Globale sikkerhetspolitiske endringer preger samfunnsutviklingen også i Norge. Økende digitalisering, ny teknologi og politiske spenninger verden over medfører nye og komplekse utfordringer for samfunnssikkerheten.

Truslene Norge står overfor og trusselaktørenes interesser er dynamiske og rettet mot et bredt spekter av sektorer og virksomheter. NSM ser at trusselaktører benytter mer avanserte metoder enn tidligere, og risiko- og sårbarhetsbildet er blitt mer avansert. Aktørenes evne og vilje, sammen med deres måte å operere på, er dimensjonerende for hvordan nasjonen, virksomheter og individer må sikre sine verdier. I møte med disse utfordringene må rammer og krav defineres og tydeliggjøres for virksomheters arbeid med forebyggende sikkerhet, gjennom både redusering av sårbarheter og håndtering av sikkerhetstruende virksomhet.

Virksomheter som skal etablere sikkerhetstiltak for å beskytte sine verdier må ha forståelse og overblikk for risikobildet de står ovenfor. Risikovurderinger gjør en virksomhet i stand til å identifisere hvordan de best kan beskytte verdiene virksomheten forvalter gjennom risikoreduserende tiltak. For å ivareta sikkerhetsarbeidet må virksomheten bl.a. identifisere hvilke verdier virksomheten råder over, analysere risiko for at verdiene kan gå tapt, og iverksette og opprettholde nødvendige tiltak slik at verdiene er tilstrekkelig beskyttet.

Det er derfor viktig at virksomheten etablerer og opprettholder et sikkerhetsstyringssystem som kontinuerlig følger opp aktivitetene med betydning for sikkerhetstilstanden til virksomheten (se veileder i sikkerhetsstyring og NSMs grunnprinsipper for sikkerhetsstyring for mer informasjon).

Det er viktig at virksomheter ser helhetlig på sikkerhetstilstanden slik at de kan etablere de tiltakene som er mest hensiktsmessige, innenfor fysisk, personell og IKT-sikkerhet. Etablering av slike tiltak kan være kostbart og tidskrevende og blir ofte nedprioritert i en virksomhet. Der innførte sikkerhetstiltak ikke har forventet eller planlagt effekt, og f.eks. fysiske og digitale tiltak ikke ses i sammenheng, vil ikke virksomheter kunne oppnå helhetlig sikring.

Fysiske sikkerhetstiltak skal bidra til å forhindre, avdekke og forsinke et sikkerhetstruende hendelsesforløp. Tiltakene bør bestå av en kombinasjon av barrierer, deteksjon, verifikasjon og reaksjon som er tilpasset behovet for beskyttelse av verdiene.

NSMs grunnprinsipper i fysisk sikkerhet har som hensikt å bidra til virksomheters arbeid med forebyggende sikkerhet og etablering av fysiske sikkerhetstiltak. Grunnprinsippene er ikke knyttet opp mot krav i, eller i medhold av sikkerhetsloven eller andre regelverk. For virksomheter underlagt sikkerhetsloven viser vi til NSMs Veileder i fysisk sikkerhet, der det dannes et grunnlag for virksomhetenes arbeid med å etterleve regelverket. Virksomheten har et selvstendig ansvar for å vurdere om det er juridiske begrensinger innenfor dens virkeområde som vil sette enkelte tiltak til side. 

Oversikt

Hva er NSMs grunnprinsipper for fysisk sikkerhet? 

NSMs grunnprinsipper for fysisk sikkerhet definerer et sett med prinsipper med fokus på det fysiske aspektet ved å forebygge, oppdage og håndtere sikkerhetstruende virksomhet. Dette er prinsipper og underliggende anbefalinger som skal bidra i virksomhetens arbeid med å beskytte verdier og funksjoner mot uautorisert adgang, inntrengning, skade eller tap. Prinsippene forklarer hva en virksomhet bør gjøre for å etablere og opprettholde fysisk sikkerhet og hvorfor dette arbeidet bør gjøres. Derimot forklarer det ikke virksomheten hvordan det skal utføres. Valg av tiltak bør baseres på virksomhetens egne behov, muligheter og begrensninger.

Grunnprinsippene er ikke ment å være enkeltstående prinsipper, men bør sees i sammenheng med virksomhetens helhetlige sikkerhetsstyringsarbeid. Virksomheter vil først kunne oppnå et akseptabelt sikkerhetsnivå når de har identifisert og implementert tiltak som ivaretar det organisatoriske, elektroniske, fysiske og menneskelige aspektet. Kombinasjonen av disse tiltakene danner grunnlag for helhetlig sikring. 

Grunnprinsipper i fysisk sikkerhet er delt inn i følgende kategorier:

  1. Identifisere og kartlegge
  2. Beskytte
  3. Opprettholde og oppdage
  4. Håndtere og gjenopprette

Hvert grunnprinsipp inneholder anbefalinger som beskriver hva virksomheten bør gjøre. Listene over anbefalinger er ikke uttømmende. Flere av grunnprinsippene henger sammen og enkelte er en forutsetning for å kunne implementere andre grunnprinsipper på en god måte. Grunnprinsippene i fysisk sikkerhet inkluderer sikringstiltak som består av barrierer, deteksjon, verifikasjon og reaksjon for å etablere god sikkerhet i dybden. Tiltakene gjelder for både utilsiktede og tilsiktede handlinger, men hovedfokuset har vært tilsiktede handlinger.

Grunnprinsipper for fysisk sikkerhet skal bistå virksomheter med å utarbeide hensiktsmessige fysiske sikkerhetstiltak. Hovedfokuset er hva virksomheter kan gjøre for å forebygge, oppdage og håndtere sikkerhetstruende virksomhet ved bruk av fysiske sikkerhetstiltak.

Målgruppe

Grunnprinsippene er sektorovergripende og gir anbefalinger for alle virksomheter som ønsker å beskytte verdiene sine. Prinsippene er relevante for en stor variasjon av virksomheter og kan også være et godt utgangspunkt for virksomheter underlagt sikkerhetsloven.

Målgruppen for grunnprinsippene er primært sikkerhetsledere og andre med ansvar for den fysiske sikkerheten i en virksomhet. For å sikre at virksomheten har tilstrekkelig ressurser og kompetanse for å ivareta sikkerheten er det avgjørende at målene for sikkerhetsarbeidet forankres hos øverste ledelse. Samtidig er det viktig at utøvelsen av fysisk sikkerhet ivaretas i alle ledd – av den øverste ledelse, mellomledere og ikke minst medarbeiderne.