Virksomheter underlagt sikkerhetsloven skal straks varsle NSM og andre tilsynsmyndigheter dersom den blir utsatt for, eller det er grunn til å mistenke at den blir utsatt for, en handling som har til formål å skade informasjon, informasjonssystemer, infrastruktur eller objekter, jf. sikkerhetsloven § 4-5. For denne veilederens formål menes investeringer og oppkjøp som kan utgjøre sikkerhetstruende virksomhet. Myndighet som fører tilsyn med forebyggende sikkerhet i egen sektor, jf. sikkerhetsloven § 3-1 annet ledd kan også motta varsel. Dersom det er sektortilsynet som mottar varslet etter sikkerhetsloven § 4-5 skal denne uten ugrunnet opphold varsle NSM og videresende varselet til ansvarlig departement for vurdering av vedtak etter sikkerhetsloven § 2-5.

Formålet med varslingsplikten er å få kunnskap om forhold som eventuelt skal stanses og sikre tilfang av opplysninger for å oppnå et bilde av sikkerhetstilstanden i de ulike sektorene. Varslingsplikten gjelder uten hinder av eventuell taushetsplikt.

Varslingsplikten inntrer for det første når virksomheten faktisk er rammet av sikkerhetstruende virksomhet, og ved begrunnet mistanke om at sikkerhetstruende virksomhet har rammet eller vil kunne ramme virksomheten selv eller andre virksomheter. Med sikkerhetstruende virksomhet menes en tilsiktet handling som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser. Et eksempel kan være at virksomheten i forbindelse med et oppkjøp blir gjort kjent med at kjøper har koblinger til en trusselaktør, for eksempel et land som representerer en etterretningstrussel mot Norge.

For det andre skal virksomheten varsle dersom det har skjedd alvorlige brudd på sikkerhet. I tillegg skal virksomheten varsle dersom den får kunnskap om en planlagt eller pågående aktivitet som kan medføre en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet. Både kjennskap til og indikasjoner på slik aktivitet er tilstrekkelig for at varslingsplikten inntrer.