🏠 Forside § Lover 📜 Forskrifter 💼 Bransjeforskrifter 📰 Lovtidend 🏛 Stortingsvoteringer Domstoler 🇪🇺 EU/EØS 📄 Siste endringer 📚 Rettsomrader 📊 Statistikk 🔍 Avansert sok Hjelp
Hjem / Horinger / Horing / Horingssvar
Regjeringen Med merknad
Til horingen: Høring – endringer i sikkerhetsloven § 8-4 om avgjørelse av klarering

KraftCERT AS

Departement: Beredskapsdepartementet
Dato: 22.04.2025 Svartype: Med merknad KraftCERT takkar Justis- og beredskapsdepartementet for invitasjon til å gi høyringsinnspel til «Høring om endringer i sikkerhetsloven § 8-4 om avgjørelse av klarering». KraftCERT er positive til forslag om å tydeleggjere at avgjerder i klareringssaker skal baserast på konkrete, individuelle og heilskaplege vurderingar. Det er viktig at vurderingar av tryggingsklarering er rettferdig og føreseieleg, og så objektivt og transparent som mogleg. Å få avslag på søknad på tryggingsklarering kan avgrense jobbmoglegheiter for kompetente arbeidstakarar. Derfor er det positivt at lova blir tydeleg i at tilhøve som talar til gunst for personen skal vektleggast. Personens "sikkerhetsmessige bevissthet" Kommentar til «Departementet foreslår også at en persons sikkerhetsmessige bevissthet bør reflekteres i listen over hvilke forhold som kan tillegges vekt, jf. § 8-4 fjerde ledd.». Det er uklart kva som meinast med omgrepet [personens] «sikkerhetsmessige bevissthet», som er foreslått inn i lova. «Sikkerhetsmessig bevissthet» er ikkje eit definert omgrep frå før, og Departementet peikar ikkje på meir operasjonalisering eller definisjon, utover at det "allerede er praksis" og "må være sårbarhetsreduserende for at det skal kunne vektlegges". KraftCERT meiner at departementet ikkje kan legge til grunn at omgrepet er eller vil bli forstått likt. Det er dermed risiko for vilkårleg vurdering i saker som har store konsekvensar for dei individa det gjeld. KraftCERT forstår omgrepet «sikkerhetsmessig bevissthet» som ei oversetting av det engelske omgrepet «Security awareness». Dette er eit lite definert og operasjonalisert omgrep. Trass i dette er det mange verksemder som gjennomfører ulike former for trening og opplæring med mål om å auke «sikkerhetsmessig bevissthet» (sjå t.d. NSRs Mørketallsundersøkelse 2024, s. 29). Men forskning på «Security awareness training» finn ofte ingen/lite effekt av treningstiltak, og nokre gongar også negative reaksjonar frå dei som gjennomfører treninga. Også fleire sikkerhetsselskap har dei siste åra stilt spørsmål om både omgrepet og om nytte ved trening og opplæring for å auke «bevissthet». I NSMs «Temarapport Innsiderisiko» (2019) står det m.a. at «Handlinger som begås av ubevisste innsidere henger ofte sammen med lav sikkerhetsmessig bevissthet hos den aktuelle personen» (s.11, kursiv lagt til). Vidare vert det hevda at handlingar kan skuldast «ansattes manglende kunnskap, naivitet, uoppmerksomhet, manglende bevissthet, eller sviktende kjennskap til sikkerhetsregler og rutiner i virksomheten» (s. 12). Ein meir heilskapeleg måte å sjå «handlinger» på, vil vere å også inkludere situasjons- og kontekstfaktorar. Det kan til dømes vere arbeidsprosessar, arbeidsbelastning, bemanning og roller, utforming og design av digitale verktøy, og andre faktorar som ligg til organisasjon og arbeidsmiljø, og ikkje berre individets «bevissthet». I og med at Departementet i høyringsnotatet skriv at i vurdering av sikkerhetsmessig bevissthet «kan det blant annet legges vekt på hvordan man har handlet sikkerhetsmessig i nåværende og tidligere arbeidsforhold», vil dette avhenge av det ligg føre ei god forståing av og grundig gransking av «hvordan man har handlet sikkerhetsmessig». Departementet nemner at «virksomheten kan redegjøre for dette og dokumentere hvordan eventuelle sikkerhetsmessige hendelser har blitt håndtert», og at det kan vere «refleksjoner rundt sikkerhetsmessig bevissthet» i sikkerhetssamtalar. Det kan stillast spørsmål ved om dette er ei tilstrekkjeleg løysing. Det kan finnast andre faktorar, som t.d. personlegdomstrekk, som kan vere vel så viktig faktor i å vurdere «sikkerhetsmessig skikkethet». Personlegdom er langt meir definert, og har betydeleg mer empirisk kunnskapsgrunnlag gjennom fleire tiår med forsking, enn det «sikkerhetsmessig bevissthet» har. FFI-rapporten « Hva vet vi om innsiderrisiko? » (rapport 23/00546) understrekar t.d. personlegdomstrekk («den mørke triaden» / dark triad ) som relevant for innsiderrisiko og vurdering av «sikkerhetsmessig skikkethet», og «personens pålitelighet, lojalitet og dømmekraft» (ref. sikkerhetsloven). Departementet vil truleg vere einig i at det er vanskeleg å regulerere krav til personlegdom gjennom lov og forskrift (eller i rettleiar). Eksempelet her er kun meint å understreke eit poeng: Sjølv om noko er praksis, er det ikkje nødvendigvis formålstjenleg eller effektivt å fastsette i lov. Som FFI-rapporten nemnt over konkluderer: det trengs meir forskning på dette temaet. Den forskinga trengs raskt, m.a. for å avgjere kva som er mogleg å regulere i lov og forskrift, og for å få meir innsikt i noko som er svært samansett, nemleg kva som påverkar «sikkerhetsmessig skikkethet» og «personens pålitelighet, lojalitet og dømmekraft», og korleis vurdere dette på fagleg godt grunnlag. KraftCERT ønskjer lukke til i vidare arbeid. Justis- og beredskapsdepartementet Til høringen Til toppen <div class="page-survey" data-page-survey="133" data-page-survey-api="/api/survey/SubmitPageSurveyAnswer" data-text-hidden-title="Tilbakemeldingsskjema" data-text-question="Fant du det du lette etter?"