Risiko identifiseres gjennom risikovurderinger og sikkerhetsloven har krav om vurdering av risiko i:

§ 4-2. Vurdering av risiko (første til tredje ledd)

Virksomheten skal regelmessig gjennomføre vurdering av risiko. Vurderingen skal danne grunnlag for iverksetting av forebyggende sikkerhetstiltak.

Virksomheten skal som del av vurderingen kartlegge hvilke virksomheter den er avhengig av for å fungere som den skal.

Vurderingen skal gjennomgås jevnlig og om nødvendig revideres.

Kravet er utdypet i virksomhetsikkerhetsforskriften:

§ 12 . Vurdering av risiko

Når en virksomhet vurderer risiko, skal den ta hensyn til

 

a) hvilken betydning virksomhetens skjermingsverdige verdier har for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser

b) hvilken sikkerhetstruende virksomhet de skjermingsverdige verdiene kan bli utsatt for c) sannsynligheten for at sikkerhetstruende virksomhet kan inntreffe

d) hvilke sårbarheter som er knyttet til de skjermingsverdige verdiene

e) konsekvensen av sikkerhetstruende virksomhet for de skjermingsverdige verdiene

f) i hvilken grad virksomheten er avhengig av andre virksomheter for å fungere som den skal.

 

Behovet for å gjennomføre en ny helhetlig vurdering av risikoen skal vurderes årlig.

 

Dersom det planlegges, gjennomføres eller inntreffer endringer som kan påvirke skjermingsverdige verdier i vesentlig grad, skal virksomheten vurdere hvilken risiko endringene medfører.

Risikovurderinger skal gjennomføres som grunnlag for ny håndtering av skjermingsverdige verdier og deretter ved alle endringer som kan påvirke beskyttelsen av disse verdiene. Dette kan være endringer internt i virksomheten eller endringer eksternt for virksomheten. Virksomheten bestemmer selv risikovurderingenes dekningsområde. Flere verdier og flere forhold kan dekkes av samme risikovurdering, eller vurderinger kan gjennomføres for avgrensede verdier og forhold. Sistnevnte fremgangsmåte er særlig aktuell ved interne eller eksterne endringer av begrenset omfang. Forutsetningen er at det er gjennomført risikovurderinger med tilstrekkelig dekning og som er oppdaterte nok til å gi grunnlag for forebyggende sikkerhetsarbeid med forsvarlig sikkerhetsnivå som resultat.

Risikovurderinger skal omfatte:

  • informasjon om skjermingsverdige verdier – blant annet i form av opplysninger om sikkerhetsgradering og/eller klassifisering av disse verdiene hentet
  • avdekking av sårbarheter – inkludert vurdering av konsekvens av at sikkerhetstruende virksomhet inntreffer
  • identifisering av trusler overfor skjermingsverdige verdier – inkludert vurdering av sannsynlighet for at sikkerhetstruende virksomhet inntreffer

Informasjon om sikkerhetsgradering og/eller klassifisering av skjermingsverdige verdier skal fremgå av virksomhetens verdivurderinger og/eller skadevurderinger.

Avdekking av sårbarheter, identifisering av trusler, og vurderinger av sannsynlighet og konsekvens kan gjennomføres med utgangspunkt i scenarioer som beskriver relevante uønskede hendelser som kan påvirke fysiske, elektroniske, menneskelige og/eller organisatoriske forhold.

Scenarioene kan konkretiseres ytterligere ved å angi mulige aktører bak hendelsene, og dennes tilhørighet til virksomheten og kapasitet og intensjon til å forårsake hendelser.

Risikovurderinger kan med fordel gjennomføres i henhold til anerkjente standarder for risikovurdering eller -analyse som NS-5014, NS-583X-serien eller ISO-31000-serien.