Veileder for virksomheters håndtering av uønskede hendelser
Krav knyttet til hendelser og tiltak
Sikkerhetsloven med forskrifter har flere bestemmelser om ulike hendelser som skal håndteres. Sikkerhetsloven definerer sikkerhetstruende virksomhet i:
§ 1-5 Definisjoner (første ledd)
…
4. sikkerhetstruende virksomhet: tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser
Hendelser som skal håndteres fremgår av virksomhetsikkerhetsforskriften:
§ 8 Tiltak ved sikkerhetstruende virksomhet, avvik og kompromittering av sikkerhetsgradert informasjon (første ledd, første setning)
Ved sikkerhetstruende virksomhet eller avvik fra styringssystemet for sikkerhet, skal virksomheten gjennomføre umiddelbare tiltak for å redusere skadeomfanget og gjøre tiltak som gjenoppretter det forsvarlige sikkerhetsnivået i virksomheten.
Videre har sikkerhetsloven krav knyttet til forebyggende sikkerhetstiltak:
- varsling – av både sikkerhetstruende virksomhet og alvorlige brudd på krav til sikkerhet (jf. § 4-5 Varslingsplikt)
- beskyttelse av skjermingsverdig informasjon – mot kompromittering, tap av integritet og utilgjengelighet (jf. § 5-2 Beskyttelse av skjermingsverdig informasjon)
- beskyttelse av skjermingsverdige informasjonssystemer – mot funksjonsfeil, samt beskyttelse av informasjonen i systemet mot kompromittering, tap av integritet og utilgjengelighet (jf. § 6-2 Beskyttelse av skjermingsverdige informasjonssystemer)
- beskyttelse av objekter og infrastruktur – for opprettholdelse av et forsvarlig sikkerhetsnivå basert på en vurdering av risiko (jf. § 7-3 Beskyttelse av objekter og infrastruktur)
I tillegg har virksomhetsikkerhetsforskriften krav knyttet til:
- å informere virksomhetens leder – om saker som er viktige for det forebyggende sikkerhetsarbeidet (jf. § 6 Roller og ansvar i det forebyggende sikkerhetsarbeidet)
- misbruk – av skjermingsverdige informasjonssystemer (jf. § 49 Forsvarlig sikkerhetsnivå for skjermingsverdige informasjonssystemer)