Alle virksomheter er avhengig av ulike typer infrastruktur og tjenester i hverdagen. Enkelte infrastrukturer og tjenester er tilgjengelig for alle og er lett å erstatte eller sikre gjennom egenberedskap (allmenn avhengighet). Denne type avhengigheter vil i hovedsak ikke kvalifisere som en avhengighet som skal rapporteres iht. krav i sikkerhetsloven. Det er kun de avhengighetene som virksomheten ikke klarer å redusere eller fjerne som skal rapporteres (spesiell avhengighet).  

Et eksempel kan illustrere forskjellen mellom allmenn avhengighet og spesiell avhengighet:

De fleste virksomheter er avhengig av strøm, men et bortfall av strøm vil stort sett ikke påvirke skjermingsverdige verdier på en slik måte at grunnleggende nasjonale funksjoner blir redusert eller faller bort. De aller fleste virksomheter vil kunne erstatte sitt eget strømforbruk for en periode gjennom andre tiltak, f.eks. egenberedskap i form av strømaggregat. På samme måte er behov for drikkevann en avhengighet som de fleste har, men som enkelt kan sikres gjennom egenberedskap. Derfor er strøm og drikkevann eksempler på det som i hovedsak vil være en avhengighet som de fleste virksomheter kan redusere konsekvensene av ved å gjøre egne tiltak.

Men dersom det skulle være behov for store mengder vann, f.eks. til å kjøle ned et stort og kritisk informasjonssystem i Forsvaret, vil kjølevann i dette tilfellet være en avhengighet, som kan kvalifisere til å meldes inn. Dette er blant annet fordi kjølevannet ikke er enkelt å erstatte ved egne tiltak, og representerer en sårbarhet utenfor virksomhetens kontroll.

Det kan likevel være andre grunner som tilsier at avhengigheten bør meldes inn etter sikkerhetsloven, spesielt dersom det man er avhengig av er, eller det er grunn til å tro at den kan bli, utsatt for sikkerhetstruende virksomhet.

Sikkerhetsloven gir ikke virksomheten krav til å undersøke sine avhengigheter (verdikjeder) i detalj. Slike verdikjeder, spesielt digitale, kan være komplekse og uoversiktlige[1]. Derfor blir avhengigheter i håndboken avgrenset til det virksomheten er avhengig av for å fungere, og som ved bortfall får direkte konsekvenser for virksomhetens funksjon. Virksomhetene bør likevel forsøke å kartlegge avhengigheter/verdikjeder så langt det er praktisk mulig.

[1] DSB (2020) – Risikostyring i digitale verdikjeder, s. 22