Skjermingsverdig informasjonssystem kan godkjennes dersom risiko forbundet med bruk av systemet er håndtert til akseptabelt nivå, og slik at sikkerhetsnivået er forsvarlig. Sikkerhetsloven har krav om sikkerhetsgodkjenning av skjermingsverdige informasjonssystemer i:

§ 6 - 3. Godkjenning av skjermingsverdige informasjonssystemer (første ledd)

Skjermingsverdige informasjonssystemer skal godkjennes av en godkjenningsmyndighet. Informasjonssystemer som skal behandle sikkerhetsgradert informasjon, skal godkjennes før de tas i bruk.

Kravet om sikkerhetsgodkjenning er utdypet i virksomhetsikkerhets forskriften:

§ 50. Plikt til å sørge for godkjenning av skjermingsverdige informasjonssystemer

 

Når en virksomhet har besluttet å utvikle et skjermingsverdig informasjonssystem, skal den informere Nasjonal sikkerhetsmyndighet. Informasjonsplikten gjelder ikke dersom det ut fra § 51 er åpenbart at Nasjonal sikkerhetsmyndighet ikke trenger å godkjenne systemet.

 

En virksomhet skal sørge for at informasjonssystemer som skal behandle sikkerhetsgradert informasjon, er godkjent før det de tas i bruk. Andre skjermingsverdige informasjonssystemer skal godkjennes så snart det er praktisk mulig. Virksomheten skal dekke kostnadene med godkjenningen.

Informasjonssystemer som skal behandle sikkerhetsgradert informasjon må være sikkerhetsgodkjent før det tas i bruk. Andre skjermingsverdige informasjonssystemer skal godkjennes når det er praktisk mulig. Dette må forstås slik at disse systemene skal godkjennes så snart forutsetninger og regler for sikker bruk er fastlagt og kan meddeles de som berøres, inkludert godkjenningsmyndigheten.

Det er virksomheten som beslutter å ta et skjermingsverdig informasjonssystem i bruk som har plikt til å sørge for sikkerhetsgodkjenning. Dette gjelder selv om eierskap, utvikling, driftsansvar mv. er lagt til annen virksomhet. Dersom flere virksomheter skal bruke systemet kan godkjenningen forvaltes av én av dem. Denne virksomheten må da forplikte de øvrige til de forutsetninger og regler som gjelder for sikker bruk av systemet.

Ved beslutning om å utvikle et informasjonssystem som skal godkjennes av NSM, skal NSM informeres. NSM har da behov for opplysninger om:

  • overordnet beskrivelse av informasjonssystemet som inkluderer beskrivelse av systemets funksjon og operative miljø
  • sikkerhetsgradering for informasjon som skal behandles i systemet eller klassifisering av objekt eller infrastruktur som systemet understøtter
  • hvilke av punktene i virksomhetsikkerhetsforskriften § 51 første og andre ledd som utløser plikt til godkjenning hos NSM

Virksomheten skal dekke kostnadene ved sikkerhetsgodkjenning.