Vedlegget beskriver kort fremgangsmåte for vurdering av sikkerhetsnivå med hovedvekt på kriterier (i pkt. 6.3) for slik vurdering. Mer utfyllende veiledning i fremgangsmåten fremgår av NSMs øvrige veiledere, bla. Veileder i sikkerhetsstyring og i Veileder for sikkerhetsgodkjenning av informasjonssystem.

Virksomheten skal etablere de sikkerhetstiltak og -prosedyrer som er nødvendig for å oppnå forsvarlig sikkerhetsnivå for de skjermingsverdige verdiene. Dette fremkommer i sikkerhetsloven:

§ 4-3. Plikt til å gjennomføre sikkerhetstiltak og øvelser (første ledd, første setning)

Virksomheten skal gjennomføre de forebyggende sikkerhetstiltak som må til for å gi et forsvarlig sikkerhetsnivå og redusere risikoen knytte til sikkerhetstruende virksomhet.

Forsvarlig sikkerhetsnivå er oppnådd når risiko overfor de skjermingsverdige verdiene er håndtert til akseptabelt nivå.

Etterlevelse av NSMs konkrete sikkerhetsfaglige anbefalinger, eksempelvis gitt i tekniske veiledninger eller håndbøker, vil som hovedregel gi grunnlag for forsvarlig sikkerhetsnivå. Forutsetningen er at anbefalingene benyttes for forholdene de er utformet for og i samsvar med de rammer og forutsetninger som er lagt til grunn. Vurdering av forsvarlig sikkerhetsnivå blir da samsvarsvurdering med de aktuelle anbefalingene.

For forhold der NSM ikke har gitt anbefalinger eller der virksomheten ønsker annen risikohåndtering enn den NSM anbefaler, kan forsvarlig sikkerhetsnivå vurderes ved å undersøke hvorvidt etablerte (eller foreslåtte) sikkerhetstiltak er tilstrekkelige og hensiktsmessige