompetanse (typisk høyt i krisespennet)
1. leveransenekt (kritiske ressurser er ikke i Norge)
2. sabotasje (kritiske ressurser er i Norge)

Utvalget minner om at vårt fokus er på hvilken ytterligere innflytelse en utenlandsk statsledelse kan oppnå gjennom utenlandsk privat eierskap kontra at samme eierandel hadde vært norskeid. Det er ikke nødvendigvis slik at risikoen vil være lav dersom eierne er norske. Som nevnt tidligere kan også norske eiere ha avhengigheter til utlandet som gjør dem utsatt for press, eller de kan føle lojalitet med eller sympatisere med utenlandske nasjoner, eller simpelthen være tilbøyelige til å motta bestikkelser eller oppnå fordeler fra utlandets statsledelse. Dette kan kanskje særlig gjelde lavt i krisespennet når en mulig konflikt, krise eller krig synes fjernt. Under drøftes kort noen av truslene knyttet til økonomisk aktivitet.

Dersom ressurser som er kritiske for digital kommunikasjonsinfrastruktur flyttes utenlands, for eksempel gradvis over tid gjennom utkontraktering, reduseres nasjonal kontroll. Utenlandsk eierskap med bestemmende innflytelse vil kunne øke sannsynligheten for at ressurser flyttes ut av Norge og dermed faller utenfor norsk kontroll. 86 Det er imidlertid viktig å være oppmerksom på at profittmaksimerende eiere kan treffe avgjørelser som svekker nasjonal kontroll, uavhengig av deres nasjonalitet. Dersom et selskap kunne øke lønnsomheten ved å flytte deler av produksjonen til et lavkostland eller endatil flytte hovedkontor til et land med lavere selskapsskatt, så ville både utenlandske og norske profittmaksimerende eiere ha insentiv til å flytte ut virksomhet. Slik utflytting vil derfor også kunne skje under norsk eierskap, men sannsynligheten kan kanskje være noe lavere dersom norske eiere har en preferanse for å ha virksomhet i Norge, for eksempel grunnet lojalitet.

Uavhengig av nasjonaliteten til profittmaksimerende eiere, ville en slik utflytting av aktiviteter og ressurser fra Norge svekke nasjonal kontroll over de utflyttede ressursene.

Bortfall av kritiske tjenester grunnet leveransenekt kan være en alvorlig trussel. Et eksempel på bekymringen for et slikt bortfall av samfunnskritiske tjenester grunnet utenlandsk eierskap er uttrykt slik i Waage et al. (2021, s. 48):

«Muligheten til å stenge ned telekomtjenester for hele landet og slik utøve press, var blant annet en bekymring i Nederland i kjølvannet av det meksikanske selskapet America Móvil sitt forsøk på å kjøpe opp hele det nederlandske telekomselskapet KPN (Retter et al. 2020).»

Som nevnt tidligere, er det imidlertid i utgangspunktet ingen grunn til at en profitt-maksimerende utenlandsk eier skulle ha større insentiv til å stenge ned tjenester og utøve press, enn en norsk eier. Den ville jo tape lønnsomhet på å stenge ned. Om den er under innflytelse (kontroll) fra egen statsledelse som er i konflikt med Norge, kan dette endre seg og den vil kunne bli presset til eller kompensert for å treffe ulønnsomme avgjørelser, som å stenge ned. Som nevnt tidligere, er det derfor tvang, press fra den utenlandske eierens statsledelse og politikere eller økt tilbøyelighet til å samarbeide ut fra lojalitet, som er kilden til bekymring fordi dette kan medføre sikkerhetstruende avvik fra normal profittmaksimering. 87 Bortfall av tjenester, for eksempel gjennom leveringsnekt, ville gjerne være spesielt aktuelt høyere opp i krisespennet. Om alle nødvendige ressurser for drift befinner seg i Norge, eksempelvis ved beredskapslagre, personell med nødvendig kompetanse, med videre, så vil norske myndigheter likevel kunne gripe inn og gjenoppstarte driften.

En annen utfordring er at norske selskaper kan være utsatt for utenlandsk innflytelse indirekte ved at de er avhengige av innsatsfaktorer fra en internasjonal verdikjede hvor det er utenlandske eiere. Da kan det være krevende både å ha oversikt over eierskapet og avgrense tydelig hvor i verdikjeden man tillater utenlandsk eierskap. Videre kan det være at norsk eierskap av viktige deler av en slik internasjonal verdikjede ikke helt løser utfordringen. Som nevnt tidligere kan norske selskap være eksponert for økonomisk press fra andre land de har betydelig eksport til eller virksomhet i (f.eks. utenlandsk datterselskap). Waage et al. (2021) påpeker at dette er et viktig område, men som de ikke har hatt mulighet til å drøfte innenfor sin rapport. Utvalget går i noen grad inn på verdikjedeproblematikken i kapittel 6 ved at man spør om hvem eierne av underleverandører er og hvor disse er hjemmehørende.

Utvalget har nå sett på negative sider ved utenlandsk eierskap, men det vil også være negative sider ved å begrense utenlandsk eierskap.

8.4.8 Negative sider ved begrensninger på utenlandsk eierskap

Begrensninger på utenlandsk eierskap vil redusere tilgangen til finansiell kapital, fysisk kapital (teknologi) og human kapital (ekspertise). I utvalgets spørreundersøkelse av og dialog med aktørene (vedlegg 5) har flere aktører påpekt bekymringer for redusert tilgang til alle tre typene kapital. Særlig kan særnorske regler for ekomsektoren ha negativ innvirkning på kapitaltilgang, innovasjon, teknologitilgang, utvikling og effektiv drift. Aktører bemerket også at slike regler kan svekke konkurranseevnen og markedsadgangen for selskaper i sektoren. Ettersom begrensninger på utenlandsk eierskap vil kunne ha negative effekter på utviklingen av og kvaliteten på digital kommunikasjonsinfrastruktur, må disse balanseres opp mot sikkerhetshensynet.

Norge har tradisjonelt vært i en gunstig situasjon i forhold til finansiell kapitaltilgang (NOU 2018: 5 Kapital i omstillingens tid – Næringslivets tilgang til kapital ). Det er en betydelig andel utenlandsk eierskap i norsk næringsliv, og enda større innen digital kommunikasjonsinfrastruktur, hvor Menons undersøkelse indikerer en utenlandsk eierandel på om lag 50 prosent for selskaper som eier kommunikasjonsinfrastruktur og enda høyere for deres underleverandører. Imidlertid gjelder eierbegrensningen typisk ikke land som Norge har et sikkerhetssamarbeid med. 88 Videre har begrensninger i utenlandsk eierskap de facto vært på plass i mange år allerede. Menons kartlegging av utenlandsk eierskap i kritisk digital infrastruktur indikerer at begrensningen har fungert i den forstand at det ikke er noe utenlandsk eierskap som gir grunn til bekymring per i dag. 89

Av de tre typene kapital er finansiell kapital meget mobil og relativt lett å substituere, mens de to andre typene kapital er mindre mobile og kan være vanskelige å substituere. Sagt annerledes, et lån fra ett land kan antagelig enklere refinansieres med et lån med tilsvarende vilkår fra et annet land, enn man kan bytte leverandør av utstyr eller tilgang til kompetanse.

Generelt vil handel med utlandet gjøre at Norge kan dra nytte av komparative fortrinn og stordriftsfordeler, slik at selv om man i teorien kunne produsere noe nasjonalt, vil det være betydelig gunstigere å kjøpe dette fra utlandet. Deler av kritisk digital infrastruktur er meget teknologitung og det kreves store, ofte irreversible, investeringer i forskning og utvikling, samt gjerne også i produksjonsutstyr, for å følge med i utviklingen. Dette gir opphav til stordriftsfordeler som gjør det naturlig at slike produktmarkeder blir internasjonale og domineres av noen få, store aktører. Et eksempel på dette er mobilnett, nå i sin femte generasjon (5G). Utvikling av programvare for digital kommunikasjon kan være et annet eksempel. For programvare kan utviklingskostnaden være meget høy, samtidig som det koster lite å distribuere programvaren til brukere. Denne kostnadsstrukturen – høye faste og irreversible kostnader kombinert med lave variable kostnader – gir opphav til stordriftsfordeler, som igjen kan føre til at markedet blir konsentrert med et fåtall store aktører. I møte med slike stordriftsfordeler vil det gjerne være økonomisk uoppnåelig for de fleste små land å oppnå digital suverenitet og uavhengighet kun basert på sin egen etterspørsel. Selv om store land har bedre mulighet til dette simpelthen fordi de utgjør større markeder, vil det også for disse kunne medføre tap av stordriftsfordeler å skulle insistere på nasjonal produksjon for å sikre full nasjonal kontroll på alle områder, med mindre de også kan selge til andre land og derigjennom oppnå økte stordriftsfordeler. 90

Steen (2022, FAFO Rapport 2022:22) påpeker at tyske myndigheter allerede i 2011 startet en prosess for å etablere en nasjonal, offentlig kompetanse og kapasitet for skyløsninger. Selv om dette er kostbart å utvikle og etablere, kan antagelig en stor nasjon som Tyskland like fullt oppnå en rimelig grad av stordriftsdeler ved at kostnaden kan spres over et stort antall offentlige virksomheter og innbyggere. En slik strategi om digital suverenitet og autonomi kan derfor svare seg i et sikkerhetsperspektiv. Det vil si at tapet av stordriftsfordeler oppveies av gevinsten ved økt nasjonal kontroll.

Norge er derimot et lite land og vil antagelig ikke kunne oppnå i nærheten av samme skala-fordeler. Derfor vil en slik strategi typisk bli for kostbar og Norge vil i større grad måtte akseptere utenlandsk eierskap og avhengighet. Det vil igjen bety redusert nasjonal kontroll. Imidlertid vil det å inngå sikkerhetssamarbeid og allianser med andre land øke det markedet Norge er en del av. Innenfor en allianse kan dermed små land samle sin etterspørsel for derigjennom å oppnå stordriftsfordeler i fellesskap. Produsenter kan gjerne komme fra små land, som eksempelvis 5G-produsentene Nokia (Finland) og Ericsson (Sverige), men det som gjør at de blir store og er blant et fåtall internasjonalt ledende leverandører, er nettopp at de har vunnet fram i en internasjonal konkurranse om store volum. Tilgangen til et stort marked, øker sjansene for å oppnå stordriftsfordeler.

Allianser som NATO eller unioner som EU, utgjør relativt store markeder og kan derfor mest sannsynlig romme et fåtall konkurrerende leverandører på de aller fleste deler av en digital kommunikasjonsinfrastruktur. Desto tettere og mer pålitelige slike internasjonale samarbeidsrelasjoner er, desto mindre blir tapet av nasjonal kontroll for det enkelte land ved å velge leverandører innenfor en slik allianse. Det synes klart at dette må være veien å gå for et lite land som Norge på de fleste områder hvor det er betydelige stordriftsfordeler.

Et viktig moment er betydningen av at begrensningene på utenlandsk eierskap harmoniseres med begrensningene som sammenlignbare land har. I valget mellom ellers like land, vil investorer foretrekke det landet som har færrest begrensninger eller usikkerhet knyttet til sitt regelverk. Det bør av den grunn ikke være relativt vanskeligere for utenlandske investorer å investere i Norge enn eksempelvis i øvrige nordiske land.

9 Virkemidler for nasjonal kontroll

9.1 Innledning om ulike typer virkemidler for nasjonal kontroll

I Meld. St. 9 (2022–2023) pekes det på at nasjonal kontroll på områder som er strategisk viktige for nasjonal sikkerhet, er en meget viktig del av arbeidet med å styrke samfunnets kollektive motstandskraft. Regjeringens formål med meldingen var å tydeliggjøre den strategiske retningen, prioriteringene og tiltakene som kan treffes for å sikre nasjonal kontroll og nasjonal sikkerhet på ulike områder, og det vises til en rekke virkemidler som kan brukes for å styrke nasjonal kontroll.

I meldingen redegjøres det for virkemidler som nasjonalt eierskap, regulering, samarbeid nasjonalt og internasjonalt, råd og veiledning samt nasjonal deteksjonsevne og hendelseshåndtering, og det framgår på side 14 at « Virkemidlene må vurderes både enkeltvis og i sammenheng, og de vil variere, avhengig av hvor man befinner seg i krisespennet, hvor stor grad av kontroll som er ønskelig i ulike sammenhenger og eventuelle kostnader knyttet til dette ». Inngripen for å sikre nasjonal kontroll må altså vurderes ut fra trussel- og risikobildet, og veies mot kostnadene eventuelle inngrep kan medføre.

I en vurdering av om virkemidler må tas i bruk for å sikre tilstrekkelig nasjonal kontroll, må forholdsmessigheten og kostnaden med det, vurderes opp mot effekten virkemiddelbruken vil ha. Bruk av virkemidler må også vurderes i lys av de folkerettslige forpliktelsene Norge har. I denne sammenheng er særlig EØS-avtalen viktig. Avtalen åpner i noen tilfeller for at statene kan gjennomføre tiltak som ellers ville stride med forpliktelser etter EØS-avtalen. Rekkevidden av unntakene må vurderes ved bruk av virkemidler som skal sikre nasjonal kontroll, slik at tiltak ikke kommer i strid med EØS-avtalens konkurranseregler, statsstøtteregler samt reglene om fritt varebytte og fri bevegelighet av personer, tjenester og kapital.

Utvalget redegjør nedenfor for ulike typer virkemidler som kan være aktuelle å ta i bruk – alene eller i kombinasjon med andre virkemidler – for å bidra til å sikre nasjonal kontroll over kritisk digital kommunikasjonsinfrastruktur.

9.2 Nasjonalt eierskap

9.2.1 Overordnet om nasjonalt eierskap

«Nasjonalt eierskap omfatter statlig, fylkeskommunalt og kommunalt eierskap, samt privat norsk eierskap» (Meld. St. 9, 2022–2023, s. 18). Nasjonalt eierskap kan sikre nasjonal kontroll av kritisk digital kommunikasjonsinfrastruktur gjennom at det er norske eiere som har innflytelse på eller kontroll over virksomheten som eier viktig infrastruktur. Nasjonalt eierskap kan sikre at uønskede aktører ikke får kontroll over infrastruktur som er viktig for samfunnssikkerheten og kritiske samfunnsfunksjoner.

9.2.2 Statlig eierskap

Med statlig eierskap menes i denne sammenheng at staten direkte eier andeler i selskaper. I Meld. St. 6 (2022–2023) Et grønnere og mer aktivt statlig eierskap – Statens direkte eierskap i selskaper (eierskapsmeldingen) fra oktober 2022, redegjør regjeringen for retningen i statlig eierskap. I eierskapsmeldingen punkt 4.1.2 står det blant annet om begrunnelser for statlig eierskap:

«Samfunnsutviklingen og den geopolitiske situasjonen har de siste årene bidratt til økt oppmerksomhet om beredskapshensyn, for eksempel matproduksjon og beredskapslager for smittevernutstyr, vaksiner, legemidler og korn. Det er også økt oppmerksomhet om ivaretagelse av kritiske innsatsfaktorer, produksjon, tjenesteyting og infrastruktur.

Regulering er det primære virkemiddelet for å ivareta hensyn knyttet til nasjonal sikkerhet, samfunnssikkerhet og beredskap. Eksempler på slik regulering er næringsberedskapsloven, kraftberedskapsforskriften, sikkerhetsloven og ekomloven. Statlige overføringer til produsenter, kontraktsinngåelser med private aktører eller andre former for samarbeid med næringslivsaktører administrert og forvaltet gjennom respektive sektordepartement er eksempler på andre virkemidler.

Staten kan i særskilte tilfeller vurdere det som nødvendig å unngå at uønskede interesser kan få tilgang til informasjon, innflytelse på eller kontroll over selskaper som har betydning for nasjonal sikkerhet, samfunnssikkerhet eller beredskap, noe som blant annet kan gjøres ved å underlegge selskapene sikkerhetsloven eller eie en gitt andel i enkelte selskaper».

I eierskapsmeldingen punkt 1.2 fremgår seks begrunnelser for statlig eierskap for å oppnå ulike samfunnsmål:

• Hovedkontorfunksjoner i Norge
• Samfunnssikkerhet og beredskap
• Energi og naturressurser
• Tilrettelegging for bærekraftig omstilling og økt verdiskaping
• Infrastruktur, monopoler og tildelte rettigheter
• Fellesgoder og/eller sosial og geografisk fordeling

Både hovedkontorfunksjon i Norge og samfunnssikkerhet og beredskap fremheves som begrunnelser for statlig eierskap. Når det gjelder hovedkontorfunksjonen, trekkes ofte frem verdien av at lokalisering av hovedkontorer i Norge vil skape positive økonomiske effekter for samfunnet (samfunnsøkonomisk overskudd) utover et eventuelt bedriftsøkonomisk overskudd. At hovedkontorfunksjonen er i Norge, vil også medføre at styrefunksjonen i selskapet og andre sentrale administrative oppgaver, normalt utføres i Norge.

For å sikre at hovedkontoret forblir i Norge, er det normalt nødvendig med en eierandel på over en tredel av aksjene. Dersom formålet med statlig eierskap er begrunnet ut fra samfunnssikkerhet og beredskap gjennom at staten som eier har innflytelse i styringen av selskapet, bør eierandelen være på mer enn 50 prosent av aksjene. Ved å sitte med aksjemajoriteten, vil staten kunne sikre seg innflytelse gjennom valg av styremedlemmer, og på den måten også sikre at uønskede interesser ikke får innflytelse gjennom styreposisjoner. Styremedlemmene vil imidlertid måtte ivareta alle aksjonærenes interesser med utgangspunkt i de formål som er vedtektsfestet for selskapet.

I denne sammenheng er det sentralt at når aksjeselskapsformen benyttes for statlige investeringer, bygger det på en generell forutsetning om at slike selskaper i utgangspunktet har bedriftsøkonomisk avkastning som formål og på en forutsetning om en klar rollefordeling mellom selskapets eiere på den ene side – der statens eiermyndighet i selskapet utøves på generalforsamlingen – og selskapets ledelse bestående av styret og daglig leder på den annen side. At bedriftsøkonomisk avkastning står sentralt, betyr ikke at det må være det eneste formålet, og heller ikke at gevinst for aksjonærene skal gå foran alle andre formål eller interesser. Er samfunnssikkerhet og beredskap sentralt for eierskapet, kan en eierandel på minst to tredeler av selskapet sikre at vedtektene ivaretar slike interesser. Et slik formål med eierskapet vil imidlertid kunne svekke andres interesse i å investere i selskapet.

Statlig eierskap deles nå inn i to kategorier ut fra målet med eierskapet 91 . Kategori 1 der statens mål er høyest mulig avkastning over tid innenfor bærekraftige rammer, og kategori 2 der statens mål som eier er bærekraftig og mest mulig effektiv oppnåelse av sektorpolitiske mål. Tidligere 92 har man operert med tre kategorier med mål for eierskap. I tillegg til «Kategori 1 – Mål om høyest mulig avkastning over tid» og «Kategori 3 – Mål om mest mulig effektiv oppnåelse av sektorpolitiske mål», brukte man «Kategori 2 – Mål om høyest mulig avkasting over tid og særskilt begrunnelse for å eie». I Kategori 2 inngikk selskapene der staten har mål om høyest mulig avkastning over tid, og hvor staten har særskilte begrunnelser for eierskapet. I eierskapsmeldingen fra 2022 93 begrunnes denne endringen med at:

«Regjeringen anser det ikke hensiktsmessig å foreta denne oppsplittingen, da det vesentligste med å kategorisere selskapene er tydelighet om statens mål som eier i selskapene. Denne forenklingen av kategoriseringen innebærer ikke endringer i statens eierutøvelse».

Innenfor sektoren digital infrastruktur, eier staten direkte i dag aksjer i Space Norway AS (heleid av staten) og Telenor ASA (53,97 prosent av aksjene). I tillegg er Norid AS heleid av staten. Ifølge eierskapsmeldingen har staten eierandeler i Telenor ASA for «å opprettholde et ledende telekommunikasjons-selskap med hovedkontorfunksjoner i Norge samt å ha kontroll med samfunnskritisk kommunikasjonsinfrastruktur», mens eierskapet i Space Norway AS er begrunnet i «å utvikle, forvalte og eie sikkerhetskritisk romrelatert infrastruktur som dekker viktige, norske samfunnsbehov». Begge selskapene er nå plassert i kategori 1. Etter at Space Norway AS kjøpte Telenor Satellite AS i januar 2024, endret staten sitt mål som eier i Space Norway AS fra kategori 2 til kategori 1 fordi oppkjøpet medfører større kommersiell virksomhet. Begrunnelsen for eierskap i Norid AS er «å ha kontroll med sentral nasjonal internettinfrastruktur» og målet med eierskapet er «sikre og tilgjengelige registrerings- og navnetjenester til internettbrukerne».

Det framgår av Meld. St. 6 (2022–2023) kapittel 8 at det er et mål at staten skal være en aktiv eier. Eierutøvelsen skal bidra til å nå statens mål som eier, enten høyest mulig avkastning over tid innenfor bærekraftige rammer eller bærekraftig og mest mulig effektiv oppnåelse av sektorpolitiske mål. For å nå målene, skal staten som eier stille tydelige forventninger til selskapene, velge kompetente styrer, følge opp selskapene systematisk og stemme på generalforsamling. I denne sammenheng har regjeringen utformet ti prinsipper 94 for god eierutøvelse.

Det er åpenbart at gjennom en aktiv eierutøvelse, kan staten – avhengig av eierandel – utøve innflytelse i virksomheten den eier. I den grad begrunnelsen for eierskap er å kunne kontrollere kritisk digital kommunikasjonsinfrastruktur, bør eierandelen være over 50 prosent. Med en slik eierandel vil staten ha bestemmende innflytelse på en rekke avgjørelser knyttet til driften av selskapet og dermed sikre nasjonal kontroll over infrastrukturen, blant annet gjennom valg av styremedlemmer. Staten vil med en slik eierandel også kunne blokkere generalforsamlingsbeslutninger som krever flertall.

Hvorvidt staten skal sikre nasjonal kontroll gjennom eierskap må vurderes konkret i hvert enkelt tilfelle i lys av trussel- og risikobildet. I vurderingen må man se hen til hvilke andre tiltak som kan sikre et tilfredsstillende nivå av nasjonal kontroll, og veie forholdsmessigheten, kostnaden og effektiviteten av eierskap kontra bruk av andre virkemidler. I eierskapsmeldingen fremgår det også eksplisitt at regulering er det primære virkemiddelet for å ivareta hensyn knyttet til nasjonal sikkerhet, samfunnssikkerhet og beredskap. Å bruke eierskap for å nå dette målet skal kun vurderes i særskilte tilfeller.

I forhold til de øvrige virkemidlene som regulering og avtaler, gir eierskap kontroll over alle gjenværende rettigheter, det vil si dem som ikke er regulert eller avtalt på forhånd – såkalte residuale rettigheter. I tilfeller hvor det er vanskelig å forutsi eller spesifisere behovet for kontroll i form av en regulering eller avtale, vil eierskap derfor kunne være bedre.

En annen styrke ved (tilstrekkelig) eierskapsandel er at det gir innsikt i selskapets strategiske beslutninger, herunder utkontraktering, nedleggelse av enkelte tjenester og salg av eiendeler og rettigheter. Slike beslutninger kan svekke nasjonal kontroll og vil typisk ikke fanges opp av reguleringer om meldeplikt knyttet til eierskap etter sikkerhetsloven. Normalt skal slike beslutninger styrebehandles, og en statlig eierandel på mer enn halvparten vil dermed kunne gi innsikt og innflytelse gjennom styreposisjon.

Statens direkte eierskap i selskaper må alltid ha grunnlag i et vedtak fra Stortinget som gir fullmakt til dette. Slik fullmakt ble for eksempel gitt i statsbudsjettet for 2024 95 der NFD ble gitt fullmakt til « å utøve forkjøpsrett og utgiftsføre uten bevilgning under kap. 950 Forvaltning av statlig eierskap, post 96 Aksjer, og dermed erverve 30 pst. av aksjene i Telenor Fiber AS dersom Telenor ASA ikke ønsker å benytte denne retten og retten overføres til Nærings- og fiskeridepartementet, ved et eventuelt fremtidig salg av minoritetsandelen i Telenor Fiber AS ». Vedtaket hadde sammenheng med Telenor ASAs salg av en 30 prosent eierandel i Telenor Fiber AS til et konsortium bestående av KKR 96 og Oslo Pensjonsforsikring, og der Telenor ASA i avtalen hadde sikret seg en forkjøpsrett ved et eventuelt salg av de aktuelle aksjene i fremtiden.

Fullmakt ble også gitt av Stortinget da Space Norway AS (100 prosent statlig eiet) kjøpte Telenor Satellite AS 4. januar 2024. Kjøpet ble finansiert gjennom en forhøyelse av egenkapitalen i Space Norway AS på 2,36 mrd. kroner 97 , som ble tilført fra staten på en ekstraordinær generalforsamling 21. desember 2023.

Space Norway AS sitt oppkjøp av Telenor Satellite AS er et eksempel på at staten ønsket å sikre statlig eierskap i infrastruktur som kritiske samfunnsfunksjoner er avhengig av. I pressemeldingen 98 fra NFD om oppkjøpet står det at «Oppkjøpet vil bidra til at vi får en stor norsk satellittoperatør som, sammen med en norsk romnæring i vekst, kan styrke Norge som romnasjon. Samtidig sikrer oppkjøpet at Norge – i en tid med økende geopolitisk uro – har kontroll over satellitter som kritiske samfunnsfunksjoner er avhengige av og som er strategisk viktige for Norge».

Selv om statlig eierskap kan gi stor grad av nasjonal kontroll, illustrerer eksemplene at statlig oppkjøp som virkemiddel til å sikre nasjonal kontroll, først og fremst egner seg som virkemiddel i et mer langsiktig perspektiv, og ikke i situasjoner der en står overfor en aktuell trussel. Skal eierskap brukes som effektivt virkemiddel for å unngå at uønskede interesser får kontroll og innflytelse i selskaper som eier kritisk digital infrastruktur, må staten proaktivt og løpende vurdere det sikkerhetspolitiske bildet, ha oversikt over hva som må anses som kritisk digital kommunikasjonsinfrastruktur samt ha oversikt over eierskapet i den aktuelle infrastrukturen, og treffe avgjørelser ut fra potensielle utfordringer som risikobildet gir. Slike vurderinger krever ressurser og oppfølging, og avgjørelsen vil kunne være politisk sensitiv.

EØS-avtalen kan legge begrensninger på bruk av eierskap for å sikre nasjonal kontroll. Avtalens bestemmelser om statsstøtte gjelder uavhengig av om eierskapet i en virksomhet er offentlig eller privat, og gjelder også selskaper med statlig eierandel. Dette betyr at statsstøtteregelverket kan legge begrensninger på statens mulighet til å vektlegge ikke-kommersielle sikkerhetshensyn i eierutøvelsen når virksomheten driver økonomisk aktivitet etter EØS-avtalens artikkel 61 (1). I St. Meld. 6 (2022–2023) punkt 9.4 framgår det at

«Dersom det offentlige tilfører kapital på grunnlag av andre hensyn og andre vilkår enn hva en sammenlignbar privat investor antas å ville ha stilt, kan det bety at tilførselen innebærer en økonomisk fordel for det aktuelle selskapet som kan gjøre det til offentlig støtte etter EØS-avtalens artikkel 61 (1), såfremt de andre vilkårene er oppfylt. Dette innebærer at staten må operere i samsvar med markedsaktørprinsippet når staten investerer i et foretak, gitt at alle kriteriene i EØS-avtalens artikkel 61 (1) er oppfylt, for å unngå at en investering blir offentlig støtte».

Det kan synes å være tilfeller av inkonsistens mellom begrunnelsen for staten sitt eierskap og statens mål med eierskapet i eierskapsmeldingen, eksempelvis i Telenor. Eierskapet er satt til kategori 1 hvor målet er høyest mulig avkastning gitt bærekraftighet. I tillegg begrunnes eierskapet i å sikre at hovedkontorfunksjoner forblir i Norge samt av hensyn til samfunnssikkerhet og beredskap. 99 Dette er uproblematisk så lenge beslutninger som gir høyest mulig avkastning for selskapet sammenfaller med samfunnssikkerhet. Imidlertid gir begrunnelsen bare mening dersom den tenkes utøvet, noe som bare vil være aktuelt i de tilfeller hvor det ikke er sammenfall, med andre ord, når samfunnssikkerhet går på bekostning av avkastning. Utvalget mener at når staten begrunner eierskap med å ivareta samfunnssikkerhet gjennom eierskapet, bør forvaltningen av eierskapet være tydeligere når det gjelder hvordan hensynet til samfunnssikkerhet og beredskap veies mot hensynet til avkastning, andre aksjonærer og for eksempel statsstøtteregler.

9.2.3 Kommunalt og fylkeskommunalt eierskap

Grunnloven § 49 annet ledd sier at «Innbyggerne har rett til å styre lokale anliggender gjennom lokale folkevalgte organer. Nærmere bestemmelser om det lokale folkevalgte nivå fastsettes ved lov». Bestemmelsen grunnlovfester prinsippet om det lokale selvstyret, men setter ikke «skranke for den funksjons- og oppgavefordeling innen offentlig forvaltning som Stortinget gjennom ordinær lovgivning finner hensiktsmessig,» se Innst. 182 S (2015–2016) side 7. Kommunalt og fylkeskommunalt selvstyre nærmere regulert i kommuneloven § 2-1:

«§ 2-1.Kommunalt og fylkeskommunalt selvstyre

Norge er inndelt i kommuner og fylkeskommuner med en egen folkevalgt ledelse.

Hver kommune og fylkeskommune er et eget rettssubjekt og kan ta avgjørelser på eget initiativ og ansvar.

Kommunene og fylkeskommunene utøver sitt selvstyre innenfor nasjonale rammer. Begrensninger i det kommunale og fylkeskommunale selvstyret må ha hjemmel i lov.»

Kommunenes kompetanse er negativt avgrenset, noe som betyr at de kan ta på seg oppgaver og treffe beslutninger ut fra de behovene kommunene har, så lenge oppgavene ikke i lov er gitt andre eller der er særskilt forbud mot det. Kommuner kan involvere seg i en rekke frivillige aktiviteter, herunder å drive næringsvirksomhet.

En rekke kommuner eier i dag – direkte eller indirekte – andeler av selskaper som eier digital kommunikasjonsinfrastruktur og leverer tjenester i denne infrastrukturen. Det er særlig fiberinfrastruktur og bredbåndstjenester som eies og leveres av selskaper eid av kommuner. For eksempel eies Lyse Tele AS 100 prosent av Lyse AS som eies av 14 kommuner i Sør-Rogaland. 100 Viken fiber eies indirekte av Lyse AS samt Statskraft og en rekke kommuner i Agder, Buskerud og Oppland (gjennom eierskap i Å Energi AS, Lier Everk Holding AS og Hadeland Energi AS). Eidsiva AS som eier Eidsiva bredbånd, eies direkte og indirekte av til sammen 29 kommuner. 101 Eidsiva AS eier også et datasenter.

På samme måte som for statlig eierskap, vil kommunalt eller fylkeskommunalt eierskap kunne sikre at uønskede aktører ikke får kontroll over kritisk digital kommunikasjons-infrastruktur. Mens statlig eierskap i slik infrastruktur normalt er begrunnet nettopp i behovet for nasjonal kontroll, vil det neppe være utgangspunktet for kommunalt eller fylkeskommunalt eierskap.

En begrunnelse for eierskap kan være å sikre innbyggerne tjenester. Kommuner og fylkeskommuner har stor frihet til å velge hvordan tjenestene og virksomheten skal organiseres. I stor grad skjer tjenesteproduksjonen innenfor kommunen eller fylkeskommunen som organisasjon. Kommunestyret eller fylkestinget kan imidlertid velge å organisere en del av virksomheten i egne foretak, for eksempel aksjeselskaper eller interkommunale selskaper.

Kommuner og fylkeskommuner eier store deler av kraftsektoren. Tradisjonelt har motivet for slikt eierskap særlig vært å sikre energi til befolkning og næringsliv, mens i dag er økonomisk utbytte og mulighet for å sikre kommuneøkonomien, mer sentralt for eierskap. Flere kraftselskaper med kommunalt eierskap har investert i bredbåndinfrastruktur, og bredbåndvirksomhet utgjør en vesentlig del av inntektene 102 i mange kommunalt eide konsernselskaper. Muligheten for økonomisk utbytte og styrket kommuneøkonomi, vil nok ofte være hovedmotivet for slike investeringer.

Likevel kan hensynet til nasjonalt eierskap for å sikre trygge samfunnskritiske tjenester også være av betydning for kommunalt og fylkeskommunalt eierskap. Da Eidsiva kjøpte fjellanlegget til Tietoevry på Gjøvik, uttalte selskapet i sin pressemelding at Eidsiva ville bidra til å bygge en viktig del av den samfunnskritiske infrastrukturen for digitaliseringen av landet. 103

Uavhengig av hva motivasjonen for eierskap er, kan staten ikke instruere kommuner og fylkeskommuner om hvordan eierskapet skal forvaltes. Hvis staten ønsker å gripe inn i forvaltningen av eierskapet, må dette gjøre innenfor de samme rammer som gjelder for andre markedsaktører, for eksempel gjennom bruk av sikkerhetsloven.

9.2.4 Privat eierskap

Privat eierskap er hovedregelen i den forstand at det er den største eierkategorien i norsk næringsliv. Privat norsk eierskap kan hindre at uønskede utenlandske aktører får innflytelse og kontroll, og på den måten treffe beslutninger og tiltak til skade for nasjonal sikkerhet, i virksomheter som eier kritisk digital kommunikasjonsinfrastruktur. Eierandeler i disse selskapene vil i utgangspunktet kunne omsettes uten norske myndigheters inngripen. Skal staten kunne gripe inn overfor private aktører for å sikre tilstrekkelig nasjonal kontroll ved et salg av eierandeler, krever det hjemmel i lov. Her står sikkerhetsloven særlig sentral og åpner for at det kan treffes vedtak om at kjøp av foretak ikke kan gjennomføres eller sette vilkår for gjennomføringen. Regulering som virkemiddel er beskrevet nærmere nedenfor.

Privat norsk eierskap som virkemiddel for nasjonal kontroll av kritisk digital kommunikasjonsinfrastruktur, bygger på en forutsetning om at man har tillit til at norske eiere i større grad enn utenlandske eiere, vil ha fokus på å ivareta nasjonale sikkerhetshensyn i forvaltningen av eierskapet. Som nevnt i punkt 8.4 kan imidlertid også norske eiere være utsatt for innflytelse av utenlandske statsledelser.

9.3 Regulering

9.3.1 Innledning

Som det framgår av eierskapsmeldingen punkt 4.1.2 104 er regulering det primære virkemiddelet for å ivareta hensyn knyttet til nasjonal sikkerhet, samfunnssikkerhet og beredskap. I innstilling fra Stortingets justiskomité om Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet 105 , sier komitéen knyttet til redegjørelsen av virkemiddelapparatet for å sikre nasjonal kontroll og digital motstandskraft:

«Komiteen viser til at flere saker de siste årene har synliggjort hvor viktig det er å ha både regulatoriske virkemidler og evne til å tenke langsiktig for å sikre nasjonal kontroll og nasjonal sikkerhet. Flere virksomheter har blitt utsatt for alvorlige dataangrep de siste årene, hvilket er en påminnelse på behovet for digital motstandskraft. Komiteen er derfor enig i behovet for utvikling og tilpasning av tiltak for å kunne imøtekomme aktuelle situasjoner som kan oppstå. Det å forebygge uønskede hendelser blir stadig viktigere, spesielt i lys av de endrede økonomiske rammene. Selv om enkelte tiltak vil kunne påføre både offentlige og private virksomheter direkte kostnader og utløse økte krav til rapportering, må omkostningene veies opp mot hensynet til å kunne ivareta nasjonal sikkerhet».

Nedenfor beskrives ulike regelverk med bestemmelser knyttet til nasjonal sikkerhet og sikkerhet i digital infrastruktur samt beredskap, og som er eksempel på at regulering brukes som virkemiddel for å styrke nasjonal kontroll og nasjonal sikkerhet i kritisk digital kommunikasjonsinfrastruktur. Regelverkene som beskrives inneholder regulering som fungerer som proaktivt virkemiddel – som krav i sikkerhetsloven § 4-3 og ekomloven § 3-1 om «forsvarlig sikkerhet» – og som reaktivt virkemiddel som gir myndigheter hjemmel til å agere når sikkerhetstruende hendelser inntrer – som sikkerhetsloven § 2-5 (for å hindre sikkerhetstruende aktivitet) og § 10-3 (om stans i erverv av virksomhet).

9.3.2 Adgangen til å vedta, anvende og håndheve regler

Staten kan pålegge private parter plikter gjennom utøvelse av offentlig myndighet. Når pliktene går ut på at virksomheter skal ha bestemte strukturer eller handle på bestemte måter, og dette ikke kan forankres i statens eierrådighet eller i en avtale, er det nødvendig med hjemmel i lov (legalitetsprinsippet).

Hvis lovgivningen krever tillatelse fra forvaltningen til å foreta visse handlinger, og forvaltningen i tillegg er gitt en viss frihet til å velge om tillatelse skal gis, vil det også være lovgrunnlag for å stille vilkår for tillatelsen. Dette følger av den såkalte vilkårslæren som innebærer at når forvaltningen kan gjøre det mer, nekte tillatelse, kan forvaltningen også gjøre det mindre, stille vilkår for en tillatelse. Det vil imidlertid være en grense for hvilke inngrep forvaltningen kan gjøre – vilkårene må ha saklig sammenheng med tillatelsen, ikke være uforholdsmessig tyngende og ligge innenfor lovens formål for ikke å utfordre legalitetsprinsippet. Hvorvidt lovgivningen utfordrer legalitetsprinsippet i tilfeller der betingelsene for inngrepet er upresise, vil bero på en vurdering der relevante momenter blant annet vil være hva slags forvaltningsområde det gjelder, om de aktuelle lovbestemmelsene i realiteten omfatter hele eller deler av det aktuelle forvaltningsområdet, og hvorvidt lovens formål setter snevre eller vide rammer for hvilke inngrep forvaltningen kan foreta.

For at staten skal kunne anvende og håndheve regler overfor andre, må den ha jurisdiksjon til å fastsette både generelle og individuelle normer innenfor sine grenser, samt myndighet til å håndheve disse normene. Lovgivningsjurisdiksjon handler om at lovgivningen kan gjøres gjeldende overfor noen eller noe. Domsjurisdiksjon handler om at det kan treffes avgjørelser basert på lovgivningen. Tvangsjurisdiksjon handler om adgangen til å håndheve lovgivningen.

Når det gjelder statens mulighet til å vedta og anvende regler overfor utenlandske aktører, sier Eriksen (2024) 106 følgende:

«Norske myndigheter har jurisdiksjon til å fastsette vilkår gjennom myndighetsutøvelse, også overfor utenlandske virksomheter. Det virksomhetene gjør i Norge har norske myndighetene allerede jurisdiksjon over i kraft territorialhøyheten. Jeg antar derfor at norske myndigheter i kraft av sin suverenitet over norsk territorium kan stille vilkår om at en ny utenlandsk eier i norsk selskap, ikke skal ha tilgang til informasjon om hvor digital infrastruktur er lokalisert.

Norske myndigheter har også jurisdiksjon til å regulere, og pålegge vilkår overfor det virksomheter gjør i utlandet, såfremt det er tale om handlinger som først blir fullført i Norge. Vilkår kan derfor pålegges utenlandsk selskap såfremt vilkårene angår handlinger som først blir fullført i Norge. Konkret innebærer dette at norske myndigheter kan pålegge utenlandske selskap vilkår som gjelder handlinger som først blir fullført i Norge, uavhengig av om det utenlandske selskapet selv eier infrastruktur eller tilbyr ekom- eller datasentertjenester i Norge, eller om det har kontroll over infrastrukturen og tjenestene gjennom norske datterselskaper.

I tillegg antar jeg at norske myndigheter har jurisdiksjon over handlinger som foretas av utenlandske virksomheter som har direkte, vesentlige og forutsigbare virkninger i Norge jf. den folkerettslige effektdoktrinen. Det innebærer at norske myndigheter har jurisdiksjon til å fastsette vilkår overfor utenlandske virksomheter i den grad det er tale om vilkår for handlinger som har direkte, vesentlige og forutsigbare virkninger i Norge. Det kan for eksempel gi grunnlag for å stille vilkår til en utenlandsks virksomhets håndtering av informasjon om digital infrastruktur i Norge, i den grad visse måter å håndtere informasjonen på har direkte, vesentlige og forutsigbare skadevirkninger i Norge. Effektdoktrinen kan også gi adgang for norske myndigheter til å stille vilkår til utenlandske virksomheter som ikke eier infrastruktur i Norge, men som tilbyr tjenester som anvendes i riket, forutsatt at vilkårene gjelder forhold som har direkte, vesentlige og forutsigbare virkninger i Norge.»

Utvalget antar på denne bakgrunn at statens mulighet til å vedta og anvende regler knyttet til eierskap i eller kontroll av virksomheter som eier kritisk digital infrastruktur eller tilbyr tjenester i slik infrastruktur, i praksis vil være lik uavhengig av om eierskapet er norsk eller utenlandsk.

Knyttet til utenlandske aktører, er det imidlertid muligheten til å følge opp risikoreduserende plikter og pålegg som kan være utfordrende. For å sikre at regulering kan være et effektivt virkemiddel for å utøve offentlig myndighet, må det også foreligge mulighet til å presse virksomhetene til å oppfylle forpliktelser, med tvangstiltak. Tvangstiltakene kan kun håndheves ved tvang av norske myndigheter dersom de kan gjennomføres uten å krenke andre staters suverenitet. Norske myndigheter har ikke adgang til å gjennomføre tvangstiltak utenfor Norge uten aksept fra den staten der tvangstiltakene skjer. Selv om det er inngått en rekke avtaler – både nordiske, europeiske og andre internasjonale avtaler – om grensekryssende samarbeid om tvangsjurisdiksjon, gjelder ingen av disse konvensjonene vilkår fastsatt i kraft av offentlig myndighetsutøvelse. Det kan bety at regulering som virkemiddel for å ivareta sikkerhetsinteresser gjennom å stille vilkår overfor utenlandske aktører som eier eller kontrollerer kritisk digital infrastruktur, ikke alltid er hensiktsmessig og effektivt.

9.3.3 EØS-retten og norske myndigheters handlefrihet

EØS-retten etablerer rettslige begrensninger i handlefriheten til nasjonale myndigheter. Prinsippene om de fire friheter innebærer at Norge i utgangspunktet ikke kan ha regler som behandler grenseoverskridende bevegelser og transaksjoner mellom Norge og andre EØS-stater strengere enn rent nasjonale bevegelser og transaksjoner. Slik forskjellsbehandling vil anses som en restriksjon på den frie bevegeligheten over landegrensene. I visse tilfeller kan likevel nasjonalstatene opprettholde eller innføre regler som i utgangspunktet innebærer en restriksjon.

EØS-avtalen åpner for at medlemslandene ut fra blant annet sikkerhetsmessige grunner, kan gjøre inngrep som medfører restriksjoner på fri bevegelighet. Blant annet kan det treffes tiltak om særbehandling av utenlandske statsborgere når det er begrunnet med hensynet til offentlig orden, sikkerhet og folkehelse, jf. EØS-avtalens artikkel 33. Bestemmelsen åpnes for restriksjoner i etableringsadgangen (artikkel 31) og unntakshjemmelen kan anvendes i tilfeller hvor det er behov for å hindre en etablering av hensyn til nasjonal sikkerhet. Unntakshjemmelen kan altså ikke anvendes for å hindre retten til fri bevegelighet av kapital i artikkel 40.

Videre åpner EØS-avtalen artikkel 123 opp for enkelte unntak. Bestemmelsen har tre ulike unntak – en avtalepart kan treffe tiltak

1. som den anser nødvendig for å hindre spredning av opplysninger som er i strid med dens vesentlige sikkerhetsinteresser;
2. som angår produksjon av eller handel med våpen, ammunisjon og krigsmateriell eller andre varer som er uunnværlige for forsvarsformål, eller forskning, utvikling eller produksjon som er uunnværlig for forsvarsformål, såfremt disse tiltak ikke endrer konkurransevilkårene for varer som ikke er bestemt for direkte militære formål;
3. som den anser vesentlig for sin sikkerhet i tilfelle av alvorlig indre uro som truer den offentlige orden, i krigstid eller ved alvorlig internasjonal spenning som innebærer en fare for krig, eller for å oppfylle forpliktelser den har påtatt seg med sikte på å opprettholde fred og internasjonal sikkerhet.

Muligheten for unntak er snever og terskelen for å bruke bestemmelsen er høy.

Tiltakene må også underlegges en proporsjonalitetsvurdering, der det må vurderes om sikkerhetsinteressene som eventuelt kan begrunne unntak kan ivaretas på en annen måte. Hvis mindre inngripende tiltak er tilgjengelige, må disse benyttes.

EØS-avtalens regler om de fire friheter stiller også minstekrav til hvordan lovgivningen skal utformes for at den skal gi forvaltningen hjemmel til å pålegge private parter plikter. Gir en lovbestemmelse en for vid og upresis hjemmel for forvaltningen, vil bestemmelsen kunne anses som en uforholdsmessig restriksjon på retten til fri bevegelse av varer, personer, tjenester og kapital på tvers av landegrensene, og derfor være i strid med EØS-avtalens forpliktelser.

9.3.4 Sikkerhetsloven

9.3.4.1 Formål og virkeområde

Sikkerhetsloven trådte i kraft 1. januar 2019 og erstatter den tidligere sikkerhetsloven av 1998. Sikkerhetslovens formål er å trygge nasjonale sikkerhetsinteresser. Definisjonen på nasjonale sikkerhetsinteresser etter sikkerhetsloven er beskrevet i punkt 4.1.2.

Loven gjelder for statlige, fylkeskommunale og kommunale organer. Den gjelder også for leverandører av varer eller tjenester i forbindelse med sikkerhetsgraderte anskaffelser. I tillegg skal det enkelte sektordepartement fatte vedtak om at loven helt eller delvis også skal gjelde for virksomheter som

1. behandler sikkerhetsgradert informasjon
2. råder over informasjon, informasjonssystemer, objekter eller infrastruktur som har avgjørende betydning for grunnleggende nasjonale funksjoner, eller som har avgjørende betydning for nasjonale sikkerhetsinteresser, uten å kunne knyttes direkte til en grunnleggende nasjonal funksjon
3. driver aktivitet som har avgjørende betydning for grunnleggende nasjonale funksjoner, eller som har avgjørende betydning for nasjonale sikkerhetsinteresser, uten å kunne knyttes direkte til en grunnleggende nasjonal funksjon.

Departementet kan også fatte vedtak om at lovens kapittel 10 Eierskapskontroll skal gjelde for «virksomheter som har vesentlig betydning for grunnleggende nasjonale funksjoner, eller virksomheter som har vesentlig betydning for nasjonale sikkerhetsinteresser, uten å kunne knyttes direkte til en grunnleggende nasjonal funksjon.

Ifølge sikkerhetsloven skal «grunnleggende nasjonale funksjoner» som understøtter nasjonale sikkerhetsinteresser, identifiseres og beskyttes etter kravene i loven, og DFD har innenfor sin sektor identifisert følgende grunnleggende nasjonale funksjonert:

• Evne til å ivareta talekommunikasjonstjenester basert på norsk nummerplan
• Evne til å ivareta tekstbaserte meldingstjenester basert på norsk nummerplan
• Evne til å ivareta grunnleggende internettilgang
• Evne til å ivareta datalagring og prosesseringskapasitet i Norge
• Satellittbasert kommunikasjon

I tillegg er «Posisjonsbestemmelse, navigasjon og tidsbestemmelse» identifisert av NFD som grunnleggende nasjonale funksjoner. Især tidsbestemmelse er en funksjon som er viktig for mobilnettene.

Som følge av de identifiserte grunnleggende nasjonale funksjonene innen kritisk digital kommunikasjonsinfrastruktur, er en rekke virksomheter som leverer tjenester til de grunnleggende nasjonale funksjonene, underlagt sikkerhetsloven. Hvilke foretak dette gjelder er i sin helhet ikke offentlig informasjon, selv om enkelte av virksomhetene som er underlagt loven, er kjent.

Departementet skal også identifisere og holde oversikt over virksomheter som har «vesentlig betydning» for grunnleggende nasjonale funksjoner eller for nasjonale sikkerhetsinteresser. I vesentlig betydning ligger det at virksomheten leverer én eller flere innsatsfaktorer for at én eller flere grunnleggende nasjonale funksjoner opprettholder sin funksjonalitet, uten at virksomheten kan sies å være av avgjørende betydning. Det at en virksomhet anses å være av vesentlig betydning for grunnleggende nasjonale funksjoner eller for nasjonale sikkerhetsinteresser, medfører ikke i seg selv at virksomheten har plikter etter sikkerhetsloven. Hensikten med å identifisere denne type virksomheter er å ha oversikt. Hvilken betydning slike foretak har, kan endre seg over tid, avhengig av trusselbildet, redundans og den generelle samfunnsutviklingen.

Sikkerhetsloven §§ 2-5, 9-4 og 10-3 gir Kongen i statsråd kompetanse (myndighet)til å stoppe en aktivitet, anskaffelse eller erverv når den innebærer en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet. Etter §§ 9-4 og 10-3 kan det alternativt stilles vilkår for at transaksjonen skal kunne gjennomføres. Bestemmelsen i § 2-5 om vedtak ved risiko for skadevirkninger for nasjonale sikkerhetsinteresser, gir myndighetene i ytterste konsekvens muligheten til å gripe inn i økonomisk aktivitet mot virksomheter som ikke er underlagt sikkerhetsloven. Mekanismen består av et departementsnettverk ledet av Justis og beredskapsdepartementet, samt et etatsnettverk ledet av NSM.

9.3.4.2 Sikkerhetsloven kapittel 10 om eierskapskontroll

Det overordnede målet med eierskapskontroll er å avdekke og hindre erverv som kan utgjøre en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet. Hovedelementene i dette systemet består av tre trinn; privates meldeplikt etter § 10-1, departementets vurderingsplikt etter § 10-2 og Kongen i statsråds kompetanse (myndighet) til å stanse eller pålegge vilkår for erverv etter § 10-3. Reglene ble innført med gjeldende sikkerhetslov som trådte i kraft i 2019, og er vedtatt endret ved lov 20. juni 2023 nr. 77. Endringsloven er ikke trådt i kraft.

Ifølge gjeldende § 10-1 første ledd gjelder meldeplikten den som ved ervervet vil oppnå en eierandel på minst en tredel av en virksomhet som er underlagt sikkerhetsloven etter § 1-3. Meldeplikten gjelder virksomheter utpekt av departementet etter § 1-3 første ledd fordi virksomheten

1. behandler sikkerhetsgradert informasjon
2. råder over informasjon, informasjonssystemer, objekter eller infrastruktur som har avgjørende betydning for grunnleggende nasjonale funksjoner, eller som har avgjørende betydning for nasjonale sikkerhetsinteresser, uten å kunne knyttes direkte til en grunnleggende nasjonal funksjon
3. driver aktivitet som har avgjørende betydning for grunnleggende nasjonale funksjoner, eller som har avgjørende betydning for nasjonale sikkerhetsinteresser, uten å kunne knyttes direkte til en grunnleggende nasjonal funksjon

I tillegg har departementene en mulighet til å fatte vedtak om at sikkerhetslovens bestemmelser om eierskapskontroll skal gjelde for virksomheter som har vesentlig betydning for grunnleggende nasjonale funksjoner, jf. § 1-3 annet ledd. Det følger av § 2-1 første ledd bokstav b at departementene skal identifisere og holde oversikt over virksomheter som har vesentlig betydning for grunnleggende nasjonale funksjoner.

I ny § 10-1 107 som er vedtatt, men ikke trådt i kraft, utvides meldeplikten til også å gjelde avhenderen av eierandelene og virksomheten selv. Erverver får meldeplikt når ervervet vil føre til at erververen direkte eller indirekte samlet oppnår minst 10 prosent av aksjekapitalen, andelen eller stemmene i virksomheten, og videre når:

1. erververens kvalifiserte eierandel økes til minst 20 prosent, en tredel, 50 prosent, to tredeler eller 90 prosent av aksjekapitalen, andelene eller stemmene i virksomheten
2. erververen oppnår betydelig innflytelse over forvaltningen av virksomheten på annen måte
3. erververen sammen med sine nærstående, jf. verdipapirhandelloven § 2-5, oppnår en kvalifisert eierandel eller en posisjon som nevnt i bokstav a eller b.

Avhenderen og virksomheten ervervet gjelder, får meldeplikt når erververen samlet vil oppnå en direkte eierandel på minst 10 prosent, eller direkte eierandel eller en posisjon etter bokstav b eller c.

Endringen i sikkerhetsloven vil når den trer i kraft, også innebære at gruppen av meldepliktige erverv utvides, slik at erverv av en kvalifisert eierandel i virksomheter som har leverandørklarering etter § 9-3 blir meldepliktige etter § 10-1. Reglene om leverandørklarering er nærmere omtalt nedenfor.

Det departementet som mottar melding, skal ta stilling til meldingen så raskt som mulig. Departementet «kan be relevante organer uttale seg om ervervets risikopotensial og erververens sikkerhetsmessige pålitelighet». Departementet eller sikkerhetsmyndigheten skal innen 60 arbeidsdager orientere melderen om ervervet er godkjent eller om saken skal behandles av Kongen i statsråd. Denne avgjørelsen skal tas på bakgrunn av en helhetsvurdering, som tar utgangspunkt i meldingen fra erverver.

Etter sikkerhetsloven § 10-3 kan Kongen i statsråd – dersom et erverv kan medføre en «ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet» – fatte vedtak om at ervervet ikke kan gjennomføres, eller sette vilkår for gjennomføring av ervervet. Det er i forarbeidene ikke sagt noe konkret om hvilke vilkår som kan settes for gjennomføringen av et erverv, utover at «vedtak etter bestemmelsen må ligge innenfor formålet med sikkerhetsloven [og] må også være forholdsmessig, slik at hensynet til nasjonale sikkerhetsinteresser må veie opp for de negative økonomiske konsekvensene av vedtaket», jf. Prop. 143 L (2016–2017), s. 152. Formålet med loven er blant annet å trygge Norges «nasjonale sikkerhetsinteresser», som er definert slik at det omfatter mer avgrensete kategorier interesser som «landets suverenitet, territorielle integritet og demokratiske styreform», og en videre kategori, «overordnede sikkerhetspolitiske interesser». Vilkårene som stilles må ha en saklig sammenheng med godkjenningen av ervervet, og ikke være uforholdsmessig tyngende.

9.3.4.3 Sikkerhetsloven paragraf 2-5 om vedtak ved risiko for skadevirkninger for nasjonale sikkerhetsinteresser

Bestemmelsen gir Kongen i statsråd myndighet til å fatte «nødvendige vedtak for å hindre sikkerhetstruende virksomhet eller annen planlagt eller pågående aktivitet som kan innebære «en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet». Bestemmelsen omfatter enhver aktivitet som kan medføre en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet, og er ikke en spesifikk eierskapskontrollbestemmelse.

Begrepet «ikke ubetydelig risiko» kom inn som en del av flere nye bestemmelser i den nå opphevde sikkerhetsloven av 1998, ved en lovendring i 2016. I Prop. 97 L (2015–2016) Endringer i sikkerhetsloven s. 64 sier departementet følgende om innholdet i uttrykket «ikke ubetydelig risiko»: «Begrepet «ikke ubetydelig risiko» innebærer at det er situasjoner med risiko ut over det «normale» som skal varsles. Vurderingen vil måtte omfatte både sannsynlighet, sårbarhet og mulige konsekvenser. På sannsynlighetssiden innebærer kriteriet at det normalt ikke skal varsles dersom det kun foreligger en helt fjerntliggende eller rent teoretisk mulighet for at anskaffelsen skal kunne resultere i sikkerhetstruende virksomhet. Det bør være noe konkret med den aktuelle anskaffelsen som tilsier at risikoen er noe høyere enn ved andre anskaffelser. Bestemmelsen innebærer imidlertid ikke et krav om sannsynlighetsovervekt.»

Departementet sier videre at uttrykket «ikke ubetydelig risiko» må tolkes på bakgrunn av at det «i mange tilfeller kan være tilnærmet umulig å gjøre nøyaktige sannsynlighetsberegninger av risikoen» for at handlinger skal inntreffe, og at vurderingene da må konsentreres om «sårbarhet og mulige konsekvenser».

Etter sikkerhetsloven § 2-5 kan Kongen i statsråd treffe vedtak rettet både mot virksomheter som er underlagt sikkerhetsloven og andre virksomheter, i tillegg til fysiske personer. Dersom et selskap som eier eller kontrollerer kritisk digital infrastruktur i Norge, inngår i en konsernstruktur eller i en annen kompleks eierstruktur, kan det også treffes vedtak rettet mot andre deler av konsernet eller eierne, såfremt lovens vilkår er oppfylt.

I Prop. 97 L (2015−2016) påpekes det i punkt 4.2.2 at det «vil være tale om et lite antall saker, og at disse sakene etter sin art vil være alvorlige og spesielle». Sikkerhetsloven § 2-5 er ment som en snever sikkerhetsventil, og vil typisk kunne brukes der det ikke finnes hjemmel i andre regelverk for å stanse eller gripe inn i aktivitet som kan medføre et skadepotensiale for nasjonale sikkerhetsinteresser. Hva slags inngrep i aktiviteten vedtaket medfører, skal tilpasses og være gjenstand for en nødvendighets- og forholdsmessighetsvurdering.

Vedtakskompetansen etter § 2-5 har blitt brukt kun få ganger. I 2017 (under tidligere sikkerhetslov) ble det fattet vedtak om forbud mot å bygge en planlagt gangbro i Nydalen i Oslo, fordi gangbroen på grunn av sin beliggenhet ville kunne brukes som plattform for spionasje, sabotasje og terror rettet mot PST. I 2021 ble § 2-5 brukt for å stanse salget av Bergen Engines AS til TMH Group. I mars 2023 ble § 2-5 benyttet i vedtaket som gjaldt GlobalConnect. I juni 2024 tok regjeringen i bruk sikkerhetsloven § 2-5 for å stanse et mulig salg av eiendommen Søre Fagerfjord på Svalbard. I desember 2024 ble § 2-5 brukt for å sørge for at fartøyet LLV Azurit forlot Båtsfjord havn.

9.3.4.4 Sikkerhetsloven kapittel 9 om sikkerhetsgraderte anskaffelser mv.

Sikkerhetsgraderte anskaffelser er regulert i sikkerhetsloven kapittel 9. § 9-1 sier at en sikkerhetsgradert anskaffelse er «en anskaffelse som innebærer at leverandøren av varen eller tjenesten kan få tilgang til eller tilvirker sikkerhetsgradert informasjon» eller får «tilgang til et skjermingsverdig objekt eller infrastruktur …».

For anskaffelser som vil medføre at en leverandør kan få tilgang til informasjon gradert KONFIDENSIELT eller høyere, skal leverandøren ha gyldig klarering for angitt sikkerhetsgrad (leverandørklarering). En leverandørklarering gis av NSM etter en vurdering av om leverandøren er sikkerhetsmessig skikket. En personkontroll av leverandørens styre og ledelse skal være en del av vurderingsgrunnlaget. Klareringsforskriften § 33 fastsetter at NSM blant annet skal legge vekt på økonomiske forhold og organisasjonsform og eierstruktur. Vurderingen gjøres på bakgrunn av informasjon gitt av virksomheten selv, og informasjon innhentet fra andre kilder. For utenlandske leverandører forutsetter en slik gjennomgang at Norge har en bilateral eller multilateral sikkerhetsavtale med det aktuelle landet, slik at en eventuell utenlandsk leverandørklarering kan legges til grunn for anskaffelsen.

Leverandøren har etter sikkerhetsloven § 9-3 en varslingsplikt og skal «så snart som mulig orientere klareringsmyndigheten om endringer i styret eller ledelsen, endringer i eierstrukturen, flytting av lokaliteter og utstyr, åpning av gjeldsforhandling, begjæring om konkurs og annet som kan påvirke vurderingen av om leverandøren er sikkerhetsmessig skikket». Dersom det som følge av den varslede endringen oppstår en risiko som ikke kan håndteres ved forebyggende sikkerhetstiltak, kan klareringsmyndigheten inndra leverandørklareringen.

Myndighetene har mulighet til å gripe inn i en konkret anskaffelsesprosess som gjelder anskaffelser til skjermingsverdig informasjonssystem, objekt eller infrastruktur. Varslingsplikten og myndighet til å fatte vedtak er beskrevet i sikkerhetsloven § 9-4. Bestemmelsen stiller krav om at den virksomheten som skal anskaffe, selv vurdere om risikoen knyttet til anskaffelsen kan innebære en ikke ubetydelig risiko for at infrastruktur kan bli rammet av eller brukt til sikkerhetstruende virksomhet. Dersom anskaffelsen kan medføre en slik risiko, kan Kongen i statsråd fatte vedtak om at anskaffelsen ikke skal gjennomføres, eller at det skal settes vilkår for den. Slikt vedtak kan fattes selv om det allerede er inngått avtale om anskaffelsen. For øvrig forutsetter bestemmelsen at underliggende organer har vurdert sikkerhetsrisiko ved anskaffelsen og varslet departementet om anskaffelsen innebærer risiko. Kongen i statsråd må likevel kunne fatte vedtak etter bestemmelsen, selv om slikt varsel ikke er gitt, såfremt de øvrige vilkårene er oppfylt.

9.3.5 Ekomloven

Ekomsektoren bærer en stadig større andel av samfunnets verdier, og det er derfor svært viktig å kunne stille krav til forsvarlig sikkerhet og beredskap i elektroniske kommunikasjonsnett og -tjenester. Fra 1. januar 2025 fikk ny ekomlov av 13. desember 2024 virkning.

Lovens formål framgår av § 1-1 som sier:

«Lovens formål er å sikre brukerne i hele landet gode, rimelige, fremtidsrettede elektroniske kommunikasjonstjenester med forsvarlig sikkerhet, legge til rette for bærekraftig konkurranse, effektiv bruk av samfunnets ressurser og stimulere til næringsutvikling og innovasjon. Loven skal også gi forsvarlig sikkerhet i datasentre».

I den nye loven er det gjort enkelte endringer i ordlyden i formålsbestemmelsen i forhold til ekomloven fra 2003, ved å ta inn referanser til «forsvarlig sikkerhet». Endringene er gjort fordi man ønsket å synliggjøre i bestemmelsen at elektroniske kommunikasjonstjenester og datasentertjenenester skal leveres med forsvarlig sikkerhet.

Det kan være verd å merke seg at begrepet tilbyder er utvidet i den nye ekomloven og omfatter en større krets av tilbydere. Det betyr at plikten til å ivareta sikkerhet i elektroniske kommunikasjonsnett og -tjenester nå også gjelder for de nummeruavhengige person-til-person-kommunikasjonstjenestene, herunder chattetjenester og tale over IP, samt alle former for e-post. I tillegg reguleres også datasentre i den nye ekomloven.

Ekomloven § 3-1 fastsetter at tilbyder skal tilby elektroniske kommunikasjonsnett og -tjenester med forsvarlig sikkerhet for brukerne i fred, krise og krig. Tilbyder skal opprettholde forsvarlig beredskap, og viktige samfunnsaktører skal prioriteres ved behov. Formålet er å sikre at tilbyder ivaretar den grunnleggende sikkerheten i nett og tjenester, og at man sørger for nødvendig beredskap også for å kunne håndtere situasjoner utover det normale. Tilbydere skal også sikre vern av kommunikasjon og data.

Bestemmelsens første ledd sier at tilbydere skal

1. tilby elektroniske kommunikasjonsnett og -tjenester med forsvarlig sikkerhet for brukerne i fred, krise og krig
2. opprettholde forsvarlig beredskap i elektroniske kommunikasjonsnett og -tjenester, og prioritere viktige samfunnsaktører ved behov, og
3. sikre forsvarlig vern av kommunikasjon og data i elektroniske kommunikasjonsnett og -tjenester

Knyttet til bokstav b står det i forarbeidene i merknadene til bestemmelsen at «Ordlyden er endret ved at forsvarlighetsnivået høynes fra «nødvendig» til «forsvarlig» beredskap i tråd med viktigheten av elektronisk kommunikasjon for samfunnet». Tilsvarende endring og med samme begrunnelse, er gjort når det gjelder vern av kommunikasjon og data i bokstav c.

Forsvarlig sikkerhet er en rettslig standard der innholdet vil kunne forandre seg over tid basert på situasjonen i markedet, utviklingen av teknologi og endringer i samfunnet ellers. Hva som utgjør forsvarlig sikkerhet, kan også være forskjellige for virksomhetene ut fra en konkret risiko- og sårbarhetsanalyse. Tilbyders plikt til å opprettholde forsvarlig sikkerhet innebærer at tilbyder av nett og tjenester må gjennomføre fortløpende risikovurderinger og i lys av hva som kan anses som akseptabel restrisiko og kostnadene med tiltak, vurdere hvilke sikkerhetstiltak som er nødvendige for å opprettholde et forsvarlig sikkerhetsnivå.

Etter bokstav b skal tilbydere også prioritere viktige samfunnsaktører ved behov. I ekomforskriften § 2-10 er Nkom gitt hjemmel til i særlige tilfeller så langt det er nødvendig for å sikre offentlige interesser, å pålegge tilbyder å gi prioritet til viktige samfunnsaktører ved gjenoppretting etter driftsstans. Mennesker som er avhengig av mobiltelefon for å utføre særlige samfunnsviktige oppgaver kan få prioritetsabonnement som gjør at brukeren kan komme gjennom på telefonen dersom det er stor belastning i tilbyderens mobilnett. I tillegg gir tjenesten nasjonal gjesting i andre tilbyderes mobilnett ved dekningsutfall i eget mobilnett. Prioritetsfunksjonen og nasjonal gjesting har primært virkning mot lokal metning og lokale utfall i radionett, for eksempler hvis basestasjoner mister strømtilførsel eller sin forbindelse med resten av nettet ved at fiberkabler går i stykker. Nasjonal gjesting er avhengig av at egen tilbyders kjernenett er oppe. Er problemet knyttet til tilbyders kjernenett, vil ikke et prioritetsabonnement sikre fortsatt mulighet til kommunikasjon.

Ekomloven § 3-7 annet ledd setter krav til sikkerhet i datasentre. Bestemmelsen er ny, og stiller krav til forsvarlig sikkerhet i datasenter og er utformet med utgangspunkt i de samme forpliktelsene som stilles til sikkerhet i elektronisk kommunikasjonsnett og -tjenester, jf. ekomloven § 3-1.

Ekomloven 3-5 sier i første ledd at «Når det er nødvendig av hensyn til nasjonal sikkerhet eller andre viktige samfunnsinteresser, kan departementet i særlige tilfeller fatte vedtak om at tilbyder nektes tilgang til markedet». Departementet kan nekte tilgang til markedet for elektroniske kommunikasjonsnett og -tjenester både ved oppstart av virksomhet og etter at virksomheten er i gang, dersom det er forhold som tilsier at tilbyder bør nektes tilgang til markedet. Bestemmelsen er ment for tilfeller der alternative tiltak ikke finnes og terskelen for å ta i bruk bestemmelsen er høy, jf. merknadene til bestemmelsen i forarbeidene. 108 Det framgår også av forarbeidene at «Bestemmelsen må også ses i sammenheng med sikkerhetsloven § 2-5 om vedtak ved risiko for skadevirkninger for nasjonale sikkerhetsinteresser slik disse er definert i sikkerhetsloven § 1-5. Den foreslåtte bestemmelsen om begrensinger i markedsadgang vil imidlertid omfatte sikkerhet ut over nasjonale sikkerhetsinteresser slik dette er definert i sikkerhetsloven. Andre viktige samfunnsinteresser omfatter både offentlig sikkerhet, helse eller andre særlige forhold. Det vil kunne forekomme situasjoner hvor det kan være aktuelt å fatte vedtak etter sikkerhetsloven § 2-5 og vedtak om å nekte adgang til markedet etter ekomloven».

Bestemmelsen er en videreføring av ekomloven fra 2003 § 2-10 tredje ledd (opprinnelig femte ledd). Det finnes imidlertid ingen omtale av bestemmelsen fra forarbeidene til den loven. Omfanget av bestemmelsen og forholdet til sikkerhetsloven § 2-5 framstår som uklart. Utvalget antar at bestemmelsen først og fremst er aktuell å ta i bruk overfor virksomheter hjemmehørende i en stat utenfor EØS som Norge ikke har sikkerhetspolitisk samarbeid med, eller overfor en virksomhet hjemmehørende innenfor EØS som har eller får eiere som er hjemmehørende i stater Norge ikke har slikt samarbeid med.

Mens sikkerhetsloven § 10-3 gir Kongen i statsråd adgang til å nekte erverve av en kvalifisert eierandel i en virksomhet som er underlagt loven, vil ekomloven § 3-5 gi departementet hjemmel til å nekte enhver tilbyder der eierandeler er blitt kjøpt opp, adgang til markedet, og dermed stanse virksomheten hvis man anser at virksomheten vil utgjøre en nasjonal sikkerhetsrisiko etter oppkjøpet. Utvalget antar at det også kan være aktuelt å bruke ekomloven § 3-5 dersom en tilbyder overfører rådigheten over hele eller deler av sin infrastruktur til en virksomhet hjemmehørende i land Norge ikke har sikkerhetspolitisk samarbeid med. I slike tilfeller er det ikke snakk om å selge eierandeler i virksomheten, men eierskap til innhold i virksomheten – altså tilfeller som ikke er omfattet av sikkerhetsloven § 10-3. Det følger av ekomloven § 5-4 at dersom tilbyderen som avhender hele eller vesentlige deler av aksessnettet, har leveringsplikt, har tilbyderen plikt til å varsle departementet på et tidspunkt som gir departementet mulighet til å vurdere konsekvensene av avhendelsen og behovet for å begrense markedsadgangen.

Ekomloven § 3-8 første ledd åpner for at myndigheten kan pålegge en tilbyder eller en datasenteroperatør å gjennomføre begrensninger i bruken av elektroniske kommunikasjonsnett og -tjenester, eller i datasentertjeneste, av hensyn til nasjonal sikkerhet eller andre viktige samfunnsinteresser. I avgjørelsen av om bruksbegrensning skal pålegges, må det tas hensyn til at brukere av tjenestene kan bli stående uten kommunikasjonstjenester eller datasentertjenester i en periode. I vurderingen av om pålegg skal gis, må hensynet til nasjonal sikkerhet og andre viktige samfunnshensyn veies mot de sikkerhets- og samfunnsmessige konsekvensene en bruksbegrensning kan ha for de berørte. Det betyr at det er en viss terskel for å pålegge bruksbegrensninger.

Etter annet ledd i bestemmelsen skal tilbyder og datasenteroperatør gjennomføre nødvendige bruksbegrensninger i nødssituasjoner som innebærer alvorlige trusler mot liv eller helse, nasjonal sikkerhet eller offentlig orden, eller fare for sabotasje mot datasenter, nett eller tjeneste. Knyttet til de aktuelle nødsituasjonene, må tilbyder eller datasenteroperatør selv ta stilling til om det foreligger fare for sabotasje mot nett eller tjenester. Når det gjelder alvorlige trusler mot liv eller helse så kan tilbyder eller datasenteroperatør selv ta stilling til dette, eller det kan skje i samarbeid med myndigheter. I praksis vil også bruksbegrensninger knyttet til trusler mot nasjonal sikkerhet eller offentlig orden, iverksettes i samråd med tilsynsmyndigheten. Dersom tilbyder eller datasenteroperatør iverksetter bruksbegrensning uten konsultasjon med tilsynsmyndigheten, skal de straks varsle myndigheten.

9.3.6 Digitalsikkerhetsloven

Digitalsikkerhetsloven gjennomfører Europaparlaments- og rådsdirektiv (EU) 2016/1148 av 6. juli 2016 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen (NIS-direktivet). Loven er også et utgangspunkt for videre kravstilling og regulering innen digital sikkerhet. Direktivet og tilhørende gjennomføringsforordning 109 ble besluttet tatt inn i EØS-avtalen 3. februar 2023. Samme dag ble også forordningen om ENISA 110 , om cybersikkerhetssertifisering av informasjons- og kommunikasjonsteknologi tatt inn i EØS-avtalen. Forordningen er planlagt inkorporert i forskrift til digitalsikkerhetsloven

Loven ble vedtatt i desember 2023, men er ennå ikke trådt i kraft fordi forskriften til loven ikke er ferdig. Utkast til forskrift har vært på høring med frist 11. desember 2024, og Justisdepartementet jobber nå med å ferdigstille forskriften. Loven gjelder ikke for tilbydere av tilgang til elektronisk kommunikasjonsnett eller -tjeneste samt datasentre – for disse gjelder ekomlovens regler om sikkerhet. I utkastet til forskrift, er imidlertid visse tjenester innenfor digital infrastruktur foreslått omfattet av samfunnsviktige tjenester i digitalsikkerhetsloven § 2. Dette gjelder sentralt register over norske toppnivådomener (Norid), rekursiv navneservertjeneste (tjeneste innenfor domenenavnsystemet (DNS)) med flere enn 50 000 aktive brukere, samt samtrafikkpunkter for internett.

Loven stiller krav til forebyggende digital sikkerhet hos virksomheter som leverer samfunnsviktige eller digitale tjenester innen en rekke ulike sektorer, herunder for sektoren digital infrastruktur. Virksomhetene blir også pålagt en varslingsplikt ved alvorlige hendelser som rammer deres nettverk eller informasjonssystemer, og som er egnet til å forstyrre leveransen av en samfunnsviktig tjeneste. Digitalsikkerhetsloven stiller grunnleggende krav om forsvarlig sikkerhet i nettverk og informasjonssystemer som ligger til grunn for leveransen av en samfunnsviktig tjeneste. Sikkerhetstiltakene skal være risikobaserte, som igjen forutsetter at virksomheten utarbeider risikovurderinger av nettverk og informasjonssystemer. Virksomheter som er underlagt sikkerhetsloven og eller regulert i ekomloven, er allerede underlagt krav til forsvarlig sikkerhet gjennom disse regelverkene.

I november 2022 vedtok EU direktiv (EU) 2022/2555, et nytt direktiv (NIS2-direktivet) som opphever NIS1. Det nye NIS-direktivet fikk virkning fra 24. oktober 2024 i EU. NIS2-direktivet er foreløpig ikke tatt inn i EØS-avtalen, men det fremgår av Totalberedskapsmeldingen at regjeringen forbereder gjennomføring av direktivet i norsk rett. Innlemmelse av NIS2-direktivet i EØS-avtalen vil medføre behov for enderinger i regelverket.

9.3.7 Beredskapslovgivning

Dersom det oppstår en sikkerhetspolitisk krise eller krig – altså situasjoner øverst i krisespennet – vil det kunne være behov for at staten kan trekke på samfunnets samlede ressurser for å understøtte forsvaret av landet, ivareta sivilsamfunnets grunnleggende funksjonalitet og beskytte sivilbefolkningen. For å understøtte dette behovet finnes det ulike beredskapsregelverk der regjeringen blant annet gis adgang til å regulere tilgang til sivile beredskapskapskapasiteter gjennom definert rammelovgivning som er fastsatt på forhånd. Dette bygger på at forhåndsutarbeidet rammelovgivning om sivil beredskap er å foretrekke fremfor gjennomføring av tilsvarende tiltak når krisen oppstår med hjemmel i generelle unntaksregler som beredskapslovens system eller med forankring i konstitusjonell nødrett. Utvalget antar at deler av beredskapslovgivningen kan bli aktuell å benytte i en situasjon der tilgang til tjeneste i kritisk digital kommunikasjonsinfrastruktur står i fare eller ikke er tilgjengelig.

Beredskapsloven regulerer vilkår for utøvelse av nødrett i lovs form, og begrunnelsen for loven er at myndighetsutøvelse i nødssituasjoner burde reguleres nærmere før nødsituasjonen inntrer. Loven er en utpreget fullmaktslov som blant annet gir Kongen vide fullmakter i situasjoner som krig i riket eller hvis krig truer, eller rikets selvstendighet eller sikkerhet er i fare.

Næringsberedskapsloven er en tverrsektoriell lov med formål om «å avhjelpe forsyningsmessige konsekvenser av kriser ved å styrke tilgangen på varer og tjenester og sørge for nødvendig prioritering og omfordeling av varer og tjenester gjennom samarbeid mellom offentlige myndigheter og næringsdrivende», jf. § 1. Dersom det oppstår risiko for eller er inntruffet kriser med forsyningsmessige konsekvenser, har Kongen etter § 6 en rekke forskriftshjemler til å regulere tilgang til og omsetning av varer og tjenester, samt pålegge næringsdrivende nærmere bestemte plikter, herunder fremstilling av varer, yting av tjenester eller midlertidig avståelse av løsøre og fast eiendom.

I Prop. 11 L (2024–2025) Endringer i sivilbeskyttelsesloven (sivil arbeidskraftberedskap) foreslås det et nytt kapittel VII A om sivil arbeidskraftberedskap. I proposisjonen sies det blant annet at:

«Etter departementets vurdering vil det være helt nødvendig å prioritere arbeidskraften til de oppgavene og funksjonene som det er størst behov for i en gitt situasjon. Dette vil på den andre siden kunne medføre at noen oppgaver som i en normalsituasjon skal ivaretas, ikke får tilsvarende prioritet. De sentrale funksjonene som må prioriteres opprettholdt på sivil side er understøttelse av forsvaret av landet, ivaretakelse av sivilsamfunnets grunnleggende funksjonalitet og beskyttelse av sivilbefolkningen. De mest kritiske leveransene til befolkningen er typisk rent drikkevann, matforsyning, varme og grunnleggende helsehjelp. Disse leveransene fordrer gjerne fungerende infrastruktur som kommunikasjonsinfrastruktur, transportinfrastruktur, strøm med videre».

9.3.8 Lov om militære rekvisisjoner

Rekvisisjonsloven med forskrift gir militære myndigheter lov til å rekvirere utstyr som er nødvendig i krig eller når krig truer. Loven skal sikre Forsvarets stridsevne og gir blant annet hjemmel til å rekvirere disposisjonsrett over sambandsmidler, jf. rekvisisjonsloven § 1 første ledd nr. 3. Etter nr. 5 kan det også rekvireres «arbeids- og produksjonsytelser» av virksomheter og bedrifter som nevnt i nr. 3, og av nr. 6 følger at militære myndigheter kan rekvirere «[a]rbeid og annen tjeneste for krigsmakten og institusjoner som er knyttet til den (…)». Det omfatter for eksempel rekvirering av arbeidskraft fra en bedrift til bruk i en annen slik at denne kan drives i flere skift i samsvar med forsvarsmaktens behov.

Rekvisisjonsordningen skal bidra til å sikre Forsvaret stridsevne.

9.4 Statlige overføringer

Offentlige myndigheter kan gjennom overføringer gi støtte til enkelte virksomheter eller enkelte næringer for eksempel i form av direkte kapitaloverføringer, reduserte skattesatser eller støtte gjennom billige lån eller andre innsatsfaktorer. Knyttet til nasjonal kontroll over kritisk digital kommunikasjonsinfrastruktur, kan overføringer i første rekke være aktuelt å bruke for å styrke sikkerheten i slik infrastruktur, men også for å sikre infrastrukturutbygging slik at flest mulig får tilgang til ekomtjenester.

Reglene om statsstøtte i EØS-avtalen, som gjelder på alle områdene som EØS-avtalen regulerer, skal hindre at offentlige myndigheter tilgodeser enkelte foretak eller næringer fremfor andre på en måte som påvirker samhandelen negativt. Utgangspunktet etter EØS-avtalen er at statsstøtte er forbudt, jf. avtalen artikkel 61(1). EØS-avtalen har likevel ulike regler som på nærmere vilkår åpner for å gi statsstøtte. Utvalget går ikke inn på de ulike ordningene som åpner for statsstøtte, men viser til at det åpnes for støtte til visse tjenester av allmenn økonomisk betydning som myndighetene anser som særlig viktige for innbyggerne og som ikke vil bli levert på en tilfredsstillende måte av markedet alene.

I ekomloven § 3-1 sjette ledd gis departementet hjemmel til å fatte enkeltvedtak eller inngå avtale om gjennomføring av tiltak for å sikre oppfyllelse av nasjonale behov for sikkerhet, beredskap og funksjonalitet i elektroniske kommunikasjonsnett og -tjenester utover det som følger av første ledd. Vedtak kan rettes mot eller avtale kan inngås med virksomhet som tilbyr elektronisk kommunikasjonsnett eller – tjeneste, eller tilbyr tilhørende fasilitet og tilhørende tjeneste, herunder virksomhet som har ansvar for passiv infrastruktur. I praksis gjennomføres slike tiltak ved at det inngås avtaler mellom Nkom og tilbydere. Tilsvarende gjelder for sikkerhet i datasentre – «Departementet kan fatte enkeltvedtak eller inngå avtale om gjennomføring av tiltak for å sikre oppfyllelse av nasjonale behov for sikkerhet, beredskap og funksjonalitet i datasentre utover det som følger av andre ledd» (jf. ekomloven § 3-7 fjerde ledd).

Det er her snakk om å inngå avtale om, eller eventuelt pålegge tilbydere, å gjennomføre tiltak som går utover det som faller inn under begrepet forsvarlig sikkerhet i ekomloven § 3-1 første ledd og § 3-7 første ledd og som henholdsvis tilbyder og datasenteroperatør må dekke selv. Tilbyders og datasenteroperatørs merkostnader knyttet til slike ytterligere tiltak kompenseres av staten. Hvert år bevilger Stortinget midler i statsbudsjettet som skal styrke beredskapsevnen og gjøre ekomnettene mer robuste. For 2025 ble det bevilget 195,1 mill. kroner til slike tiltak. I Prop. 1 S (2024–2025) Digitaliserings- og forvaltningsdepartementet side 89 flg. 111 er ordningen nærmere beskrevet. Om målet for ordningen står det:

«Det er eit mål med auka beredskap i krisesituasjonar og ved hendingar. Beredskapsavtaler med utvalde tilbydarar sørgjer for administrative og organisatoriske beredskapstiltak, lagring og vedlikehald av transportabelt beredskapsutstyr og investeringar i ekominfrastruktur og beredskapsmateriell. Dette skal bidra til auka beredskap i krisesituasjonar.

Eit anna mål er at utbygging av forsterka ekom i nye kommunar skal bidra til vesentleg forbedra sikkerheit og beredskap for den lokale kriseleiinga og befolkninga i tilfelle med langvarige straumbrot.

I tillegg er det eit mål at styrking av transportnetta gjennom fleire alternative føringsvegar og forsterking av viktige punkt i infrastrukturen gir vesentleg auka beredskap i sårbare regionar.».

Midler har blant annet blitt brukt til Nkoms program for forsterket ekom for å styrke den fysiske robustheten i den digitale grunnmuren ved å sikre nødstrøm i minimum 72 timer til basestasjoner som dekker et utpekt område i en rekke kommuner. Videre har staten for å bøte på sårbarheten og øke sikkerheten for kommunikasjon mellom Norge og utlandet, gitt støtte til utbygging av sjøfiberkabelen mellom Kristiansand og Esbjerg i Danmark.

Offentlig støtte til bredbåndsutbygging er et annet virkemiddel for å stimulere til utbygging av bredbånd i områder hvor det ikke er kommersielt lønnsomt å bygge ut digital infrastruktur. I slike områder kan stat, fylkeskommune og kommune, etter gitte kriterier gi offentlig tilskudd til utbygging av bredbånd. For 2025 er det bevilget 415,6 millioner kroner til utbygging av høyhastighetsbredbånd for en sikker og fremtidsrettet digital infrastruktur.

9.5 Kontrakt og avtaler

Enhver kan ved avtale forplikte seg til å gjøre eller unnlate noe. Det gjelder også for private parter i deres relasjoner med staten. Det offentlige kan inngå privatrettslige avtaler på linje med enhver person eller privat virksomhet. Staten kan derfor gjennom avtalevilkår sikre at virksomheter som leverer infrastruktur eller tjenester, forplikter seg til ha bestemte organisasjonsstrukturer, å handle på bestemte måter, eller unnlate å foreta visse handlinger. Offentlig sektor, både på kommunalt-, fylkeskommunalt og statlig nivå, gjennomfører anskaffelser av ekomtjenester og utgjør samlet en stor kjøpergruppe. Komplekse offentlige anskaffelser av ekomtjenester skal i tillegg til konkurransemessige forhold, også ivareta viktige aspekter av juridisk, kommersiell, teknisk og sikkerhetsmessig art, som må vurderes og balanseres utfra det behov som skal dekkes, og hva slags type løsning som skal anskaffes. Å forsikre at de sikkerhetsmessige aspektene ved en anskaffelse er ivaretatt og i tilstrekkelig grad vektet, vil kunne bidra til sterkere nasjonal kontroll.

Anskaffelsesregelverket som kommer til anvendelse dersom den økonomiske verdien av anskaffelsen overstiger 100 000 kroner, er for øvrig et eksempel på at forvaltningen kan være underlagt omfattende saksbehandlingsregler som ikke gjelder for private, også der forvaltningen inngå avtaler på rent privatrettslig grunnlag, og dessuten at forvaltningslovens alminnelige regler om inhabilitet og taushetsplikt også får betydning.

For virksomheter som eier eller leverer kommunikasjonstjenester i kritisk digital infrastruktur, vil kontrakter være det viktigste virkemiddelet til å sikre kontroll med underleverandører.

Den sikkerhetsmessige situasjonen kan endre seg, og det er viktig at kontrakter gir rom for å håndtere en situasjon med økt trusselnivå. Sikkerhetsklausuler i avtaler må derfor ivareta dette. Det kan for eksempel tas inn i kontrakten at leverandør skal varsle om eierskifte i virksomheten og andre hendelser av betydning for sikkerhet. Samtidig bør kontrakten regulere mekanismene for slik varsling og hvilke konsekvenser slike hendelser skal ha dersom slike hendelser inntrer.

En virksomhet som er underlagt sikkerhetsloven, må etterleve sikkerhetslovens regler i kapittel 9 når det gjelder sikkerhetsgraderte anskaffelser – det vil si når anskaffelsen «innebærer at leverandøren av varen eller tjenesten kan få tilgang til eller tilvirker sikkerhetsgradert informasjon, jf. § 5-3, eller få tilgang til et skjermingsverdig objekt eller infrastruktur, jf. § 7-1». Dette innebærer blant annet krav om sikkerhetsavtale, leverandørklarering og at virksomhetene pålegges en varslingsplikt ved sikkerhetsgraderte anskaffelser. En offentlig virksomhet som foretar en anskaffelse som er underlagt både regelverket om offentlige anskaffelser og sikkerhetsloven, bør allerede ved utformingen av konkurransegrunnlaget ta stilling til om en leverandør vil kunne få tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller infrastruktur, og hvilke av sikkerhetslovens krav leverandøren må kunne oppfylle ved anskaffelsen.

Siden muligheten til å gjennomføre tvangstiltak når det gjelder vilkår fastsatt i kraft av myndighetsutøvelse utenfor Norge er begrenset, peker Eriksen (2024) i sin rapport på muligheten til å fastsette vilkår i en avtale framfor gjennom myndighetsutøvelse, fordi en avtale gir større mulighet for å gjennomføre tvangstiltak når aktøren er bosatt eller hjemmehørende i utlandet. Han sier på side 53 at «Selv om staten ikke kan kreve fullbyrdet forvaltningsvedtak gjennom Lugano-konvensjonen og New York-konvensjonen, kan staten likevel påberope seg konvensjonene når staten har inngått privatrettslig avtaler med virksomheter i andre land, og det er aktuelt å begjøre tvangsfullbyrdelse av avtalevilkårene». Forutsetningen for å pålegge vilkår i en avtale, er imidlertid at det ikke gjelder vilkår fastsatt i kraft av offentlig myndighetsutøvelse, det vil si plikter som norske myndigheter ensidig pålegger private parter. Han sier på side 7:

«Staten har avtalefrihet og kan i utgangspunktet inngå avtaler med enhver privat part, også utenlandske virksomheter om forhold staten ikke har jurisdiksjon over. Når staten inngår avtaler med virksomheter om forhold som ligger utenfor norsk jurisdiksjon, kan staten heller ikke utøve offentlig myndighet ved avtaleinngåelsen. Såfremt staten uten utøvelse av offentlig myndighet oppnår enighet med utenlandske virksomheter om vilkår for deres eierskap eller kontroll over kritisk digital infrastruktur i Norge, kan vilkårene både gjelde strukturelle og adferdsbaserte forhold».

Når det offentlige inngår avtaler med private parter, kan det dreie seg om privatrettslige avtaler i den forstand at avtalen kunne vært inngått også mellom to private avtaleparter, eller avtaler der et forvaltningsorgan handler på vegne av det offentlige og det dreier seg om offentlig myndighetsutøving. Utvalget er av den oppfatning at for eksempel en avtale om å tillate at en utenlandsk aktør erverver eierandeler i et norsk selskap som eier kritisk digital kommunikasjonsinfrastruktur, mot at erverver godtar visse vilkår, må anses som myndighetsutøvelse. Både formålet med en slik avtale og balansen i avtalen gjør at den ikke har preg av å være en privatrettslig avtale, men en fordeling av rettigheter og plikter under utøving av offentlig myndighet.

9.6 Informasjon, rådgiving, dialog og samarbeid

Det følger av forvaltningsloven § 11 at forvaltningsorganer innenfor sitt saksområde har en alminnelig veiledningsplikt. Formålet med veiledningen skal være å gi parter og andre interesserte adgang til å vareta sine interesser i bestemte saker på best mulig måte. I denne sammenheng er det imidlertid snakk om å gi råd, veiledning og informasjon samt ha dialog og samarbeid uten at det er knyttet til en bestemt sak forvaltningen har til behandling.

Eiere av kritisk digital kommunikasjonsinfrastruktur har – fordi nettene er bærere av svært viktige tjenester for samfunnet – et sentralt ansvar for samfunnssikkerheten. For å sikre at dette ansvaret ivaretas pålegges virksomhetene plikt til å sørge for et forsvarlig sikkerhetsnivå først og fremst gjennom regulering. Dialog og samarbeid mellom det offentlige og det private kan imidlertid også brukes for å sikre at private styrer virksomheten på en måte som både oppfyller virksomhetens egne behov samtidig som den ivaretar samfunnssikkerhet. Dette kan for eksempel være informasjon og rådgivning om plikter og rettigheter, holdningsskapende informasjon, informasjon knyttet til særskilte hendelser eller informasjon om trussel- og risikovurderinger og andre opplysninger som er viktige både for sikkerhetsarbeidet i den enkelte virksomhet og i samfunnet for øvrig. Deling av informasjon for å få felles forståelse av risikoer i hele krisespennet, felles situasjonsforståelse og kartlegging av tilgjengelige ressurser for krisehåndtering og gjenoppretting, vil åpenbart styrke beredskapsfunksjonen og dermed bidra til nasjonal kontroll av kritisk digital kommunikasjonsinfrastruktur.

Som virkemiddel kan informasjon virke alene eller sammen med andre virkemidler – som et eksempel på det siste vil være informasjon om rettigheter og plikter som følger av regulering på et område.

I enkelte tilfeller følger det en veiledningsplikt i regelverket. Etter sikkerhetsloven § 2-2 annet ledd bokstav d følger det at NSM skal «gi informasjon, råd og veiledning om forebyggende sikkerhetsarbeid og krav til tiltak». I merknadene til bestemmelsen i Prop. 153 L (2016–2017) Lov om nasjonal sikkerhet (sikkerhetsloven) 112 står det at «I bokstav d reguleres sikkerhetsmyndighetens råd- og veiledningsansvar etter loven. Sikkerhetsmyndigheten skal ha en aktiv rolle når det gjelder konkret rådgivning overfor virksomhetene. Av ressursmessige og praktiske grunner forutsetter departementet at slik rådgivning fortrinnsvis gis gjennom generelle veiledere og felles kursopplegg o.l.». NSM har utdypet myndighetens regelverkforståelse og sammenhengen mellom ulike bestemmelser i sikkerhetsloven og tilhørende forskrifter gjennom en rekke veiledningsdokumenter. NSM har myndighet og ansvar som sikkerhetsmyndighet etter sikkerhetsloven, mens Nkom er sektormyndighet. NSM og Nkom har inngått en samarbeidsavtale om at Nkom har veiledningsansvar og skal gi råd og veiledning om hvordan bestemmelser og tiltak kan tilpasses sektorens egenart.

Knyttet til tilbydernes fremtidige utbygging av 5G-nett og for å gi forutsigbarhet for fremtidige anskaffelser, var det allerede i planleggingsfasen av utbyggingen dialog mellom myndighetene og mobiltilbyderne om å gjennomføre forebyggende sikkerhetstiltak for å sørge for et «forsvarlig sikkerhetsnivå» og redusere risikoen knyttet til sikkerhetstruende virksomhet. Før tilbyderne hadde konkludert i sine anskaffelsesprosesser, valgte departementet å konkretisere hva som vil bli ansett som forsvarlig sikkerhet når det kommer til utstyrsleverandører til 5G, for å gi større grad av forutsigbarhet når virksomhetene skulle treffe investeringsbeslutninger. Departementet utelukket ikke spesifikke leverandører fra det norske markedet, men formålet var åpenbart å sikre at det kinesiske selskapet Huawei ikke kunne velges som eneste leverandør når kravet til «forsvarlig sikkerhet» innebærer at minst 50 prosent av basestasjonene skal være fra land Norge har sikkerhetsavtale med.

Dialog og samarbeid kan bidra til kompetanse og bevisstgjøring om sikkerhet både hos virksomhetene og hos myndighetene, og offentlig-privat samarbeid kan på den måten styrke det nasjonale arbeidet for digital sikkerhet. Hvorvidt virksomhetene vil sette i gang tiltak på grunnlag av dialog med myndigheter, vil imidlertid i mange tilfeller være avhengig av hva konsekvensene av å ikke gjøre anbefalte tiltak, er. Myndighetenes mulighet til å treffe vedtak om et aktuelt tiltak – altså at manglende frivillig oppfyllelse kan tvinges gjennom med pålegg med hjemmel i lov – vil åpenbart ha betydning. Tilsvarende vil myndigheters mulighet til bruk av økonomiske støtteordninger kunne bidra til igangsetting av tiltak som ellers ikke hadde blitt gjennomført.

I en tid med stadige endringer i den sikkerhetspolitiske situasjonen kan det være krevende for virksomheter å opprettholde et forsvarlig sikkerhetsnivå gjennom hele krisespennet. Tilstrekkelig informasjon fra myndighetene kan bedre næringslivets mulighet til og kunnskap om å sikre egne verdier og bli mindre sårbare. Åpenhet om trussel- og risikovurderinger kan gjøre både virksomhetene og myndigheten i bedre stand til å vurdere både om det bør settes i gang tiltak og eventuelt hvilke tiltak. Det er derfor viktig at relevante myndigheter både har rammer, ressurser og vilje til å dele informasjon av betydning for å ivareta nasjonal sikkerhet.

9.7 Internasjonalt samarbeid

Som det er pekt på i kapittel 7.4 har den geopolitiske utviklingen gjort behovet for nasjonal kontroll av kritisk digital kommunikasjonsinfrastruktur tydeligere. Samtidig medfører komplekse og dynamiske verdikjeder at det ikke er mulig med fullstendig nasjonal kontroll.

St. meld. 9 (2022–2023) 113 framhever at i en internasjonal økonomi og et digitalisert samfunn, hvor avhengigheter, virkemiddelbruk og trusselaktører ikke forholder seg til landegrenser, er det viktig med internasjonalt samarbeid for å oppnå nasjonal kontroll. Stortingsmeldingen trekker fram at dette blant annet innebærer å arbeide for ansvarlig statlig oppførsel i det digitale rom og søke å benytte eksisterende kanaler, som EUs screeningmekanisme, for tilgang til informasjon om sikkerhetstruende økonomisk aktivitet.

I en slik sammenheng kan samarbeid og tiltak som gjøres for å styrke sikkerhetsnivået hos samarbeidspartnere, bidra til å redusere risikonivået og gjøre behovet for nasjonal norsk kontroll mindre. Delvis gjennom at regional kontroll reduserer risikoen ved manglende nasjonal kontroll og delvis gjennom at internasjonalt regelverk og standarder medfører en forutsigbarhet som reduserer sikkerhetsrisiko.

9.7.1 NATO

Norge er avhengig av internasjonalt samarbeid for å stå imot grenseoverskridende trusler. Medlemskapet i NATO er grunnleggende for forsvaret av Norge, vår evne til å avskrekke mot angrep og forebygge konflikt. NATOs kollektive forsvar bygger på at medlemslandene også har en godt fungerende sivil beredskap og motstandsdyktige kritiske samfunnsfunksjoner og infrastruktur. Motstandskraft krever tett sivil-militært samarbeid, og sivile ressurser og infrastruktur er sentralt for NATOs motstandskraft. Det er derfor utarbeidet retningslinjer og konkrete mål om at medlemslandene skal sikre:

1. kontinuitet for styresmaktene og kritiske offentlige tjenester,
2. en robust kraftforsyning,
3. evnen til å håndtere ukontrollert forflytning av mennesker,
4. robust mat- og vannforsyning,
5. evnene til å håndtere masseskadesituasjoner,
6. robuste sivile kommunikasjonssystemer, og
7. robuste transportsystemer. 114

Robusthet i sivil digital kommunikasjonsinfrastruktur er altså en del av denne beredskapen. NATO har i denne sammenheng hatt særlig fokus på beskyttelse av undersjøisk infrastruktur fordi slik infrastruktur er kritisk for både stabiliteten i økonomien, samfunnssikkerheten og forsvaret av alliansen. I mai 2024 åpnet NATO et nytt maritimt senter for sikkerhet i kritisk undersjøisk infrastruktur. 115 Initiativet bygger blant annet på et tysk-norsk forslag om å styrke NATOs rolle i å beskytte undersjøisk infrastruktur fra november 2022. Under NATOs forsvarsministermøte 17. oktober 2024 signerte forsvarsministrene fra Norge og Tyskland en felles uttalelse hvor partene tar ytterligere initiativ til å styrke NATOs rolle i beskyttelsen av kritisk undersjøisk infrastruktur, ved at det opprettes regionale sentre for ulike havområder som skal overvåke undersjøisk infrastruktur og avdekke mistenkelige aktiviteter og avskrekke potensielle motstandere. 116 I januar 2025 annonserte utenriksminister Espen Barth Eide at Norge sammen med USA og våre nordisk-baltiske allierte er enige om fire konkrete tiltak som skal øke sikkerheten for undersjøisk infrastruktur. 117 Tiltakene gjelder informasjonsdeling, partnerskap mellom offentlige og private virksomheter for å forbedre reparasjons- og vedlikeholdskapasiteten, informasjonsdeling mellom kommersielle operatører om utilsiktede kabelfeil og skader, utført reparasjonsarbeid, samt å effektivisere prosessene for import og eksport og legge til rette for raskere transport av nødvendig kommersielt utstyr.

9.7.2 Europeisk samarbeid

Ved siden av NATO, er EU Norges viktigste samarbeidspartner i sikkerhetspolitiske spørsmål. Det sikkerhets- og forsvarspolitiske samarbeidet omfattes ikke av EØS-avtalen. Det er likevel klart at Norge bygger sin sikkerhet ikke bare gjennom NATO-samarbeidet, men også gjennom tett samarbeid med EU.

EØS-avtalen er den mest omfattende internasjonale avtalen Norge har inngått. Tidligere var EUs sentrale fokus å utvikle et velfungerende marked mellom medlemsstatene, mens man nå ser at en dreining mot at det handler mer om hvordan EU som fellesskap skal møte de store utfordringene og forsvare felles interesser. EUs betydning for europeisk sikkerhet – og norsk sikkerhet – har økt etter Russlands invasjon av Ukraina. I den grad EU gjennom ulike initiativer tar ansvar for europeisk sikkerhet, vil et tett samarbeid med EU også styrke sikkerheten i Norge.

Kommisjonen presenterte i februar 2024 en såkalt «hvitbok» med en rekke forslag til tiltak for å fremme innovasjon, sikkerhet og motstandsdyktighet i digital infrastruktur. Bakgrunnen er at utrulling av nye viktige, digitale tjenester i samfunnet, avhenger av konnektivitet som er sikker, har høy kapasitet og er tilgengelig for alle. Det er ventet at Europakommisjonen i 2025 vil følge opp dette arbeidet der målet er å fremme felleseuropeiske ekomtjenester og infrastruktur, sikre investeringer i digital infrastruktur og sikre motstandsdyktig infrastruktur. Samtidig med hvitboken, la Kommisjonen fram en anbefaling knyttet til sikkerhet og motstandsdyktighet i sjøfiberkabler. Utvalget mener det er viktig at departementet følger disse prosessene tett og kopler Norge på eventuelle nye samarbeidsprosjekter knyttet til sikkerhet og motstandsdyktighet i digital infrastruktur. Det er også viktig at et eventuelt nytt EØS-relevant regelverk gjennomføres raskt i Norge.

Norge og EU inngikk i mai 2024 en partnerskapsavtale 118 om forsvar – og sikkerhetssamarbeid. Partnerskapsavtalen bekrefter Norges status som en av EUs nærmeste partnere. Avtalen er ikke folkerettslig bindene, men stadfester det allerede pågående samarbeidet Norge og EU har på forsvars- og sikkerhetsområdet og gir Norge og EU en struktur for dialog og konsultasjoner. Formålet med partnerskapet er blant annet å styrke samarbeidet om krisehåndtering, forsvarsindustri, romsamarbeid, kritisk infrastruktur og hybride trusler. Knyttet til «Resilience of critical infrastructure» sier avtalen:

«31. Norway and the EU will strengthen consultations on their respective approaches to enhance the resilience of critical infrastructure in Europe, including underwater infrastructure. The EU will base its efforts on the EU Directive on the Resilience of Critical Entities and the Council recommendation on a Union wide coordinated approach.»

EU kobler nå i langt større grad ulike saksområder til målet om et mer sikkert, motstandsdyktig og selvforsynt EU. Samarbeidet mellom de 27 medlemslandene utvikles raskt på områder som ikke dekkes av EØS-avtalen og Norges øvrige avtaleverk med EU. Det skaper et nytt sett av utfordringer som krever større grad av samordning.

Man ser også at EØS-avtalens regler om de fire friheter får betydning for regelverk som ligger utenfor avtalen. Det er derfor viktig å se hen til hvordan EUs regler som ivaretar sikkerhet utformes, for å sikre at norske regler som skal ivareta nasjonal kontroll ikke kommer i konflikt med våre forpliktelser etter EØS-avtalen. Nasjonale tiltak vil også, når de harmoniseres og håndheves likt med EU-tiltak, bedre ivareta konkurransemessige og økonomiske konsekvenser av tiltakene for norske virksomheter, og dermed begrenses eventuelle negative effekter.

EØS-avtalen er en dynamisk avtale som løpende oppdateres. Når nye rettsakter vedtas i EU, skal regelverket som er omfattet av EØS-avtalens virkeområde, også tas inn i EØS-avtalen, slik at regelverket blir likt i EU- og EØS EFTA -landene. Nytt EØS-relevant regelverk skal etter avtalen artikkel 102 innføres «så nær som mulig i tid» etter vedtak av tilsvarende regelverk i EU. Forsinkelser i implementering og gjennomføring av EU-regelverk kan, i tillegg til å være et problem for næringslivet som kan oppleve uklarhet om plikter og rettigheter og være negativt både for investeringer og etableringer, også medføre svekket tillit i samarbeidet mellom EU- og EØS EFTA-landene, og kan få som konsekvens at sikkerhetssamarbeidet generelt svekkes. Det vises i denne sammenheng til Eldringutvalget NOU 2024: 7 Norge og EØS: Utvikling og erfaringer , som peker på at etterslepet av rettsakter har økt de senere årene og at det på EU-siden skaper misnøye og kan oppfattes som «cherry-picking» fra Norge og de andre EØS EFTA-landenes side. Eldringutvalget sier at «Risikoen ved å bruke uforholdsmessig lang tid på innlemmelsesprosessen er at Norge og de andre EØS/EFTA-statene kan bli møtt med mottiltak fra EUs side».

Et svekket samarbeid med våre nærmeste samarbeidspartnere kan bli alvorlig, fordi Norge er avhengig av samarbeid med land – og leverandører fra land – som vi har tillit til, for å kunne sikre trygge og gode digitale tjenester. Om kontroll over kritisk digital infrastruktur oppfattes som dårligere enn hos våre sikkerhetspolitiske partnere, kan dette utfordre det bredere samarbeidet, skape friksjon og misnøye og begrense videre samarbeid.

9.7.3 Nordisk samarbeid

Etter Finlands og Sveriges inntreden i NATO, er forutsetningene for bredere sikkerhetspolitisk samarbeid i Norden endret. Gitt at robuste sivile kommunikasjonssystemer er viktig for NATOs kollektive forsvar, er det naturlig at det sikkerhetspolitiske regionale samarbeidet også omfatter samarbeid for å styrke motstandskraft og beredskap knyttet til kritisk digital kommunikasjonsinfrastruktur. Et slikt nordisk samarbeid bør især fokusere på felles nordiske løsninger på områder der landene kan oppnå bedre resultater ved å samarbeide enn ved å løse oppgavene hver for seg. Utvalget viser til at også tilbyderne mener nordisk samarbeid er viktig og at mulighetene for økt nordisk samarbeid som et risikoreduserende tiltak bør utforskes, spesielt innen sikkerhetsklarering og deling av ressurser og teknologi.

Norge samarbeider med våre nordiske naboland på digitaliseringsområdet blant annet innenfor rammene av Nordisk ministerråd. Det nordiske samarbeidet er i mange sammenhenger utvidet til et nordisk-baltisk samarbeid. I tillegg til å styrke samarbeidet i denne regionen, gir det også Norge en mulighet til å sammen med disse samarbeidspartnerne, å få en felles stemme inn mot EU.

Akkurat som i NATO og EU, har samarbeid for å beskyttes undersjøisk kommunikasjonsinfrastruktur stått sentralt den senere tid. På nordisk-baltisk møte mellom digitaliseringsministrene i november 2024, ble grunnlaget for styrket samarbeid om kritisk kommunikasjonsinfrastruktur under vann, lagt. I en felleserklæring 119 uttalte ministrene blant annet:

«With the ongoing policy development within the EU concerning subsea communication cables and an increased NATO cooperation, we the Nordic and Baltic Ministers of Digitalisation would like to highlight the importance of a joint Nordic-Baltic approach.

To enable this, we the Nordic and Baltic Ministers for Digitalisation:

RECOGNIZE that the underwater infrastructure for electronic communications constitute a critical infrastructure, essential for securing our countries’ needs for connectivity and competitiveness in the international digital economy.

RECOGNIZE that security considerations have become a more essential part in the design and implementation of subsea and land-based infrastructure.

ENCOURAGE increased exchange between our countries in matters of joint interest concerning subsea communication cables.

EMPHASIZE the need to ensure redundancy in subsea communication cables systems within our region as well as in the infrastructure for global connectivity.

EMPHASIZE the importance of secure supply chains for the development, manufacturing, deployment, management, maintenance and repair of subsea communication cables for secure global connectivity and communication between the Nordic countries.

EMPHASIZE the importance of joint international efforts, within and between the EU and NATO, in order to secure increased cable laying and repair capabilities and ensure the security of our critical infrastructure in the Nordic region.

RECOGNIZE that the security and protection of subsea communication cables is a whole of government affair that requires civil-military as well as public-private collaboration.

RECOGNIZE the importance of international cooperation concerning subsea communication cables and with this ENDORSE the New York Joint Statement on the Security and Resilience of Undersea Cables in a Globally Digitalized World 120 .»

New York-erklæringen om sikkerhet og motstandsdyktighet i undersjøiske kabler i en global, digitalisert verden, fastsetter globale prinsipper for å sikre at undersjøisk kabelinfrastruktur er sikker, pålitelig, bærekraftig og motstandsdyktig. Erklæringen ble initiert av USA i september 2024 og har senere fått sin tilslutning av en rekke land.

For å møte fremtidige utfordringer innenfor kommunikasjon, sikkerhet og infrastruktur, mener utvalget at det er viktig å benytte de nordiske landenes samlede ressurser på best mulig måte. Samarbeid mellom myndighetene i de nordiske landene kan styrke situasjonen for ekomtilbydere knyttet til de utfordringene som følger med globalisering, teknologisk utvikling og økende krav til robusthet i infrastrukturen. Det er for eksempel et økende press på å tiltrekke kompetanse, og samarbeid mellom landene kan fremme løsninger som gjør det lettere å benytte knappe personalressurser på tvers av landegrensene. Samarbeid som legger til rette for robuste felles løsninger knyttet til for eksempel transportnett og mobilkjernenett vil kunne styrke den tekniske infrastrukturen i regionen, sikre mer robust og integrert infrastruktur i Norden og dermed å styrke både nasjonal og regional sikkerhet i kommunikasjonsinfrastrukturer.

9.8 Oppsummering og tiltak

I dagens situasjon står Norge overfor sammensatte trusler som blant annet sikkerhetstruende økonomisk aktivitet og skadelig eierskap, digitale angrep og forstyrrelser, samt påvirkning, og det er nødvendig med ulike tiltak og virkemidler for å ivareta nasjonal kontroll. Regulering er fremhevet som det primære virkemiddelet for å sørge for nasjonal kontroll. Det krever at de aktuelle regelverkene oppdateres og endres i tråd med situasjonen i sektoren. Til dette kreves oversikt, innsikt og kunnskap. Det er derfor behov for samarbeid og informasjonsdeling både nasjonalt mellom myndigheter og aktører og mellom militær og sivil sektor, samt internasjonalt samarbeid fordi ulike aktører har relevant informasjon som samlet kan bidra til bred innsikt og forståelse av utfordringsbildet og som kan styrke beslutningsgrunnlag og styrke regulering som virkemiddel. Samtidig må forvaltere av regelverk ha ressurser og kompetanse til å gi råd og veiledning til relevante aktører som kontrollerer kritisk digital kommunikasjonsinfrastruktur slik at de er i stand til å etterleve reguleringen. Dette viser at selv om regulering er det sentrale virkemiddelet, styrkes dette virkemidlet når det brukes sammen med øvrige virkemidler. I arbeidet med å sikre nasjonal kontroll, må også virkemiddelbruken hele tiden balansere målet om å ivareta nasjonale sikkerhetsinteresser og samtidig sørge for at Norge forblir et attraktivt land å investere i.

I det internasjonale samarbeidet er EØS-avtalen og øvrig samarbeid med EU sentralt. EØS-relevant regelverk skal gjennomføres i norsk rett, og det er viktig å sikre at annet nasjonalt regelverk som skal ivareta nasjonal kontroll ikke kommer i konflikt med våre forpliktelser etter EØS-avtalen. Utvalget har på denne bakgrunn følgende forslag til tiltak:

«Utvalget mener at Digitaliserings- og forvaltningsdepartementet og Justis- og beredskapsdepartementet bør se til at EØS-relevant regelverk for digital kommunikasjonsinfrastruktur gjennomføres i Norge og at det skjer i så nær tid som mulig med tilsvarende regulering i EU.»

Det er i flere sammenhenger uttalt at statlig eierskap er et virkemiddel som kan tas bruk i særskilte tilfeller. Samtidig sier regjeringen i Hurdalsplattformen at det er «avgjørende at fellesskapet bruker statlig eierskap for å sikre nasjonal kontroll» og at «statlige eierskapet skal utvikles og forsterkes i omstillingen av norsk økonomi». Det pekes i denne sammenheng blant annet på kontroll av viktig infrastruktur.

Selv om staten allerede i dag begrunner eierskap utfra hensynet til samfunnssikkerhet og beredskap, er det ikke tydelig hvordan dette hensynet forvaltes gjennom eierskapet. På denne bakgrunn har utvalget følgende forslag til tiltak:

«Utvalget mener at når staten begrunner eierskap med å ivareta samfunnssikkerhet gjennom eierskap, må staten i forvaltningen av eierskapet være tydeligere på hvordan hensynet til samfunnssikkerhet og beredskap veies mot hensynet til avkastning, andre aksjonærer og for eksempel statsstøtteregler.»

10 Screeningregelverk i sammenlignbare land

10.1 Innledning

Det følger av mandatet at «Utvalget skal beskrive hvordan reguleringsregimer eller andre hensyn til nasjonal kontroll er ivaretatt i nordiske land», og i dette kapittelet gis en beskrivelse av screeningregelverket i Sverige, Danmark og Finland. Mange vestlige land, inkludert de nordiske, har regelverk for å redusere sårbarheter knyttet til utenlandske investeringer som kan true nasjonale sikkerhetsinteresser. Dette som et motsvar mot staters økte bruk av sikkerhetstruende økonomisk aktivitet. Det skilles gjerne mellom første- og andregenerasjons regelverk;

Førstegenerasjonsregelverk inneholder typisk en tillatelsesordning for investeringer i utpekte foretak eller i en avgrenset sektor, slik som vi har i Norge. Andregenerasjonsregelverk er mer omfattende og legger opp til løpende behandling av et større antall meldinger i henhold til faste kriterier og gjerne utført av en dedikert offentlig myndighet. De nordiske landene utvalget skal omtale i dette kapitlet er eksempler på land som har et andregenerasjons screeningregelverk.

Videre er det relevant å se til forordning (EU) 2019/452 om kontroll av utenlandske direkteinvesteringer som er EUs gjeldende regelverk for screening (ikke del av EØS-avtalen). Formålet bak dette regelverket er å etablere en felles tilnærming til kontrollen av investeringer fra land utenfor EU som kan utgjøre en sikkerhetsrisiko, og oppstiller noen minstekrav til hvordan nasjonale screeningregelverk skal utformes. Dermed vil vi se at Sverige, Danmark og Finlands screeningregelverk har mange likhetstrekk med hverandre da de bygger på EUs screeningregelverk. Etter en evaluering av det gjeldende screeningregelverket har man kommet frem til at mangel på harmonisering blant medlemslandene er et problem, og i januar 2024 la Europakommisjonen frem et forslag til et nytt screeningregelverk. Dermed vil både EUs gjeldende screeningregelverk og forslaget til ny forordning også bli omtalt i kapittelet.

10.2 Sverige

Lagen om granskning av utländska direktinvesteringar (2023:560) trådte i kraft 1. desember 2023 og regulerer investeringskontrollen i Sverige. Formålet med loven er å hindre investeringer som kan ha skadelig effekt på Sveriges sikkerhet eller på offentlig orden eller offentlig sikkerhet. Inspektionen för strategiska produkter (ISP) er utpekt som kontrollmyndighet for utenlandske direkteinvesteringer i Sverige. ISP er et statlig organ som jobber med spørsmål knyttet til Sveriges forsvars-, sikkerhets- eller utenrikspolitikk. En stor del av deres arbeid er å kontrollere eksporten av enkelte produkter, med sikte på at verken produkter eller teknologi skal spres til uvedkommende. Investeringer som innebærer at en investor får betydelig innflytelse i skjermingsverdige aktiviteter skal meldes til ISP, som avgjør om investeringen må gjennomgås. Dersom dette er tilfelle, må ISP avgjøre om investeringen skal godkjennes, forbys eller tillates på vilkår. Den svenske loven dekker investeringer i virksomheter som er underlagt i syv ulike sektorer:

• Samfunnsviktig aktivitet
• Sikkerhetssensitive aktiviteter
• Kritiske råvarer, metaller eller mineraler
• Sensitive personopplysninger eller stedsdata
• Krigsmateriell eller teknisk støtte angående krigsmateriell
• Produkter med dobbelt bruksområde eller teknisk assistanse
• Fremvoksende teknologi eller annen teknologi som kan beskyttes strategisk 121

Den svenske screeningen blir ikke gjennomført av et departement slik det er praksis for i de fleste andre land, men utføres som nevnt av det offentlige organet ISP, assistert av andre instanser. Den svenske grunnloven forbyr nemlig generelt regjeringen fra å påvirke beslutninger tatt av regjeringsinstanser i enkeltsaker. Av denne grunn, når ISP først behandler en sak, har ikke regjeringen lov til å påvirke om en spesifikk investering bør tillates eller ikke. Men en avgjørelse tatt av ISP, inkludert et forbud eller tillatelse på vilkår, kan påklages av investor til regjeringen. Dette kan bidra til å gjøre den svenske screeningsmekanismen mer transparent sammenlignet med land der beslutninger tas direkte av regjeringen. Alle involverte myndigheter må i tillegg sende inn sin mening skriftlig til ISP. 122

Prosess

I Sverige er meldeplikt hos investor, og meldeplikten gjelder ikke kun for utenlandske investorer, men også svenske. Den som har til hensikt direkte eller indirekte å investere i en skjermingsverdig virksomhet, skal varsle ISP om investeringen dersom investeringen medfører at investor får en viss innflytelse i virksomheten. Investors meldeplikt starter dersom investoren etter investeringen, direkte eller indirekte, ville komme til å ha stemmer som tilsvarer eller overskrider visse terskler fastsatt i loven. Tersklene er 10, 20, 30, 50, 65 eller 90 prosent av stemmene i en skjermingsverdig virksomhet. ISP kan også sette i gang en granskning på eget initiativ. Slik egeninitiert granskning innebærer at også investeringer i skjermingsverdig virksomhet som ikke er meldepliktig, kan gjennomgås.

Prosessen for screening kan deles i to faser. I fase 1 er det en slags «prøvefase» hvor myndighetene har 25 dager på seg til å bestemme om investeringen kan ha skadelig effekt på Sveriges sikkerhet eller på offentlig orden eller offentlig sikkerhet, og om det er grunnlag for å innlede en granskning. Dersom man mener det er tilfelle, går man over til fase 2 hvor myndighetene har tre måneder på seg til å gjennomføre granskingen og beslutte å enten forby eller godkjenne investeringen. Dersom det foreligger særlige grunner, kan vedtaket meddeles innen seks måneder. I granskningsfasen foregår det en dybdeundersøkelse hvor myndighetene kan stille mer utdypende spørsmål til investoren, men også til selskapet som er gjenstand for investeringen. Begge disse skal på forespørsel fra ISP gi de opplysninger eller dokumenter som myndigheten trenger for sin gjennomgang.

Før ISP fatter vedtak i en sak, må myndigheten samarbeide med Kommerskollegium, Försvarsmakten, Försvarets materielverk, Säkerhetspolisen och Myndigheten för samhällsskydd och beredskap . Kommerskollegiumet er myndighet for utenrikshandel, EUs indre marked og handelspolitikk, og oppgaven er blant annet å bidra med dokumentasjon om investeringens betydning for økonomi, investeringsklima og dens handelspolitiske aspekter. Når granskningen er fullført, bestemmer ISP seg for å enten forby eller godkjenne investeringen. Investeringen kan også godkjennes på vilkår.

Samarbeid med Europakommisjonen

Europaparlamentets og Rådets forordning (EU) 2019/452 om kontroll av utenlandske direkteinvesteringer har en del felles prosedyrer for alle medlemsland som har et screeningregelverk. Blant annet skal alle medlemsland ha et kontaktpunkt mot Europakommisjonen, og ISP er Sveriges kontaktpunkt i samsvar med forordningen. Dette innebærer blant annet at ISP skal varsle Europakommisjonen og andre medlemsland om alle utenlandske direkteinvesteringer som vurderes av myndigheten. 123 Samarbeidsmekanismen og prosedyrene mellom Kommisjonen og medlemslandene i gjeldende EU-forordning er omtalt nærmere i punkt 10.5.1.

10.3 Danmark

I Danmark trådte Investeringsscreeningsloven i kraft 1. juli 2021. Loven har som formål å hindre at utenlandske direkteinvesteringer og spesielle økonomiske avtaler utgjør en trussel mot nasjonal sikkerhet eller offentlig orden i Danmark. Med utenlandsk investering forstås erverv av kontroll eller betydelig innflytelse i et selskap som er hjemme i Danmark, ved direkte eller indirekte besittelse av eller kontroll over eierandeler eller stemmerett i selskapet eller tilsvarende kontroll på annen måte, inkludert kjøp av eiendeler og langsiktige uoppsigelige lån (såkalte særskilte økonomiske avtaler ). Utenlandske investeringer omfatter også investeringer ved etablering av nytt selskap i Danmark (såkalte greenfield-investeringer) i en særlig sensitiv sektor, hvor tilsvarende kontroll eller betydelig innflytelse oppnås.

Screeningsordningen er utformet som en kombinasjon av et lovpålagt tillatelseskrav for spesielt sensitive sektorer og en frivillig meldingsordning for de øvrige sektorene. Etter reglene om det sektorspesifikke tillatelseskravet må du som utenlandsk investor innhente forhåndstillatelse fra Erhvervsstyrelsen dersom investeringen er innenfor spesielt sensitive sektorer og når terskelverdien på minimum 10 prosent eierandel. Den frivillige meldingsordningen gjelder for investeringer som når terskelverdien på minimum 25 prosent eierandel og som kan utgjøre en trussel mot nasjonal sikkerhet eller offentlig orden.

Det er den utenlandske investoren, altså en utenlandsk statsborger eller et selskap, som er pålagt å søke om tillatelse til å gjennomføre en investering eller inngå en særskilt økonomisk avtale. Det er utenlandske investorer som også kan benytte seg av den frivillige meldingsordningen. Det er forskjellig hvilke utenlandske statsborgere og selskaper som omfattes avhengig av om det er en utenlandsk investering eller en særskilt økonomisk avtale, og i forhold til hvilken sektor investeringen eller avtalen gjelder. For investeringer eller særskilte økonomiske avtaler som eksempelvis omfattes av den frivillige meldemuligheten, men som ikke er varslet, kan Erhvervsstyrelsen gå 5 år tilbake og undersøke og eventuelt iverksette tiltak mot investeringen.

Kontrollen eller innflytelsen som oppnås med investeringen kan være både direkte og indirekte, dvs. kontroll kan utøves gjennom andre selskaper og gjennom flere land og eierkjeder. Ved beregning av kvalifisert andel etter investeringsscreeningsloven medregnes eierandeler eller stemmerett som direkte eller indirekte tilhører den utenlandske investoren og eierandeler som den utenlandske investoren har innflytelse over gjennom nærstående.

Dersom eierandeler eller stemmerett i en investering er under terskelen på 10 prosent, har man som hovedregel ikke en kvalifiserende andel. Det kan imidlertid oppnås tilsvarende kontroll på andre måter som tilsvarer et erverv på 10 prosent eller mer. Det er derfor viktig at myndighetene undersøker om investoren oppnår en kvalifisert eierandel, eller om det oppnås tilsvarende kontroll på annen måte, da begge forhold kan ha betydning for om man har meldeplikt eller ikke. Kontrollen eller betydelig innflytelse oppnådd gjennom erverv av eierandeler eller stemmerett eller tilsvarende kontroll på andre måter kan være både direkte og indirekte. Indirekte kontroll eller påvirkning kan innebære at en investering foretatt for eksempel i et annet EU-land kan utløse krav om tillatelse etter investeringsscreeningsloven dersom selskapet det er investert i har et datterselskap i Danmark.

Kravet om tillatelse for utenlandske direkteinvesteringer gjelder kun dersom det danske selskapet man investerer i er innenfor sektorer og aktiviteter som er spesielt sensitive med tanke på å kunne true nasjonal sikkerhet eller offentlig orden . De spesielt sensitive sektorene og aktivitetene er generelt begrenset til følgende:

• Bedrifter innen forsvarssektoren
• Selskaper innen IT-sikkerhetsfunksjoner eller behandling av gradert informasjon
• Selskaper som produserer produkter med to bruksområder
• Bedrifter innen kritisk teknologi andre enn de som er nevnt i 1-3
• Bedrifter og offentlige myndigheter og institusjoner innen kritisk infrastruktur

I forhold til utvalgets mandat er det relevant å se på hvordan danske myndigheter definerer meldeplikten når det gjelder kritisk infrastruktur. I Danmark må du søke Erhvervsstyrelsen om tillatelse dersom selskapet direkte eller indirekte eier eller råder over kritisk infrastruktur, har myndighetsansvar for kritisk infrastruktur eller utvikler eller produserer teknologi som utgjør kritisk infrastruktur . Kritisk infrastruktur forstås som: «infrastruktur, inkludert fasiliteter, systemer, prosesser, nettverk, teknologier, eiendeler og tjenester, som er nødvendige for å opprettholde eller gjenopprette samfunnsviktige funksjoner». Hva som er konkret kritisk infrastruktur bestemmes av myndighetene ut fra en inndeling av samfunnet i samfunnsviktige sektorer, som videre omfatter en rekke underliggende samfunnsviktige funksjoner. De samfunnviktige sektorene inkluderer blant annet energisektoren, informasjons- og kommunikasjonsteknologi (IKT), transport, beredskap og sivilbeskyttelse, helsesektoren og finanssektoren. IKT-sektoren omfatter disse infrastrukturtypene:

• offentlig tilgjengelige elektroniske kommunikasjonsnett og -tjenester
• sentral datalagring (datalagringssentre)
• satellittradio og TV-overføring
• felles offentlige grunndata, herunder geodata, personregistrering og sentral virksomhetsregistrering. Domenenavnfunksjoner
• nyhetskringkasting
• sentral offentlig digital identifikasjon og kommunikasjon
• IT- og kommunikasjonsløsninger for å støtte kriseberedskap
• klassifisert kommunikasjon i staten
• lukkede kommunikasjonsnettverk og tjenester mellom myndigheter

Meldeplikten gjelder for utenlandske statsborgere, selskaper som ikke er hjemmehørende i Danmark (selv om det har fast driftssted i Danmark), selskaper hjemmehørende i Danmark som er et datterselskap eller en filial av et selskap utenfor Danmark, selskaper hjemmehørende i Danmark dersom en utenlandsk statsborger eller et selskap utenfor Danmark har kontroll eller betydelig innflytelse over det og nasjonale myndigheter og statlige organer i land utenfor EU og EFTA (herunder offentlige institusjoner og statseide investeringsfond, ideelle foreninger, ikke-kommersielle stiftelser og lignende juridiske personer utenfor EU og EFTA).

Den frivillige meldingsordningen gjelder for utenlandske statsborgere med unntak av statsborgere fra EU- og EFTA-land, selskaper hjemmehørende utenfor EU- eller EFTA-land, selskaper hjemmehørende i Danmark og andre EU- eller EFTA-land dersom selskapet kontrolleres av personer eller selskaper fra land utenfor EU eller EFTA og nasjonale myndigheter og statlige organer utenfor EU og EFTA (herunder offentlige institusjoner og statseide investeringsfond).

Danske myndigheter kan enten forby eller godkjenne investeringen. Dersom myndigheten vurderer at den mulige trusselen kan avbøtes med detaljerte vilkår for gjennomføring av investeringen eller avtalen, kan Erhvervsstyrelsen kontakte den utenlandske investoren for å forhandle det nærmere innholdet i slike vilkår. Eksempler på vilkår for tillatelse til utenlandske direkteinvesteringer eller særskilte økonomiske avtaler kan være:

• vilkår av økonomisk karakter, f.eks. begrensning av investors eierandel
• vilkår av ledelsesmessig karakter, f.eks. begrense investorens deltakelse i ledelsen av selskapet
• vilkår som tar sikte på å begrense investors mulighet til å få innsikt i selskapet på enkelte områder som f.eks. utvikling av kritisk teknologi
• vilkår om at den utenlandske investoren ikke kan bruke sin innflytelse til visse formål, som å stoppe forsyningen, flytte produksjon mv.
• vilkår vedrørende begrensninger i forhold til investors mulighet til å få tilgang eller innsikt i informasjon om visse deler av den danske enhetens/myndighets virksomhet eller fysiske lokaliteter
• vilkår om begrensninger i forhold til hvem den utenlandske investoren kan velge å utføre støttefunksjoner og lignende i avtaleperioden
• vilkår om restriksjoner i forhold til hvem den utenlandske investoren kan velge som underleverandør av f.eks. nærmere angitte produkter og software. 124

10.4 Finland

I Finland er det «Act on the Screening of Foreign Corporate Acquisitions in Finland» fra 1. Juni 2012 som regulerer investeringskontrollen for utenlandske investeringer. Formålet med loven er å screene og begrense overføring av innflytelse til utenlandske statsborgere, organisasjoner og virksomheter – hvis sentrale nasjonale interesser krever det. En positiv holdning til utenlandske investeringer er lovens ledende prinsipp. Myndighetene kan imidlertid utøve kontroll over eierskapet til selskaper som anses som vesentlige med tanke på forsyningssikkerhet og nasjonal sikkerhet og om nødvendig begrense utenlandsk eierskap i slike selskaper. I praksis refererer sentrale nasjonale interesser hovedsakelig til militært nasjonalt forsvar, funksjoner som er viktige for samfunnet (inkludert sikring av kritisk infrastruktur og forsyningssikkerhet) og nasjonal sikkerhet og offentlig orden .

Investeringskontrollen for utenlandske investeringer behandles av Økonomi- og arbeidsdepartementet, som også ber om uttalelser fra andre myndigheter i den grad det er nødvendig. Overvåkingen av bedriftsoppkjøp støttes av et nettverk av myndigheter, ledet av departementet, som screener utenlandske oppkjøp og deltar i prosessene knyttet til disse. Departementet må godkjenne eierskiftet med mindre det kan sette en sentral nasjonal interesse i fare. Departementet må i så fall oversende saken til behandling i regjeringen. Økonomi- og arbeidsdepartementet er også det nasjonale kontaktpunktet for Europakommisjonen i henhold til EUs forordning (EU) 2019/452 om etablering av et rammeverk for screening av utenlandske direkteinvesteringer, på samme måte som ISP er i Sverige. Det nasjonale kontaktpunktets rolle er å styrke kommunikasjonen og samarbeidet mellom EUs medlemsland og Europakommisjonen.

Screeningregelverket kommer til anvendelse i tilfeller hvor en utenlandsk eier får kontroll over minst en tidel, minst en tredel, eller minst halvparten av det samlede antall stemmer som er tillagt alle aksjer i selskapet, eller en eierandel som ellers tilsvarer beslutningsmyndighet i et aksjeselskap eller annen juridisk enhet som er gjenstand for screening. Dette gjelder også for disposisjoner som kan øke investors innflytelse i etterkant av en screening og som ikke overskrider terskelverdiene på nåværende tidspunkt. Meldeplikten ligger hos den utenlandske investoren.

I henhold til lovens del 4 krever erverv i forsvars- og produktsektoren (produkter med dobbelt bruksområde = forsvarsmateriellindustri) og i sikkerhetssektoren alltid forhåndstillatelse fra finske myndigheter. I sivil sektor overvåkes finske selskaper som anses som kritiske for å sikre grunnleggende funksjoner i samfunnet . Når det gjelder forsvarsmateriellindustrien omfatter screeningen alle utenlandske eiere. I andre sektorer gjelder screening kun for utenlandske eiere bosatt eller hjemmehørende utenfor EU eller EFTA.

Hva som regnes som kritiske funksjoner som er grunnleggende for samfunnet i Finland, vil variere avhengig av den rådende sikkerhetssituasjonen til enhver tid. Som regel er sikring av forsyningssikkerheten sentral uansett sikkerhetssituasjon. Loven spesifiserer ikke hvilke sektorer (privat eller offentlig) eller funksjoner i selskaper som er underlagt screeningen. Dette begrunnes med at det er vanskelig å forutsi hvilke sektorer og funksjoner som vil være kritiske for grunnleggende samfunnsfunksjoner. Selv om et selskap har virksomhet på et felt som er viktig for forsyningssikkerheten eller andre grunnleggende funksjoner, betyr det ikke nødvendigvis at det vil være gjenstand for screening etter loven. En rekke selskaper som ikke er kritiske for forsyningssikkerheten operer jo innen matforsyning og logistikk. Veiledning om lovens virkeområde finnes blant annet i Regjeringens offentlige veiledningsdokumenter om forsyningssikkerhet og nasjonal sikkerhet. En definisjon som her er relevant for ekomsektoren er definisjonen av kritisk infrastruktur. Her defineres kritisk infrastruktur som de grunnleggende strukturer, tjenester og relaterte funksjoner som er avgjørende for å opprettholde de vitale funksjonene i samfunnet. Kritisk infrastruktur inkluderer både fysiske virksomheter og strukturer samt elektroniske funksjoner og tjenester. Dette inkluderer datakommunikasjonssystemer og nettverk og tjenester i det digitale samfunnet.

Med forsvarsvirksomhet menes en virksomhet som produserer eller leverer forsvarsmateriell eller andre produkter eller tjenester som er avgjørende for det nasjonale forsvaret. I praksis vurderes betydningen av produktene eller tjenestene fra sak til sak ut fra eksisterende kontrakter med Forsvaret. For eksempel kan levering av essensielle programvareapplikasjoner, cyberapplikasjoner, skytjenester eller andre lignende produkter eller tjenester anses som et viktig produkt eller en viktig tjeneste. Et selskap som produserer varer med dobbelt bruksområde anses også som et forsvarsselskap. Eksempelvis vil et aksjeselskap som opererer i sivil sektor, men som importerer autorisasjonskrevende varer med dobbelt bruksområde til tredjeland, overfører sensitive varer innenfor EU eller som på annen måte har fått tillatelse eller melding eller vedtak fra myndighet for eksport av slike varer, regnes som et forsvarsselskap. Tilsvarende regnes et selskap i sivil sektor som bruker, utvikler eller på annen måte håndterer teknologi med to bruksområder, som et forsvarsselskap. Et sikkerhetsselskap er et selskap som leverer eller produserer produkter eller tjenester som er kritiske for sikkerheten i samfunnet til Finlands sentrale myndigheter i forhold til deres lovpålagte plikter. Disse sikkerhetsmyndighetene inkluderer det finske forsvaret, den finske grensevakten, det finske politiet, det finske tollvesenet, det nasjonale nødforsyningsverket, den nasjonale sikkerhetsmyndigheten (NSA) og det finske transport- og kommunikasjonsbyrået (Traficom). Produkter eller tjenester hvis levering til sentrale finske sikkerhetsmyndigheter kan anses som kritiske inkluderer programvare (f.eks. krypteringsprogramvare), cybersikkerhetsapplikasjoner, sertifiseringstjenester, skytjenester, datasentertjenester og andre produkter og tjenester knyttet til vedlikehold av disse.

Dersom en utenlandsk investering gjelder et forsvars- eller sikkerhetsselskap, er det meldeplikt, og varselet skal alltid leveres til Økonomi- og arbeidsdepartementet på forhånd. Loven angir ingen frister for når Økonomi- og arbeidsdepartementet kan gripe inn i et oppkjøp av et forsvars- eller sikkerhetsselskap dersom det ikke er meldt inn til departementet. Loven angir heller ingen frister for hvor lang saksbehandlingen skal være etter en melding er sendt til departementet, men prosessen tar i gjennomsnitt to måneder. Gjelder ervervet et annet selskap enn et forsvars- eller sikkerhetsselskap, er meldingen frivillig, og den kan også sendes på forhånd. En forhåndsmelding kan imidlertid bare sendes inn i fasen rett før den endelige inngåelsen av forretningsavtalen (f.eks. en intensjonsavtale, som er bindende for partene, og som allerede er signert for det planlagte oppkjøpet). Økonomi- og arbeidsdepartementet screener sammen med sitt nettverk av andre relevante myndigheter gjennomførte bedriftsoppkjøp i screeningspliktige selskaper. På bakgrunn av screeningen kan departementet også selvstendig be om opplysninger om bedriftsoppkjøp som kan være gjenstand for screening etter loven.

Departementet kan enten forby eller godkjenne ervervet, eller eventuelt godkjenne på vilkår. Vilkårene stilles kun i visse situasjoner og må anses som nødvendige avbøtende tiltak som tar sikte på å redusere risikoen ved den utenlandske investeringen og sikre en sentral nasjonal interesse. Vilkår kan bare stilles dersom partene forplikter seg til å overholde dem. Vilkårene defineres i forhandlinger mellom oppkjøpspartene og kompetente myndigheter. Innholdet i vilkårene varierer avhengig av sak. For eksempel kan myndighetene kreve utelukkelse av en bestemt forretningsfunksjon eller andel fra oppkjøpet eller en forpliktelse til å sikre videreføring av tjenester under eksisterende produksjons- og leveringsavtaler. Et forbud kan kun gis i plenum i regjeringen. 125

10.5 Screeningregelverk i EU (eksisterende og nytt forslag)

10.5.1 Forordning (EU) 2019/452 om kontroll av utenlandske direkteinvesteringer (EUs gjeldende screeningregelverk)

Europaparlaments- og rådsforordning (EU) 2019/ 452 om kontroll av utenlandske direkteinvesteringer i unionen trådte i kraft i oktober 2020. Forordningen er omtalt i NOU 2023: 28 på side 58-59, og den følgende teksten som beskriver det gjeldende regelverket er hentet fra denne:

« Bakgrunn og formål

Forordningen er hjemlet i EU-traktaten avdeling II om felles handelspolitikk, og er ikke en del av EØS-avtalen. Forordningen gjelder for alle EUs medlemsland, uavhengig av om de har en investeringskontrollordning eller ikke. Formålet med forordningen er å etablere en felles tilnærming til kontrollen av investeringer fra land utenfor EU (tredjeland), som kan utgjøre en risiko for sikkerhet eller offentlig orden. Tolkningen av begrepene sikkerhet eller offentlig orden gjøres av den enkelte medlemsland, men må være i samsvar med EUs internasjonale forpliktelser og bestemmelsene i EU-traktaten om kapitalbevegelser fra tredjeland. Forordningen legger til rette for informasjonsutveksling og koordinering mellom medlemslandene i EU, og mellom medlemslandene og Europakommisjonen. Forordningen åpner for og understreker viktigheten av internasjonalt samarbeid om investeringskontroll med tredjeland. I forordningen fastsettes det at Europa er og skal fortsette å være åpent for utenlandske direkteinvesteringer ((EU) 2019/452).

Minstekrav til utformingen av nasjonale regelverk

EU-forordningen etablerer ikke en felles investeringskontroll for medlemslandene og den pålegger heller ikke medlemsland å opprette egne nasjonale kontrollordninger. Medlemslandene bestemmer selv hvordan deres nasjonale regelverk skal utformes. Beslutningen om hvilke investeringer som skal kontrolleres og eventuelt gripes inn i skal tas av medlemslandet der investeringen finner sted. Forordningen stiller likevel enkelte minstekrav til utformingen av nasjonale regelverk. Ifølge forordningens artikkel 3 skal ordningene være transparente og ikke-diskriminerende, og ha fastsatte frister for behandling av saker. Videre skal sensitiv informasjon behandles konfidensielt, det skal være klagemuligheter for investorer, og det skal finnes tiltak for å identifisere og avverge omgåelse av reglene. I artikkel 3 legges det vekt på at medlemslandenes regler skal være åpne og tilgjengelige og at reglene skal angi omstendighetene som utløser kontroll, begrunnelsen for kontroll, samt tilhørende detaljerte prosedyrer knyttet til prosessen.

Samarbeidet mellom Europakommisjonen og medlemsland

Forordningen pålegger EU-landene en plikt til å samarbeide innbyrdes og med Europakommisjonen. Samarbeidet varierer avhengig av om de utenlandske investeringene blir kontrollert på nasjonalt plan eller ikke.

Dersom en investering kontrolleres på nasjonalt plan, skal medlemslandet orientere Europakommisjonen og de andre medlemslandene om dette ved å dele opplysninger om investeringen. Hvis et annet medlemsland anser at investeringen sannsynligvis vil påvirke dets sikkerhet eller offentlige orden, kan dette landet utstede en kommentar. Dersom Europakommisjonen anser at en investering sannsynligvis vil påvirke sikkerheten eller den offentlige orden i mer enn ett medlemsland, kan Kommisjonen gi en uttalelse. Kommentarer fra medlemslandene og Kommisjonens uttalelse rettes til medlemslandet der investeringen finner sted.

Medlemslandene og Kommisjonen kan også uttale seg om investeringer som ikke er underlagt investeringskontroll. Dette kan være tilfellet dersom medlemslandet hvor investeringen finner sted ikke har en kontrollordning, eller investeringer ikke omfattes av medlemslandets nasjonale ordning. Hvis et medlemsland eller Kommisjonen anser en ikke-kontrollert investering i et annet medlemsland for å være en risiko for flere medlemsland eller for hele unionen, kan man etterspørre informasjon fra vertslandet for investeringen. Vertslandet er da forpliktet til å bidra med et minimum av informasjon så raskt som mulig.

All utveksling av informasjon gjennom EUs samarbeidsordning er underlagt strenge regler om konfidensialitet. Kommentarer og uttalelser deles ikke med de andre medlemslandene, unntatt når uttalelsen gjelder en investering som kan påvirke fellesprosjekter eller programmer på EU-nivå. Europakommisjonen er forpliktet til å skaffe til veie et sikret og kryptert kommunikasjonssystem mellom medlemsland og Kommisjonen for dette formålet.

Generaldirektoratet for handel i Kommisjonen har laget et skjema for å forbedre informasjonsutvekslingen under EU-mekanismen. Informasjon som deles i EUs samarbeidsordning inkluderer informasjon om hvem som er investoren og målforetaket, hvilke sektorer disse opererer i og hvor, hva som er verdien av investeringen, hvor finansieringen kommer fra og når transaksjonen skal finne sted.

Effektiv informasjonsdeling skal bidra til at medlemslandet som melder om en investering, kan gjøre sine vurderinger uten forsinkelse. Medlemslandet hvor investeringen finner sted, oppfordres til å innhente nødvendige opplysninger fra investoren eller det berørte foretaket.

Veiledning til vurdering av saker

Forordningen gir en veiledende liste over kriterier som skal hjelpe medlemslandene og Europakommisjonen med å vurdere om en utenlandsk direkteinvestering vil kunne påvirke sikkerhet eller offentlig orden. Ifølge listen bør landene og Europakommisjonen vurdere virkningene av den utenlandske investeringen på:

• kritisk infrastruktur (fysisk eller virtuell, innen energi, transport, vann, helse, kommunikasjon, media, databehandling og -lagring, luft og romfart, forsvar, valgrelatert eller finansiell infrastruktur, samt investeringer i land og eiendom som er avgjørende for bruk av slike infrastrukturer)
• kritisk teknologi og elementer med flerbrukspotensiale (kunstig intelligens, robotikk, halvledere, cybersikkerhet, kvanteteknologi, romfart, forsvar, energilagring, kjernefysisk teknologi og nano- og bioteknologi)
• tilgang til kritiske leveranser (energi, råvarer og matsikkerhet)
• tilgang til eller muligheten til å kontrollere sensitiv informasjon (personopplysninger)
• mediefrihet og pluralisme

Forordningen viser til at forhold knyttet til investor også er relevante for vurderingen. Dette er forhold som knytter seg til om investoren er kontrollert eller påvirket av tredjeland, enten gjennom eierstrukturer eller gjennom betydelig finansiering, om investor tidligere har vært involvert i aktivitet som påvirket sikkerhet eller samfunnsorden eller om investor har vært involvert i internasjonal kriminalitet.

Ikke-diskriminering av investorer fra tredjeland (utenfor EU) er et sentralt prinsipp i forordningen. Risiko tilknyttet et utenlandsk oppkjøp skal vurderes i hver enkelt sak, uavhengig av den utenlandske kjøpers hjemland. EU-forordningen tillater ikke kontroll av utenlandske direkteinvesteringer basert på andre hensyn enn sikkerhet eller offentlig orden. Forordningen lister for øvrig opp flere EU-finansierte prosjekter og programmer som kan være relevante for sikkerhet eller offentlig orden, og hvor Kommisjonen særlig vil vurdere risikoen ved utenlandske investeringer. Denne listen inkluderer blant annet «Galileo», «Horizon 2020», «Trans-European Networks» og «European Defence Industrial Development Programme». Listen ble oppdatert i 2020 og ytterligere oppdateringer vil følge etter behov.

Ekspertgruppe for kontroll av utenlandske direkteinvesteringer i EU

Som ledd i arbeidet med å gjøre EU-forordningen operasjonell, er det opprettet en ekspertgruppe som skal gi råd til Kommisjonen. Alle medlemslandenes myndigheter deltar i gruppen, også de som i dag ikke har en nasjonal kontrollordning. Gruppen ledes av Europakommisjonen. Gruppens mandat er å drøfte spørsmål av felles interesse knyttet til utenlandske direkteinvesteringer, samt beste praksis og erfaringer fra investeringskontroll på nasjonalt nivå. Ekspertgruppen har også myndighet til å gi Kommisjonen råd om spørsmål knyttet til gjennomføringen av selve forordningen. Ekspertgruppen omtaler ikke individuelle investeringer. 126 «

10.5.2 Forslag til ny screeningordning i EU

Siden EUs screeningreleverk kom på plass i 2020, har den geopolitiske situasjonen forandret seg betraktelig og blitt mer tilspisset. Pandemien, Russlands invasjon av Ukraina og andre geopolitiske spenninger har forsterket behovet for å kunne identifisere risikoer knyttet til sikkerhetstruende økonomisk aktivitet og bedre beskytte eiendeler og virksomheter som er kritiske for Europa. Dette har også bidratt til en betydelig økning i antall medlemsland som har fått på plass en nasjonal screeningsmekanisme, og et større antall sektorer som er gjenstand for screening. Det er imidlertid en andel av direkte utenlandske investeringer (Foreign Direct Investments (FDI)) i EU som fortsatt går til medlemsland som ikke har en screeningmekanisme, noe som kan utgjøre en risiko for at potensielt sikkerhetstruende økonomisk aktivitet ikke blir oppdaget.

Europakommisjonen la i slutten av januar 2024 frem flere initiativer for å styrke EUs økonomiske sikkerhet i en tid med økende geopolitiske spenninger og betydelige teknologiske endringer. Blant initiativene var også et eget lovforslag om å styrke kontrollen med utenlandske investeringer i EU. I forbindelse med offentliggjøringen av lovforslaget viste Kommisjonen til at den har evaluert den gjeldende screeningforordningen og gjennomgått over 1200 transaksjoner med direkte utenlandske investeringer som har blitt meldt inn av medlemslandene de siste tre årene under det eksisterende regelverket (omtalt overfor). Basert på erfaringene fra gjennomgangen og evaluering av hvordan den nåværende kontrollen fungerer, ble det fremhevet at det er mangel på harmonisering som er det største problemet i EUs gjeldende screeningregelverk. Først og fremst er det ingen forpliktelse for medlemslandene til å ha en tilstrekkelig screeningmekanisme. Det finnes heller ingen klare retningslinjer for omfanget av medlemslandenes screeningsmekanismer. Hvis omfanget er for snevert definert, kan enkelte kritiske investeringer ikke bli fanget opp. Videre definerer medlemslandene nøkkelbegreper ulikt, noe som resulterer i forvirring og usikkerhet, og det er ingen felles minimumskriterier for å avgjøre hvilke investeringer som skal vurderes. Når det gjelder fristene for å svare, er de de samme for Kommisjonen og medlemslandene, noe som muligens gir Kommisjonen for kort tid til å vurdere eventuelle kommentarer fra medlemslandene. Prosessen med å sende inn kommentarer og tidslinjen i en screeningsak begynner først når den formelle screeningprosedyren har startet, og dette er i hendene på det berørte medlemslandet.

Kommisjonens forslag tar sikte på å adressere disse manglene, samt forbedre effektiviteten i screeningmekanismen på viktige områder, ved å sikre at alle medlemsland har en mekanisme for screening med bedre harmoniserte nasjonale regler. Det betyr at land som allerede har et screeningregelverk må harmonisere dette med den nye forordningen. Videre vil man i forslaget identifisere et minimum av sektorer som alle medlemsland må kontrollere utenlandske investeringer i, samt utvide EUs screening til å også omfatte investeringer fra europeiske investorer som i siste instans kontrolleres av enkeltpersoner eller virksomheter fra land utenfor EU. Kommisjonen ønsker også å inkludere investeringer ved etablering av nytt foretak, såkalt greenfield-investeringer, i screeningen. Når det gjelder åpenhet og transparens i de nasjonale screeningmekanismene, vil Kommisjonen blant annet kreve at medlemslandene publiserer en årlig rapport med aggregerte og anonymiserte data om screenede investeringer. I forslaget ønsker man også å la investorer få visse rettigheter i prosess. Eksempelvis før det tas en beslutning om forbud eller betinget godkjenning, vil screeningmyndighetene måtte informere utenlandske investorer om årsakene til å ta en slik avgjørelse, og gi dem en mulighet til å gi uttrykk for sine synspunkter. 127

Samarbeidsmekanismen på EU-nivå

Forslaget til forordningens artikkel 5 gir bestemmelser om hvilke utenlandske investeringer som skal meldes fra om til Europakommisjonens samarbeidsmekanisme, og artikkel 6 angir prosedyrene for hvordan samarbeidsmekanismen skal fungere. Et eksempel på en utenlandsk investering som medfører en meldeplikt til EUs samarbeidsmekanisme er investeringer der den utenlandske investoren eller den utenlandske investorens datterselskap i unionen er direkte eller indirekte kontrollert myndighetene i et tredjeland. Meldeplikten inkluderer også investeringer der den utenlandske investoren eller noen av dens datterselskaper var involvert i en utenlandsk investering som tidligere er screenet av et medlemsland og ikke var godkjent eller kun godkjent på vilkår.

Videre angir artikkel 6 prosedyrer for hvordan medlemslandene skal koordinere seg hvis flere land har mottatt samme melding om investering og det er snakk om en grensekryssende transaksjon. I forslaget ønsker Kommisjonen å strømlinjeforme samarbeidsmekanismen på EU-nivå ved å kreve at investorer som må varsle om sine investeringer i flere medlemsland, skal sende inn søknadene sine til dem alle samtidig (med henvisning til de andre meldingene), for så å kreve at nasjonale myndigheter koordinerer med hverandre og sender meldinger til Kommisjonen samtidig. Videre vil man stramme opp prosedyrene og fristene for samarbeidsmekanismen, samtidig som Kommisjonen får mer tid til å ta hensyn til kommentarer fra medlemslandene. Medlemslandene vil ha 15 kalenderdager, og Europakommisjonen 20 kalenderdager, til å informere medlemsland(ene) om at de har til hensikt å sende inn kommentarer eller avgi en mening om en investering. Medlemslandene vil da ha 35 dager på seg fra mottak av en fullstendig melding til å sende inn sine kommentarer, og Kommisjonen vil ha 45 dager på seg til å avgi sin uttalelse. Fristen for medlemslandenes meldeplikt til Kommisjonen er 60 dager hvis medlemslandet allerede har bestemt seg for på å foreta en grundig screening med dybdeundersøkelser.

Sikkerheten ved informasjonsutvekslingen mellom medlemslandene foreslås styrket. Etter artikkel 6 skal informasjonsutvekslingen mellom medlemslandene og Kommisjonen foregå gjennom et kryptert system. Hvert medlemsland må utpeke et kontaktpunkt og Kommisjonen vil sette opp et system for å muliggjøre kryptert kommunikasjon mellom kontaktpunktene. Forslaget inneholder også bestemmelser om beskyttelse av taushetsbelagte og graderte opplysninger. Det er viktig å merke seg at Kommisjonen ønsker å begrense bruk av EUs samarbeidsmekanisme til kun de mest kritiske tilfellene. 128

Videre vil Kommisjonen innføre en «own-initiative procedure», som lar et medlemsland eller Kommisjonen iverksette en gjennomgang av en utenlandsk investering i et annet medlemsland dersom investeringen ikke er varslet under samarbeidsmekanismen. Et medlemsland vil være berettiget til å gjøre dette hvis den mener at investeringen vil ha en negativ innvirkning på dens sikkerhet eller offentlige orden; Kommisjonen vil være i stand til å gjøre dette hvis den anser at investeringen sannsynligvis vil påvirke sikkerheten eller den offentlige orden i mer enn ett medlemsland negativt. 129

Hvilke investeringer er omfattet?

Forslaget til ny forordning omfatter eksplisitt investeringer mellom selskaper innenfor EU, hvor selskapene faktisk kontrolleres fra tredjeland. I dag er slike selskaper inkludert kun dersom de utelukkende og entydig er skapt med formål om å omgå screening. Forslaget omfatter investeringer som enten er direkte utenlandske investeringer eller investeringer innenfor EU med utenlandsk deltakelse. Direkte investeringer vil dekke et bredt spekter av investeringer som etablerer eller opprettholder varige og direkte forbindelser mellom investorer fra land utenfor EU og foretak som driver økonomisk virksomhet i en medlemsstat.

Med investeringer forstås i denne sammenheng erverv av aksjer som gir den utenlandske investoren rett til å kontrollere eller påvirke driften av foretaket i EU, eller etablering av virksomhet i EU (greenfield-investeringer). Utvalget oppfatter også at forslaget til ny EU-regulering vil omfatte investeringer i selskap utenfor EU, men som i realiteten rettes mot/har virkning for et datterselskap i EU. Forslaget vil også dekke investeringer foretatt i EU av den utenlandske investorens datterselskap i EU så lenge formålet med investeringen er å etablere eller opprettholde slike forbindelser som nevnt over.

Det fremgår av fortalen (16) i forslaget til ny regulering at porteføljeinvesteringer ikke omfattes av forslaget:

«However, the framework should not cover the acquisition of company securities intended purely for financial investment without any intention to influence the management and control of the undertaking (portfolio investments)»

Forslaget inneholder videre en obligatorisk liste over sensitive sektorer. Disse sektorene skal som et minimum inkluderes i medlemslandenes nasjonale screeningordninger. Dette er selskaper som er aktive innen områder og teknologier som inkluderer produkter med dobbelt bruksområde , militær teknologi og utstyr , finansiell infrastruktur og kritiske legemidler (som er definert i EUs liste over kritiske legemidler fra desember 2023.

Mer spesifiserte undergrupper av teknologier, som Kommisjonen har i sin innstilling fra oktober 2023 oppnevnt som spesielt kritiske er følgende:

• Halvlederteknologier
• Teknologier knyttet til kunstig intelligens
• Kvanteteknologier
• Bioteknologi
• Avansert tilkobling, navigasjon og digital teknologi
• Avanserte sensorteknologier
• Rom- og fremdriftsteknologier
• Energiteknologier
• Robotikk og autonome systemer
• Teknologier knyttet til avanserte materialer, produksjon og resirkulering

Forordningen legger videre opp til at screeningen vil omfatte utenlandske investeringer i virksomheter som deltar i et prosjekt eller mottar midler fra et av EUs finansieringsprogrammer. Dette er eksempelvis programmer som Horizon 2020, Digital Europe Programme og EUs romprogram (uttømmende liste i forslagets vedlegg 1) eller European Investment Fund. Screeningen vil også omfatte utenlandske investeringer i virksomheter som er økonomisk aktive innenfor områder som er av særlig sikkerhetsmessig viktighet. Det kan eksempelvis være områder som har tilknytning til kritisk teknologi. Ellers er det er opp til hvert enkelt medlemsland å definere hva som er kritisk infrastruktur. 130

Kriterier som skal vurderes i screening

Det foreslåtte regelverket beskriver hvilke faktorer eller kriterier som skal vurderes for å avgjøre om en utenlandsk investering negativt kan påvirke sikkerhet eller offentlig orden – se artikkel 13 «Determination of likely negative impact on security and public order» i forslaget til nytt regelverk.

Faktorer som skal vurderes inkluderer blant annet påvirkningen på sikkerheten, integriteten og funksjonen til kritisk infrastruktur, tilgjengeligheten av kritiske teknologier (inkludert sentrale muliggjørende teknologier), fortsatt tilgang til kritiske innsatsfaktorer, beskyttelsen av sensitiv informasjon (inkludert personopplysninger) mv.

I vurderingen av eventuelle negative virkninger skal man også vurdere forhold knyttet til den utenlandske investoren selv (eller noen som kontrollerer denne), herunder for eksempel om vedkommende tidligere har vært involvert i investeringer som etter screening enten er blitt avslått eller godtatt på vilkår, om vedkommende tidligere har deltatt i aktiviteter som negativt har påvirket sikkerheten eller offentlig orden i en medlemsstat, eller for eksempel også har deltatt i kriminell virksomhet. Men det kanskje viktigste vurderingskriteriet, sett i lys av utvalgets mandat, fremgår av forslaget til ny artikkel 13 bokstav (e):

(e) whether the foreign investor, a natural person or entity controlling the foreign investor, the beneficial owner of the foreign investor, any of the subsidiaries of the foreign investor, or any other party owned or controlled by, or acting on behalf or at the direction of the foreign investor is likely to pursue a third country’s policy objectives, or facilitate the development of a third country’s military capabilities. (utvalgets understrekning)

Viktig er det også at det fremgår av artikkel 14 at vurdering av den eventuelle negative virkningen vil gjelde direkte for den aktuelle medlemsstaten der investeringen er tenkt gjennomført, men også vil kunne omfatte negative virkninger i andre medlemsland. Dette vil for eksempel kunne gjelde dersom investering i et selskap i et EU-medlemsland negativt påvirker leveransesikkerheten/verdikjeden til selskap i en annen EU-stat og dermed påvirker sikkerheten der.

Forslaget til ny artikkel 14 inneholder også en egen bestemmelse i nr. 2 som sier at hvis investeringens negative påvirkning på sikkerhet eller offentlig orden kan løses med tilgjengelige tiltak i annen EU- eller nasjonal lovgivning så må myndigheten godkjenne investeringen uten vilkår. 131

Forslaget innebærer krav til minimumsregulering

Forslagene til nytt screeningregelverk oppstiller minimumskrav. Dette innebærer at den enkelte medlemsstat fortsatt vil kunne utvide omfanget av sin nasjonale kontroll ved å inkludere andre typer utenlandske investeringer eller for eksempel også utenlandske investeringer i andre sektorer enn de som er dekket av forslaget til regulering. 132