Iht. sikkerhetsloven § 4-5 plikter virksomheter straks å varsle Nasjonal sikkerhetsmyndighet (NSM) og andre myndigheter som skal utføre tilsyn, dersom:

a)   den har blitt rammet av sikkerhetstruende virksomhet. Sikkerhetsloven § 1-5 punkt 4 definerer sikkerhetstruende virksomhet som tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser
b)   det er begrunnet mistanke om at sikkerhetstruende virksomhet har rammet eller vil kunne ramme virksomheten eller andre virksomheter
c)   det har skjedd alvorlige brudd på sikkerhetslovens krav til informasjons-, informasjonssystem-, objekt eller infrastruktursikkerhet

Andre som i stor grad kan bli berørt av uønskede hendelser skal også varsles, herunder tilvirker av sikkerhetsgradert informasjon, dersom denne er blitt kjent for uautoriserte personer.

Gjelder det sikkerhetsgradert informasjon mottatt fra internasjonale organisasjoner eller andre land skal NSM varsles. NSM rapporterer videre til den berørte organisasjon eller det berørte land.

Terskelen for å varsle om uønskede hendelser skal være lav. Er virksomheten i tvil om det bør varsles, skal det varsles. Varsling om uønskede hendelser til NSM er en lovpålagt plikt.

For mer informasjon om håndtering og varsling av uønskede hendelser, se NSMs «Veileder for virksomheters håndtering av uønskede hendelser».

Fremgangsmåte ved varsling

  • For å sikre enhetlig varsling anbefaler NSM at følgende skjema benyttes: Varsel om uønsket hendelse - utskriftsversjon [PDF (233KB)]
  • Skulle det fremkomme ny viktig informasjon i saken etter førstegangsvarsling, bør en utfyllende rapport fremsendes snarest
  • Endelig rapport med sammenfatning av alle opplysninger og undersøkelser, og med informasjon om gjennomførte og planlagte tiltak, bør sendes NSM når saken anses avsluttet
  • Foreløpig og endelig rapport kan slås sammen når saken avsluttes kort tid etter at hendelsen ble oppdaget

Hvordan sende varslingsskjemaet

NSM vil anbefale virksomhetene å velge sikker elektronisk overføring fremfor fysisk forsendelse der dette er mulig, ved å ta i bruk sikkerhetsgodkjente elektroniske løsninger for sikker overføring av informasjon. Varsel kan sendes til NSM Postmottak på alle graderingsnivåer.

  • Ugradert e-post: varsel@nsm.no
  • Gradert e-post: kontakt NSM ved evt. spørsmål
  • Ugradert telefon: 67 86 40 00 / 02497

Forsendelsen kan også sendes fysisk ved behov. Dersom virksomheten vurderer informasjonen som:

Vurdering av informasjon
SikkerhetsgraderingForsendelse
Ugradert eller BEGRENSETSend skjemaet som umerket ordinær post
KONFIDENSIELTSend skjemaet i dobbel emballasje med kurer
HEMMELIG ellerSTRENGT HEMMELIGSend skjemaet i dobbel emballasje med kurer og sikre at mottakeren kvitterer for at sendingen er mottatt

Postadresse:
Nasjonal sikkerhetsmyndighet
Postboks 814
1306 Sandvika

Levering med kurer:

Kolsås leir
Rødskiferveien 20
Kolsås, Bærum 

Andre bestemmelser

  • For regler vedrørende kurerposttjeneste, se virksomhetsikkerhetsforskriften § 45
  • Dersom informasjonen er FORTROLIG eller STRENGT FORTROLIG, se beskyttelsesinstruksen § 10
  • Dokumenter som er unntatt offentlighet etter offentleglova forsendes på samme måte som ugradert og BEGRENSET
  • Dersom rapporten inneholder personopplysninger, må disse skjermes i henhold til personopplysningsloven

Varsling av akutte og digitale hendelser

Ved akutte uønskede hendelser, og da særlig digitale hendelser, bør NCSC operasjonssenter kontaktes snarest. Senteret er døgnbemannet og kan distribuere henvendelsen videre til rett instans i NSM. Dette gjelder for hendelser knyttet til både ugraderte og graderte systemer.