Virksomhetsikkerhetsforskriften fordeler godkjenningsmyndighet i:

§ 51. Godkjenningsmyndighet

 

Nasjonal sikkerhetsmyndighet godkjenner skjermingsverdige informasjonssystemer som er utpekt som, eller har avgjørende betydning for funksjonen til, et objekt eller en infrastruktur klassifisert KRITISK eller MEGET KRITISK.

 

Nasjonal sikkerhetsmyndighet godkjenner informasjonssystemer som behandler sikkerhetsgradert informasjon og som
a) skal brukes i utlandet
b) har forbindelse til informasjonssystemer i utlandet eller til andre virksomheters informasjonssystemer
c) brukes eller har forbindelser utenfor områder virksomheten kontrollerer
d) har brukere som ikke er sikkerhetsklarert for det graderingsnivået som behandles i informasjonssystemet eller informasjonssystemer dette har forbindelse til
e) behandler informasjon som er gradert HEMMELIG, og som har brukere som ikke skal ha tilgang til all informasjon i informasjonssystemet eller de informasjonssystemer dette har forbindelse til
f) behandler informasjon som er gradert STRENGT HEMMELIG.

 

En virksomhet som råder over et skjermingsverdig informasjonssystem som ikke er nevnt i første eller andre ledd, skal selv godkjenne systemet. Nasjonal sikkerhetsmyndighet og relevante tilsynsmyndigheter skal informeres om slike informasjonssystemer.

 

Nasjonal sikkerhetsmyndighet kan bestemme at en myndighet med tilsynsansvar eller virksomheten selv skal godkjenne et informasjonssystem som nevnt i andre ledd.

 

Departementet som har utpekt det skjermingsverdige objektet eller infrastrukturen, kan bestemme at godkjenning av skjermingsverdige informasjonssystemer etter første ledd skal gjøres av en myndighet med tilsynsansvar. Det skal gjøres en helhetsvurdering av om myndigheten har tilstrekkelig kompetanse til å godkjenne skjermingsverdige informasjonssystemer, eller kan få slik kompetanse uten uforholdsmessig store utgifter. En uttalelse fra Nasjonal sikkerhetsmyndighet skal inngå i vurderingen.

NSM er følgelig godkjenningsmyndighet for skjermingsverdige informasjonssystemer hvor ett eller flere av følgende forhold er tilstede:

Skjermingsverdig informasjonssystemer som behandler sikkerhetsgradert informasjon og

  1. brukes i utlandet
  2. har forbindelse til informasjonssystem i utlandet
  3. har forbindelser til andre system enn virksomhetens informasjonssystemer
  4. brukes utenfor områder virksomheten kontrollerer
  5. har forbindelser utenfor områder virksomheten kontrollerer (krypterte eller ukrypterte forbindelser)
  6. har brukere som ikke er sikkerhetsklarert for det graderingsnivået som behandles i informasjonssystemet
  7. har brukere som ikke er sikkerhetsklarert for det graderingsnivået som behandles i informasjonssystemer det er koblet sammen med
  8. behandler HEMMELIG informasjon og har brukere som ikke skal ha tilgang til all informasjon i informasjonssystemet
  9. behandler HEMMELIG informasjon og har brukere som ikke skal ha tilgang til all informasjon i informasjonssystemer det er koblet sammen med
  10. behandler STRENGT HEMMELIG informasjon
     

Videre er NSM godkjenningsmyndighet for:

Skjermingsverdig informasjonssystem som er utpekt som, eller har avgjørende betydning for, objekt eller infrastruktur klassifisert som:

  1. KRITISK
  2. MEGET KRITISK

Virksomheten godkjenner selv alle øvrige skjermingsverdige informasjonssystemer, inkludert informasjonssystemer som i seg selv har avgjørende betydning for objekt eller infrastruktur klassifisert VIKTIG. NSM og sektormyndigheter med tilsynsansvar skal informeres om slike godkjenninger.

NSM kan bestemme at virksomhetene selv eller sektormyndighet med tilsynsansvar skal være godkjenningsmyndighet for informasjonssystem som beskrevet i ett eller flere av punktene 1 – 10 over. Sektordepartement kan bestemme at sektormyndighet med tilsynsansvar skal være godkjenningsmyndighet for informasjonssystem som beskrevet i pkt. 11 og/eller 12 over.

NSM og sektormyndighet med tilsynsansvar skal informeres om slike godkjenninger. Informasjon om hvem som er godkjenningsmyndighet for hvilke skjermingsverdige informasjonssystemer er tilgjengelig fra NSM, sektordepartement og sektormyndighet med tilsynsansvar.

Sikkerhetsgodkjenning gitt av NSM eller sektormyndighet med tilsynsansvar er å anse som enkeltvedtak i henhold til forvaltningslovens bestemmelser. NSMs vedtak om sikkerhetsgodkjenning kan påklages til Justis- og beredskapsdepartementet. Vedtak om sikkerhetsgodkjenning gitt av sektormyndighet med tilsynsansvar kan påklages til sektordepartementet.