Risikovurderinger etter sikkerhetsloven

Dette er bakgrunnsstoff («Godt å vite») til hovedaktiviteten Risikovurdering. Målgruppen er de fagansvarlige informasjonssikkerhet som ønsker å sette seg litt grundigere inn i enkelte tema og dermed øke sin bakgrunnskunnskap.

Innhold

1 Minimumskrav

For å ivareta nasjonale sikkerhetsinteresser og grunnleggende nasjonale funksjoner stiller lov om nasjonal sikkerhet (sikkerhetsloven) krav til forsvarlig sikkerhetsnivå for

  • skjermingsverdig informasjon
  • skjermingsverdige informasjonssystemer
  • skjermingsverdige objekter og infrastruktur

Regelverkets krav til virksomheter omfatter styring og kontroll, prinsipper for sikring, føringer for forsvarlig sikkerhetsnivå og minimumskrav til sikkerhetstiltak, for å beskytte de skjermingsverdige verdiene mot tilsiktede handlinger. I tillegg til selve loven er disse kravene hovedsakelig nedfelt i forskrift om virksomheters arbeid med forebyggende sikkerhet (virksomhetsikkerhetsforskriften).

2 Krav til vurdering av risiko

Sikkerhetslovens stiller krav til vurdering av risiko. I § 4-2 står det:

  • Virksomheten skal regelmessig gjennomføre vurdering av risiko. Vurderingen skal danne grunnlag for iverksetting av forebyggende sikkerhetstiltak.
  • Virksomheten skal som del av vurderingen kartlegge hvilke virksomheter den er avhengig av for å fungere som den skal.
  • Vurderingen skal gjennomgås jevnlig og om nødvendig revideres.

Virksomhetsikkerhetsforskriften § 12 inneholder krav til risikovurderingen. Når virksomheten skal vurdere risiko skal den ta hensyn til:

  • hvilken betydning virksomhetens skjermingsverdige verdier har for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser
  • hvilken sikkerhetstruende virksomhet de skjermingsverdige verdiene kan bli utsatt for
  • sannsynligheten for at sikkerhetstruende virksomhet kan inntreffe
  • hvilke sårbarheter som er knyttet til de skjermingsverdige verdiene
  • konsekvensen av sikkerhetstruende virksomhet for de skjermingsverdige verdiene
  • i hvilken grad virksomheten er avhengig av andre virksomheter for å fungere som den skal

I tillegg stiller den krav til at man årlig skal vurdere behovet for å gjennomføre ny vurdering av risiko, og at risiko skal vurderes ifbm. endringer.

3 Gjennomføring av risikovurderinger

Virksomhetene må ut fra ovennevnte vurdere hvilke metoder de skal benytte. I utgangspunktet kan de velge mellom Digitaliseringsdirektoratets anbefalinger i dette veiledningsmateriellet, metoder utarbeidet hos dem selv eller eksterne spesialister, metoder som Nasjonal sikkerhetsmyndighet (NSM) anbefaler, eller en kombinasjon av metoder og støttemetoder. Ved valg av metode er det viktig å påse at den er egnet til vurdering av risiko knyttet til tilsiktede handlinger, f.eks. elementer som trusselaktørers intensjon og kapasitet.

NSM er fagmyndighet for sikkerhetsloven. For informasjon om NSMs veiledning til regelverket er tilgjengelig på deres nettsider https://nsm.no/

────────────────────────────────────────────────────────────────────

Til toppen av siden

────────────────────────────────────────────────────────────────────