Vurdering av risiko etter sikkerhetsloven
Det er noen spesielle hensyn som må tas når man vurderer risiko i henhold til sikkerhetsloven. Disse beskrives her.
1. Forsvarlig sikkerhetsnivå
For å ivareta nasjonale sikkerhetsinteresser og grunnleggende nasjonale funksjoner, stiller lov om nasjonal sikkerhet (sikkerhetsloven) krav til forsvarlig sikkerhetsnivå for
- skjermingsverdig informasjon
- skjermingsverdige informasjonssystemer
- skjermingsverdige objekter og infrastruktur
En del av det som inngår i fastsettelse av forsvarlig sikkerhetsnivå er virksomhetens egen vurdering og håndtering av risiko, slik at sikkerheten kan tilpasses de aktuelle forholdene.
2. Vurdering av behov
Virksomhetssikkerhetsforskriften § 12 stiller krav til at man årlig skal vurdere behovet for å gjennomføre ny helhetlig vurdering av risiko.
Dette kan bidra til effektiv prioritering og bruk av ressursene til vurdering av risiko, ved at man først vurderer om det faktisk er behov for en ny helhetlig vurdering.
Bestemmelsen stiller krav til noe tilsvarende som dette veiledningsmateriellet anbefaler at man uansett gjør for alle ansvarsområder i virksomheten. Det inngår i aktiviteten Vurdering av risiko.
3. Krav til vurdering av risiko
Sikkerhetsloven stiller krav til vurdering av risiko i § 4-2:
- Virksomheten skal regelmessig gjennomføre vurdering av risiko. Vurderingen skal danne grunnlag for iverksetting av forebyggende sikkerhetstiltak.
- Virksomheten skal som del av vurderingen kartlegge hvilke virksomheter den er avhengig av for å fungere som den skal.
- Vurderingen skal gjennomgås jevnlig og om nødvendig revideres.
Virksomhetsikkerhetsforskriften § 12 inneholder krav til innholdet i vurderingen. Når virksomheten skal vurdere risiko skal den ta hensyn til:
- hvilken betydning virksomhetens skjermingsverdige verdier har for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser
- hvilken sikkerhetstruende virksomhet de skjermingsverdige verdiene kan bli utsatt for
- sannsynligheten for at sikkerhetstruende virksomhet kan inntreffe
- hvilke sårbarheter som er knyttet til de skjermingsverdige verdiene
- konsekvensen av sikkerhetstruende virksomhet for de skjermingsverdige verdiene
- i hvilken grad virksomheten er avhengig av andre virksomheter for å fungere som den skal
4. Vurdering av risiko i forbindelse med endringer
Virksomhetssikkerhetsforskriften § 12 stiller også krav til at man skal vurdere risiko i forbindelse med endringer som i vesentlig grad kan påvirke skjermingsverdige verdier.
5. Metoder
Virksomhetene må vurdere hvilke metoder de skal benytte i forbindelse med vurdering av risiko. I utgangspunktet kan de velge mellom metoder som Nasjonal sikkerhetsmyndighet (NSM) anbefaler, Digitaliseringsdirektoratets forslag til metode i veiledningsmateriellet, metoder utarbeidet av virksomheten selv eller eksterne spesialister, eller en kombinasjon av ulike metoder og støttemetoder.
Ved valg av metode er det viktig å påse at den er egnet til vurdering av risiko knyttet til tilsiktede handlinger. Det vil for eksempel være naturlig at den inkluderer elementer som trusselaktørers intensjon og kapasitet. Det er også viktig å påse at metodevalg bidrar til at vurderingen inneholder alt som regelverket stiller krav til.
Nasjonal sikkerhetsmyndighet (NSM) er fagmyndighet for sikkerhetsloven. Veiledning om regelverket er tilgjengelig på deres nettsider https://nsm.no/