Virksomhetsikkerhetsforskriften har krav om risikohåndtering i:

§ 13. Håndtering av risiko

Når en virksomhet skal håndtere en risiko, skal den vurdere

a) om risikoen er akseptabel

b) å endre sårbarheten til de skjermingsverdige verdiene ved grunnsikringstiltak og påbyggingstiltak

c) hvordan virksomheten kan påvirke konsekvensene som kan inntreffe dersom de skjermingsverdige verdiene rammes, for eksempel ved å endre redundansen eller iverksette tiltak for skadebegrensning og gjenopprettelse

d) å gjøre seg mindre avhengig av andre virksomheter

e) å håndtere risikoen på andre måter.

Virksomheten skal sende en oversikt over andre virksomheter den er avhengig av for å fungere som den skal, til Nasjonal sikkerhetsmyndighet og det departementet som er ansvarlig for det forebyggende sikkerhetsarbeidet i sektoren.

Sikkerhetsstyringssystemet skal dimensjoneres i forhold til risiko overfor de skjermingsverdige verdiene. Dette innebærer at sikkerhetstiltak skal etableres med utgangspunkt i risikovurderinger.

Risiko kan håndteres ved å begrense sårbarheter eller konsekvenser av at sikkerhetstruende virksomhet inntreffer. Risikohåndtering gjennom etablering av sikkerhetstiltak og -prosedyrer er nærmere beskrevet i kapittel 7.3.

Forsvarlig sikkerhetsnivå er oppnådd når risiko er redusert til akseptabelt nivå. Dette innebærer at resultater fra risikovurderinger må sammenlignes med fastlagt nivå for akseptabel risiko for å avgjøre om risikohåndteringen er tilstrekkelig eller om ytterligere sikkerhetstiltak må til.

Nivå for akseptabel risiko avledes av forsvarlig sikkerhetsnivå og må være konkret nok til å fungere som sammenligningsgrunnlag for resultater fra risikovurderinger. Eksempler på slik konkretisering fremgår av tabellene i vedlegg 1. Vurderingskriteriene her kan benyttes som sammenligningsgrunnlag for resultater fra risikovurderinger gjennomført i henhold til metoden (tiltaksvurderingen) beskrevet i dette vedlegget.