Sikkerhetsloven har krav om beskyttelse av skjermingsverdige informasjonssystemer i:

§ 6-2. Beskyttelse av skjermingsverdige informasjonssystemer (første ledd)

 

Virksomheten skal sørge for et forsvarlig sikkerhetsnivå for skjermingsverdige informasjonssystemer, slik at

 

a) informasjonssystemene fungerer slik de skal
b) uvedkommende ikke får tilgang til informasjonen som behandles i systemene
c) informasjonen som behandles i systemene, ikke endres eller går tapt
d) informasjonen som behandles i systemene, er tilgjengelig ved tjenstlig behov for tilgang.

Kravet om beskyttelse er konkretisert gjennom krav til forsvarlig sikkerhetsnivå for skjermingsverdige informasjonssystemer i virksomhetsikkerhetsforskriften:

§ 49. Forsvarlig sikkerhetsnivå for skjermingsverdige informasjonssystemer

 

Når en virksomhet håndterer en risiko knyttet til skjermingsverdige informasjonssystemer etter § 13, skal den oppnå et forsvarlig sikkerhetsnivå ved å

 

a) beskytte data mot uønsket lesing og beskytte tjenester mot uønsket bruk
b) beskytte data mot uønsket modifikasjon og beskytte tjenester mot uønsket modifikasjon og manipulasjon
c) beskytte data mot uønsket sletting og beskytte tjenester mot uønsket reduksjon eller stans 
d) indentifisere og autentisere brukere som kan påvirke informasjonssystemets funksjon, eller som kan få tilgang til data i systemet, før de gis tilgang til data og tjenester
e) forhindre at falske data og tjenester introduseres i informasjonssystemet
f) registrere bruk, misbruk og forsøk på misbruk av informasjonssystemet, tjenester og data
g) systematisk kontrollere at sikkerhetstiltakene er korrekt implementert og ivaretar sikkerheten på en effektiv og hensiktsmessig måte.

 

Sikkerhetstiltak skal være tilpasset systemets totale omfang og kompleksitet gjennom hele systemets levetid.

 

Sikkerhetstiltak som skal virke hurtig, eller som lett kan utløse feil når de utføres manuelt, skal automatiseres så langt det er praktisk mulig.

Virksomheten skal sørge for forsvarlig sikkerhetsnivå for skjermingsverdig informasjonssystem gjennom nødvendig beskyttelse av systemets funksjon, og av konfidensialitet, integritet og tilgjengelighet for informasjon som behandles i systemet. Forsvarlig sikkerhetsnivå oppnås ved å redusere risiko for uønskede hendelser til akseptabelt nivå.

Sikkerhetstiltak etableres i henhold til prinsippene angitt i virksomhetsikkerhetsforskriften § 15, og for å oppnå beskyttelse som beskrevet i punktene a) – g) i virksomhetsikkerhetsforskriften § 49 første ledd.

Sikkerhetstiltak kan etableres som hensiktsmessige balanserte kombinasjoner av fysiske, tekniske, organisatoriske og menneskelige tiltak. Tiltakene skal gi forsvarlig sikkerhetsnivå for hele systemet i hele levetiden. Tiltakene skal, når det er nødvendig for å oppnå akseptabel risiko og praktisk mulig, virke automatisk.