Første ledd i VF § 60 slår fast at virksomhetens søknad til departementet skal inneholde en redegjørelse for hvorfor virksomheten finner at andre sikkerhetstiltak ikke er egnet eller tilstrekkelige for å oppnå et forsvarlig sikkerhetsnivå. Virksomheten må altså med bakgrunn i sin vurdering og håndtering av risiko, redegjøre for at:

  1. fysisk eller logisk tilgang til hele eller deler av objektet eller infrastrukturen gir mulighet til å utføre tilsiktede anslag, og at
  2. konsekvensene ved slike anslag kan være at objektet eller infrastrukturen får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse, og at
  3. de allerede implementerte sikkerhetstiltakene ikke er tilstrekkelige for å oppnå forsvarlig sikkerhetsnivå, og at andre tiltak alene ikke er egnet eller tilstrekkelige for å oppnå forsvarlighetskravet.

Formålet med redegjørelsen er å gi tilstrekkelig grunnlag for departementet til å fatte vedtak i tråd med bestemmelsen i SL § 8-3. Virksomhetens vurdering som omtalt i forrige delkapittel er grunnlaget for redegjørelsen.

Virksomhetens søknad til departementet bør som minimum inneholde følgende opplysninger:

  • Hvilket konkret objekt eller infrastruktur søknaden omhandler, helst med henvisning til departementets klassifiseringsvedtak etter SL § 7-2.
  • Hvorvidt det søkes om vedtak for hele eller deler av objektet eller infrastrukturen.
  • Hvorvidt krav om adgangsklarering bør omfatte fysisk eller logisk tilgang, eller begge deler
  • Virksomhetens vurdering av:
    • Hvilken sikkerhetstruende virksomhet objektet eller infrastrukturen kan bli utsatt for
    • sannsynligheten for at sikkerhetstruende virksomhet kan inntreffe
    • hvilke sårbarheter som er knyttet til objektet eller infrastrukturen
    • konsekvensen av sikkerhetstruende virksomhet for objektet eller infrastrukturen
  • En redegjørelse av:
    • Hvorfor implementerte grunnsikringstiltak ikke anses som tilstrekkelige for å oppnå et forsvarlig sikkerhetsnivå
    • Hvilke andre tiltak som implementeres for å begrense behovet for adgangsklarering, og hvorfor disse alene ikke er tilstrekkelige.
  • Virksomhetens estimat av antallet personer som vil bli omfattet av et vedtak om krav om adgangsklarering, og som dermed må adgangsklareres.
    • Om vedtaket vil omfatte personer som ikke er ansatt i virksomheten, for eksempel rengjøringspersonale, eksterne kontraktører eller leverandører.
    • Om vedtaket vil innebære endringer i saksvolum når det gjelder virksomhetens sikkerhetsklarerte personer som etter vedtaket skal adgangsklareres i stedet.

Virksomhetens søknad må verdivurderes og sikkerhetsgraderes med utgangspunkt i SL § 5-3

VF § 15 fjerde ledd krever at virksomheten skal kunne dokumentere nødvendigheten av sikkerhetstiltak som kan gripe inn i personers rettssikkerhet eller personvern. NSM anser at en søknad om krav om adgangsklarering som inneholder de overnevnte opplysningene også må kunne anses som tilstrekkelig dokumentasjon av nødvendigheten av sikkerhetstiltaket, og dermed også oppfylle kravet i VF § 15.