Rapportering av uønskede hendelser etter sikkerhetsloven
Iht. sikkerhetsloven § 4-5 plikter virksomheter straks å varsle Nasjonal sikkerhetsmyndighet (NSM) og andre myndigheter som skal utføre tilsyn, dersom:
a) den har blitt rammet av sikkerhetstruende virksomhet. Sikkerhetsloven § 1-5 punkt 4 definerer sikkerhetstruende virksomhet som tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser
b) det er begrunnet mistanke om at sikkerhetstruende virksomhet har rammet eller vil kunne ramme virksomheten eller andre virksomheter
c) det har skjedd alvorlige brudd på sikkerhetslovens krav til informasjons-, informasjonssystem-, objekt eller infrastruktursikkerhet
Andre som i stor grad kan bli berørt av uønskede hendelser skal også varsles, herunder tilvirker av sikkerhetsgradert informasjon, dersom denne er blitt kjent for uautoriserte personer.
Gjelder det sikkerhetsgradert informasjon mottatt fra internasjonale organisasjoner eller andre land skal NSM varsles. NSM rapporterer videre til den berørte organisasjon eller det berørte land.
Terskelen for å varsle om uønskede hendelser skal være lav. Er virksomheten i tvil om det bør varsles, skal det varsles. Varsling om uønskede hendelser til NSM er en lovpålagt plikt.
For mer informasjon om håndtering og varsling av uønskede hendelser, se NSMs «Veileder for virksomheters håndtering av uønskede hendelser».
Fremgangsmåte ved varsling
- For å sikre enhetlig varsling anbefaler NSM at følgende skjema benyttes: Varsel om uønsket hendelse - utskriftsversjon [PDF (233KB)]
- Skulle det fremkomme ny viktig informasjon i saken etter førstegangsvarsling, bør en utfyllende rapport fremsendes snarest
- Endelig rapport med sammenfatning av alle opplysninger og undersøkelser, og med informasjon om gjennomførte og planlagte tiltak, bør sendes NSM når saken anses avsluttet
- Foreløpig og endelig rapport kan slås sammen når saken avsluttes kort tid etter at hendelsen ble oppdaget
Hvordan sende varslingsskjemaet
NSM vil anbefale virksomhetene å velge sikker elektronisk overføring fremfor fysisk forsendelse der dette er mulig, ved å ta i bruk sikkerhetsgodkjente elektroniske løsninger for sikker overføring av informasjon. Varsel kan sendes til NSM Postmottak på alle graderingsnivåer.
- Ugradert e-post: [email protected]
- Gradert e-post: kontakt NSM ved evt. spørsmål
- Ugradert telefon: 67 86 40 00 / 02497
Forsendelsen kan også sendes fysisk ved behov. Dersom virksomheten vurderer informasjonen som:
| Sikkerhetsgradering | Forsendelse |
|---|---|
| Ugradert eller BEGRENSET | Send skjemaet som umerket ordinær post |
| KONFIDENSIELT | Send skjemaet i dobbel emballasje med kurer |
| HEMMELIG ellerSTRENGT HEMMELIG | Send skjemaet i dobbel emballasje med kurer og sikre at mottakeren kvitterer for at sendingen er mottatt |
Postadresse:
Nasjonal sikkerhetsmyndighet
Postboks 814
1306 Sandvika
Levering med kurer:
Kolsås leir
Rødskiferveien 20
Kolsås, Bærum
Andre bestemmelser
- For regler vedrørende kurerposttjeneste, se virksomhetsikkerhetsforskriften § 45
- Dersom informasjonen er FORTROLIG eller STRENGT FORTROLIG, se beskyttelsesinstruksen § 10
- Dokumenter som er unntatt offentlighet etter offentleglova forsendes på samme måte som ugradert og BEGRENSET
- Dersom rapporten inneholder personopplysninger, må disse skjermes i henhold til personopplysningsloven
Varsling av akutte og digitale hendelser
Ved akutte uønskede hendelser, og da særlig digitale hendelser, bør NCSC operasjonssenter kontaktes snarest. Senteret er døgnbemannet og kan distribuere henvendelsen videre til rett instans i NSM. Dette gjelder for hendelser knyttet til både ugraderte og graderte systemer.