§ 51. Godkjenningsmyndighet

Nasjonal sikkerhetsmyndighet godkjenner skjermingsverdige informasjonssystemer som er utpekt som, eller har avgjørende betydning for funksjonen til, et objekt eller en infrastruktur klassifisert KRITISK eller MEGET KRITISK.

Nasjonal sikkerhetsmyndighet godkjenner informasjonssystemer som behandler sikkerhetsgradert informasjon og som

a.
skal brukes i utlandet
b.
har forbindelse til informasjonssystemer i utlandet eller til andre virksomheters informasjonssystemer
c.
brukes eller har forbindelser utenfor områder virksomheten kontrollerer
d.
har brukere som ikke er sikkerhetsklarert for det graderingsnivået som behandles i informasjonssystemet eller informasjonssystemer dette har forbindelse til
e.
behandler informasjon som er gradert HEMMELIG, og som har brukere som ikke skal ha tilgang til all informasjon i informasjonssystemet eller de informasjonssystemer dette har forbindelse til
f.
behandler informasjon som er gradert STRENGT HEMMELIG.

En virksomhet som råder over et skjermingsverdig informasjonssystem som ikke er nevnt i første eller andre ledd, skal selv godkjenne systemet. Nasjonal sikkerhetsmyndighet og relevante tilsynsmyndigheter skal informeres om slike informasjonssystemer.

Nasjonal sikkerhetsmyndighet kan bestemme at en myndighet med tilsynsansvar eller virksomheten selv skal godkjenne et informasjonssystem som nevnt i andre ledd.

Departementet som har utpekt det skjermingsverdige objektet eller infrastrukturen, kan bestemme at godkjenning av skjermingsverdige informasjonssystemer etter første ledd skal gjøres av en myndighet med tilsynsansvar. Det skal gjøres en helhetsvurdering av om myndigheten har tilstrekkelig kompetanse til å godkjenne skjermingsverdige informasjonssystemer, eller kan få slik kompetanse uten uforholdsmessig store utgifter. En uttalelse fra Nasjonal sikkerhetsmyndighet skal inngå i vurderingen.