Formålet med nedbrytingen er å ende opp med en underfunksjon som ivaretas av én virksomhet som råder over objekter, infrastrukturer og informasjonssystemer, eller driver aktivitet, av avgjørende betydning for GNF. Med andre ord brytes GNF ned til hensiktsmessig nivå for å identifisere virksomhet som tilfredsstiller § 1-3 første ledd.

Dette kan illustreres på følgende måte:

Figur 3.3

Figur 3.3: Hierarkisk nedbrytning

Figur 3.3 illustrerer prinsippene for hierarkisk nedbrytning av en GNF til underfunksjoner. Her er det gjort et skille mellom «og»-porter og «eller»-porter. Og-porter illustrerer der hvor man har flere underfunksjoner som er avgjørende for GNF. I figuren er dette vist gjennom “Underfunksjon 1.1” og “Underfunksjon 1.2”, og det betyr at begge er avgjørende for GNF. Mens man på “Underfunksjon 1.2” kan avgrense til én virksomhet (som dermed blir av avgjørende betydning), må “Underfunksjon 1.1” deles videre inn underfunksjoner.

Nederst i figuren illustreres en eller-port, hvor man har flere (i figuren to) virksomheter som kan utføre/levere en underfunksjon. I prinsippet blir dermed ikke disse virksomhetene av avgjørende betydning fordi de ikke alene er av avgjørende betydning. Slike virksomheter kan likevel kvalifisere som av vesentlig betydning, og kan inngå i departementets oversikt etter § 2-1 b.

Nedbrytning av GNF til underfunksjoner kan være utfordrende i praksis. Et nyttig hjelpemiddel til nedbrytningen kan være å benytte enkle regler for hvordan underfunksjonene defineres. Å begynne med et verb, for eksempel ivareta, sikre, levere kan man lettere illustrere det aktive i funksjonen, f.eks. «Ivareta system for krisestøtte» kan bedre illustrere den aktuelle leveransen enn enkeltordet «krisestøttesystem». Videre bør også underfunksjonene avgrenses, f.eks. geografisk, eller en annen hensiktsmessig konkretisering (se eksempel i 3.3).

Under nedbrytningen kan departementet bruke scenariotilnærming for å vurdere en virksomhets funksjons’ rolle. F.eks. kan det stilles spørsmål rundt hva som skjer med GNF dersom en konkret virksomhets leveranse/tjeneste faller bort.

Departementet definerer i dette steget én eller flere underfunksjoner som er nødvendig for GNF, og som hver ivaretas av en virksomhet. Det kan være at virksomhetens funksjon ikke samsvarer med funksjonen til ett konkret objekt, infrastruktur, eller informasjonssystem. Det kan derfor være nødvendig å gjennomføre en videre konkretisering av virksomhetens funksjon i samarbeid med virksomheten.

Departementet vil i mange tilfeller kunne identifisere skjermingsverdige verdier når de identifiserer virksomheter. Men ulike departement kan ha ulik grad av detaljkunnskap i egen sektor, og det vil derfor være forskjellige utgangspunkt og fremgangsmåter for å identifisere virksomheter, f.eks.:

  1. Et departement identifiserer hvilke virksomheter som er av avgjørende betydning basert på god kjennskap om hvilke skjermingsverdige verdier de råder over, eller at de har fastsatt grenseverdier for hva som er av avgjørende betydning. Departementet fatter vedtak etter § 1- 3 bokstav b, med begrunnelse.
  2. Et departement identifiserer virksomheter som er av avgjørende betydning basert på fastsatte grenseverdier i GNF-beskrivelse, men har ikke kjennskap til hvilke (potensielt) skjermingsverdige verdier virksomheten råder over. Departementet fatter vedtak etter § 1-3 bokstav c, med begrunnelse. Virksomheter som ikke når opp til fastsatte grenseverdier, men som fremdeles er viktige, kan likevel inngå i departementets oversikt over virksomheter av vesentlig betydning.
  3. Departementet identifiserer virksomheter som er av avgjørende betydning ved at det meldes inn avhengighet fra annen virksomhet omfattet av sikkerhetsloven. Her bør det legges til grunn en samfunnsøkonomisk vurdering av vedtak etter § 1-3. Informasjon om avhengigheter kan enten komme fra virksomheter i egen sektor, fra annet departement eller fra sikkerhetsmyndigheten.

Departementet identifiserer virksomheter som skal omfattes av sikkerhetsloven etter §1-3 som følge av behov for etablering av skjermingsverdige verdier, eller som følge av behov for å behandle sikkerhetsgradert informasjon.