Virksomhetsikkerhetsforskriften har krav om evaluering av produkter og tjenester i:

§ 16. Krav om bruk av evaluerte produkter og tjenester

 

Når en virksomhet velger sikkerhetstiltak, skal den bruke evaluerte produkter og tjenester dersom produktets eller tjenestens funksjon i seg selv er avgjørende for at

 

a) personer ikke får tilgang til informasjon gradert HEMMELIG eller STRENGT HEMMELIG uten å ha et tjenstlig behov for det
b) personer ikke får tilgang til sikkerhetsgradert informasjon de ikke er autorisert for
c) personer ikke kan overta eller sette ut av drift infrastruktur eller objekter som er klassifisert KRITISK eller MEGET KRITISK.

 

Evalueringen skal skje gjennom metodisk utvikling og testing av produktet eller tjenesten og være etterprøvbar. Den skal utføres av Nasjonal sikkerhetsmyndighet eller et akkreditert laboratorium utpekt av Nasjonal sikkerhetsmyndighet, gi tillit til produktet eller tjenesten og sikre at produktet eller tjenesten har nødvendig funksjonalitet for å sikre det aktuelle graderingsnivået eller klassifiseringsnivået. Nasjonal sikkerhetsmyndighet kan godkjenne bruk av produkter og tjenester som er evaluert eller sertifisert i andre land.

Sikkerhetstiltak som er avgjørende eller eneste beskyttelse for tilfeller som omfattes av bokstav a til c i virksomhetsikkerhetsforskriften § 16 skal kontrolleres ved hjelp av evaluering av de produkter og tjenester tiltaket består av. Dette innebærer blant annet at det ikke er krav om evaluering når det er redundans i sikkerhetstiltakene.

Evaluering er metodisk og etterprøvbart gjennomgang og prøving av produkter eller tjenester utført av NSM eller akkreditert prøvingslaboratorium utpekt av NSM. Evaluering kan dokumenteres gjennom sertifisering. NSM kan godkjenne bruk av produkter og tjenester evaluert eller sertifisert i andre land.

Informasjon om evaluerte produkter og tjenester, og om avtaler om aksept av evalueringer og sertifiseringer utført i andre land er tilgjengelig hos NSM.