§ 58. Forsvarlig sikkerhetsnivå for klassifiserte objekter og infrastruktur


Når en virksomhet håndterer en risiko knyttet til skjermingsverdige objekter eller infrastruktur etter § 13, er kravet til et forsvarlig sikkerhetsnivå oppnådd dersom virksomheten kan dokumentere at det er foretatt en konkret vurdering av risikoen, og at det er iverksatt nødvendige tiltak for å håndtere den. I vurderingen av om det er iverksatt nødvendige tiltak skal det legges vekt på om sikkerhetstiltakene er egnet til å


a) begrense tap av vesentlige funksjoner ved skadeverk på eller forsøk på å ødelegge objekter eller infrastruktur klassifisert VIKTIG

b) begrense tap av funksjoner ved skadeverk på eller forsøk på å ødelegge objekter eller infrastruktur klassifisert KRITISK

c) avverge tap av funksjoner ved skadeverk på eller forsøk på å ødelegge objekter eller infrastruktur klassifisert MEGET KRITISK

d) avverge en rettsstridig overtakelse av objekter eller infrastruktur klassifisert KRITISK eller MEGET KRITISK. 

For å kunne oppnå et forsvarlig sikkerhetsnivå, skal virksomheten vurdere å redusere sårbarheten, og dermed risikoen, ved å etablere grunnsikringstiltak og påbygningstiltak.

Objekt eller infrastruktur klassifisert VIKTIG skal beskyttes slik at hele eller deler av funksjonen innen rimelig tid kan gjenopprettes til et forsvarlig nivå. Begrepet rimelig tid kan være vanskelig å fastsette, og skadefølgene vil avgjøre hva et akseptabelt nivå på rimelig tid vil være. Skadehåndtering for VIKTIG infrastruktur kan være å ha alternative muligheter til å etablere føringsveier for strøm og data, eller å ha reservedeler tilgjengelig, slik at funksjonen kan gjenopprettes. Dette for å unngå at tjenesten eller funksjonen infrastrukturen representerer, ikke vil påvirke andre klassifiserte grunnleggende nasjonale funksjoner negativt.

Objekt eller infrastruktur klassifisert KRITISK skal beskyttes slik at forsøk på ødeleggelse eller skadeverk begrenses til et nivå som gjør at hele funksjonen raskt kan gjenopprettes til et forsvarlig nivå. Skadebegrensning for funksjoner som er KRITISK, skal håndteres slik at et utfall eller funksjonssvikt ikke får større konsekvenser enn hva som er akseptert. Eksempelvis vil umiddelbar tilgjengelighet på personell, reservedeler o.l. være avgjørende for raskt å kunne gjenopprette funksjonen.

Objekt eller infrastruktur klassifisert MEGET KRITISK skal sikres mot funksjonssvikt og forsøk på ødeleggelse. For å oppnå et forsvarlig sikkerhetsnivå, skal virksomheten kontinuerlig kartlegge kritiske avhengigheter og sikre disse.

For å forhindre rettstridig overtakelse, skal det planlegges og etableres fysiske og elektroniske barrierer med deteksjon og/eller stedlig vakthold med reell evne til å beskytte objekter og infrastruktur klassifisert KRITISK og MEGET KRITISK. Det må være positivt tidsregnskap for fysiske og/-eller elektroniske inntrengning.