Virksomhetsikkerhetsforskriften har bestemmelser om planlegging av tilsyn i:

§ 3-2. Samarbeid mellom sikkerhetsmyndigheten og andre myndigheter med tilsynsansvar, fjerde ledd:

Myndigheter med tilsynsansvar skal orientere sikkerhetsmyndigheten om planlagte tilsyn, redegjøre for gjennomførte tilsyn og informere om eventuelle avvik og pålegg.

… og i:

§ 89. Tilsyn med virksomheter underlagt lov om nasjonal sikkerhet (andre ledd)

Et tilsyn skal planlegges på bakgrunn av risiko og vesentlighet. Det skal gjennomføres tilsyn ofte nok og i stort nok omfang til at lovens formål ivaretas.

Tilsynsobjekter og -omfang skal velges i forhold til betydning for nasjonale sikkerhetsinteresser etter vurdering av:

  • risiko – med utgangspunkt i de verdier som skal beskyttes, trusler overfor disse verdiene og sårbarheter i denne beskyttelsen
  • vesentlighet – med utgangspunkt i verdienes betydning for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser

Informasjon til grunnlag for slike vurderinger kan være om:

  • (mulige) uønskede hendelser (sikkerhetstruende virksomhet, sikkerhetsbrudd eller avvik)
  • endringer som berører forebyggende sikkerhetsarbeid (internt, eksempelvis i forebyggende sikkerhetsarbeid – eller eksternt, i trusler eller regelverk)
  • (endringer i) avhengigheter som berører det forebyggende sikkerhetsarbeidet

Hvert enkelt tilsyn skal planlegges. Kravet i § 3-2 må forstås slik at tilsynsmyndigheten også skal utarbeide en samlet plan for de tilsyn som skal utføres gjennom året. En slik årlig plan vil danne grunnlag for tilsynsmyndighetens egne tilsynsaktiviteter og samtidig være nødvendig for NSMs utøvelse av sitt sektorovergripende ansvar.