Ved sammenkobling av informasjonssystemer gjelder egne bestemmelser i virksomhetsikkerhetsforskriften:

§ 55. Sammenkobling av informasjonssystemer som behandler sikkerhetsgradert informasjon

 

Dersom en sammenkobling av flere informasjonssystemer som behandler informasjon gradert KONFIDENSIELT eller høyere, medfører at systemene sikkerhetsmessig blir avhengige av hverandre på en uoversiktlig måte, skal sammenkoblingen skje via et eget informasjonssystem.

 

Slike sammenkoblinger skal reguleres i avtaler mellom de aktuelle virksomhetene. Avtalene skal avklare roller og ansvaret for sammenkoblingen og hvilken informasjon og hvilke tjenester som skal utveksles.

Sammenkobling av skjermingsverdige informasjonssystemer godkjennes ikke separat. Slike sammenkoblinger skal være del av sikkerhetsgodkjenningen for de aktuelle systemene, det vil si at sammenkoblinger er del av funksjon og operativt miljø og påvirker beskyttelsesbehovet. Dette innebærer at hvert av de sammenkoblede systemene må ha tilstrekkelig egenbeskyttelse for å håndtere de (trussel-)scenarier som følger av sammenkoblingen.

Dersom informasjonssystemer som allerede er sikkerhetsgodkjent sammenkobles på et senere tidspunkt, er det mulig at forutsetningene for de opprinnelige godkjenningene ikke lenger er til stede. Systemene må da ha ny godkjenning.

Dersom det ved sammenkobling av informasjonssystemer for behandling av informasjon sikkerhetsgradert KONFIDENSIELT eller høyere ikke er mulig å fastlegge tydelige forutsetninger og regler for sikker bruk, skal sammenkobling skje i eget informasjonssystem med egen sikkerhetsgodkjenning.

Virksomhetene som bruker systemet skal forplikte seg til forutsetninger og regler for sikker bruk, i en sammenkoblingsavtale. Det er ikke formkrav til sammenkoblingsavtale, men punktene under angir forhold som normalt vil omfattes av en slik avtale:

Sammenkoblingsavtale

Ved sammenkobling av/med informasjonssystemerer som skal behandle informasjon sikkerhetsgradert av fremmed stat eller internasjonal organisasjon kan det gjelde andre krav enn de som omtales her.