Kapittel 3. Generelle krav til beskyttelse av skjermingsverdige verdier

§ 12. Vurdering av risiko

Når en virksomhet vurderer risiko, skal den ta hensyn til

a.
hvilken betydning virksomhetens skjermingsverdige verdier har for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser
b.
hvilken sikkerhetstruende virksomhet de skjermingsverdige verdiene kan bli utsatt for
c.
sannsynligheten for at sikkerhetstruende virksomhet kan inntreffe
d.
hvilke sårbarheter som er knyttet til de skjermingsverdige verdiene
e.
konsekvensen av sikkerhetstruende virksomhet for de skjermingsverdige verdiene
f.
i hvilken grad virksomheten er avhengig av andre virksomheter for å fungere som den skal.

Behovet for å gjennomføre en ny helhetlig vurdering av risikoen skal vurderes årlig.

Dersom det planlegges, gjennomføres eller inntreffer endringer som kan påvirke skjermingsverdige verdier i vesentlig grad, skal virksomheten vurdere hvilken risiko endringene medfører.

§ 13. Håndtering av risiko

Når en virksomhet skal håndtere en risiko, skal den vurdere

a.
om risikoen er akseptabel
b.
å endre sårbarheten til de skjermingsverdige verdiene ved grunnsikringstiltak og påbyggingstiltak
c.
hvordan virksomheten kan påvirke konsekvensene som kan inntreffe dersom de skjermingsverdige verdiene rammes, for eksempel ved å endre redundansen eller iverksette tiltak for skadebegrensning og gjenopprettelse
d.
å gjøre seg mindre avhengig av andre virksomheter
e.
å håndtere risikoen på andre måter.

Virksomheten skal sende en oversikt over andre virksomheter den er avhengig av for å fungere som den skal, til Nasjonal sikkerhetsmyndighet og det departementet som er ansvarlig for det forebyggende sikkerhetsarbeidet i sektoren.

§ 14. Grunnsikringstiltak, påbyggingstiltak og tiltak for skadebegrensning og gjenoppretting

Grunnsikringstiltak skal bidra til et forsvarlig sikkerhetsnivå i virksomheter i en normaltilstand. Grunnsikringstiltakene kan være

a.
fysiske, elektroniske, menneskelige eller organisatoriske barrierer
b.
systemer som skal oppdage og varsle om aktiviteter eller hendelser
c.
systemer og rutiner for å avklare aktiviteter og hendelser og bakgrunnen for dem
d.
oppfølging av uønskede aktiviteter og uønskede hendelser
e.
en kombinasjon av tiltakene nevnt i bokstav a til d.

En virksomhet skal, i god tid før en skjermingsverdig verdi etableres, fastsette hvilke grunnsikringstiltak som skal beskytte den. Virksomheten skal også vurdere om det er behov for slike tiltak i forbindelse med avviklingen av den skjermingsverdien verdien.

En virksomhet skal planlegge påbyggingstiltak som kan iverksettes dersom økt risiko medfører at det ikke er tilstrekkelig med grunnsikringstiltakene. Påbyggingstiltakene skal kunne iverksettes i løpet av kort tid, og de skal kunne avvikles dersom risikoen reduseres i tilstrekkelig grad.

Dersom den økte risikoen vedvarer, skal virksomheten vurdere om påbyggingstiltakene skal bli en del av grunnsikringen. I slike tilfeller skal virksomheten planlegge nye påbyggingstiltak.

Virksomheten skal planlegge skadebegrensningstiltak som kan iverksettes i situasjoner som ikke kan håndteres fullt ut med grunnsikrings- og påbyggingstiltakene.

Virksomheten skal ha en plan for å gjenopprette et forsvarlig sikkerhetsnivå.

§ 15. Prinsipper ved valg og utforming av sikkerhetstiltak

Når en virksomhet velger ut og utformer sikkerhetstiltak, skal følgende prinsipper legges til grunn:

a.
Sikkerhetstiltakene skal ikke ha en annen funksjonalitet eller større kompleksitet enn nødvendig.
b.
Det skal ikke gis en mer omfattende tilgang til skjermingsverdige verdier enn nødvendig.
c.
Svikt i ett enkelt tiltak skal ikke kunne føre til kompromittering av skjermingsverdige verdier.
d.
Sikkerhetstiltak skal i minst mulig grad være avhengige av hverandre, og flere sikkerhetstiltak skal dermed ikke kunne svekkes eller settes ut av funksjon samtidig, for eksempel som følge av én enkelt feil eller hendelse.
e.
Effekten av sikkerhetstiltakene skal være tilnærmet lik for alle skjermingsverdige verdier med samme sikkerhetsbehov.

Sikkerhetstiltakene skal være samordnet. Kostnadene ved et sikkerhetstiltak skal stå i et rimelig forhold til det som kan oppnås ved tiltaket.

En virksomhet skal ikke bruke mer inngripende sikkerhetstiltak enn nødvendig for å håndtere en aktuell risiko. Virksomheten skal her særlig ta hensyn til enkeltpersoners rettssikkerhet og personvern. Det skal ikke behandles personopplysninger i større grad enn det som er nødvendig ut fra formålet med sikkerhetstiltaket.

Når et sikkerhetstiltak kan gripe inn i enkeltpersoners rettssikkerhet eller personvern, skal virksomheten kunne dokumentere hvorfor inngrepet er nødvendig.

§ 16. Krav om bruk av evaluerte produkter og tjenester

Når en virksomhet velger sikkerhetstiltak, skal den bruke evaluerte produkter og tjenester dersom produktets eller tjenestens funksjon i seg selv er avgjørende for at

a.
personer ikke får tilgang til informasjon gradert HEMMELIG eller STRENGT HEMMELIG uten å ha et tjenstlig behov for det
b.
personer ikke får tilgang til sikkerhetsgradert informasjon de ikke er autorisert for
c.
personer ikke kan overta eller sette ut av drift infrastruktur eller objekter som er klassifisert KRITISK eller MEGET KRITISK.

Evalueringen skal skje gjennom metodisk utvikling og testing av produktet eller tjenesten og være etterprøvbar. Den skal utføres av Nasjonal sikkerhetsmyndighet eller et akkreditert laboratorium utpekt av Nasjonal sikkerhetsmyndighet, gi tillit til produktet eller tjenesten og sikre at produktet eller tjenesten har nødvendig funksjonalitet for å sikre det aktuelle graderingsnivået eller klassifiseringsnivået. Nasjonal sikkerhetsmyndighet kan godkjenne bruk av produkter og tjenester som er evaluert eller sertifisert i andre land.

§ 17. Sertifisering av produkter og tjenester

Kravene til en evaluering etter § 16 kan oppfylles gjennom en sertifisering gitt av Nasjonal sikkerhetsmyndighet eller et akkreditert sertifiseringsorgan utpekt av Nasjonal sikkerhetsmyndighet.

Akkreditering av laboratorier og sertifiseringsorganer skal skje etter ISO- og IEC-standarder.

§ 18. Krav til sikkerhet i anskaffelser

Dersom en anskaffelse kan gi leverandøren eller dennes personell en mulighet til å påvirke et skjermingsverdig informasjonssystem eller objekt eller en skjermingsverdig infrastruktur, skal oppdragsgiveren vurdere risikoen for at informasjonssystemet, objektet eller infrastrukturen kan bli rammet av eller brukt til sikkerhetstruende virksomhet, og hvordan risikoen skal håndteres. Dersom virksomheten kommer til at anskaffelsen vil medføre en ikke ubetydelig risiko, skal virksomheten varsle departementet etter sikkerhetsloven § 9-4.

Dersom en anskaffelse gir tilgang til skjermingsverdige informasjonssystemer eller skjermingsverdig ugradert informasjon, skal det inngås en avtale mellom virksomheten og leverandøren, hvor det fastsettes hvordan leverandøren skal forholde seg til de kravene som gjelder for anskaffelsen.

§ 19. Varslingsplikt om anskaffelser til skjermingsverdig informasjonssystem, objekt og infrastruktur

Et varsel etter sikkerhetsloven § 9-4 skal opplyse om følgende:

a.
hva anskaffelsen gjelder
b.
leverandørens navn, adresse, organisasjonsnummer, nasjonalitet, styremedlemmer og eiere
c.
hvordan oppdragsgiveren vurderer risikoen for at skjermingsverdige verdier kan bli rammet av sikkerhetstruende virksomhet ved anskaffelsen
d.
hvordan oppdragsgiveren vil håndtere risikoen
e.
om det vil gjenstå en ikke ubetydelig risiko også etter at tiltak er iverksatt
f.
om anskaffelsen likevel bør gjennomføres
g.
andre forhold som oppdragsgiveren antar kan ha betydning for vurderingen av risikoen forbundet med anskaffelsen.

Med anskaffelse i sikkerhetsloven § 9-4 menes også tilleggsanskaffelser og kontrakter som tildeles under en rammeavtale.

Departementet skal innen 60 arbeidsdager orientere oppdragsgiveren om anskaffelsen kan gjennomføres, eller om at saken skal behandles av Kongen i statsråd. Fristen regnes fra det tidspunktet departementet har mottatt varselet. Har departementet innen 50 arbeidsdager framsatt et skriftlig krav om ytterligere opplysninger, avbrytes fristen inntil dette svaret er mottatt.

§ 20. Unntak fra sikkerhetskrav

Dersom det blir uforholdsmessig byrdefullt for virksomheten å oppfylle sikkerhetskravene, kan Nasjonal sikkerhetsmyndighet gjøre unntak fra § 14 andre ledd første punktum, § 15 første ledd bokstav a til e, § 16, § 18 andre ledd, § 22, § 23 andre ledd, § 26 første ledd, § 27 tredje ledd, § 28, § 34 til § 36, § 38, § 39, § 40 andre ledd, § 42 fjerde ledd, § 43, § 46, § 49, § 51 tredje ledd, § 52, § 53, § 55, § 58, § 76, § 78, § 80 første ledd, § 83 bokstav b og c, og § 84.

Myndigheter med tilsynsansvar etter sikkerhetsloven § 3-1 andre ledd kan gjøre unntak etter første ledd fra de sikkerhetskravene som ikke gjelder for beskyttelse av sikkerhetsgradert informasjon.

En virksomhet kan i særlige tilfeller søke om unntak fra krav om beskyttelse av et skjermingsverdig objekt eller skjermingsverdig infrastruktur i denne forskriften. En slik søknad avgjøres av det departementet som har ansvaret for det forebyggende sikkerhetsarbeidet innenfor den aktuelle samfunnssektoren.

§ 21. Forholdet til NATOs regler for sikkerhet

For beskyttelse av NATO-informasjon og informasjonssystemer som behandler NATO-informasjon eller NATO-utstyr, gjelder kravene i eller med hjemmel i sikkerhetsloven når ikke noe annet følger av NATOs regler for sikkerhet.