Utvalgte hurtiglenker

    Rapporter og planer

    Sikkerhet og beredskap i Kunnskapsdepartementets sektor

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    5 Krav og forventninger til virksomhetenes arbeid med nasjonal sikkerhet

    Kunnskapssektoren forvalter og skaper verdier som er strategisk viktige for Norge. Disse verdiene kan også være utsatt for interesse og påvirkning som kan være i strid med nasjonal sikkerhet. Et mer krevende trusselbilde gjør at virksomheter i sektoren må vurdere sin rolle i et nasjonalt sikkerhetsperspektiv.

    Samtidig er åpenhet og internasjonalt samarbeid innen høyere utdanning og forskning helt sentralt for å videreutvikle Norge som kunnskapsnasjon. Dette kan være en krevende balanse i praksis, og det er flere hensyn å ta. En forutsetning for å lykkes på dette området er systematisk og risikobasert arbeid med forebyggende sikkerhet. Verdier med betydning for nasjonal sikkerhet må identifiseres, og det må gjennomføres forholdsmessige sikringstiltak, slik at virksomhetene og sektoren jobber under og samarbeider innenfor et akseptabelt risikonivå.

    I arbeidet med nasjonal sikkerhet er det flere departementer som har kryssende ansvarsområder, og arbeidet berører i stor grad etterlevelse av regelverk som eies av andre departementer enn KD. Regelverkene som gjør seg gjeldende for kunnskapssektoren er særlig lov om nasjonal sikkerhet (sikkerhetsloven), lov om kontroll med eksport av strategiske varer, tjenester og teknologi mv. (eksportkontrolloven), og lov om gjennomføring av internasjonale sanksjoner (sanksjonsloven), samt tilhørende forskrifter. Dette er regelverk som treffer virksomhetene i ulik grad. Virksomhetene er selv ansvarlige for å sette seg inn i de ulike regelverkene og hvordan disse treffer dem.

    Under følger en oversikt over kravene som kommer frem i dette kapittelet til virksomheter som er underlagt sikkerhetsloven.

    Tema

    Alle virksomheter i sektoren som er underlagt sikkerhetsloven skal:

    Styringssystem for sikkerhet

    • Etablere og vedlikeholde et styringssystem for sikkerhet som sørger for at virksomheten oppfyller kravene gitt i eller med hjemmel i loven
    • Samordne styringssystemet med ledelsessystem for informasjonssikkerhet og med virksomhetsstyringen for øvrig.
    • Dokumentere styringssystemet skriftlig og revidere ved behov.

    Sikkerhetsklarerte og autoriserte

    • Føre oversikt over virksomhetens ansatte som er sikkerhetsklarert og/eller autorisert iht. sikkerhetsloven. Oversikten skal til enhver tid være oppdatert.

    Skjermingsverdige verdier

    • Vurdere, kartlegge og holde oversikt over virksomhetens skjermingsverdige verdier (definert som skjermingsverdig informasjon, informasjonssystemer, infrastruktur eller objekter). 28

    Sikkerhetsgradert informasjon

    • Kunne motta og håndtere sikkerhetsgradert informasjon til minimum BEGRENSET.

    5.1 Lov om nasjonal sikkerhet (sikkerhetsloven)

    Sikkerhetsloven skal bidra til å trygge nasjonale sikkerhetsinteresser og forebygge, avdekke og motvirke sikkerhetstruende virksomhet. Loven skal også bidra til at sikkerhetstiltak gjennomføres i samsvar med grunnleggende rettsprinsipper og verdier i et demokratisk samfunn. 29

    Sikkerhetsloven gjelder for statlige, fylkeskommunale og kommunale organer. Alle KDs underliggende virksomheter er derfor direkte underlagt sikkerhetsloven. Loven gjelder også for leverandører av varer og tjenester i forbindelse med sikkerhetsgraderte anskaffelser. Ved behov fatter KD vedtak om at loven helt eller delvis skal gjelde for øvrige virksomheter innenfor departementets ansvarsområde, jf. § 1-3.

    5.2 Styringssystem for sikkerhet

    Alle virksomheter som omfattes av sikkerhetsloven skal ha et dokumentert styringssystem for sikkerhet. 30 Kravet gjelder uavhengig av om virksomheten har skjermingsverdige verdier. Styringssystemet skal omfatte alle aktiviteter med betydning for forebyggende sikkerhetsarbeid. Herunder aktiviteter dedikert for sikkerhet og aktiviteter som kan ha betydning for sikkerhet. Styringssystemet bør dekke:

    • Risikostyring
    • Sikkerhetsledelse
    • Sikkerhetsorganisering
    • Sikkerhetstiltak og -prosedyrer
    • Forholdet til andre virksomheter
    • Sikkerhetsoppfølging
    • Sikkerhetsdokumentasjon

    Styringssystemet skal sørge for at virksomheten oppfyller kravene gitt i eller med hjemmel i loven. Utformingen må tilpasses verdiene som skal beskyttes og dimensjoneres med hensyn til risiko for sikkerhetstruende virksomhet. Hva som kreves for å oppnå dette vil variere fra en virksomhet til en annen, og det kan være store forskjeller mellom hva som kreves av de ulike virksomhetene i KDs sektor.

    Styringssystemet skal være samordnet med ledelsessystem for informasjonssikkerhet og virksomhetsstyringen for øvrig. Det innebærer at arbeidet med informasjonssikkerhet skal sees i sammenheng med øvrig arbeid med sikkerhet og beredskap, og at det helhetlige sikkerhetsarbeidet skal være innarbeidet i virksomhetsstyringen på en hensiktsmessig måte.

    Styringssystemet skal gjennomgås årlig, og revideres ved behov. NSM har utarbeidet en veileder i sikkerhetsstyring som kan benyttes. Digitaliseringsdirektoratets veileder for helhetlig styring og kontroll av informasjonssikkerhet kan benyttes i arbeidet med å utforme et helhetlig styringssystem for sikkerhet.

    5.3 Sikkerhetsklarering og autorisasjon

    Virksomheter underlagt sikkerhetsloven må kunne motta og behandle sikkerhetsgradert informasjon. Loven stiller krav til hvordan slik informasjon skal håndteres. Herunder må virksomheten ha ansatte som er sikkerhetsklarert og/eller autorisert for aktuelt nivå.

    Personer som skal ha tilgang til sikkerhetsgradert informasjon, må autoriseres. Personer som skal autoriseres for tilgang til informasjon gradert KONFIDENSIELT eller høyere, må ha gyldig sikkerhetsklarering. 31

    Den enkelte virksomhet har ansvaret for at ansatte har tilstrekkelig sikkerhetsklarering og autorisasjon. Følgende rutiner gjelder for sikkerhetsklarering og autorisasjon av ansatte i virksomheter underlagt KD:

    • Sikkerhetsklarering gjennomføres av Sivil klareringsmyndighet (SKM). Ved behov for sikkerhetsklarering oversendes søknad med begrunnelse og ferdig utfylt personopplysningsblankett til KD. Departementet er anmodende myndighet og fremmer søknaden for SKM etter vurdering .
    • Autorisasjon gjennomføres i den enkelte virksomhet. Foruten de krav og vilkår som følger av sikkerhetsloven med forskrifter stiller KD krav til at to vilkår må være innfridd før KDs underliggende virksomheter kan gjennomføre autorisasjon av egne medarbeidere: (1) Virksomheten har et dokumentert styringssystem for sikkerhet, og (2) virksomhetens autorisasjonsansvarlig er autorisert av KD. Virksomhetens leder er autorisasjonsansvarlig. 32 Ved behov kan autorisasjonsansvaret delegeres internt i virksomheten.

    Mer informasjon om sikkerhetsklarering og autorisasjon finnes på nsm.no.

    5.4 Grunnleggende nasjonale funksjoner

    Grunnleggende nasjonale funksjoner (GNF) er tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser.

    KD skal identifisere og holde oversikt over GNF innenfor departementets ansvarsområde. Kunnskapsdepartementets virksomhet, handlingsfrihet og beslutningsdyktighet er utpekt som en GNF. I tillegg er det utpekt en GNF innenfor forskning og utvikling . Sistnevnte er under arbeid.

    5.5 Skjermingsverdige verdier

    Virksomhetssikkerhetsforskriften definerer skjermingsverdige verdier som: skjermingsverdig informasjon, skjermingsverdige informasjonssystemer, skjermingsverdig infrastruktur og skjermingsverdige objekter 33 .

    KD skal innenfor sitt ansvarsområde utpeke, klassifisere og holde oversikt over skjermingsverdige objekter og infrastruktur. Objekter og infrastruktur er skjermingsverdige dersom det enten kan skade grunnleggende nasjonale funksjoner om de får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse, eller kan skade nasjonale sikkerhetsinteresser på annen måte 34 .

    Identifisering av skjermingsverdige objekter eller infrastruktur kan skje på to måter:

    (1) Virksomheten identifiserer et objekt eller en infrastruktur virksomheten mener kan være skjermingsverdig og melder dette til KD.

    (2) KD identifiserer et objekt eller en infrastruktur som departementet mener kan være skjermingsverdig og tar kontakt med den relevante virksomheten.

    Ved behov vil KD gi virksomheten i oppdrag å skadevurdere verdien. Dersom verdien utpekes som skjermingsverdig, stiller sikkerhetsloven krav om etablering av et forsvarlig sikkerhetsnivå. Det innebærer at det skal være samsvar mellom risiko og tiltak.

    5.6 Sikkerhetstruende investeringer og oppkjøp

    Utenlandske investeringer i, og oppkjøp av, norske virksomheter kan benyttes for å få innsikt i sensitiv informasjon og tilgang til teknologi og ressurser av strategisk betydning.

    For de av KDs underliggende virksomheter som omfattes av sikkerhetsloven, kan utfordringer knyttet til sikkerhetstruende investeringer og oppkjøp håndteres gjennom bestemmelsene om eierskapskontroll i sikkerhetsloven kapittel 10.

    Sikkerhetsloven § 2-5 kan benyttes overfor alle virksomheter, også de som ikke er underlagt sikkerhetsloven. Bestemmelsene her kan også anvendes ved aktiviteter som ennå ikke er satt ut i livet, men som har potensial til å innebære en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet.

    Varslings- og meldeplikt

    Virksomheter som er underlagt sikkerhetsloven har varslings- og meldeplikt til overordnet myndighet etter følgende bestemmelser:

    • Sikkerhetsloven § 4-5: Varslingsplikt om sikkerhetstruende hendelser.
    • Sikkerhetsloven § 9-4: Varslingsplikt om anskaffelser til skjermingsverdig informasjonssystem, objekt eller infrastruktur.
    • Sikkerhetsloven § 10-1: Meldeplikt om erverv av virksomhet.

    For å vurdere om det foreligger en mulig sikkerhetstruende aktivitet, kan følgende spørsmål være til hjelp:

    • Er investoren kontrollert av en annen stats myndigheter?
    • Har investoren tilknytning til en stat som er omtalt i E-tjenestens trusselvurdering , PSTs trusselvurdering og/eller NSMs risikovurderinger ?
    • Gjelder saken sensitiv teknologi eller informasjon?
    • Har saken konsekvenser for kritisk infrastruktur, i tilfeller hvor virksomheten ikke er underlagt sikkerhetsloven?
    • Vil saken kunne få konsekvenser for sikkerheten i kritiske forsyningskjeder?
    • Ligger virksomheten på, eller råder den over, strategisk eiendom (eiendom som ligger i nærheten av, eller kan utgjøre en sikkerhetsrisiko for, et skjermingsverdig objekt eller militært område eller tilsvarende) eller ligger nær slik eiendom?
    • Er det andre forhold i saken som kan karakteriseres som av betydning for nasjonale sikkerhetsinteresser?

    Kontaktpunkter

    Nasjonal sikkerhetsmyndighet (NSM) er utpekt som nasjonalt kontaktpunkt for meldinger om utenlandske oppkjøp og investeringer som kan ha konsekvenser for nasjonale sikkerhetsinteresser.

    • Varsling om sikkerhetstruende hendelser, jf. § 4-5, skal normalt gå direkte, og uten unødig opphold, fra virksomheten til NSM. Henvendelser kan sendes til: postmottak@nsm.no
    • Varsler og meldinger etter de øvrige bestemmelsene, § 9-4 og § 10-1, skal sendes til KD: postmottak@kd.dep.no
    • Andre typer henvendelser, varsler eller behov for bistand til å vurdere sakens betydning kan sendes til postmottak@kd.dep.no

    For mer informasjon om sikkerhetstruende investeringer og oppkjøp, se NSMs veileder i bruk av sikkerhetsloven for å motvirke sikkerhetstruende investeringer og oppkjøp.

    5.7 Forskningssikkerhet og internasjonalt akademisk samarbeid

    En åpen og internasjonalt orientert kunnskapssektor er og blir avgjørende for å nå langsiktige kunnskapspolitiske mål, inkludert for å ivareta langsiktige nasjonale kunnskaps- og kompetansebehov, videreutvikle Norge som en konkurransedyktig kunnskapsnasjon og bidra til å finne løsninger på globale utfordringer. Konferanser, forskningsopphold, mobilitet og tilsvarende er kjerneaktiviteter for sektoren. Samtidig skaper og forvalter norske universiteter, høgskoler og forskningsinstitutter kunnskap innenfor sensitive fagområder som er attraktive også utenfor våre grenser, inkludert for stater Norge ikke har sikkerhetspolitisk samarbeid med. De siste årenes trusselvurderinger omtaler norske forskningsinstitusjoner og kunnskapssektoren som mål for fremmede staters etterretningsvirksomhet. Dette foregår ikke bare gjennom avanserte nettverksoperasjoner, men også ved utplassering av studenter på høyere grads nivå, etablering av relasjoner i akademiske arenaer som for eksempel konferanser, invitasjoner til besøk og forskningsopphold, og gjennom andre tilsynelatende transparente og regulerte prosesser. Underliggende virksomheter må derfor være aktsomme og oppmerksomme, for å forebygge at denne typen forsøk på informasjonsinnhenting fører til at verdier som burde beskyttes, havner i feil hender.

    I stortingsmeldingen om forskningssystemet Meld. St. 14 (2024–2025) Sikker kunnskap i en usikker verden fra mars 2025 lanseres begrepet forskningssikkerhet , som bygger på EUs research security-begrep. EUs definisjon av forskningssikkerhet legger vekt på identifiseringen og håndteringen av risiko knyttet til 1) uønsket kunnskapsoverføring, 2) uønsket påvirkning og innblanding samt 3) brudd på forskningsetikk og faglig integritet gjennom bruk av kunnskap og teknologi til å underminere sentrale samfunnsverdier. EUs arbeid med forskningssikkerhet tar utgangspunkt i etablerte prinsipper for ansvarlig internasjonalisering. Det innebærer blant annet å fremme og forsvare akademisk frihet og institusjonell autonomi, tilrettelegge for fortsatt åpen forskning i tråd med prinsippet «så åpen som mulig, så lukket som nødvendig» og fremme bruk av mest mulig målrettede og proporsjonale tiltak som legger til rette for at risiko skal håndteres, ikke unngås. EUs tilnærming til disse spørsmålene ligger dermed nært opp til den linjen regjeringen har fulgt på dette området i de senere år.

    Ansvarlig internasjonalt kunnskapssamarbeid

    Internasjonalt samarbeid innen høyere utdanning og forskning er avgjørende for å videreutvikle Norge som kunnskapsnasjon. I tråd med etablerte prinsipper om akademisk frihet og institusjonell selvstendighet er det opp til høyere utdannings- og forskningsinstitusjonene selv å velge hvem de ønsker å inngå samarbeid med. Det er avgjørende at institusjonene har et bevisst forhold til de verdiene de forvalter, og legger til rette for en god balanse mellom åpenhet og aktsomhet når de samhandler med andre land. I dette ligger også et ansvar for å sette seg inn i relevant lovgivning, gjøre egne risiko- og sårbarhetsvurderinger og søke råd hos relevante myndigheter ved behov.

    For å tilrettelegge for økt kunnskap og bevissthet om både muligheter, utfordringer og dilemmaer knyttet til internasjonalt samarbeid, har KD tatt initiativ til å utvikle Retningslinjer og verktøy for ansvarlig internasjonalt kunnskapssamarbeid . 35 Retningslinjene er utviklet av HK-dir og Norges forskningsråd som en nettbasert ressurs som oppdateres løpende. Retningslinjene skal bygge opp under institusjonenes eget sikkerhets- og beredskapsarbeid, og være et praktisk verktøy for institusjoner, enkeltforskere og studenter. HK-dir gjennomfører også egne webinarer om ulike temaer og problemstillinger. Målet er at flest mulig blir i stand til å foreta gode kunnskapsbaserte vurderinger av ulike sikkerhetshetsutfordringer man må være forberedt på å møte i sitt internasjonale virke.

    Retningslinjene skal tilrettelegge for en god balansegang mellom en fortsatt åpen høyere utdannings- og forskningssektor og hensynet til nasjonale interesser i bred forstand. Dette er et sentralt tema i den reviderte Panorama-strategien for samarbeid innen høyere utdanning, forskning og innovasjon med prioriterte land utenfor EU/EØS (2021–2027). Her introduseres ansvarlighet som et grunnleggende prinsipp for internasjonalt akademisk samarbeid, på linje med etablerte prinsipper som kvalitet, relevans, gjensidighet og langsiktighet.

    Ulovlig teknologioverføring – eksportkontroll

    Norske universiteter og høgskoler skaper og deler kunnskap innenfor fagområder som kan ha både sivil og militær relevans og nytteverdi. Dette omtales som flerbruksteknologi, og er beskyttet av eksportkontrollregelverket. Eksportkontroll i kunnskapssektoren handler i hovedsak om kontroll av teknologioverføring. Begrepet teknologioverføring, fra det engelske begrepet intangible technology transfer, defineres som spesifikk informasjon nødvendig for utvikling, produksjon eller bruk av varer slik disse begrepene er definert i forskriftens vedlegg. Denne informasjonen tar form som tekniske data eller teknisk assistanse. For mer informasjon om hva teknologioverføring innebærer, se Utenriksdepartementets (UD) retningslinjer.

    UD er ansvarlig myndighet for gjennomføring av eksportkontrollen i Norge. UD har utarbeidet egne retningslinjer for kunnskapssektoren (2020). 36 Råd for samfunnssikkerhet og beredskap har i tillegg skrevet en kort introduksjon på sine nettsider til eksportkontroll og hvilken betydning det har for kunnskapssektoren. 37 Eksportkontroll omtales videre også i HK-dirs retningslinjer for ansvarlig internasjonalt kunnskapssamarbeid. 38

    I Meld. St. 25 (2023–2024) Eksport av forsvarsmateriell fra Norge i 2023, eksportkontroll og internasjonalt ikke-spredningssamarbeid pekes det på at det er et utviklingstrekk at flere land vi ikke har sikkerhetssamarbeid med forsøker å få tak i kunnskap som er relevant for deres egne militære systemer og kapasiteter fra norske teknologimiljøer. Både PST og Etterretningstjenesten har i sine årlige vurderinger i de senere år vist til at utenlandske aktører målrettet forsøker å anskaffe sensitiv kunnskap fra norske kunnskaps- og teknologimiljøer til militær bruk gjennom fordekte anskaffelser. Dette gjøres blant annet ved å plassere og rekruttere egne borgere i avanserte utdannings- og forskningsmiljøer. Kampen om tilgang til kunnskap og forskning står i sentrum av den geopolitiske rivaliseringen og kappløpet om å omsette ny teknologi til militære kapasiteter. Den teknologiske utviklingen gir oss som nasjon mange muligheter, men også utfordringer. I Norge er høyere utdanning gratis, forskerstillinger er godt lønnet og norske utdannings- og forskningsinstitutter holder et høyt internasjonalt nivå innen kunnskapsområder som har militær bruk eller som kan benyttes i utviklingen av masseødeleggelsesvåpen (MØV). Undervannsteknologi og materialteknologi er eksempler på kunnskap som vi vet utenlandske aktører forsøker å anskaffe fra Norge til militær bruk i hjemlandet. De siste årene er flere forsøk på ulovlig teknologioverføring fra Norge avdekket og hindret.

    Regjeringen har sett behov for å styrke eksportkontrollregimet for å svare på de nye utfordringene, og har både satt i gang et arbeid med å tydeliggjøre eksportkontrollforskriften, og har etablert et nytt direktorat under UD, Direktorat for eksportkontroll og sanksjoner (DEKSA). DEKSA skal rustes for å møte saksbehandlings- og veiledningsbehovet for blant annet kunnskapssektoren i forbindelse med teknologioverføring.

    UD har sett behov for å tydeliggjøre hvordan eksportkontrollregelverket treffer kunnskapssektoren, og jobber med endringer i eksportkontrollforskriften. UD jobber blant annet med en definisjon av begrepet «teknologi», bestemmelser om lisensplikt for teknologi, og andre type avklaringer spesifikke for kunnskapssektoren. UD skal etter planen ikraftsette endringene i forskriften første halvår 2025, og vil samtidig med dette publisere en veileder for teknologioverføring rettet mot kunnskapssektoren.

    Det er ulike måter å jobbe med etterlevelse av eksportkontrollregelverket. Noen kan se fordeler med å integrere arbeidet som en del av virksomhetens systematiske arbeid med sikkerhet, og andre kan anse det som formålstjenlig å inkorporere det i virksomhetens ledelsessystem for informasjonssikkerhet. Vi anbefaler å gjennomgå relevante veiledere nevnt over for dette arbeidet tilpasset kunnskapssektoren. På generelt grunnlag kan KD anbefale at virksomhetene utarbeider gode oversikter over sensitive fagområder og lisenspliktig utstyr i egen organisasjon, for å være forberedt på når det må søkes om lisenser. Virksomhetene bør også innarbeide interne rutiner som ivaretar tilstrekkelig beskyttelse mot ulovlig teknologioverføring, samt sørge for ledelsesforankring av dette arbeidet. Det kan være hensiktsmessig å utnevne roller med særskilt ansvar for å søke om eksportlisenser.

    Fotnoter

    28  Virksomhetssikkerhetsforskriften § 2.
    29  Sikkerhetsloven § 1-1.
    30  Virksomhetssikkerhetsforskriften § 3.
    31  Sikkerhetsloven § 8-1.
    32  Sikkerhetsloven § 8-9.
    33  Virksomhetssikkerhetsforskriften § 2.
    34  Sikkerhetsloven § 7-1 første ledd.
    36  UD (2020): Retningslinjer for kontroll med kunnskapsoverføring, tilgjengelig på: https://www.regjeringen.no/no/tema/utenrikssaker/Eksportkontroll/om-eksportkontroll/kunnskap/id2500543/
    37  Beredskapsrådet (2021): Eksportkontroll i kunnskapssektoren, tilgjengelig på: https://www.uis.no/nb/samarbeid/eksportkontroll-i-kunnskapssektoren
    38  HK-dir (2024): Eksportkontroll, lisens og oppholdstillatelse, tilgjengelig på: Eksportkontroll, lisens og oppholdstillatelse | HK-dir (hkdir.no)
    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen