Viktige endringer i sikkerhetsloven

Det er nylig vedtatt flere viktige endringer i sikkerhetsloven som utvider virkefeltet og øker betydningen for virksomheter og oppkjøp. Enkelte av endringene trådte i kraft 1. juli 2023 og resterende endringer vil tre i kraft når nødvendige forskriftsendringer er gjennomført, antakelig sent i 2023 eller tidlig 2024.

Granskning og compliance

Bakgrunnen for endringene er at trusselbildet har endret seg og særlig at trusselaktører i stadig større grad benytter seg av økonomiske virkemidler for å drive sikkerhetstruende virksomhet. Eksempelvis vet vi at trusselaktører forsøker å få innpass i verdikjeder eller forsøker å gjennomføre oppkjøp som kan gi tilgang til sensitiv eller skjermingsverdig informasjon eller kontroll over skjermingsverdig informasjon, infrastruktur, objekter mv. Endringene i sikkerhetsloven skal øke myndighetenes evnen til å fange opp slik sikkerhetstruende økonomisk aktivitet og derigjennom styrke muligheten til å beskytte norske sikkerhetsinteresser og øke motstandskraften mot et langt mer sammensatt trusselbilde. Endringene skal gi norske myndigheter større mulighet til å oppdage, vurdere og eventuelt stanse økonomisk aktivitet som kan true nasjonal sikkerhet. I tillegg innebærer reglene at næringslivet selv får bedre verktøy til å håndtere sikkerhetstrusler.

Særlige viktige endringer for næringslivet er de som omhandler meldeplikt. Langt flere transaksjoner enn i dag vil bli underlagt eierskapskontroll og dette vil få direkte konsekvenser for gjennomføringen av disse da det innføres et gjennomføringsforbud. I tillegg strammes det til hva gjelder sensitive eiendommer og virksomhetene får selv et ansvar for å vurdere risiko knyttet til slike eiendommer. Det er et uttalt formål at eierskapskontrollen, og pliktene som ellers påligger næringslivet, ikke skal medføre unødvendige negative konsekvenser. Endringene i sikkerhetsloven søker således å balansere en effektiv kontroll med ønske om et fortsatt gunstig investeringsklima i Norge, som er viktig for norsk verdiskapning og norske arbeidsplasser.

De hovedsakelige endringene som trådte i kraft 1. juli 2023 er som følger:

Departementene gis utvidet kompetanse til å fatte vedtak om at bestemmelsene i sikkerhetsloven skal gjelde for flere virksomheter enn tidligere. Virksomheter kan fremover underlegges loven dersom de råder over informasjon, informasjonssystemer, objekter eller infrastruktur, eller driver annen aktivitet, som har avgjørende betydning for nasjonale sikkerhetsinteresser uten å kunne knyttes direkte til grunnleggende nasjonale funksjoner.
I tillegg senkes terskelen for å underlegge virksomheter bestemmelsene om eierskapskontroll i kapittel 10. Flere virksomheter vil fremover kunne underlegges kapittel 10 selv om de ikke kan underlegges resterende deler av loven.
Virksomheter pålegges å identifisere eiendommer som på grunn av beliggenheten kan legge til rette for sikkerhetstruende aktiviteter mot skjermingsverdige objekter eller infrastruktur. Dersom det ikke er mulig å opprettholde et tilstrekkelig sikkerhetsnivå for slike eiendommen, skal sikkerhetsmyndigheten eller tilsynsmyndigheten varsles og departementet skal holde oversikt over eiendommene som det varsles om.
Enkelte definisjoner utvides, slik som definisjonen av skjermingsverdige informasjonssystemer, objekter og infrastruktur. Slike endringer får konsekvenser for hvordan skjermingsverdige verdier klassifiseres og for virksomhetenes vurdering og iverksettelse av sikkerhetstiltak for å opprettholde et forsvarlig sikkerhetsnivå. I denne sammenheng kan det minnes om at overtredelse av plikten til iverksette sikkerhetstiltak for å opprettholde et forsvarlig sikkerhetsnivå kan føre til overtredelsesgebyrer.

De hovedsakelige endringene som vil tre i kraft senere er som følger:

Terskelen for meldeplikt senkes fra minst én tredjedel til 10 prosent av aksjekapitalen, andelene eller stemmene.
Videre klargjør det nye forslaget til lovtekst at meldeplikt også utløses ved økning til minst 20 %, en tredjedel, 50 %, to tredjedeler og 90 % aksjekapitalen, andelene eller stemmene i virksomheten. Dermed utløses meldeplikt ved gradvis oppkjøp. Dette er en presisering av ordlyden som tidligere var tvetydig.
Det foreslås et automatisk gjennomføringsforbud i tidsperioden myndighetene vurderer ervervet etter at melding er sendt.
Både kjøper, selger og virksomheten selv har meldeplikt. For selger og virksomheten gjelder meldeplikten imidlertid bare ved direkte erverv av en eierandel, andel eller stemmene.
Virksomheter med leverandørklarering etter sikkerhetsloven § 9-3 vil fremover omfattes av reglene om meldeplikt og gjennomføringsforbud. Tidligere har endringer i eierstruktur hos slike virksomheter utelukkende kunnet medføre tilbaketrekning av leverandørklareringen. Nå kan altså slike transaksjoner stanses.
I forbindelse med et erverv som er omfattet av meldeplikten etter kapittel 10, kan informasjon som kan brukes til sikkerhetstruende virksomhet, ikke deles uten samtykke før ervervet er gjennomført.
Det foreslås at sikkerhetsmyndigheten kan ilegge overtredelsesgebyr for brudd på meldeplikten og brudd på gjennomføringsforbudet. Forsettlige eller uaktsomme brudd på vedtak etter § 2-5 (nødvendige vedtak truffet av Kongen i statsråd) og § 10-3 (vedtak om stans) kan sanksjoneres med straff.

I tillegg til nevnte endringer, er det grunn til å tro at det vil komme flere endringer på dette området fremover. Særlig er det behov for å koble eksportkontrollregelverket og sikkerhetsloven sammen. Hvordan disse områdene skal kobles og hvordan samhandlingen mellom eksportkontrollmyndighetene og myndighetene etter sikkerhetsloven skal være, må imidlertid utredes.