§ 8. Tiltak ved sikkerhetstruende virksomhet, avvik og kompromittering av sikkerhetsgradert informasjon (første ledd)

Ved sikkerhetstruende virksomhet eller avvik fra styringssystemet for sikkerhet skal en virksomhet gjennomføre umiddelbare tiltak for å redusere skadeomfanget og gjenopprette et forsvarlig sikkerhetsnivå. Det skal rapporteres om den sikkerhetstruende virksomheten eller avviket internt og til andre som kan bli berørt i stor grad. Virksomheten skal vurdere konsekvensene av den sikkerhetstruende virksomheten eller avviket.

Uønskede hendelser som sikkerhetstruende virksomhet, avvik og kompromittering av sikkerhetsgradert informasjon skal håndteres for å begrense skade og hindre gjentagelse.

Håndtering av uønskede hendelser skal omfatte varsling, iverksetting av strakstiltak for å begrense skade, etablering av permanente korrigerende tiltak for å hindre gjentagelse samt evaluering av om de de korrigerende tiltakene fungerer som forutsatt.

Uønskede hendelser varsles til den som har ansvar og myndighet for håndtering av uønskede hendelser, inkl. for beslutning om etablering av permanente korrigerende tiltak. Virksomhetens leder skal varsles om saker som er viktige for det forebyggende sikkerhetsarbeidet.