Sikkerhetsloven skal bidra til å forebygge, avdekke og motvirke tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser. De nasjonale sikkerhetsinteressene er landets suverenitet, territorielle integritet og demokratiske styreform og overordnede sikkerhetspolitiske interesser. Grunnleggende nasjonale funksjoner (GNFer) er funksjoner som, hvis de faller bort helt eller delvis, har betydning for statens evne til å ivareta disse nasjonale sikkerhetsinteressene.

Departementene skal identifisere og holde oversikt over GNFer og skal identifisere og holde oversikt over virksomheter som har avgjørende og/eller vesentlig betydning for GNFer i sine sektorer. Sektorenes arbeid med operasjonalisering av ny sikkerhetslov står sentralt i arbeidet med forebyggende sikkerhet i årene fremover. Objekter og infrastrukturer som blir utpekt som skjermingsverdige skal klassifiseres ut fra hvor alvorlige skadefølger bortfall av funksjonen kan få for grunnleggende nasjonale funksjoner. NSM bistår departementene med råd og veiledning i forbindelse med dette arbeidet.  

Departementene skal også sørge for at det fattes vedtak om at loven helt eller delvis skal gjelde for virksomheter som faller inn under lovens kriterier. Dette vil gjelde dersom virksomheten råder over informasjon, informasjonssystemer, objekter eller infrastruktur eller driver aktivitet som har avgjørende betydning for GNFer, eller behandler sikkerhetsgradert informasjon. Felles for disse verdiene og aktivitetene er at de i de fleste tilfeller vil være avhengig av digitale verdikjeder og digitale informasjonssystemer som på ulike måter vil være sårbare.

Ved bruk av skytjenester og tjenesteutsetting kan det være vanskelig å imøtekomme sikkerhetslovens krav og få systemet sikkerhetsmessig godkjent hvis disse er levert fra utlandet. Det vil være avhengig av verdien til informasjonssystemet, om informasjonssystemet bærer skjermingsverdig informasjon og hvilke risikoreduserende tiltak som lar seg iverksette.

Virksomheten må vurdere ulike muligheter for å oppnå forsvarlig sikkerhet for sine skjermingsverdige informasjonssystemer. Virksomhetens risikovurdering vil ligge til grunn for valg av beskyttelsestiltak.

NSM har utarbeidet en rekke veiledere og håndbøker for å bistå virksomhetene med å etablere og opprettholde et forsvarlig sikkerhetsnivå. Disse er tilgjengelig på NSMs nettsider. For informasjonssystemsikkerhet anbefaler NSM at virksomheten tar utgangspunkt i NSMs Grunnprinsipper for IKT-sikkerhet. I tillegg har Justis- og beredskapsdepartementet utgitt et nasjonalt Rammeverk for håndtering av IKT-sikkerhetshendelser1 for å avdekke, stanse og gjenopprette sikker tilstand etter at en hendelse inntreffer. Dette rammeverket er under revisjon av NSM, blant annet ved hjelp av sektorvise responsmiljøer og partnere i NCSC.