Veileder for virksomheters håndtering av uønskede hendelser
Uønskede hendelser
Målgruppen for Veileder for virksomheters håndtering av uønskede hendelser er virksomheter underlagt sikkerhetsloven, det vil si personell som skal etablere systemer for håndtering av uønskede hendelser. Dette inkluderer personell som skal rapportere slike hendelser internt i virksomheten samt personellet som har ansvar for rapportering og varsling eksternt.
Et av sikkerhetslovens formål er å bidra til å forebygge, avdekke og motvirke sikkerhetstruende virksomhet. Loven stiller krav om tiltak ved slik virksomhet, samt ved avvik og sikkerhetsbrudd. Håndtering av slike hendelser har fellestrekk, uavhengig av hendelsesforløpet og av om handlingene i seg selv er tilsiktede eller utilsiktede. Begrepet uønskede hendelser benyttes i denne veilederen derfor som fellesbetegnelse for:
- sikkerhetstruende virksomhet – tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser, jf. sikkerhetsloven § 1-5 punkt 4. Dette kan omfatte enhver aktivitet som kan medføre at nasjonale sikkerhetsinteresser blir truet, herunder spionasje, sabotasje og terror.
- sikkerhetsbrudd – funksjonsfeil i skjermingsverdige informasjonssystemer, tap av konfidensialitet, integritet eller tilgjengelighet for skjermingsverdig informasjon og redusert funksjonalitet, skadeverk, ødeleggelse eller rettsstridig overtakelse av skjermingsverdige objekter og infrastruktur
- avvik – manglende samsvar med krav i eller i medhold av sikkerhetsloven eller virksomhetens styringssystem for sikkerhet
Etablering av systemer for håndtering av hendelser for å oppfylle krav i eller i medhold av sikkerhetsloven må ses i sammenheng med krav i andre regelverk, som nasjonalt beredskapssystem og sektorlovgivning.