Søknadsprosess for skjermingsverdige informasjonssystemer

I samarbeid med relevante aktører i forsvarssektoren starter NSM i 2026 et prosjekt som ser på implementasjon av Forsvarsdepartementets (FD) nye konsept for sikkerhetsgodkjenning av skjermingsverdige informasjonssystemer.

Resultatet av dette arbeidet er forventet å påvirke hvordan NSM i framtiden saksbehandler godkjenningssøknader og delegerer godkjenningsmyndighet.

NSM har samtidig startet et arbeid med å kartlegge og utarbeide veiledere, opplysningsblanketter og dokumentmaler for de viktigste sikkerhetsaktivitetene som kreves av regelverket gjennom livsløpet til skjermingsverdige informasjonssystemer. NSM er også i ferd med å etablere en kapasitet for rådgivning knyttet til disse sikkerhetsaktivitetene.

Dialogen starter når virksomheten som er hovedeier av informasjonssystemet ved oppstart av arbeidet, presenterer initiell informasjon om det skjermingsverdige informasjonssystemet og overordnet informasjon om virksomhetene som skal eie, utvikle, drifte og bruke informasjonssystemet. 

Til dette formål brukes blant annet: 

a) NSMs systemopplysningsblankett for initiell informasjon om selve informasjons-systemet.
b) NSMs virksomhetsopplysningsblankett for overordnet informasjon om den enkelte virksomhet.

Kontakt NSM for å få blanketter tilsendt. Se kontaktinformasjon nederst i artikkelen. 

Dialogen tar for seg systemeiers utkast til godkjenningsplan samt følgende grunnlagsdokumentasjon fra tidligere aktiviteter i livsløpet:

a) Systembeskrivelse av informasjonssystemets funksjonalitet og operative miljø.
b) Initiell vurdering av risiko for informasjonssystemet og dets skjermingsverdige verdier.
c) Høynivå arkitektur og -design for informasjonssystemet.
d) Gjeldende regelverk og sikkerhetskrav tolket ift. de systemspesifikke sikkerhetsbehovene gitt i punktene a–c.
e) Systemopplysningsblanketter som skjematisk og kortfattet oppsummerer informasjonen i punktene a–d. Blankettene er NSMs primære veivisere gjennom systemdokumentasjonen.

Godkjenningsplanen inneholder minimum en beskrivelse av roller og ansvar i forbindelse med godkjenningen samt innhold og tidsplan for de planlagte godkjenningsleveransen(e).

Søknaden skal inneholde følgende grunnlagsdokumentasjon fra tidligere aktiviteter i livsløpet til informasjonssystemet:

a) Dokumentasjonen i punktene 2.a–e oppdatert i tråd med utført systemutvikling og implementasjon.
b) Detaljert arkitektur og design for informasjonssystemet.
c) Systemspesifikke sikkerhetstiltak som er valgt for å oppfylle de gjeldende sikkerhetskravene.
d) Prosedyrer for sikker bruk og drift av informasjonssystemet.
e) Testplaner og testrapporter fra sikkerhetstesting av informasjonssystemet.
f) Konsolidert risikovurdering som tar hensyn til alle relevante forhold beskrevet i punktene 3. a–e over.
g) Systemopplysningsblanketter som skjematisk og kortfattet oppsummerer informasjonen i punktene 3. b–f over. Blankettene er NSMs primære veivisere gjennom systemdokumentasjonen.

Informasjonssystemet skal godkjennes på nytt dersom systemløsningen eller risikobildet til informasjonssystemet endres vesentlig. Regodkjenningen har fokus på disse endringene.

Virksomheten kan kontakte NSM for å avklare om ønskede endringer er vesentlige. Utgangspunktet for regodkjenningen er systemeiers grunnlagsdokumentasjon fra tidligere aktiviteter i livsløpet, det vil si dokumentasjonen i punkt 3 over oppdatert i tråd med de ønskede endringene.

Det skal leveres en termineringsrapport til godkjenningsmyndigheten.