Informasjonen på denne siden erstatter NSMs veileder for godkjenning av informasjonssystem fra 2020. 

Pågående arbeid i 2026

I samarbeid med relevante aktører i forsvarssektoren starter NSM i 2026 et prosjekt som ser på implementasjon av Forsvarsdepartementets (FD) nye konsept for sikkerhetsgodkjenning av skjermingsverdige informasjonssystemer.

Resultatet av dette arbeidet er forventet å påvirke hvordan NSM i framtiden saksbehandler godkjenningssøknader og delegerer godkjenningsmyndighet.

NSM har samtidig startet et arbeid med å kartlegge og utarbeide veiledere, opplysningsblanketter og maler for de viktigste sikkerhetsaktivitetene som kreves av regelverket gjennom livsløpet til skjermingsverdige informasjonssystemer. NSM er også i ferd med å etablere en kapasitet for rådgivning knyttet til disse sikkerhetsaktivitetene.


Systemeiers interaksjon med godkjenningsmyndigheten om godkjenninger

Det er fem ulike typer interaksjon med godkjenningsmyndigheten i forbindelse med godkjenning av skjermingsverdige informasjonssystemer. Et viktig aspekt ved disse interaksjonene er overlevering av dokumentasjon på at sikkerhetsaktivitetene som kreves gjennomført av regelverket (ref. sikkerhetsloven §4-4 og virksomhetsikkerhetsforskriften §11), er utført som påkrevd og med tilfredsstillende resultat. 

NSMs rådgivningsmiljø kan bistå som sparringspartner i forkant av alle disse interaksjonene som er beskrevet i detalj under.

1. Dialog om oppstart av sikkerhetsarbeidet på informasjonssystemet

Dialogen starter når virksomheten som er hovedeier av informasjonssystemet ved oppstart av arbeidet, presenterer initiell informasjon om det skjermingsverdige informasjonssystemet og overordnet informasjon om virksomhetene som skal eie, utvikle, drifte og bruke informasjonssystemet. 

Til dette formål brukes blant annet: 

  • a) NSMs systemopplysningsblankett for initiell informasjon om selve informasjons-systemet.
  • b) NSMs virksomhetsopplysningsblankett for overordnet informasjon om den enkelte virksomhet.

Kontakt NSM for å få blanketter tilsendt. Se kontaktinformasjon nederst i artikkelen. 

2. Etablering av plan for godkjenningsleveranser

Dialogen tar for seg systemeiers utkast til godkjenningsplan samt følgende grunnlagsdokumentasjon fra tidligere aktiviteter i livsløpet:

  • a) Beskrivelse av informasjonssystemets operative miljø og funksjon (også kalt systembeskrivelsen).
  • b) Initiell vurdering av risiko og toleransegrenser for informasjonssystemet i forhodl til skade på nasjonale sikkerhetsinteresser.
  • c) Høynivå arkitektur og -design for informasjonssystemet.
  • d) Gjeldende regelverk og relevante sikkerhetskrav ift. system- og virksomhetsspesifikke forhold gitt i punktene 2a–c.
  • e) Systemopplysningsblanketter som skjematisk og kortfattet oppsummerer informasjonen i punktene a–d. Blankettene er NSMs primære veivisere gjennom systemdokumentasjonen.

Godkjenningsplanen vil som minimum beskrive roller og ansvar i forbindelse med godkjenningen samt innhold og tidsplan for de planlagte godkjenningsleveransen(e).

3.  Innsending av søknad om godkjenning

Legg ved søknaden følgende grunnlagsdokumentasjon fra tidligere aktiviteter i livsløpet til informasjonssystemet:

  • a) Dokumentasjonen fra punkt 2 oppdatert i henhold til utført systemutvikling og implementasjon.
  • b) Detaljert sikkerhetsarkitektur og design for informasjonssystemet.
  • c) Systemspesifikke sikkerhetstiltak som er valgt for å oppfylle sikkerhetskravene i punkt 2d.
  • d) Prosedyrer for sikker bruk og drift av informasjonssystemet.
  • e) Testplaner og testrapporter for sikkerhetstesting og verifikasjon av informasjonssystemet.
  • f) Konsolidert risikovurdering som tar hensyn til alle avvik og andre relevante forhold beskrevet i punktene 3a–e over.
  • g) Systemopplysningsblanketter som skjematisk og kortfattet oppsummerer informasjonen i punktene 3a–f over. Blankettene er NSMs primære veivisere gjennom systemdokumentasjonen.
4. Dialog om endringer i godkjent informasjonssystem

Informasjonssystemet skal godkjennes på nytt dersom systemløsningen eller risikobildet til informasjonssystemet endres vesentlig. Regodkjenningen har fokus på disse endringene.

Virksomheten kan kontakte NSM for å avklare om ønskede endringer er vesentlige. Utgangspunktet for regodkjenningen er systemeiers grunnlagsdokumentasjon fra tidligere aktiviteter i livsløpet, det vil si dokumentasjonen i punkt 3 over oppdatert i tråd med de ønskede endringene.

5. Terminering og avhending av godkjent informasjonssystem

Ved endelig terminering og avhending av informasjonssystemet skal det leveres en rapport til godkjenningsmyndigheten. Rapporten skal dokumentere at dette er gjennomført på en sikker måte.


NSM erfarer at mange virksomheter ikke har stort nok fokus på sikkerhetsaktivitetene i den første fasen i livsløpet. Det gjelder i særdeleshet fordelingen av roller og ansvar, risikovurdering, kontinuitetsplanlegging og avklaring av gjeldende regelverk og relevante systemspesifikke krav.

NSMs opplysningsblanketter er laget for å tydeliggjøre hva som kreves av regelverket og bidra til raskt å avdekke mangler og gap om dette. NSMs rådgivere og godkjenningsmyndigheten forholder seg først og fremst til opplysningsblankettene som oppsummerer grunnlagsdokumentasjonen, inkludert alle vesentlige avvik, og som ved behov kan suppleres med presise pekere til underliggende dokumentasjon. NSMs rådgivere og godkjenningsmyndigheten legger seg derfor normalt ikke opp i hvordan systemansvarlige utformer den nevnte grunnlagsdokumentasjonen.

Det er forventet at all relevant informasjon fra aktivitetene i livsløpet legges inn i IT-systemets styringssystem for sikkerhet, ref. virksomhetsikkerhetsforskriften §§ 3 og 4, for videre håndtering i regi av dette, inkludert alle vesentlige avvik. 

Kontakt NSM

For spørsmål knyttet til skjermingsverdige informasjonssystemer, kontakt NSM via epost postmottak@nsm.no. Merk henvendelsen med «Rådgivning for skjermingsverdige informasjonssystemer».