§ 16. Krav om bruk av evaluerte produkter og tjenester


Når en virksomhet velger sikkerhetstiltak, skal den bruke evaluerte produkter og tjenester dersom produktets eller tjenestens funksjon i seg selv er avgjørende for at


a) personer ikke får tilgang til informasjon gradert HEMMELIG eller STRENGT HEMMELIG uten å ha et tjenstlig behov for det

b) personer ikke får tilgang til sikkerhetsgradert informasjon de ikke er autorisert for

c) personer ikke kan overta eller sette ut av drift infrastruktur eller objekter som er klassifisert KRITISK eller MEGET KRITISK.


Evalueringen skal skje gjennom metodisk utvikling og testing av produktet eller tjenesten og være etterprøvbar. Den skal utføres av Nasjonal sikkerhetsmyndighet eller et akkreditert laboratorium utpekt av Nasjonal sikkerhetsmyndighet, gi tillit til produktet eller tjenesten og sikre at produktet eller tjenesten har nødvendig funksjonalitet for å sikre det aktuelle graderingsnivået eller klassifiseringsnivået. Nasjonal sikkerhetsmyndighet kan godkjenne bruk av produkter og tjenester som er evaluert eller sertifisert i andre land.

Der ett sikkerhetstiltak i seg selv er avgjørende for å hindre forholdende beskrevet i punkt a-c, skal dette være evaluert og sertifisert iht. krav fastsatt av NSM.

NSM tar utgangspunkt i ISO sertifiserte produkter og tjenester. Der det ikke eksisterer tilfredsstillende standarder, vil NSM stille eksplisitte krav tilpasset det aktuelle grads- eller klassifiseringsnivå.