Veileder for godkjenning av informasjonssystem
Midlertidig brukstillatelse
Krav som må oppfylles for å oppnå midlertidig brukstillatelse fremgår av virksomhetsikkerhetsforskriften:
§ 54. Midlertidig brukstillatelse
Foreligger det et særlig behov for å ta i bruk et skjermingsverdig informasjonssystem før det er godkjent, kan godkjenningsmyndigheten gi midlertidig brukstillatelse dersom
a) behovet for beskyttelse er identifisert, basert på informasjonssystemets funksjon og operative miljø
b) mangler som er forbundet med fastlegging av sikkerhetskrav, etablering av sikkerhetstiltak og sikkerhetstiltakenes funksjon, er identifisert og håndtert med kompenserende tiltak
c) det foreligger en plan for å rette manglene.
Nasjonal sikkerhetsmyndighet kan i særlige tilfeller dispensere fra kravene i første ledd.
Ved særlig behov for å ta et skjermingsverdig informasjonssystem i bruk kan det gis midlertidig brukstillatelse selv om ikke alle formelle krav til sikkerhetsgodkjenning er oppfylt, forutsatt at:
I tillegg til dokumentasjon for godkjenning skal underlaget for midlertidig brukstillatelse omfatte informasjon om det særlige behovet og punktene 1-4 over. For å oppfylle kravene til midlertidig brukstillatelse må søknaden beskrive hvilke mangler som gjenstår i henhold til kravene i § 52.
NSM kan i særlige tilfeller dispensere fra pkt. 1 – 4 over. Det vil være et særlig tilfelle at samfunnsmessige konsekvenser ved at systemet ikke tas i bruk, overstiger konsekvensene av uønskede hendelser sammenholdt med sannsynligheten for slike hendelser.
Midlertidig brukstillatelse gitt av NSM og sektormyndighet med tilsynsansvar er å regne som enkeltvedtak i henhold til forvaltningslovens bestemmelser og kan påklages som for vedtak om sikkerhetsgodkjenning. Dispensasjoner anses også som enkeltvedtak og kan påklages.