Veileder for virksomheters håndtering av uønskede hendelser
Varsling
Virksomhetsikkerhetsforskriften § 8 har krav om intern rapportering av sikkerhetstruende virksomhet, avvik og kompromittering av sikkerhetsgradert informasjon.
I praksis kan intern rapportering og varsling skje til nærmeste overordnede eller til den som virksomheten beslutter skal være ansvarlig for håndtering av uønskede hendelser. Virksomhetens leder skal informeres om saker som er viktige for det forebyggende sikkerhetsarbeidet, jf. virksomhetsikkerhetsforskriften § 6 andre ledd, dette omfatter sikkerhetstruende virksomhet og alvorlige sikkerhetsbrudd. Varslingsplikten omfatter også varsling til autorisasjonsansvarlig i virksomhetene om forhold som kan være av betydning for egen sikkerhetsmessige skikkethet, jf. sikkerhetsloven § 8-11.
Avhengig av den uønskede hendelsens art skal det varsels eksternt, til NSM og/eller til tilsynsmyndigheten1 samt til andre berørte, jf. sikkerhetsloven § 4-5. Også virksomhetsikkerhetsforskriften § 8 har krav om varsling til andre som kan berøres av hendelsen.
Det følger av disse bestemmelsene at virksomheten skal varsle NSM og tilsynsmyndigheten ved sikkerhetstruende virksomhet eller ved kunnskap om planlagt eller pågående aktivitet som kan medføre en ikke ubetydelig risiko. Dette innebærer varslingsplikt for alt utover det som fremstår som usannsynlig eller som det kun er teoretisk mulighet for.
Videre skal virksomheten også varsle NSM og tilsynsmyndigheten ved mistanke om at egen eller andres virksomhet er, eller kan bli rammet av sikkerhetstruende virksomhet, dersom den vurderer det nødvendig å undersøke forholdet nærmere.
NSM og tilsynsmyndigheten skal også varsles om alvorlige sikkerhetsbrudd som følge av utilsiktede hendelser. Følgende hendelser rapporteres som alvorlige sikkerhetsbrudd:
- mulig eller faktisk kompromittering av informasjon sikkerhetsgradert KONFIDENSIELT eller høyere
- gjentatt kompromittering av informasjon sikkerhetsgradert BEGRENSET
- avbrudd i en grunnleggende nasjonal funksjon
- hendelse overfor eller forhold ved informasjonssystem, objekt eller infrastruktur som kan medføre slikt avbrudd
Også andre skal varsles om uønskede hendelser når hendelsen har betydning for deres forebyggende sikkerhetsarbeid. Blant annet skal tilvirker av skjermingsverdig informasjon som er kompromittert, varsles. Dersom den kompromitterte informasjonen er sikkerhetsgradert av utenlandsk myndighet eller internasjonal organisasjon, skal dette varsles til NSM. Når uønskede hendelser innebærer mistanke om straffbare forhold etter sikkerhetsloven skal i tillegg Politiets sikkerhetstjeneste varsles, jf. sikkerhetsloven § 11-4.
1. NSM er tilsynsmyndighet for virksomheter i de sektorer hvor overordnet departement ikke har utpekt en egen sektormyndighet med tilsynsansvar