Sikkerhetsloven har bestemmelser om beskyttelse av informasjon og informasjonssystemer i kapitlene 5 og 6, og tilsyn må følgelig også omfatte disse bestemmelsene. Virksomhetsikkerhetsforskriften angir metode for kontroll av sikkerhetstilstanden i informasjonssystemer i:

§ 89. Tilsyn med virksomheter underlagt lov om nasjonal sikkerhet (fjerde ledd)

For å kontrollere sikkerhetstilstanden til informasjonssystemer og infrastruktur, kan tilsynsmyndigheten benytte automatiserte metoder for å samle inn teknisk informasjon.

Tilsyn med bestemmelser om beskyttelse av informasjon og informasjonssystemer kan gjennomføres som IKT-revisjon. Aktuelle revisjonskriterier er NSMs grunnprinsipper for IKT-sikkerhet og NS-EN ISO 27001/27002.

IKT-revisjon kan også omfatte automatiserte metoder for innsamling av teknisk informasjon. Automatiserte metoder kan eksempelvis være dataprogrammer eller applikasjoner som på selvstendig grunnlag samler inn info