Endringer i sikkerhetsloven – utvidet eierskapskontroll

Stortinget behandlet 9. og 12. juni 2023 regjeringens forslag til endringer i sikkerhetsloven som ble fremmet i Prop. 95L (2022-2023) den 31. mars 2023. Endringsloven ble sanksjonert av Kongen i statsråd den 20. juni 2023 og flere av endringene trådte i kraft 1. juli 2023.

Endringene innebærer blant annet at kretsen av selskaper som kan underlegges loven utvides, samtidig som det er vedtatt større endringer i reglene om eierskapskontroll. Endringene i reglene om eierskapskontroll vil være av betydning ved erverv av aksjer eller eierandeler i selskaper som er underlagt sikkerhetsloven, eller som underlegges sikkerhetslovens regler om eierskapskontroll i henhold til de nye reglene. Hovedformålet med endringene er å styrke evnen til å beskytte nasjonale sikkerhetsinteresser mot sikkerhetstruende økonomisk virkemiddelbruk.

1. LOVENS VIRKEOMRÅDE UTVIDES

Sikkerhetsloven gjelder for statlige, fylkeskommunale og kommunale organer, i tillegg til leverandører av varer eller tjenester i forbindelse med sikkerhetsgraderte anskaffelser etter lovens kapittel 9. Videre følger det av lovens § 1-3 at et departement, innenfor sitt ansvarsområde, skal fatte vedtak om at loven helt eller delvis skal gjelde for nærmere bestemte virksomheter. Dette gjelder virksomheter som behandler sikkerhetsgradert informasjon og virksomheter som råder over informasjon, informasjonssystemer, objekter eller infrastruktur eller driver aktivitet som har avgjørende betydning for grunnleggende nasjonale funksjoner. Fra 1. juli 2023 skal departementet også fatte vedtak om at sikkerhetsloven helt eller delvis skal gjelde for virksomheter som råder over informasjon, informasjonssystemer, objekter eller infrastruktur eller driver aktivitet som har avgjørende betydning for nasjonale sikkerhetsinteresser, uten å kunne knyttes direkte til en grunnleggende nasjonal funksjon.

Endringen er ment å omfatte virksomheter som ikke nødvendigvis faller inn under beskrivelsen av «grunnleggende nasjonale funksjoner» i sikkerhetsloven §1-5 nr. 2, men som likevel har avgjørende betydning for «nasjonale sikkerhetsinteresser», definert i sikkerhetsloven §1-5 nr. 1. Av forarbeidene til endringsloven fremgår det at vedtak kan være aktuelt overfor virksomheter som har rettigheter til eller arbeider med forskning og utvikling innen områder som kan utnyttes til sikkerhetstruende virksomhet av fremmede stater. Dette kan være forsknings- og utviklingsaktivitet innenfor fremvoksende teknologi, som kunstig intelligens eller avansert overvåkningsteknologi. Også virksomheter som råder over verdier som er særlig utsatt for sikkerhetstruende virksomhet vil kunne omfattes. Det samme vil være tilfellet der virksomheten råder over et objekt eller driver aktivitet der skadepotensialet ved manglende kontroll eller innhold på avveie er betydelig, f.eks. kjemiske stoffer, biologisk agens, radioaktive stoffer, nukleært materiale og eksplosiver med høyt skadepotensiale (såkalte "CBRNE-midler"). Virksomhetene skal forhåndsvarsles før vedtak fattes.

2. FLERE VIRKSOMHETER KAN UNDERLEGGES SIKKERHETSLOVENS REGLER OM EIERSKAPSKONTROLL

1. juli 2023 trådte det også i kraft en ny bestemmelse i sikkerhetsloven § 1-3 annet ledd som innebærer at et departement innenfor sitt ansvarsområde kan fatte vedtak om at lovens kapittel 10 om eierskapskontroll skal gjelde for virksomheter som har vesentlig betydning for grunnleggende nasjonale funksjoner, eller virksomheter som har vesentlig betydning for nasjonale sikkerhetsinteresser, uten å kunne knyttes direkte til en grunnleggende nasjonal funksjon. At departementet kan fatte vedtak om at slike virksomheter skal underlegges sikkerhetslovens regler om eierskapskontroll i kapittel 10 er nytt. Endringen innebærer at departementene vil ha mulighet til å holde oversikt over eierforholdene i virksomheter der departementet mener det er nødvendig.

Det fremgår av forarbeidene til endringsloven at departementene i vurderingen av om en virksomhet skal underlegges bestemmelsene om eierskapskontroll skal gjøre en konkret helhetsvurdering av om sårbarheter og avhengigheter i sektoren gjør at det er behov for å holde oversikt over eierskapet i virksomheten. Det kan også være av betydning om virksomheten, eventuelt andre virksomheter i sektoren, er særlig utsatt for sikkerhetstruende virksomhet, eksempelvis gjennom etterretningsvirksomhet eller sikkerhetstruende økonomisk aktivitet fra trusselaktører. Virksomheter som driver forsknings- og utviklingsaktivitet innenfor fremvoksende teknologier, herunder kunstig intelligens, avansert overvåkningsteknologi eller kommunikasjonsteknologi vil være eksempler på virksomheter som kan underlegges eierskapskontroll.

Hvorvidt en virksomhet med hjemmel i sikkerhetsloven §1-3 annet ledd skal underlegges lovens kapittel 10 om eierskapskontroll beror på departementets skjønn. Departementet må foreta en samlet vurdering av om det vil være egnet og nødvendig å holde kontroll med eierskapet i slike virksomheter. Virksomhetene skal forhåndsvarsles før vedtak fattes.

3. ENDRINGER I REGLENE OM EIERSKAPSKONTROLL

3.1 Endringer i reglene om meldeplikt

Det er også vedtatt større endringer i bestemmelsen om meldeplikt i sikkerhetsloven § 10-1. Endringene vil tre i kraft når nødvendige forskriftsendringer er gjort.

3.1.1 Flere virksomheter underlegges reglene om meldeplikt

Meldeplikten gjelder for den som vil erverve en kvalifisert eierandel i en virksomhet som er underlagt sikkerhetsloven i henhold til § 1-3 første ledd eller reglene om eierskapskontroll i henhold til sikkerhetsloven § 1-3 annet ledd (jf. punkt 1 og 2 ovenfor). Når endringene i § 10-1 trer i kraft, vil meldeplikten også gjelde ved erverv av eierandeler i virksomheter som er leverandører av varer eller tjenester i forbindelse med sikkerhetsgraderte anskaffelser som innehar leverandørklarering i henhold til sikkerhetsloven § 9-3 (leverandørklarerte virksomheter). At erverv av eierandeler i leverandørklarerte virksomheter underlegges reglene om meldeplikt er altså nytt.

Etter den gjeldende sikkerhetsloven er leverandørklarerte virksomheter pålagt å melde fra om endringer i bl.a. eierstruktur i henhold til sikkerhetsloven § 9-3 fjerde ledd. Dersom det oppstår en sikkerhetsrisiko som ikke kan fjernes med forebyggende sikkerhetstiltak, kan klareringsmyndigheten inndra leverandørklareringen.

I forarbeidene til endringsloven påpekes det at tilbakekall av leverandørklareringen ikke alltid er tilstrekkelig for å håndtere sikkerhetsrisikoen. Særlig i tilfeller hvor det er inngått store og komplekse leveransekontrakter som strekker seg over lang tid, vil leverandøren kunne ha tilegnet seg kompetanse og informasjon som kan utgjøre en sikkerhetsrisiko også etter at leverandørklareringen trekkes tilbake, sikkerhetsgradert informasjon leveres tilbake eller slettes, og kontrakten termineres. Dette vil kunne være informasjon eller kunnskap som kan utgjøre en sikkerhetsrisiko dersom den kommer på avveie. I slike tilfeller påpeker departementet at det er behov for at bestemmelsene om eierskapskontroll gjøres gjeldende overfor leverandørene, slik at myndighetene om nødvendig kan fatte et vedtak om å nekte erverv av den aktuelle virksomheten eller stille vilkår for ervervet som gjør at kontraktsforholdet kan fortsette etter at ervervet er gjennomført.

Departementet understreker i forarbeidene at det primære virkemiddelet ved melding om endringer i eierstruktur for leverandørklarerte virksomheter fortsatt vil være fornyet vurdering av leverandørklareringen. Et vedtak om å stanse eller sette nærmere vilkår for gjennomføring av et erverv, forutsetter at dette er et nødvendig og forholdsmessig tiltak for å sikre at nasjonale sikkerhetsinteresser ikke blir truet. Det påpekes imidlertid at et vedtak om stans eller vilkår for erverv kan være mindre inngripende enn å trekke tilbake leverandørklareringen, med de konsekvenser terminering av kontrakten vil ha for leverandøren.

3.1.2 Også virksomheten og avhenderen pålegges meldeplikt

Etter den gjeldende sikkerhetsloven påligger meldeplikten erververen av en kvalifisert eierandel i en virksomhet som er underlagt loven. Når endringene i sikkerhetsloven § 10-1 trer i kraft, vil meldeplikten påhvile både den som direkte eller indirekte erverver eierandelen, i tillegg til at både avhenderen av eierandelen og virksomheten ervervet gjelder pålegges meldeplikt i visse tilfeller. Bakgrunnen for endringen er å sikre at melding om ervervet kommer inn til myndighetene slik at myndighetene kan vurdere det.

3.1.3 Endringer i terskelen for hva som utgjør et meldepliktig erverv

Etter den gjeldende sikkerhetsloven § 10-1 første ledd inntrer meldeplikt ved erverv av en "kvalifisert eierandel" i en virksomhet som er underlagt loven. En "kvalifisert eierandel" innebærer at ervervet direkte eller indirekte samlet vil føre til at erververen oppnår minst en tredjedel av aksjekapitalen, andelene eller stemmene i virksomheten, rett til å bli eier av minst en tredjedel av aksjekapitalen eller andelene eller betydelig innflytelse over forvaltningen av selskapet på annen måte.

Det er nå vedtatt å senke terskelen for meldeplikt i sikkerhetsloven § 10-1 første ledd. Når endringene trer i kraft, vil tilfeller der ervervet fører til at erververen direkte eller indirekte samlet oppnår minst 10 prosent av eierandelene eller stemmene i virksomheten være meldepliktig. Det samme gjelder dersom erververens eierandel økes til henholdsvis minst 20 prosent, en tredjedel, 50 prosent, to tredjedeler og 90 prosent av eierandelene eller stemmene i virksomheten. Ervervet vil også være meldepliktig dersom erververen oppnår betydelig innflytelse over forvaltningen av virksomheten på annen måte. Meldeplikt inntrer også dersom erververen sammen med sine nærstående (som definert i verdipapirhandelloven § 2-5) oppfyller de nevnte vilkårene for meldeplikt.

3.2 Gjennomføringsforbud

Den gjeldende sikkerhetsloven inneholder ikke noe forbud mot gjennomføring av et erverv etter at melding er sendt inn til departementet. Det er nå vedtatt å endre loven slik at et meldepliktig erverv ikke kan gjennomføres før meldingen er behandlet etter sikkerhetsloven § 10-2. Det betyr at overdragelsen av aksjene eller andelene ("closing") ikke skal skje før myndighetene har avsluttet behandlingen av saken.

I henhold til sikkerhetsloven § 10-2 første ledd skal departementet eller sikkerhetsmyndigheten ta stilling til meldingen "så raskt som mulig". Videre følger det av tredje ledd at departementet eller sikkerhetsmyndigheten innen 60 arbeidsdager skal orientere melderen om ervervet er godkjent, eller om at saken skal behandles av Kongen i statsråd etter § 10-3. Fristen regnes fra det tidspunktet meldingen er mottatt av departementet eller sikkerhetsmyndigheten. Dersom departementet eller sikkerhetsmyndigheten innen 50 arbeidsdager har fremsatt et skriftlig krav om ytterligere opplysninger, avbrytes fristen inntil svaret er mottatt. Det kan med andre ord gå lang tid fra melding er sendt til det foreligger en avklaring i saken.

Endringene i § 10-2 har ikke trådt i kraft og det er forventet at endringene vil tre i kraft når nødvendige forskriftsendringer er gjort.


3.3 Krav til samtykke ved deling av informasjon som kan brukes til sikkerhetstruende virksomhet

I forbindelse med en kjøpsprosess innhenter kjøper ofte en del informasjon om virksomheten det erverves aksjer eller andeler i (ofte gjennom en "due diligence"). Det er nå vedtatt en ny bestemmelse i sikkerhetsloven § 10-4 som innebærer at det i forbindelse med et meldepliktig erverv ikke kan deles informasjon som kan brukes til sikkerhetstruende virksomhet uten samtykke. Endringen vil tre i kraft når nødvendige forskriftsendringer er gjort. Kravet om samtykke gjelder før ervervet er gjennomført. Som eksempler på informasjon som etter omstendighetene kan brukes til sikkerhetstruende virksomhet nevnes blant annet i forarbeidene informasjon om verdier og sårbarheter til verdier som virksomheten eller virksomhetens kunder forvalter, informasjon om kundelister, leverandører og egne ansatte, informasjon om (skjermingsverdige) objekter, informasjonssystemer og infrastruktur og informasjon om tekniske beskrivelser, produksjonsmetoder, teknologi og drift. Forbudet mot deling av informasjon omfatter ikke offentlig kjent informasjon. Slik informasjon kan deles uten samtykke.

Spørsmålet om samtykke skal rettes til og avgjøres av departementet. Dersom virksomheten ikke omfattes av noe departements ansvarsområde, skal spørsmålet rettes til og avgjøres av sikkerhetsmyndighetene. Forespørsel om informasjonsdeling skal behandles «så raskt som mulig». Dersom samtykke gis, kan myndighetene fastsette vilkår for deling av informasjon. Et mulig vilkår kan være at informasjon bare deles med særskilte rådgivere (et såkalt "clean team") uten å deles med erverver, på tilsvarende måte som man ofte gjør ved håndtering av konkurransesensitiv informasjon i en due diligence.

Nærmere regler om hvilken informasjon som er omfattet av forbudet mot deling av informasjon, avgjørelser om informasjonsdeling, saksbehandling og hvilke vilkår som kan stilles for informasjonsdeling mellom partene kan fastsettes i forskrift.


3.4 Sanksjoner
Brudd på reglene om eierskapskontroll medfører etter den gjeldende sikkerhetsloven verken overtredelsesgebyr eller straff. Det er nå vedtatt en ny bestemmelse i sikkerhetsloven § 11-3 annet ledd, som gir sikkerhetsmyndigheten hjemmel til å ilegge overtredelsesgebyr for den som forsettlig eller uaktsomt overtrer meldeplikten etter § 10-1.

Ved fastsettelse av overtredelsesgebyrets størrelse skal det særlig legges vekt på overtredelsens grovhet, overtredelsens varighet, utvist skyld og virksomhetens omsetning. Det er fastsatt hjemmel til å gi nærmere regler om overtredelsesgebyr i forskrift. Det er også vedtatt en ny bestemmelse i sikkerhetsloven § 11-4 fjerde ledd, som åpner for ileggelse straff i form av bot eller fengsel i inntil ett år, eller begge deler, for den som forsettlig eller uaktsomt overtrer et vedtak om stans av erverv av virksomhet fastsatt i henhold til sikkerhetsloven § 10-3. For erververen vil det kunne fremstå uklart hvorvidt den aktuelle virksomheten er underlagt sikkerhetsloven. Av den grunn bør erverver undersøke dette tidlig i ervervsprosessen, slik at en kan få klarhet i om ervervet er meldepliktig. Endringene vil tre i kraft når nødvendige forskriftsendringer er gjort.

4. HVILKEN BETYDNING FÅR ENDRINGENE?

Endringene innebærer at flere virksomheter vil omfattes av reglene om eierskapskontroll i sikkerhetsloven kapittel 10. Leverandørklarerte virksomheter vil omfattes når endringene i § 10-1 trer i kraft, og departementet kan allerede fra 1. juli varsle vedtak om at nye kategorier av virksomheter skal underlegges sikkerhetsloven helt eller delvis. Da dette vil avhenge av vurderinger i de enkelte departementene, må det antas at det vil gå noe tid før rekkevidden av endringene er klarlagt.

For virksomheter som allerede er omfattet av sikkerhetsloven og leverandørklarerte virksomheter, vil det være nødvendig å ta hensyn til de endrede reglene om eierskapskontroll fra det tidspunktet endringene trer i kraft. Selskaper som vurderer kjøp av eierandeler i virksomheter som omfattes av reglene bør derfor ta høyde for de nye reglene når transaksjonen planlegges.