Kapittel 2. Sikkerhetsstyring

§ 3. Styringssystem for sikkerhet

En virksomhet som omfattes av sikkerhetsloven, skal etablere et styringssystem for sikkerhet. Systemet skal sikre at virksomheten oppfyller kravene gitt i eller med hjemmel i loven.

§ 4. Styringsdokument for det forebyggende sikkerhetsarbeidet

Lederen for en virksomhet skal fastsette et styringsdokument som beskriver

a.
hvilke deler av sikkerhetsloven med forskrifter som gjelder for virksomheten
b.
roller og ansvar i virksomhetens forebyggende sikkerhetsarbeid, jf. § 6
c.
prinsipper for virksomhetens sikkerhetsarbeid.

Styringsdokumentet skal gjøres kjent og være tilgjengelig for virksomhetens ansatte og for leverandører og andre eksterne samarbeidspartnere, i den grad det er nødvendig for å oppfylle virksomhetens plikter etter sikkerhetsloven.

§ 5. Sikkerhetsmål

En virksomhet skal fastsette hvordan kravene til et forsvarlig sikkerhetsnivå i sikkerhetsloven § 4-3 første ledd, § 5-2 første ledd, § 6-2 første ledd og § 7-3 første ledd skal oppfylles og kriterier for å evaluere om kravene er oppfylt.

§ 6. Roller i og ansvar for det forebyggende sikkerhetsarbeidet

Lederen for en virksomhet skal fordele roller i og ansvar for det forebyggende sikkerhetsarbeidet, slik at kravene gitt i eller med hjemmel i sikkerhetsloven ivaretas. Rollene og ansvarsfordelingen skal gjøres kjent i virksomheten.

Virksomhetens leder skal informeres om saker som er viktige for det forebyggende sikkerhetsarbeidet.

Kontrollen av styringssystemet for sikkerhet skal om mulig utføres av andre enn de som har styrende eller utøvende oppgaver i det forebyggende sikkerhetsarbeidet.

§ 7. Ressurser og kompetanse

En virksomhet skal forvalte og utvikle det forebyggende sikkerhetsarbeidet sitt på en forsvarlig måte.

Virksomheten skal utføre følgende tiltak overfor de som kan få tilgang til skjermingsverdige verdier gjennom å utføre arbeid eller tjenester for virksomheten:

a.
få bekreftet identiteten deres med gyldig legitimasjon
b.
sørge for at de kjenner til de relevante delene av styringssystemet for sikkerhet
c.
sørge for tilstrekkelig kompetanse om sikkerhet
d.
informere om endringer i kravene til sikkerheten
e.
klarlegge at personene kjenner til relevante sikkerhetstrusler og sikkerhetsbestemmelser.

Når et arbeidsforhold eller en tjeneste avsluttes, skal virksomheten sikre at den som slutter, ikke lenger har tilgang til skjermingsverdige verdier. Den som slutter, skal informeres om at taushetsplikten etter sikkerhetsloven § 5-4 andre ledd fremdeles gjelder.

§ 8. Tiltak ved sikkerhetstruende virksomhet, avvik og kompromittering av sikkerhetsgradert informasjon

Ved sikkerhetstruende virksomhet eller avvik fra styringssystemet for sikkerhet skal en virksomhet gjennomføre umiddelbare tiltak for å redusere skadeomfanget og gjenopprette et forsvarlig sikkerhetsnivå. Det skal rapporteres om den sikkerhetstruende virksomheten eller avviket internt og til andre som kan bli berørt i stor grad. Virksomheten skal vurdere konsekvensene av den sikkerhetstruende virksomheten eller avviket.

Hvis sikkerhetsgradert informasjon blir kjent for uautoriserte personer, skal virksomheten informere den som har tilvirket informasjonen, om hendelsen, i tillegg til å varsle etter sikkerhetsloven § 4-5.

§ 9. Evaluering og øvelser

En virksomhet skal regelmessig evaluere om kravet til et forsvarlig sikkerhetsnivå er oppfylt og minst én gang i året evaluere om styringssystemet for sikkerhet er egnet til å sørge for at kravet oppfylles, jf. § 5.

Virksomheten skal regelmessig gjennomføre øvelser for å kontrollere effekten av sikkerhetstiltakene i en normalsituasjon og av tiltakene som er planlagt ved økt trusselnivå. Er virksomheten avhengig av andre virksomheter for å fungere slik den skal, skal virksomheten be de andre virksomhetene om å delta på øvelser når det er relevant.

Resultatet av evalueringer og øvelser skal inngå i den årlige gjennomgangen av det forebyggende sikkerhetsarbeidet i virksomheten.

§ 10. Gjennomgang av det forebyggende sikkerhetsarbeidet av virksomhetens leder

Lederen for en virksomhet skal årlig foreta en helhetlig gjennomgang av virksomhetens forebyggende sikkerhetsarbeid for å vurdere om styringssystemet for sikkerhet fungerer etter hensikten.

Virksomheten skal gjennomføre nødvendige forbedringer i det forebyggende sikkerhetsarbeidet og i styringssystemet for sikkerhet.

§ 11. Dokumentasjon av styringssystemet for sikkerhet

En virksomhet skal dokumentere at styringssystemet for sikkerhet og sikkerhetstiltakene gir et forsvarlig sikkerhetsnivå, jf. § 5.