Virksomhetsikkerhetsforskriften har krav til håndtering av risiko i:

§ 13. Håndtering av risiko
 

Når en virksomhet skal håndtere en risiko, skal den vurdere

a) om risikoen er akseptabel
b) å endre sårbarheten til de skjermingsverdige verdiene ved grunnsikringstiltak og påbyggingstiltak
c) hvordan virksomheten kan påvirke konsekvensene som kan inntreffe dersom de skjermingsverdige verdiene rammes, for eksempel ved å endre redundansen eller iverksette tiltak for skadebegrensning og gjenopprettelse
d) å gjøre seg mindre avhengig av andre virksomheter
e) å håndtere risikoen på andre måter.
 

Virksomheten skal sende en oversikt over andre virksomheter den er avhengig av for å fungere som den skal, til Nasjonal sikkerhetsmyndighet og det departementet som er ansvarlig for det forebyggende sikkerhetsarbeidet i sektoren.

Bestemmelsen må forstås slik at sikkerhetsstyringssystemet skal dimensjoneres i forhold til risikoen overfor de skjermingsverdige verdiene. Med utgangspunkt i risikovurderinger etableres sikkerhetstiltak, der dette er nødvendig, for å redusere risiko til akseptabelt nivå slik at sikkerhetsnivået blir forsvarlig.

Sikkerhetstiltakene kan etableres for å:

  • endre sårbarheten til skjermingsverdige verdier dvs. gjennom forsterket sikkerhet
  • redusere konsekvensen av uønskede hendelser, eksempelvis gjennom redundans eller effektiv hendelseshåndtering
  • redusere avhengigheter

Sikkerhetstiltak kan etableres som hensiktsmessige balanserte kombinasjoner av fysiske, elektroniske, organisatoriske og menneskelige tiltak, jf. kapittel 5 i denne veiledningen.

For å redusere avhengigheter kan det være nødvendig å sørge for redundans av kritiske tjenester som understøtter virksomhetens skjermingsverdige verdier.

Sikkerhetstiltak som etableres på bakgrunn av NSMs konkrete sikkerhetsfaglige anbefalinger, eksempelvis gitt i tekniske veiledninger eller håndbøker, vil som hovedregel gi grunnlag for forsvarlig sikkerhetsnivå. Forutsetningen er at anbefalingene benyttes for forholdene de er utformet for og i samsvar med de rammer og forutsetninger som er lagt til grunn. Vurdering av forsvarlig sikkerhetsnivå blir da samsvarsvurdering med de aktuelle anbefalingene.

For forhold der NSM ikke har gitt anbefalinger eller der virksomheten ønsker annen risikohåndtering enn den NSM anbefaler, kan forsvarlig sikkerhetsnivå vurderes ved å undersøke hvorvidt etablerte (eller foreslåtte) sikkerhetstiltak er tilstrekkelige og hensiktsmessige.