Krav om sikkerhetsoppfølging er utdypet gjennom krav til håndtering av uønskede hendelser, i virksomhetsikkerhetsforskriften:

§ 8. Tiltak ved sikkerhetstruende virksomhet, avvik og kompromittering av sikkerhetsgradert informasjon (første ledd)

 

Ved sikkerhetstruende virksomhet eller avvik fra styringssystemet for sikkerhet skal en virksomhet gjennomføre umiddelbare tiltak for å redusere skadeomfanget og gjenopprette et forsvarlig sikkerhetsnivå. Det skal rapporteres om den sikkerhetstruende virksomheten eller avviket internt og til andre som kan bli berørt i stor grad. Virksomheten skal vurdere konsekvensene av den sikkerhetstruende virksomheten eller avviket

Uønskede hendelser, som sikkerhetstruende virksomhet, avvik og kompromittering av sikkerhetsgradert informasjon, skal håndteres for å begrense skade og hindre gjentagelse5.

Bestemmelsen må forstås slik at håndteringen av uønskede hendelser skal omfatte varsling, iverksetting av strakstiltak for å begrense skade, etablering av permanente korrigerende tiltak for å hindre gjentagelse samt evaluering om de korrigerende tiltakene fungerer som forutsatt.

5 Virksomheters håndtering av uønskede hendelser er beskrevet i egen veileder fra NSM