Vedlegget beskriver kort krav om sikkerhetsstyring med hovedvekt på kriterier for vurdering av samsvar med disse kravene. Mer utfyllende veiledning i krav om sikkerhetsstyring fremgår av NSMs Veileder i sikkerhetsstyring.

Forebyggende sikkerhetsarbeid omfatter alle aktiviteter med betydning for beskyttelsen av skjermingsverdige verdier. Forebyggende sikkerhetsarbeid skal utføres innenfor rammene av et styringssystem for sikkerhet etter sikkerhetsloven:

§ 4-1. Sikkerhetsstyring (første ledd andre setning)

Forebyggende sikkerhetsarbeid skal være en del av virksomhetens styringssystem.

Kravet om sikkerhetsstyring er utdypet i virksomhetsikkerhetsforskriften kapittel 2:

§ 3. Styringssystem for sikkerhet

En virksomhet som omfattes av sikkerhetsloven, skal etablere et styringssystem for sikkerhet. Systemet skal sikre at virksomheten oppfyller kravene gitt i eller med hjemmel i loven.

Sikkerhetsstyringssystemet skal omfatte hele det forebyggende sikkerhetsarbeidet, dvs. både aktiviteter dedikert for sikkerhet og aktiviteter som kan ha betydning for sikkerhet. Dette innebærer at styringssystemet for sikkerhet skal omfatte grunnprinsippene i sikkerhetsstyring:

  • sikkerhetsledelse
  • sikkerhetsorganisering
  • sikkerhetstiltak og -prosedyrer
  • forholdet til andre virksomheter
  • sikkerhetsoppfølging
  • sikkerhetsdokumentasjon

Styringssystemet for sikkerhet skal integreres i virksomhetsstyringen for øvrig. Eksempelvis kan virksomhetens kompetansestyring utvides til også å omfatte kompetanse innen beskyttelse av skjermingsverdige verdier. Ved samordning er det viktig å være oppmerksom på at forebyggende sikkerhetsarbeid vil medføre behandling av skjermingsverdig informasjon. Samordningen må derfor ivareta behovet for beskyttelse av slik informasjon mot uautorisert tilgang.

Styringssystemet for sikkerhet kan etableres og samordnes gjennom tilpassing av eksisterende styringssystem, og/eller med utgangspunkt i anerkjente standarder for styring som ISO 9000-serien og ISO 27000-serien. Forutsetningen er da at (det tilpassede) styringssystemet:

  • dekker hele det forebyggende sikkerhetsarbeidet, dvs. omfatter alle styringselementene
  • er dimensjonert i forhold til risiko for sikkerhetstruende virksomhet 
  • oppfyller kravene i og i medhold av sikkerhetsloven, jf. påfølgende beskrivelse av styringselementene.