Krav om håndtering av uønskede hendelser følger av sikkerhetslovens krav om sikkerhetsstyring i:

§ 4-1 Sikkerhetsstyring (første ledd)

 

Virksomhetens leder har ansvaret for det forebyggende sikkerhetsarbeidet. Forebyggende sikkerhetsarbeid skal være en del av virksomhetens styringssystem. Sikkerhetstilstanden i virksomheten skal regelmessig kontrolleres.

Kravet må forstås slik at sikkerhetsstyring også omfatter håndtering av uønskede hendelser. Krav om sikkerhetsstyring er utdypet i virksomhetsikkerhetsforskriften kapittel 1 med bestemmelse om håndtering av uønskede hendelser i:

§ 8 Tiltak ved sikkerhetstruende virksomhet, avvik og kompromittering av sikkerhetsgradert informasjon

 

Ved sikkerhetstruende virksomhet eller avvik fra styringssystemet for sikkerhet skal en virksomhet gjennomføre umiddelbare tiltak for å redusere skadeomfanget og gjenopprette et forsvarlig sikkerhetsnivå. Det skal rapporteres om den sikkerhetstruende virksomheten eller avviket internt og til andre som kan bli berørt i stor grad. Virksomheten skal vurdere konsekvensene av den sikkerhetstruende virksomheten eller avviket.

 

Hvis sikkerhetsgradert informasjon blir kjent for uautoriserte personer, skal virksomheten informere den som har tilvirket informasjonen, om hendelsen, i tillegg til å varsle etter sikkerhetsloven § 4-5.

I tillegg har sikkerhetsloven krav om varsling ved uønskede hendelser i:

§ 4-5 Varslingsplikt

 

Virksomheten skal straks varsle sikkerhetsmyndigheten og andre myndigheter som skal utføre tilsyn i medhold av § 3-1 andre ledd, dersom

 

a) den har blitt rammet av sikkerhetstruende virksomhet 

b) det er begrunnet mistanke om at sikkerhetstruende virksomhet har rammet eller vil kunne ramme virksomheten eller andre virksomheter

c) det har skjedd alvorlige brudd på krav til sikkerhet etter kapittel 5, 6 eller 7.

 

Virksomheten skal uten hinder av taushetsplikt varsle tilsynsmyndigheten dersom den får kunnskap om en planlagt eller pågående aktivitet som kan medføre en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet. Tilsynsmyndigheten skal uten ugrunnet opphold varsle sikkerhetsmyndigheten og videresende varselet til ansvarlig departement for vurdering av vedtak etter § 2-5.

 

Kongen kan gi forskrift om varslingsplikten etter andre ledd.

Sikkerhetslovens krav om sikkerhetsstyring i § 4-1 må forstås slik at virksomheten skal etablere egne sikkerhetsbestemmelser for håndtering av uønskede hendelser. Disse bestemmelser må omfatte rutiner for deteksjon, varsling, umiddelbare og varige tiltak, evaluering og dokumentering i forbindelse med håndtering av uønskede hendelser. Sikkerhetsbestemmelsene må være kjent for alle som kan få tilgang til skjermingsverdige verdier, jf. virksomhetsikkerhetsforskriften § 7, andre ledd.