Selskap som tilfredsstiller NSM sine krav

Virksomhetene nedenfor er evaluert av NSM og tilfredsstiller ved søknadstidspunktet NSM sine krav til kvalitet innen hendelseshåndtering.

Føretak som tilfredsstiller NSM sine krav
Føretak som tilfredsstiller NSM sine krav
Defendable AS (tidl. BDO CERT)Gyldig til 1. november 2021.
Tlf. +47 9180 8030
post(@)defendable.no
mnemonic ASGyldig til 1. august 2022.
Tlf. +47 2320 4700
contact(@)mnemonic.no
Atea ASGyldig til 31. desember 2021.
Tlf. 03060
irt(@)atea.no
Netsecurity ASGyldig til 1. november 2022
Tlf. +47 9224 7365
irt(@)netsecurity.no

Formålet med ordningen

Formålet med ordningen er at virksomheter som opplever en IKT-sikkerhetshendelse skal kunne velge en leverandør av hendelseshåndteringstjenester der NSM har vurdert at leverandøren tilfredsstiller de kvalitetskrav som NSM har definert til tjenesten.

For å være søknadsberettiget må søkeren således tilby hendelseshåndteringstjenester til det åpne markedet. Leverandører som kun tilbyr hendelseshåndteringstjenester til en avgrenset kundekrets, herunder bare leverer tjenesten til virksomheter som også kjøper andre tjenester av leverandøren, faller utenfor ordningen og er ikke søknadsberettiget.

Omfanget av hendelseshåndtering, som definert i kvalitetsordningen

Hendelseshåndtering er en prosess for å identifisere og respondere på en IKT-sikkerhetshendelse. En IKT-sikkerhetshendelse har oppstått om en aktør har eller har hatt uønsket tilgang til ett eller flere informasjonssystemer – eller det er mistanke om at noen har skaffet seg en slik uønsket tilgang - med den intensjon å skaffe tilgang på sensitiv informasjon, eller å ødelegge, skade eller endre informasjon på systemene mtp. konfidensialitet, autentisitet, integritet og/eller tilgjengelighet.

Hendelseshåndteringsprosessen er en kvalitetsprosess som blant annet inneholder tiltak for å:

1. Identifisere og klassifisere hva som har skjedd, uønsket aktør og/eller skadevare, angrepsvektor og verktøy samt aktørens modus operandi
2. Kartlegge hvordan tilgangen er skaffet til veie, og omfang av aktørens eller skadevarens aktiviteter på informasjonssystemene
3. Begrense og ev. hindre videre uønsket aktivitet på systemet, samt registrere hvorledes dette utføres
4. Sikre elektroniske bevis
5. Gjenopprette normaltilstand ved informasjonssystemet
6. Utarbeide læringspunkter og anbefalte tiltak til oppdragsgiver for å øke sikkerheten
7. Rapportere omfanget av ovenstående til oppdragsgiver

Søknadsprosess

Selskap/organisasjoner som ønsker å søke om godkjenning iht. NSMs kvalitetsordning skal fylle ut søknadsskjemaet og sende dette til NSM. Skjemaet kan sendes som brevpost eller som e-post til følgende adresse:

Nasjonal sikkerhetsmyndighet
Postboks 814
1306 Sandvika
E-post: postmottak@nsm.no

For flere detaljer om søknadsprosessen viser NSM til ordningen sitt søknads- og kravsdokument.  (PDF, 1MB)

Personellisten som etterspørres under punkt 4 i søknadsdokumentet skal sendes per e-post som en csv-fil med semikolon-separerte felt. Filen bør krypteres med NSMs offentlige pgp-nøkkel (ASC, 2KB) for å verne informasjonen under transport. Mal med eksempel-innhold finner du her (CSV, 704B).

NSM sin evalueringsprosess er estimert å ta normalt åtte uker.  NSM tar forbehold om at prosessen kan ta lenger tid på grunn av stor søknadsmengde.