Sikkerhetsloven har krav om vurdering av risiko i:

§ 4-2 Vurdering av risiko (første til tredje ledd)

Virksomheten skal regelmessig gjennomføre vurdering av risiko. Vurderingen skal danne grunnlag for iverksetting av forebyggende sikkerhetstiltak.

Virksomheten skal som del av vurderingen kartlegge hvilke virksomheter den er avhengig av for å fungere som den skal.

Vurderingen skal gjennomgås jevnlig og om nødvendig revideres.

Kravet er utdypet i virksomhetsikkerhetsforskriften:

§ 12. Vurdering av risiko
 

Når en virksomhet vurderer risiko, skal den ta hensyn til

a) hvilken betydning virksomhetens skjermingsverdige verdier har for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser
b) hvilken sikkerhetstruende virksomhet de skjermingsverdige verdiene kan bli utsatt for
c) sannsynligheten for at sikkerhetstruende virksomhet kan inntreffe
d) hvilke sårbarheter som er knyttet til de skjermingsverdige verdiene
e) konsekvensen av sikkerhetstruende virksomhet for de skjermingsverdige verdiene
f) i hvilken grad virksomheten er avhengig av andre virksomheter for å fungere som den skal.

Behovet for å gjennomføre en ny helhetlig vurdering av risikoen skal vurderes årlig
 

Dersom det planlegges, gjennomføres eller inntreffer endringer som kan påvirke skjermingsverdige verdier i vesentlig grad, skal virksomheten vurdere hvilken risiko endringene medfører.

Forebyggende sikkerhetsarbeid skal etableres med grunning i risikovurderinger. Slike vurderinger må følgelig gjennomføres ved hver ny håndtering av skjermingsverdige verdier og deretter ved alle endringer som kan påvirke beskyttelsen av disse verdiene. Dette kan være endringer internt i virksomheten eller endringer eksternt med betydning for virksomheten.

Virksomheten kan selv bestemme hvilke verdier og forhold som skal omfattes av den enkelte risikovurdering. Flere verdier og flere forhold kan dekkes av samme risikovurdering, eller vurderinger kan gjennomføres for avgrensede verdier og forhold. Sistnevnte fremgangsmåte er særlig aktuell ved interne eller eksterne endringer av begrenset omfang. Forutsetningen er at det er gjennomført risikovurderinger med tilstrekkelig dekning og som er oppdaterte nok til å gi grunnlag for forebyggende sikkerhetsarbeid, med forsvarlig sikkerhetsnivå som resultat.

Risikovurderinger må omfatte:

  • informasjon om skjermingsverdige verdier – blant annet i form av opplysninger om gradering og/eller klassifisering av disse verdiene
  • avdekking av sårbarheter – inkludert vurdering av konsekvens av at sikkerhetstruende virksomhet inntreffer
  • identifisering av trusler overfor skjermingsverdige verdier – inkludert vurdering av sannsynlighet for at sikkerhetstruende virksomhet inntreffer

Informasjon om gradering og/eller klassifisering av skjermingsverdige verdier fremgår av virksomhetens verdivurderinger og/eller skadevurderinger. Disse skal kartlegge og rangere virksomhetens verdier med en vurdering av konsekvens dersom verdien kompromitteres, blir utilgjengelige, skades, ødelegges eller rettstridig overtas av andre.

Avdekking av sårbarheter og identifisering av trusler, samt vurderinger av sannsynlighet og konsekvens, kan gjennomføres med utgangspunkt i scenarioer. Scenarioene beskrives gjennom relevante uønskede hendelser som kan påvirke fysiske, elektroniske, menneskelige og/eller organisatoriske forhold.

I den grad virksomheten er avhengig av (eksterne) ressurser/andre virksomheter for å håndtere og beskytte skjermingsverdigeverdier, må også slike forhold dekkes av risikovurderinger. Sikkerhetsloven har krav om beskyttelse mot sikkerhetstruende virksomhet, det vil si mot tilsiktede handlinger. Uønskede hendelser overfor avhengighetene er ikke avgrenset til tilsiktede handlinger. Risikovurderinger som dekker avhengigheter må derfor også omfatte scenarioer knyttet til utilsiktede hendelser.

Risikovurderinger kan med fordel gjennomføres i henhold til anerkjente standarder for risikovurdering eller -analyse som for eksempel NS-5014, NS-583X-serien eller ISO-31000-serien.