§ 61. Fellesregler for inntrengningstesting, testing av sikkerhetstiltak og kommunikasjons- og innholdskontroll av informasjonssystemer

Det skal inngås avtale med den aktuelle virksomheten om hvilket personell som, i samsvar med sikkerhetsloven § 6-5, § 6-6 og § 7-4, skal

a.
forsøke å trenge inn i virksomhetens skjermingsverdige informasjonssystemer
b.
kontrollere om virksomhetens informasjonssystemer behandler sikkerhetsgradert informasjon utover det systemets sikkerhetsgodkjenning tillater
c.
forsøke å forsere etablerte sikkerhetstiltak.

Avtalen skal også regulere hva denne testingen eller kontrollen skal omfatte.

Den som gjennomfører tester, kontroller og undersøkelser etter første ledd, skal rapportere resultatene til virksomheten og myndigheten som fører tilsyn etter loven. Rapporten skal kun i nødvendig grad inneholde informasjon som identifiserer enkeltpersoner som har begått sikkerhetsbrudd.

Informasjonen fra slike undersøkelser, testing og kontroller skal slettes senest innen tre måneder etter at oppdraget er avsluttet. Informasjonen kan likevel bevares lengre enn tre måneder når dette er nødvendig for å håndtere sårbarheter eller sikkerhetstruende virksomhet. Det samme gjelder dersom det er nødvendig av hensyn til kontrollvirksomheten til Stortingets kontrollorgan for etterretnings-, overvåkings- og sikkerhetstjeneste (EOS-utvalget).