Samfunnsmessige endringer fører til at stadig flere personer får tilgang til virksomheters verdier. En rask teknologisk utvikling, økende IKT-avhengighet og et stadig større digitaliseringsbehov gjør at virksomheter trenger flere personer til å forvalte verdiene. Samtidig bidrar nye digitale arenaer og plattformer til at trusselaktørenes mulighetsrom øker. Både statlige og ikke-statlige trusselaktører fortsetter å bruke metoder for å kartlegge og dra nytte av personer på innsiden av virksomheter. Hovedårsaken til dette er at personer på innsiden har en direkte eller indirekte tilgang til verdiene, og at personer i større eller mindre grad har sårbarheter som en trusselaktør kan forsøke å utnytte.

Tiltak innenfor personellsikkerhet utgjør derfor en viktig del av virksomheters arbeid for å beskytte verdiene sine. Uønsket påvirkning kan medføre en rekke negative konsekvenser for aktører som eier, forvalter eller drar nytte av verdiene. Noen virksomheter forvalter verdier av betydning for nasjonale sikkerhetsinteresser, mens andre forvalter verdier av stor betydning for samfunnet eller dem selv. En god forståelse av eget risikobilde gjør at virksomheter kan identifisere personellsikkerhetsmessige tiltak som begrenser trusselaktørenes mulighetsrom og som øker virksomhetens egen sikkerhetsmessige robusthet. 

Formålet med personellsikkerhet
For å ivareta personellsikkerheten er det avgjørende at virksomheter implementerer tiltak som reduserer risikoen for innsidevirksomhet. Innsidevirksomhet defineres som tilfeller der en nåværende eller tidligere medarbeider[1] misbruker sin tilgang eller kunnskap for å utføre handlinger som påfører virksomheten skade eller tap. [2] Det kan være flere grunner til at en medarbeider begår innsidevirksomhet. En bevisst innsider kan være selvmotivert eller påvirket av en ekstern aktør, hvorimot en ubevisst innsider begår handlingene uten at det er intensjonen. Dette er perspektiver som bør inngå i virksomhetenes arbeid med å forebygge, avdekke og håndtere innsidevirksomhet. Tiltak som tar for seg det menneskelige aspektet ved dette arbeidet, er tiltak som hører innunder personellsikkerhet.

Gjennom en god sikkerhetskultur og bevisstgjørende tiltak kan virksomheter opprettholde og styrke personellsikkerheten. Enhver medarbeider er med på å forme virksomhetens kultur, verdier og holdninger. Hvordan medarbeidere forholder seg til sikkerhet, kan derfor ha en reell innvirkning på virksomhetens risikobilde. Rollen som medarbeider medfører blant annet et ansvar for å beskytte verdiene og melde fra om sikkerhetstruende hendelser. Den enkelte virksomhet bør derfor sørge for å motivere sine medarbeidere, og innarbeide deres rolle og bidrag i det daglige sikkerhetsarbeidet. Formålet er å bygge opp medarbeiderne til å bli effektive barrierer mot trusler både utenfor og innenfor virksomheten.

Ledere har et overordnet ansvar for å påse at virksomheten har tilstrekkelig med kompetanse og ressurser til å ivareta en god personellsikkerhet. Det er ledernes ansvar å sikre at sikkerhetskulturen er sterk, at sårbarheter fanges opp, og at sikkerhetsrelaterte hendelser håndteres effektivt. For å gi virksomheter et utgangspunkt i arbeidet med personellsikkerhet, har Nasjonal sikkerhetsmyndighet (NSM) utarbeidet grunnprinsipper for personellsikkerhet.

Hva er NSMs grunnprinsipper for personellsikkerhet?
NSMs grunnprinsipper for personellsikkerhet presenterer et sett med anbefalte tiltak som forteller hva virksomheter bør gjøre for å skape et helhetlig system for personellsikkerhet. Grunnprinsippene beskriver hva virksomheten bør gjøre, hvorfor det bør gjøres, men i liten grad hvordan det bør gjøres. Valg av konkrete personellsikkerhetsmessige tiltak bør som alltid baseres på virksomhetens egne behov, muligheter, krav og begrensninger.

Grunnprinsippene for personellsikkerhet er tverrsektorielle, og skal være et utgangspunkt for alle virksomheter som ønsker å skape et helhetlig system for personellsikkerhet. Grunnprinsippene er ikke knyttet opp mot kravene i sikkerhetsloven eller andre regelverk. Virksomheten har et selvstendig ansvar for å vurdere om det er juridiske beskrankninger innenfor dens virkeområde som hindrer gjennomføringen av hvert enkelt tiltak. Virksomheter omfattet av sikkerhetsloven må sørge for at lovens krav til personellsikkerhet følges.

Grunnprinsippene for personellsikkerhet er strukturert etter fire kategorier. Dette er kategorier man vil kjenne igjen fra grunnprinsippene for sikkerhetsstyring, fysisk sikkerhet og IKT-sikkerhet:

  1. Identifisere og kartlegge
  2. Beskytte
  3. Opprettholde og oppdage
  4. Håndtere og gjenopprette

Under hver kategori finner man NSMs grunnprinsipper for personellsikkerhet. Deretter følger en beskrivelse av grunnprinsippet og en liste over anbefalte tiltak. Listene over tiltak er ikke uttømmende, men et sett med anbefalinger fra NSMs side.

Målgruppe
Målgruppen for grunnprinsippene er primært ledere og andre med ansvar for personellsikkerheten. For å sikre et akseptabelt sikkerhetsnivå er det avgjørende at ledelsen prioriterer og setter mål for hvordan virksomheten skal ivareta en god personellsikkerhet. Samtidig er NSM av den oppfatning at grunnprinsippene kan nyttiggjøres av andre aktører i virksomheten, eksempelvis mellomledere med oppfølgingsansvar og den enkelte medarbeider.

NSM har et mål om at grunnprinsippene for personellsikkerhet skal være et levende og tidsaktuelt produkt. Etter hvert som NSM får innspill fra brukere av produktet, kommer vi derfor til å oppdatere og videreutvikle grunnprinsippene.

Grunnprinsippene sett opp mot andre produkter
Det er viktig å legge merke til at grunnprinsippene for personellsikkerhet ikke er enkeltstående prinsipper, men må sees i sammenheng med virksomhetens sikkerhetsstyring og tiltak innenfor fysisk sikkerhet og IKT-sikkerhet. Virksomheter vil først kunne oppnå et akseptabelt sikkerhetsnivå når de har et sett med tiltak som både ivaretar det organisatoriske, teknologiske, fysiske og menneskelige aspektet. Uten et fullstendig perspektiv på sikkerhet vil det være vanskelig for virksomheter å sikre sine verdier i tilstrekkelig grad.

Grunnprinsippene for personellsikkerhet bør også sees i sammenheng med andre produkter som omhandler personellsikkerhet. Mer informasjon finnes eksempelvis i:

  • NSMs temarapport om innsiderisiko (2019)
  • Sikkerhet ved ansettelsesforhold (PST, NSM, Politiet og Næringslivets sikkerhetsråd, 2017)
  • Sektorspesifikke rapporter om håndtering av innsiderisiko

[1] Begrepet medarbeider inkluderer her faste, midlertidige og innleide medarbeidere.

[2] Les mer om dette i NSMs temarapport om innsiderisiko (2019).