NSM-veileder

NSM: Veileder i risikostyring

FOA-kildevisning for sikkerhet og beredskap i offentlige anskaffelser

Denne siden viser kildetekst som brukes i FOA Pro sin sikkerhets- og beredskapsbase. Teksten er strukturert for søk, kildekontroll og praktisk anskaffelsesarbeid.

1 Forsvarlig sikkerhetsnivå er oppnådd når risiko overfor de skjermingsverdige verdiene er håndtert til

akseptabelt nivå, jf. Virksomhetsikkerhetsforskriften § 13 a. Nivået fastsettes gjennom systematiske risikovurderinger og valg av sikkerhetstiltak, jf. virksomhetsikkerhetsforskriften § 5.

Risiko knyttet til tilsiktede hendelser vurderes ved å bruke verdi, sårbarhet og trussel som grunnleggende faktorer (figur 1). Sårbarheter er forhold som en trusselaktør kan utnytte til å påvirke en verdi negativt. Verdi betyr her informasjon, informasjonssystemer, objekter og infrastruktur. Trussel er en uønsket handling som kan gi en negativ konsekvens for verdien. Risikofaktorene påvirker hverandre. For eksempel er en sårbarhet uproblematisk dersom den er tilknyttet en ubetydelig verdi, Figur 1: Risikotrekanten, sammenheng mellom verdi, trussel og sårbarhet men uakseptabel dersom verdien er høy.

3. Risikostyring Prosess for risikostyring Risikostyring handler om hvordan virksomheter styrer risiko for å håndtere balansen mellom verdi, trussel og sårbarhet. 2 For å ha et forsvarlig sikkerhetsnivå må virksomheten vurdere og håndtere risikoen for verdiene sine på en systematisk måte. Prosessen for risikostyring i denne veilederen består av følgende aktiviteter: 1. 2. 3. 4.

omfang, kontekst og kriterier risikovurdering risikohåndtering overvåking og gjennomgang.

Prosessen er en systematisk tilnærming hvor vurderinger bør gjøres i en bestemt rekkefølge, men hvor en hele tiden ser tilbake for å revurdere tidligere steg i prosessen. Figur 2: Risikostyring - koordinerte aktiviteter for å Utgangspunktet for å drive med risikostyring er rettlede og kontrollere en virksomhet med hensyn at man har noen verdier som krever særlig til risiko. beskyttelse. I henhold til sikkerhetsloven er det fire typer verdier – informasjon, informasjonssystem, objekt og infrastruktur. Kapittel 5, 6 og 7 i sikkerhetsloven beskriver de ulike typene verdiene. Disse bestemmelsene i loven beskriver hvordan virksomheten skal kartlegge, vurdere og rangere sine verdier. Dette gir

akseptabelt nivå, jf. Virksomhetsikkerhetsforskriften § 13 a. Nivået fastsettes gjennom systematiske

risikovurderinger og valg av sikkerhetstiltak, jf. virksomhetsikkerhetsforskriften § 5.

Veileder i risikostyring 4

Risiko knyttet til tilsiktede hendelser

vurderes ved å bruke verdi, sårbarhet og

trussel som grunnleggende faktorer (figur

1). Sårbarheter er forhold som en

trusselaktør kan utnytte til å påvirke en verdi

negativt. Verdi betyr her informasjon,

informasjonssystemer, objekter og

infrastruktur. Trussel er en uønsket handling

som kan gi en negativ konsekvens for

verdien. Risikofaktorene påvirker hverandre.

For eksempel er en sårbarhet uproblematisk

dersom den er tilknyttet en ubetydelig verdi, Figur 1: Risikotrekanten, sammenheng mellom verdi,

men uakseptabel dersom verdien er høy. trussel og sårbarhet

3. Risikostyring

Prosess for risikostyring

Risikostyring handler om hvordan virksomheter styrer risiko for å håndtere balansen mellom

verdi, trussel og sårbarhet. 2 For å ha et forsvarlig sikkerhetsnivå må virksomheten vurdere

og håndtere risikoen for verdiene sine på en systematisk måte.

Prosessen for risikostyring i denne veilederen

består av følgende aktiviteter:

1. omfang, kontekst og kriterier

2. risikovurdering

3. risikohåndtering

4. overvåking og gjennomgang.

Prosessen er en systematisk tilnærming hvor

vurderinger bør gjøres i en bestemt rekkefølge,

men hvor en hele tiden ser tilbake for å

revurdere tidligere steg i prosessen.

Utgangspunktet for å drive med risikostyring er Figur 2: Risikostyring - koordinerte aktiviteter for å

rettlede og kontrollere en virksomhet med hensyn

at man har noen verdier som krever særlig til risiko.

beskyttelse. I henhold til sikkerhetsloven er det

fire typer verdier – informasjon, informasjonssystem, objekt og infrastruktur. Kapittel 5, 6 og

7 i sikkerhetsloven beskriver de ulike typene verdiene. Disse bestemmelsene i loven

beskriver hvordan virksomheten skal kartlegge, vurdere og rangere sine verdier. Dette gir

2 Denne veilederen beskriver overordnet prosessen for risikostyring. Det finnes også standarder som

beskriver metode og prosess for risikostyring mer detaljert, for eksempel NS-ISO 31000:2018 og ISO/IEC 27005. Risikovurderinger beskrives nærmere i blant annet NS5814:2021 og NS-IEC 31010:2019.

grunnlag for å vurdere konsekvens dersom verdien kompromitteres, blir utilgjengelige, skades, ødelegges eller rettstridig overtas av andre. 1. Virksomheten bør avklare omfanget, konteksten og kriteriene for risikovurderingen. Dette betyr å beskrive omfanget av risikovurderingen, for eksempel tid og ressursbruk. Konteksten er hvilke verdier virksomheten har, og hvilket trusselbilde verdiene står overfor. Kriteriene er krav i og utenfor sikkerhetsloven, som bidrar til sikkerhetsmål og den videre vurderingen. 2. Risikovurdering kan deles opp i aktivitetene risikoanalyse og risikoevaluering. Dette er en del av, og en forutsetning for, en kontinuerlig prosess for sikkerhetsstyring. Risikovurderinger brukes for å gi et kunnskapsbasert grunnlag for beslutninger om håndtering av risiko. Vurderingene skal belyse og beskrive usikkerheten i kunnskapsgrunnlaget. Beslutningene kan være av strategisk karakter, eller de kan være mer konkrete prioriteringer innenfor forebyggende sikkerhetsarbeid. Samlet vil faktorene i risikovurderingen gi grunnlag for å si noe om risikonivået for analyseobjektet. 3. Risikohåndtering er valg, implementering og oppfølging av sikkerhetstiltak som skal redusere risiko og sikre et forsvarlig sikkerhetsnivå for de skjermingsverdige verdiene. Disse aktivitetene er også en del av sikkerhetsstyringen. 4. Overvåking og gjennomgang: Når risikobildet endrer seg, kan kravene til hva som er forsvarlig sikkerhet også endre seg. Dynamikk i sikkerhetsarbeidet betyr også at risikovurderingen og risikohåndteringen må være dynamisk og en del av en kontinuerlig forbedringsprosess.

Sikkerhetsstyring Aktivitetene i risikostyring er en del av virksomhetens sikkerhetsstyring. Sikkerhetsstyring handler om systematiske aktiviteter som er nødvendige for å oppnå og opprettholde et forsvarlig sikkerhetsnivå for virksomhetens skjermingsverdige verdier. Målet med sikkerhetsstyring er å oppnå og opprettholde et forsvarlig sikkerhetsnivå, basert på den risiko virksomheten er eksponert for. Risikovurderingen er derfor en forutsetning for sikkerhetsstyringen og danner grunnlaget for risikohåndtering gjennom sikkerhetstiltak. Ved systematisk kontroll og styring av aktivitetene kan virksomheten forebygge og avdekke sårbarheter og håndtere uønskede hendelser knyttet til de verdiene som skal beskyttes. Hva som anses som forsvarlig sikkerhet vil forandre seg over tid med utgangspunkt i et dynamisk risikobilde. Det er derfor viktig at sikkerhetsstyring også ivaretar kontinuerlig forbedring av sikkerhetsarbeidet i virksomheten, deriblant risikorelaterte oppgaver som revurdering av verdier, sårbarheter og trusselbilde og håndtere oppfølging av endringer. Styringssystemet for sikkerhet beskriver hvordan virksomhetens aktiviteter innenfor sikkerhetsstyring planlegges, utføres, kontrolleres og forbedres. Styringssystemet for sikkerhet omfatter hele det forebyggende sikkerhetsarbeidet, det vil si aktiviteter som kan ha betydning for sikkerhet, både direkte og indirekte. Det er virksomhetens leder som er ansvarlig for det forbyggende sikkerhetsarbeidet, jf. sikkerhetsloven § 4-1. Det innebærer å sørge for at det opprettes en sikkerhetsorganisasjon med ulike roller, at tiltak iverksettes, dokumenteres og øves på, og iverksetter en prosess for

oppfølging, forbedring og kontroll. Sikkerhetsstyring er nærmere beskrevet i NSMs veileder for sikkerhetsstyring.

Sikkerhetsmål Virksomhetsikkerhetsforskriften § 5 krever at virksomheten fastsetter hvordan kravene til forsvarlig sikkerhetsnivå skal oppfylles. Dette gjøres gjennom sikkerhetsmål. Sikkerhetsloven gir overordnede sikkerhetsmål i kapitlene om generelle krav til forebyggende sikkerhet (kapittel 4), informasjonssikkerhet (kapittel 5), informasjonssystemsikkerhet (kapittel 6) og objekt- og infrastruktursikkerhet (kapittel 7). For å oppfylle forskriften § 5 må virksomheten lage egne mål som konkretiserer lovkravene. § 5. Sikkerhetsmål En virksomhet skal fastsette hvordan kravene til et forsvarlig sikkerhetsnivå i sikkerhetsloven § 4-3 første ledd, § 5-2 første ledd, § 6-2 første ledd og § 7-3 første ledd skal oppfylles og kriterier for å evaluere om kravene er oppfylt.

Sagt på en annen måte er sikkerhetsmål målestokken i risikovurderingen. De beskriver krav til virksomhetens risikoreduserende arbeid. Sikkerhetsmålene beskriver ønsket tilstand, mens risikoanalysen beskriver dagens situasjon. I risikoevalueringen sammenligner virksomheten dagens risikonivå med kriteriene i sikkerhetsmålene. Hvilken risiko virksomheten kan akseptere, avhenger av virksomheten og hvor viktige verdiene er for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser, jf. virksomhetsikkerhetsforskriften § 12 a. Sikkerhetsmålene skal ta utgangspunkt i minimumskravene for de aktuelle verdiene i sikkerhetsloven og virksomhetsikkerhetsforskriften: Sikkerhetsloven -

§ 5-2 Beskyttelse av skjermingsverdig informasjon § 6-2 Beskyttelse av skjermingsverdige informasjonssystemer § 7-3 Beskyttelse av objekter og infrastruktur

§ 22 Forsvarlig sikkerhetsnivå for skjermingsverdig informasjon § 34 Forsvarlig sikkerhetsnivå for informasjon gradert KONFIDENSIELT eller høyere, § 49 Forsvarlig sikkerhetsnivå for skjermingsverdige informasjonssystemer, og § 58 Forsvarlig sikkerhetsnivå for klassifiserte objekter og infrastruktur.

De overordnede sikkerhetsmålene er ikke konkrete nok alene. Virksomheten må derfor planlegge hvordan målene skal oppfylles. Den må bryte målene ned i delmål eller lage kriterier som er konkrete nok til å måle oppnåelsen senere. Målene bør ta utgangspunkt i verdien eller funksjonen. Et eksempel kan se slik ut:

Sikkerhetsmål 1: Begrense tap av vesentlige funksjoner ved skadeverk på eller forsøk på å ødelegge objekter eller infrastruktur klassifisert VIKTIG

2 Denne veilederen beskriver overordnet prosessen for risikostyring

beskriver metode og prosess for risikostyring mer detaljert, for eksempel NS-ISO 31000:2018 og

ISO/IEC 27005. Risikovurderinger beskrives nærmere i blant annet NS5814:2021 og NS-IEC

31010:2019.

Veileder i risikostyring 5

grunnlag for å vurdere konsekvens dersom verdien kompromitteres, blir utilgjengelige,

skades, ødelegges eller rettstridig overtas av andre.

1. Virksomheten bør avklare omfanget, konteksten og kriteriene for

risikovurderingen. Dette betyr å beskrive omfanget av risikovurderingen, for

eksempel tid og ressursbruk. Konteksten er hvilke verdier virksomheten har, og

hvilket trusselbilde verdiene står overfor. Kriteriene er krav i og utenfor

sikkerhetsloven, som bidrar til sikkerhetsmål og den videre vurderingen.

2. Risikovurdering kan deles opp i aktivitetene risikoanalyse og risikoevaluering. Dette

er en del av, og en forutsetning for, en kontinuerlig prosess for sikkerhetsstyring.

Risikovurderinger brukes for å gi et kunnskapsbasert grunnlag for beslutninger om

håndtering av risiko. Vurderingene skal belyse og beskrive usikkerheten i

kunnskapsgrunnlaget. Beslutningene kan være av strategisk karakter, eller de kan

være mer konkrete prioriteringer innenfor forebyggende sikkerhetsarbeid. Samlet vil

faktorene i risikovurderingen gi grunnlag for å si noe om risikonivået for

analyseobjektet.

3. Risikohåndtering er valg, implementering og oppfølging av sikkerhetstiltak som skal

redusere risiko og sikre et forsvarlig sikkerhetsnivå for de skjermingsverdige

verdiene. Disse aktivitetene er også en del av sikkerhetsstyringen.

4. Overvåking og gjennomgang: Når risikobildet endrer seg, kan kravene til hva som

er forsvarlig sikkerhet også endre seg. Dynamikk i sikkerhetsarbeidet betyr også at

risikovurderingen og risikohåndteringen må være dynamisk og en del av en

kontinuerlig forbedringsprosess.

Sikkerhetsstyring

Aktivitetene i risikostyring er en del av virksomhetens sikkerhetsstyring. Sikkerhetsstyring

handler om systematiske aktiviteter som er nødvendige for å oppnå og opprettholde et

forsvarlig sikkerhetsnivå for virksomhetens skjermingsverdige verdier. Målet med

sikkerhetsstyring er å oppnå og opprettholde et forsvarlig sikkerhetsnivå, basert på den

risiko virksomheten er eksponert for. Risikovurderingen er derfor en forutsetning for

sikkerhetsstyringen og danner grunnlaget for risikohåndtering gjennom sikkerhetstiltak.

Ved systematisk kontroll og styring av aktivitetene kan virksomheten forebygge og avdekke

sårbarheter og håndtere uønskede hendelser knyttet til de verdiene som skal beskyttes. Hva

som anses som forsvarlig sikkerhet vil forandre seg over tid med utgangspunkt i et dynamisk

risikobilde. Det er derfor viktig at sikkerhetsstyring også ivaretar kontinuerlig forbedring av

sikkerhetsarbeidet i virksomheten, deriblant risikorelaterte oppgaver som revurdering av

verdier, sårbarheter og trusselbilde og håndtere oppfølging av endringer.

Styringssystemet for sikkerhet beskriver hvordan virksomhetens aktiviteter innenfor

sikkerhetsstyring planlegges, utføres, kontrolleres og forbedres. Styringssystemet for

sikkerhet omfatter hele det forebyggende sikkerhetsarbeidet, det vil si aktiviteter som kan ha

betydning for sikkerhet, både direkte og indirekte.

Det er virksomhetens leder som er ansvarlig for det forbyggende sikkerhetsarbeidet, jf.

sikkerhetsloven § 4-1. Det innebærer å sørge for at det opprettes en sikkerhetsorganisasjon

med ulike roller, at tiltak iverksettes, dokumenteres og øves på, og iverksetter en prosess for

Veileder i risikostyring 6

oppfølging, forbedring og kontroll. Sikkerhetsstyring er nærmere beskrevet i NSMs veileder

for sikkerhetsstyring.

Sikkerhetsmål

Virksomhetsikkerhetsforskriften § 5 krever at virksomheten fastsetter hvordan kravene til

forsvarlig sikkerhetsnivå skal oppfylles. Dette gjøres gjennom sikkerhetsmål.

Sikkerhetsloven gir overordnede sikkerhetsmål i kapitlene om generelle krav til

forebyggende sikkerhet (kapittel 4), informasjonssikkerhet (kapittel 5),

informasjonssystemsikkerhet (kapittel 6) og objekt- og infrastruktursikkerhet (kapittel 7). For

å oppfylle forskriften § 5 må virksomheten lage egne mål som konkretiserer lovkravene.

§ 5. Sikkerhetsmål

En virksomhet skal fastsette hvordan kravene til et forsvarlig sikkerhetsnivå i sikkerhetsloven § 4-3

første ledd, § 5-2 første ledd, § 6-2 første ledd og § 7-3 første ledd skal oppfylles og kriterier for å

evaluere om kravene er oppfylt.

Sagt på en annen måte er sikkerhetsmål målestokken i risikovurderingen. De beskriver krav

til virksomhetens risikoreduserende arbeid. Sikkerhetsmålene beskriver ønsket tilstand,

mens risikoanalysen beskriver dagens situasjon. I risikoevalueringen sammenligner

virksomheten dagens risikonivå med kriteriene i sikkerhetsmålene.

Hvilken risiko virksomheten kan akseptere, avhenger av virksomheten og hvor viktige

verdiene er for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser, jf.

virksomhetsikkerhetsforskriften § 12 a. Sikkerhetsmålene skal ta utgangspunkt i

minimumskravene for de aktuelle verdiene i sikkerhetsloven og

virksomhetsikkerhetsforskriften:

Sikkerhetsloven

- § 5-2 Beskyttelse av skjermingsverdig informasjon

- § 6-2 Beskyttelse av skjermingsverdige informasjonssystemer

- § 7-3 Beskyttelse av objekter og infrastruktur

Virksomhetsikkerhetsforskriften

- § 22 Forsvarlig sikkerhetsnivå for skjermingsverdig informasjon

- § 34 Forsvarlig sikkerhetsnivå for informasjon gradert KONFIDENSIELT eller høyere,

- § 49 Forsvarlig sikkerhetsnivå for skjermingsverdige informasjonssystemer, og

- § 58 Forsvarlig sikkerhetsnivå for klassifiserte objekter og infrastruktur.

De overordnede sikkerhetsmålene er ikke konkrete nok alene. Virksomheten må derfor

planlegge hvordan målene skal oppfylles. Den må bryte målene ned i delmål eller lage

kriterier som er konkrete nok til å måle oppnåelsen senere. Målene bør ta utgangspunkt i

verdien eller funksjonen. Et eksempel kan se slik ut:

Veileder i risikostyring 7

Sikkerhetsmål Kriterier for måloppnåelse Henvisning

Sikkerhetsmål 1: Begrense tap av Virksomhet-

vesentlige funksjoner ved skadeverk på sikkerhets-

eller forsøk på å ødelegge objekter eller forskriften § 58

infrastruktur klassifisert VIKTIG bokstav a

Delmål 1.1: Virksomhetens Skjermingsverdige objekter må ha

skjermingsverdige objekter skal systemer for deteksjon, varsling og

ikke miste tap av vesentlig verifikasjon av uautorisert adgang til

funksjon uten at dette lokaler der det behandles og

detekteres, varsles og avklares. oppbevares skjermingsverdig

informasjon.

Delmål 1.2: Virksomhetens Virksomheten skal ha en plan for

skjermingsverdige verdier skal utrykning til skjermingsverdig objekt.

kunne gjenopprettes dersom de Responstid for vakt- og

faller bort. sikringsstyrker skal være på

maksimalt 30 minutter.

Sikkerhetsmål 2: Når virksomheten BEGRENSET informasjon skal Virksomhet-

håndterer informasjon gradert oppbevares i avlåst rom eller i låsbart sikkerhets-

BEGRENSET skal informasjonen ikke skap/skuff. forskriften § 22

med enkle midler bli kjent for

uautoriserte personer Kontorplasser hvor BEGRENSET

informasjon behandles skal være

skjermet mot innsyn.

Delmål 2.1: Dokument eller

lagringsmedium gradert

BEGRENSET skal oppbevares i

kontrollert sone.

4. Risikovurdering

Formålet med risikovurderingen er å finne en strategi for å håndtere risiko. Risikovurderinger

danner grunnlag for virksomheters sikkerhetstiltak, der målet er å oppnå forsvarlig

sikkerhetsnivå gjennom risikohåndtering. Vurderingen skal skape bevissthet og kunnskap

om risikonivået og bidra til praktiske beslutninger i sikkerhetsarbeidet. Risikovurdering i

denne sammenhengen er en analyse og evaluering av trusler, sårbarheter, konsekvenser og

sannsynlighet med utgangspunkt i virksomhetenes skjermingsverdige verdier.

Risikovurderinger skal oppdateres og revideres jevnlig, ettersom endringer i virksomheten

eller trusselbilde som kan påvirke disse vurderingene kan forekomme når som helst, jf.

virksomhetsikkerhetsforskriften § 12 siste ledd. For eksempel kan informasjonssystemer

behøve jevnlig revurdering av risiko dersom de har høy endringsfrekvens eller eksponering

mot internett. Fysiske objekter som bygg og anlegg kan derimot ha vurdering av risiko under

etablering.

Veileder i risikostyring 8

Sikkerhetsloven har følgende krav til vurdering av risiko:

§ 4-2 Vurdering av risiko (første til tredje ledd)

Virksomheten skal regelmessig gjennomføre vurdering av risiko. Vurderingen skal danne

grunnlag for iverksetting av forebyggende sikkerhetstiltak.

Virksomheten skal som del av vurderingen kartlegge hvilke virksomheter den er avhengig av

for å fungere som den skal.

Vurderingen skal gjennomgås jevnlig og om nødvendig revideres.

Dersom virksomheten har skjermingsverdige verdier må risiko vurderes ut ifra faktorene i

virksomhetsikkerhetsforskriften § 12 a-f. For virksomheter som ikke har skjermingsverdige

verdier, skal risiko likevel vurderes, jf. sikkerhetsloven § 4-2.

Siden risikovurderingen beskriver virksomhetens verdier, sårbarheter og konsekvenser ved

bortfall eller reduksjon må det vurderes om informasjonen skal skjermes med

sikkerhetsgradering. Se NSMs veileder i sikkerhetsgradert informasjon og håndbok i

verdivurdering av informasjon for hvordan dette gjøres.

Risikoanalyse

Risikoanalysen er første steg i risikovurderingen. Her samler virksomheten inn og analyserer

relevant informasjon. Målet er å forstå hva slags risiko det er snakk om, og hva som

kjennetegner den. For virksomheter som råder over skjermingsverdige verdier, er kravene til

risikovurdering utdypet i virksomhetsikkerhetsforskriften

§ 12. Vurdering av risiko

Når en virksomhet vurderer risiko, skal den ta hensyn til

a) hvilken betydning virksomhetens skjermingsverdige verdier har for grunnleggende nasjonale

funksjoner eller nasjonale sikkerhetsinteresser

b) hvilken sikkerhetstruende virksomhet de skjermingsverdige verdiene kan bli utsatt for

c) sannsynligheten for at sikkerhetstruende virksomhet kan inntreffe

d) hvilke sårbarheter som er knyttet til de skjermingsverdige verdiene

e) konsekvensen av sikkerhetstruende virksomhet for de skjermingsverdige verdiene

f) i hvilken grad virksomheten er avhengig av andre virksomheter for å fungere som den skal.

Behovet for å gjennomføre en ny helhetlig vurdering av risikoen skal vurderes årlig.

Dersom det planlegges, gjennomføres eller inntreffer endringer som kan påvirke

skjermingsverdige verdier i vesentlig grad, skal virksomheten vurdere hvilken risiko endringene

medfører.

Verdier

Virksomheten må vurdere hvor viktige verdiene er for nasjonale sikkerhetsinteresser eller

grunnleggende nasjonale funksjoner, jf. virksomhetsikkerhetsforskriften § 12 a. Etter

Veileder i risikostyring 9

sikkerhetsloven kan skjermingsverdige verdier være objekt, infrastruktur, informasjon og

informasjonssystem.

• Objekt og infrastruktur er skjermingsverdig dersom det kan skade nasjonale

sikkerhetsinteresser eller grunnleggende nasjonale funksjoner at de får redusert

funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettstridig overtakelse.

Se NSMs håndbok i skadevurdering.

• Et informasjonssystem er skjermingsverdig dersom det behandler skjermingsverdig

informasjon, eller dersom det i seg selv har avgjørende betydning for grunnleggende

nasjonale funksjoner. Se NSMs veileder i godkjenning av informasjonssystemer.

• Informasjon er skjermingsverdig dersom det kan skade nasjonale

sikkerhetsinteresser at informasjonen blir kjent for uvedkommende, går tapt, blir

endret eller blir utilgjengelig. Se NSMs veileder i sikkerhetsgradert informasjon.

Risiko for virksomhetens samtlige skjermingsverdige verdier må vurderes. Flere verdier kan

dekkes av samme risikovurdering, eller vurderinger kan gjennomføres for avgrensede

verdier.

Sikkerhetstruende virksomhet

Risikovurderingen skal beskrive hvilken Trusler og trusselaktører

sikkerhetstruende virksomhet verdiene kan bli Trusler mot skjermingsverdige verdier

utsatt for, jf. virksomhetsikkerhetsforskriften § 12 kan være:

b. Virksomheten skal vurdere hvilke typer tilsiktede

handlinger som kan utgjøre en trussel mot de • Spionasje og sabotasje

skjermingsverdige verdiene. Hvilken • Terrorangrep

• Innsidevirksomhet

sikkerhetstruende virksomhet som kan inntreffe

• Aktivisme som hindrer viktige

kan leses ut i bl.a. nasjonale trussel- og

funksjoner

risikovurderinger, geopolitiske og

• Økonomi/svindel

sikkerhetspolitiske analyser, samt sektorspesifikke

• Hybride / sammensatte trusler

vurderinger.

Trusselaktører er de som står bak eller

Trusler er hva som kan skje, mens trusselaktør er utfører aktive handlinger mot verdiene

hvem som gjør det. Se faktaboks. Det er viktig at våre. Aktørene kan være:

vurderingen av sikkerhetstruende virksomhet

beskriver det gjeldende trusselbildet for det som • Statlig etterretning eller

skal beskyttes. Det skal tilpasses egen statssponsede aktører

virksomhet, og ha fokus på reelle og potensielle • Terrorister/ekstremister

• Innsidere

trusselaktører.

• Aktivister

Sannsynlighet • Organisert kriminalitet

• Kombinasjoner, for eksempel

I beskrivelsen av sikkerhetstruende virksomhet må

statlige aktører som støtter

virksomheten si noe om sannsynligheten for at «aktivisme»

denne hendelsen kan inntreffe, jf.

virksomhetsikkerhetsforskriften § 12 c. Trusler, sårbarheter og verdier påvirker

sannsynligheten for at en uønsket hendelse vil inntreffe. I kontekst av risikovurdering for

tilsiktede handlinger er det mest aktuelt å bruke en kunnskapsbasert, kvalitativ vurdering av

Veileder i risikostyring 10

sannsynlighet. Det betyr at de eller den som utfører risikoanalysen må vurdere

sannsynligheten for at hendelsen inntreffer, basert på kunnskap og tilgjengelig fakta.

Sårbarheter

Sårbarheter knyttet til de skjermingsverdige Bruk av scenario i risikoanalysen:

verdiene skal vurderes, jf. Scenarioer er tenkte

virksomhetsikkerhetsforskriften § 12 d. Noen situasjonsbeskrivelser hvor en

sårbarheter er spesielle for analyseobjektet eller trusselaktør forsøker å påvirke

situasjonen (spesifikke sårbarheter), mens andre virksomhetens verdier. Det er et

er av mer generell karakter. Identifisering og nyttig verktøy for kontekstualisering

beskrivelse av sårbarheter skal avdekke av risiko. Ved utarbeidelse av

eventuelle gap mellom etablerte sikkerhetstiltak scenarioer kan trusselvurderinger

og en trusselaktørs vilje og evne. Finnes det brukes som grunnlag for å

sårbarheter som kan utnyttes av en trusselaktør? identifisere relevante trusselaktører.

I hvilken grad er det mulig for en trusselaktør å Scenarioene bør omhandle

gjennomføre en handling uten å bli stanset eller relevante hendelsesforløp med

påvirket? Hvor effektive er dagens tiltak? utgangspunkt i forskjellige forhold

Sårbarhetene kan deles inn i fire forhold: som treffer virksomhetens verdier

gjennom utnyttelse av sårbarheter.

- fysiske forhold – for eksempel svake

Utarbeidelse av scenarioer er en

fysiske barrierer, manglende

soneinndeling og lignende. anbefalt tilnærming, men ikke et

- elektroniske forhold – for eksempel svak krav. Virksomheten velger selv

autentisering av brukere eller manglende fremgangsmåte i risikovurderingen.

eller utilstrekkelig oppdatering av

programvare i et datasenter.

- menneskelige forhold – for eksempel manglende kunnskap hos ansatte i å bruke

sikkerhetstiltak. Trusselen fra innsidevirksomhet faller inn under denne kategorien.

- organisatoriske forhold – for eksempel mangelfulle rutiner for varsling av uønskede

hendelser, manglende prosedyrer eller planverk som ikke har blitt øvd.

Avdekking av sårbarheter, identifisering av trusler, og vurderinger av sannsynlighet og

konsekvens, kan gjennomføres med utgangspunkt i scenarioer. Se faktaboks. Selv om loven

ikke beskriver at utilsiktede handlinger skal vurderes, det vil si naturkatastrofer og lignende,

kan analysen også inkludere scenarioer om dette. Det kan i noen tilfeller også være

hensiktsmessig, da noen virksomheter er spesielt utsatt for dette. For eksempel hvis man

har en avhengighet til strømtilførsel som er særlig utsatt for bortfall ved lynnedslag.

Konsekvenser

Virksomheten skal vurdere konsekvenser dersom sikkerhetstruende virksomhet påvirker den

skjermingsverdige verdien, jf. virksomhetsikkerhetsforskriften § 12 e.

Veileder i risikostyring 11

Eksempler på konsekvenser er:

• Nedetid på skjermingsverdige objekter og infrastruktur (knyttet til energi, vann,

kommunikasjon, transport)

• Økonomiske tap

• Tap av konfidensialitet (uvedkommende får tilgang til sikkerhetsgraderte

planverk, agentinformasjon, kontraetterretning, kapasiteter m.m.)

• Integritetstap (manipulasjon av data i skjermingsverdige informasjonssystemer,

feil i advarsler, slettet skjermingsverdige informasjon, urettmessig overtagelse)

Tap av konfidensialitet i forbindelse med informasjon har noen særskilte konsekvenser. For

eksempel er lekkasje av sikkerhetsgradert informasjon til antatte trusselaktører i mange

tilfeller irreversibel, i den forstand at informasjon ikke kan trekkes tilbake. Om skadepotensial

ved tap av konfidensialitet, se NSMs veileder i sikkerhetsgradert informasjon.

Avhengighet

Hvis virksomheten er avhengig av andre virksomheter for å håndtere og beskytte

skjermingsverdige verdier, må dette beskrives i risikovurderingen, jf.

virksomhetsikkerhetsforskriften § 12 f. Virksomheter underlagt sikkerhetsloven skal kartlegge

hvilke andre virksomheter de er avhengige av for å fungere. Risikovurderingen skal ta

hensyn til hvor sterk avhengigheten er. Det handler blant annet om funksjonen eller

ressursen kan erstattes, og hvor tett avhengigheten er koblet til virksomhetens prosesser

eller systemer.

Avhengighetene vil være av ulik grad og det finnes ulike typer:

• Fysisk avhengighet: Hvis virksomheten er avhengig av en ekstern innsatsfaktor i

form av fysisk tilførsel eller overføring av fysiske elementer for å kunne opprettholde

sine funksjoner (eksempel: vann, kraft, kjemikalier, utstyr, transportmidler).

• Digital avhengighet (cyber-avhengighet): Dersom virksomheten er avhengig av

elektronisk overføring av informasjon eller signaler fra eller til en ekstern kilde.

• Stedlig avhengighet: Dersom beliggenheten til virksomheten har betydning – slik at

en hendelse i nærområdet kan påvirke funksjonaliteten til egne objekt. Stedlig

avhengighet kan også være betydningen av andre forhold til omgivelsene rundt:

temperatur, luftfuktighet.

• Prosessuelle: avhengighet til verdikjeder. Dersom en virksomhet er avhengig av en

annen virksomhet på andre måter, for eksempel tilgang til ekspertise, leverandører

eller andre støttetjenester.

Risikoevaluering

Når faktorene beskrevet i forrige kapittel er analysert, er det mulig å si noe om risikonivået

for de skjermingsverdige verdiene. Evaluering består i å sammenligne risikonivået med

sikkerhetsmålene som innledningsvis ble formulert. Ut fra dette kan det vurderes om målet

Veileder i risikostyring 12

for et forsvarlig sikkerhetsnivå, jf. virksomhetsikkerhetsforskriften § 5, er oppnådd.

Evalueringen skal fremskaffe et beslutningsgrunnlag for hvordan risikoene skal håndteres på

et overordnet nivå, jf. virksomhetsikkerhetsforskriften § 13. Dette er i hovedsak en kvalitativ

vurdering, som danner grunnlag for hvilke sikkerhetstiltak virksomheten må iverksette for å

oppnå forsvarlig sikkerhetsnivå. Slik kan virksomheten benytte ressurser hvor det er størst

behov, og kan håndtere risikoen ved å ta i bruk de mest hensiktsmessige tiltakene.

Virksomheten bør beskrive og drøfte usikkerhet om informasjonen som ligger til grunn for

vurderingen. Tilgang til informasjon og tid til innhenting og bearbeiding av informasjon kan

være begrenset. Forbehold og presiseringer gjør det lettere for mottakeren å vurdere hvor

stor vekt analysen bør få. Å gjennomgå usikkerheten kan gi bedre beslutningsprosesser,

bedre informasjon og bedre beslutninger. Dersom kunnskapsgrunnlaget for analysen er

mangelfullt kan en konklusjon i seg selv være å søke mer kunnskap. Grundig belysning av

usikkerhet kan også bidra til nødvendig ydmykhet når beslutninger skal tas og stimulere til

videre kunnskapsutvikling.

5. Risikohåndtering

I risikohåndteringen skal virksomheten vurdere måter å håndtere risikoen på. Etter at

tiltakene er gjennomført, må de dokumenteres, driftes, og kontroll av funksjon og effekt

gjennomføres.

Risikohåndtering gjennomføres på et overordnet nivå ved valg av strategi for håndteringen.

Det finnes fire strategier for å håndtere risiko:

• unngå risiko, ved å fjerne den skjermingsverdige verdien eller avslutte aktivitet som

innebærer for høy risiko.

• overføre risiko, for eksempel ved å flytte en skjermingsverdig verdi til en annen

virksomhet.

• akseptere risiko, ved å justere sikkerhetsmålene eller erkjenne at ytterligere

sikkerhetstiltak vil koste mer enn den risikoreduksjonen de gir.

• redusere risiko, ved å innføre fysiske, tekniske, organisatoriske eller menneskelige

sikkerhetstiltak som gjør virksomheten mindre sårbar.

Sikkerhetstiltak er den vanligste måten å håndtere risiko, og er nesten i ethvert tilfelle en

forutsetning for å oppnå et forsvarlig sikkerhetsnivå. Det sentrale er imidlertid ikke på hvilken

måte risiko håndteres, men at den håndteres på en slik måte at virksomheten oppnår et

forsvarlig sikkerhetsnivå. Det må understrekes at en virksomhet er juridisk ansvarlig for at

sikkerheten er forsvarlig for verdiene, også i de tilfeller der virksomheten velger å overføre

eller akseptere risiko. Sikkerhetslovens krav til forsvarlig sikkerhet setter en nedre grense for

hvilken risiko som kan aksepteres.

I en risikovurdering blir det ofte vurdert flere risikoer samtidig. Da benyttes flere strategier

ved at for eksempel noen risikoer aksepteres og noen krever risikoreduserende tiltak.

Veileder i risikostyring 13

Hvordan virksomheten skal vurdere og håndtere risiko er beskrevet overordnet i

virksomhetsikkerhetsforskriften § 13. Bestemmelsen inneholder et generelt krav om at risiko

skal håndteres og må leses i sammenheng med kravene som stilles til de konkrete verdiene.

Disse kravene er utledet i sikkerhetsmålene som ble formulert innledningsvis.

§ 13. Håndtering av risiko

Når en virksomhet skal håndtere en risiko, skal den vurdere

a) om risikoen er akseptabel

b) å endre sårbarheten til de skjermingsverdige verdiene ved grunnsikringstiltak og påbyggingstiltak

c) hvordan virksomheten kan påvirke konsekvensene som kan inntreffe dersom de

skjermingsverdige verdiene rammes, for eksempel ved å endre redundansen eller iverksette tiltak for

skadebegrensning og gjenopprettelse

d) å gjøre seg mindre avhengig av andre virksomheter

e) å håndtere risikoen på andre måter.

Virksomheten skal sende en oversikt over andre virksomheter den er avhengig av for å fungere som

den skal, til Nasjonal sikkerhetsmyndighet og det departementet som er ansvarlig for det

forebyggende sikkerhetsarbeidet i sektoren.

Virksomhetsikkerhetsforskriften § 14 beskriver nærmere hvordan virksomheten kan og skal

håndtere risiko:

§ 14.Grunnsikringstiltak, påbyggingstiltak og tiltak for skadebegrensning og gjenoppretting

Grunnsikringstiltak skal bidra til et forsvarlig sikkerhetsnivå i virksomheter i en normaltilstand.

Grunnsikringstiltakene kan være:

a) fysiske, elektroniske, menneskelige eller organisatoriske barrierer

b) systemer som skal oppdage og varsle om aktiviteter eller hendelser

c) systemer og rutiner for å avklare aktiviteter og hendelser og bakgrunnen for dem

d) oppfølging av uønskede aktiviteter og uønskede hendelser

e) en kombinasjon av tiltakene nevnt i bokstav a til d.

En virksomhet skal, i god tid før en skjermingsverdig verdi etableres, fastsette hvilke

grunnsikringstiltak som skal beskytte den. Virksomheten skal også vurdere om det er behov for

slike tiltak i forbindelse med avviklingen av den skjermingsverdien verdien.

En virksomhet skal planlegge påbyggingstiltak som kan iverksettes dersom økt risiko medfører at

det ikke er tilstrekkelig med grunnsikringstiltakene. Påbyggingstiltakene skal kunne iverksettes i

løpet av kort tid, og de skal kunne avvikles dersom risikoen reduseres i tilstrekkelig grad.

Dersom den økte risikoen vedvarer, skal virksomheten vurdere om påbyggingstiltakene skal bli en

del av grunnsikringen. I slike tilfeller skal virksomheten planlegge nye påbyggingstiltak.

Virksomheten skal planlegge skadebegrensningstiltak som kan iverksettes i situasjoner som ikke

kan håndteres fullt ut med grunnsikrings- og påbyggingstiltakene.

Virksomheten skal ha en plan for å gjenopprette et forsvarlig sikkerhetsnivå

Veileder i risikostyring 14

Dersom virksomheten, på bakgrunn av sin vurdering av risiko, velger å håndtere risikoen

med bruk av sikkerhetstiltak skal det etableres grunnsikringstiltak. I tillegg skal virksomheten

ha en plan for påbygningstiltak og tiltak for skadebegrensning og gjenopprettelse. Hvor stor

betydning de skjermingsverdige verdiene har for grunnleggende nasjonale funksjoner vil

være avgjørende for hvilke grunnsikringstiltak som er nødvendig for å oppnå et forsvarlig

sikkerhetsnivå, holdt opp mot den risiko virksomheten er utsatt for. Selv om det er et skal-

krav at virksomheten etablerer tiltak, står virksomheten fritt til å utforme de konkrete

løsningene.

Grunnsikringstiltak

Virksomhetsikkerhetsforskriften § 13 b viser til grunnsikringstiltak og påbyggingstiltak for å

redusere sårbarheter ved skjermingsverdige verdier. Grunnsikring er de etablerte, verifiserte

og dokumenterte samlede sikkerhetstiltakene som skal beskytte de skjermingsverdige

verdiene som er identifisert i en normalsituasjon. Grunnsikringstiltakene opprettes med

bakgrunn i virksomhetens risikovurdering. Kravene til grunnsikringstiltak gjør seg like

gjeldende for beskyttelse av informasjon og informasjonssystemer, og det bør derfor være

overordnede krav til grunnsikringstiltakene for virksomheten.

Påbyggingstiltak

Virksomheten skal planlegge påbyggingstiltak som kan settes i verk dersom risikoen blir

høyere enn det grunnsikringen kan håndtere, jf. virksomhetsikkerhetsforskriften § 14 tredje

ledd. Påbyggingstiltak brukes når risikoen øker utover det grunnsikringen i normaltilstand er

dimensjonert for.

Planen for påbyggingstiltak er en form for beredskap. Den vil normalt ha flere nivåer,

avhengig av hvor mye risikoen øker.

Påbyggingstiltak kan være å forsterke etablerte fysiske, menneskelige, organisatoriske eller

elektroniske tiltak, eller å etablere helt nye tiltak mot en identifisert trussel. Eksempler er å

utvide soner, forsterke perimetersikring, øke patruljering eller bruke sikringsstyrker. Tiltakene

bør være enkle og raske å sette i verk, og raske å avvikle. De bør utarbeides med

utgangspunkt i scenarioer fra risikovurderingen.

Et eksempel kan være at virksomheten bruker sikkerhetsdører med et avansert elektronisk

låssystem til alle adgangspunkter. Dette er et grunnsikringstiltak, og i en normalsituasjon er

det tilstrekkelig at de ansatte åpner døren med sitt adgangskort. Dersom risikoen øker kan

det innføres PIN-kode for å åpne dørene. Ved økning av risiko til et høyere nivå, kan det i

tillegg innføres adgangsbegrensning.

Dersom det er grunn til å tro at den økte risikoen er varig, f.eks. som følge av trusselen

virksomheten er utsatt for, eller det er svakheter i virksomhetens sikkerhetstiltak, skal

virksomheten vurdere om påbyggingstiltakene skal inngå i grunnsikringen. I visse tilfeller kan

påbyggingstiltakene være kostnadskrevende, og kravet er ikke til hinder for at virksomheten

heller iverksetter andre tiltak som skal inngå i grunnsikringen. Påbyggingstiltak bør være

reelle, det vil si at virksomheten har ressurser til å iverksette disse.

Veileder i risikostyring 15

Redundans

Virksomheten skal vurdere hvordan den kan redusere konsekvensene av hendelser som

kan ramme skjermingsverdige verdier, jf. virksomhetsikkerhetsforskriften § 13 c. Redundans

betyr at flere enheter, delsystemer eller alternative løsninger kan opprettholde funksjonen

hvis noe faller bort. Hvis én del mister funksjonen, kan andre deler overta. Slik kan

virksomheten hindre alvorlige konsekvenser. Redundante løsninger er også en form for

beredskap.

Skadebegrensning

Når en hendelse oppstår, er det viktig å ha gode og innøvde skadebegrensende tiltak på

plass som en del av beredskapen. Virksomhetsikkerhetsforskriften § 14 fjerde og femte ledd

stiller krav til at virksomheten planlegger for tiltak for skadebegrensning og gjenopprettelse

dersom en sikkerhetstruende hendelse inntreffer, til tross for grunnsikrings og

påbygningstiltakene. Tiltakene må være egnet til å redusere skade, og gjenopprette

sikkerhetsnivået forut for den sikkerhetstruende hendelsen, hvis mulig, jf.

virksomhetsikkerhetsforskriften § 8.

Gjennom grundige forberedelser og trening er det mulig å være i forkant av situasjonen og

slik kunne styre utviklingen i ønsket retning. Skadebegrensende tiltak kan være begrensning

av tilgang til verdien, nød-makulering eller -flytting av skjermingsverdig informasjon og

evakuering av personell.

Gjenoppretting

Gjenoppretting av systemer eller barrierer kan også være skadebegrensende hvis det

utføres raskt nok. Kapasitet og tilgjengelighet for reparasjon av fysiske objekter og utstyr kan

redusere konsekvensene. Eksempler på tiltak for gjenoppretting som en del av beredskapen

er innkjøp av reservedeler til å reparere skjermingsverdige verdier slik at funksjonen

ivaretas, eller tilbakeføring av back-up av informasjonssystemer.

Redusere avhengighet

Virksomheten kan redusere risiko ved å håndtere de fysiske, digitale, stedlige eller

prosessuelle avhengighetene som er kartlagt i risikoanalysen. Hvis virksomheten for

eksempel er avhengig av en underleverandør, kan den redusere avhengigheten ved å gjøre

aktiviteten selv. God kartlegging av avhengigheter er viktig. Avhengigheter som ikke

håndteres, kan bli sårbarheter en trusselaktør vil utnytte.

Sikkerhet i alle stadier

For virksomheter som planlegger for grunnsikringen etter at objektet er etablert, vil det kunne

påløpe store kostnader. Det er vesentlig mer kostbart å bytte ut veggene i et rom, fordi det

eksempelvis ikke egner seg for å behandle sikkerhetsgradert informasjon, etter at det

allerede er satt opp. Virksomhetsikkerhetsforskriften gir virksomheten plikt til å tenke

sikkerhet i alle stadier – fra planlegging til avvikling av skjermingsverdige verdier. Dette er en

del av sikkerhetsstyringen til virksomheten.

Ved avvikling, enten det er et objekt som skal avhendes eller et system som skal tas ned

eller destrueres, er det viktig å opprettholde et forsvarlig sikkerhetsnivå. Hensikten med å

Veileder i risikostyring 16

presisere dette er for å gjøre virksomheten bevisst på at det også er en fare for

kompromittering dersom en annen virksomhet skal overta et objekt eller dersom man leverer

fra seg systemer eller lagringsmedier til andre.

Valg og utforming av sikkerhetstiltak

Virksomheten skal legge til grunn følgende prinsipper ved valg og utforming av

sikkerhetstiltak, jf. virksomhetsikkerhetsforskriften § 15:

1. Begrense kompleksitet og kostnad: Tiltakene skal ikke ha annen funksjonalitet

eller større kompleksitet enn nødvendig, og kostnadene skal stå i et rimelig forhold til

hva som oppnås ved tiltakene. For eksempel bør systemer for adgangskontroll ikke i

unødvendig grad kobles til andre administrative systemer enn de som er nødvendige

for å ivareta sikkerheten. Et annet eksempel er når sikre informasjonssystemer skal

designes, vil det være lettere å sikre disse dersom det er tydelig gjennom prosessen

hva systemene skal benyttes til og at de ikke designes for også å løse oppgaver som

ikke krever et like høyt sikkerhetsnivå. Økt kompleksitet kan på sin side medføre økt

sårbarhet.

2. Begrense tilgang: Det skal ikke gis en mer omfattende tilgang til skjermingsverdige

verdier enn nødvendig for å ivareta funksjonen, eller for å gi informasjon. Tjenstlig

behov for tilgang skal være styrende. For eksempel tilsier prinsippet at ikke alle

ansatte i en bedrift skal ha tilgang til alle områder og kontorer hos virksomheten.

3. Sikkerhet i dybden: Svikt i ett enkelt tiltak skal ikke kunne føre til kompromittering av

skjermingsverdige verdier. Formålet med prinsippet er at beskyttelsen av et

verdiobjekt ikke skal være avhengig av bare ett sikkerhetstiltak. Det klassiske

eksempelet er bruk av soner for beskyttelse av sikkerhetsgradert informasjon.

4. Begrense avhengighet: Tiltakene skal i minst mulig grad være avhengige av

hverandre, og ikke kunne settes ut av funksjon eller svekkes samtidig som følge av

en enkelt hendelse.

5. Inngripen og personvern: Tiltakene skal ikke være mer inngripende enn nødvendig,

og det skal tas særlig hensyn til enkeltpersoners rettsvern og personvern. Hvis

tiltaket kan gripe inn i enkeltpersoners rettssikkerhet eller personvern, skal

virksomheten kunne dokumentere hvorfor inngrepet er nødvendig.

Prinsippene er generelle og må tilpasses og vurderes ut fra situasjonsbilde, kontekst,

kritikalitet og verdiens egenart. Det første punktet omhandler forholdsmessighet i tiltakene,

mens punkt 2,3 og 4 omhandler praktiske sikkerhetsprinsipper. Det siste punktet sier

hvordan personvern og rettssikkerhet skal hensyntas i sikkerhetstiltak begrunnet i

sikkerhetsloven.

Veileder i risikostyring 17

NSM

Postboks 814

Innledning

Unntatt offentlighet

iht. offentleglova § …

Veileder fra NSM

Veileder i risikostyring

NSM-veileder

Veileder i risikostyring

Versjon Godkjent dato Dokumentnr Sak

1.0 22.05.2026 U-26/00495-2 U-26/00495

Siste versjon endret

Dato: 10.06.2026

Kun henvisninger/referanser Kun språklige endringer Endring i faglig innhold

Nasjonal sikkerhetsmyndighet (NSM) er sikkerhetsmyndighet etter lov om nasjonal sikkerhet

(sikkerhetsloven) og fagorgan for forebyggende sikkerhet. NSM gir informasjon, råd og

veiledning om forebyggende sikkerhetsarbeid og krav til tiltak.

NSM har tre kategorier av veiledere.

- Veiledere lov og forskrift

- Håndbøker

- Tekniske veiledere

Veilederne representerer NSMs syn på hvordan lover og forskrifter er å forstå. De utdyper

krav og gir tekniske og prosedyremessige anbefalinger. Veiledere legges til grunn for NSMs

arbeid knyttet til godkjenninger og tilsyn. NSM tilbyr også kurs på sentrale områder, både

som e-læring og fysiske kurs. Mer informasjon finnes på NSMs nettsider.

Vi anbefaler at NSMs ulike veiledninger leses i sammenheng for å sikre en helhetlig

tilnærming til forebyggende sikkerhetsarbeid.

Ugraderte veiledere er åpent tilgjengelige på NSMs nettsider. Graderte veiledere er

tilgjengelige på graderte samhandlingsplattformer og kan formidles fra NSM iht. tjenstlige

behov.

NSM oppdaterer jevnlig dokumentene. Siste versjon av ugraderte veiledere er alltid

tilgjengelig på NSMs nettsider.

NSMs veiledere er dokumenter som er ment å gi støtte til offentlige og private virksomheters

arbeid med forebyggende sikkerhet. Virksomheter som er omfattet av sikkerhetsloven skal

ha nødvendig informasjon om hvordan de kan oppnå forsvarlig sikkerhet.

NSM utgir også andre publikasjoner av mer generell karakter, som ikke har status som

veiledere, eksempelvis generelle grunnprinsipper for sikkerhet og andre rådgivende

dokumenter.

Vi håper veilederne gir god støtte til arbeidet med forebyggende sikkerhet og mottar gjerne

tilbakemeldinger dersom det er behov for endringer eller andre veiledere.

Veileder i risikostyring 2

Innholdsfortegnelse

Veileder i risikostyring 3

1. Innledning

Risikostyring i denne veilederen handler om å ha en systematisk prosess for å vurdere og

håndtere risiko for skjermingsverdige verdier. Prosessen bør være en integrert del av

virksomhetens sikkerhetsstyring, slik at virksomheten kan oppnå og opprettholde et

forsvarlig sikkerhetsnivå. 1 Veilederen gir en innføring i hva virksomheter må gjøre for å styre

risiko som en del av det forebyggende sikkerhetsarbeidet. Formålet er å tydeliggjøre krav i

sikkerhetsloven til risikovurderinger og risikohåndtering for skjermingsverdige verdier.

Målgruppen for veilederen er virksomheter som er underlagt sikkerhetsloven § 1-2. Det vil si

statlige, fylkeskommunale og kommunale organer, og virksomheter som er underlagt loven

etter enkeltvedtak etter sikkerhetslovens § 1-3. Loven gjelder også for leverandører av varer

eller tjenester i forbindelse med sikkerhetsgraderte anskaffelser etter kapittel 9.

Veilederen omhandler risikovurdering og -håndtering av uønskede hendelser som kan

medføre negative konsekvenser for skjermingsverdige verdier. For virksomheter som råder

over skjermingsverdige verdier, stilles det konkrete krav til hvilke faktorer som skal vurderes i

en risikovurdering, og disse kravene vil denne veilederen utdype. Veilederen viser også

hvordan risikostyring er en integrert del av sikkerhetsstyringen.

Virksomheter som er underlagt sikkerhetsloven, men som ikke råder over skjermingsverdige

verdier, må følge de generelle kravene til forebyggende sikkerhetsarbeid beskrevet i kapittel

4. Dette omfatter sikkerhetsstyring, risikovurdering, plikt til å gjennomføre sikkerhetstiltak og

øvelser, varsling og dokumentasjon. Risikostyring som beskrevet i denne veilederen kan

også anvendes for disse virksomhetene og deres verdier.

Det anbefales at leseren har gjort seg kjent med veileder i sikkerhetsstyring, håndbok i

skadevurdering og håndbok i verdivurdering av informasjon.

2. Hva er risiko?

Risiko er sannsynligheten for at en uønsket hendelse vil inntreffe og hvilke konsekvenser det

kan få. Med utgangspunkt i denne definisjonen beskriver risiko alltid fremtiden: Når en

virksomhet skal vurdere risiko skal den vurdere hvor trolig det er at en gitt hendelse kan

inntreffe, og deretter hvilke skader, tap eller forringelse det kan påføre verdier.

Uønskede hendelser betyr i denne veilederen tilsiktede handlinger som direkte eller indirekte

kan skade nasjonale sikkerhetsinteresser, jf. sikkerhetsloven § 1-5 punkt 4.

Sikkerhetstruende virksomhet omtales også som trusler. Dette kan for eksempel være

terrorisme, sabotasje, spionasje og sammensatte trusler.

1. Innledning Risikostyring i denne veilederen handler om å ha en systematisk prosess for å vurdere og håndtere risiko for skjermingsverdige verdier. Prosessen bør være en integrert del av virksomhetens sikkerhetsstyring, slik at virksomheten kan oppnå og opprettholde et forsvarlig sikkerhetsnivå. 1 Veilederen gir en innføring i hva virksomheter må gjøre for å styre risiko som en del av det forebyggende sikkerhetsarbeidet. Formålet er å tydeliggjøre krav i sikkerhetsloven til risikovurderinger og risikohåndtering for skjermingsverdige verdier. Målgruppen for veilederen er virksomheter som er underlagt sikkerhetsloven § 1-2. Det vil si statlige, fylkeskommunale og kommunale organer, og virksomheter som er underlagt loven etter enkeltvedtak etter sikkerhetslovens § 1-3. Loven gjelder også for leverandører av varer eller tjenester i forbindelse med sikkerhetsgraderte anskaffelser etter kapittel 9. Veilederen omhandler risikovurdering og -håndtering av uønskede hendelser som kan medføre negative konsekvenser for skjermingsverdige verdier. For virksomheter som råder over skjermingsverdige verdier, stilles det konkrete krav til hvilke faktorer som skal vurderes i en risikovurdering, og disse kravene vil denne veilederen utdype. Veilederen viser også hvordan risikostyring er en integrert del av sikkerhetsstyringen. Virksomheter som er underlagt sikkerhetsloven, men som ikke råder over skjermingsverdige verdier, må følge de generelle kravene til forebyggende sikkerhetsarbeid beskrevet i kapittel 4. Dette omfatter sikkerhetsstyring, risikovurdering, plikt til å gjennomføre sikkerhetstiltak og øvelser, varsling og dokumentasjon. Risikostyring som beskrevet i denne veilederen kan også anvendes for disse virksomhetene og deres verdier. Det anbefales at leseren har gjort seg kjent med veileder i sikkerhetsstyring, håndbok i skadevurdering og håndbok i verdivurdering av informasjon.

2. Hva er risiko? Risiko er sannsynligheten for at en uønsket hendelse vil inntreffe og hvilke konsekvenser det kan få. Med utgangspunkt i denne definisjonen beskriver risiko alltid fremtiden: Når en virksomhet skal vurdere risiko skal den vurdere hvor trolig det er at en gitt hendelse kan inntreffe, og deretter hvilke skader, tap eller forringelse det kan påføre verdier. Uønskede hendelser betyr i denne veilederen tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser, jf. sikkerhetsloven § 1-5 punkt 4. Sikkerhetstruende virksomhet omtales også som trusler. Dette kan for eksempel være terrorisme, sabotasje, spionasje og sammensatte trusler.

Virksomhetsikkerhetsforskriften § 22

Et informasjonssystem er skjermingsverdig dersom det behandler skjermingsverdig informasjon, eller dersom det i seg selv har avgjørende betydning for grunnleggende nasjonale funksjoner. Se NSMs veileder i godkjenning av informasjonssystemer.

Informasjon er skjermingsverdig dersom det kan skade nasjonale sikkerhetsinteresser at informasjonen blir kjent for uvedkommende, går tapt, blir endret eller blir utilgjengelig. Se NSMs veileder i sikkerhetsgradert informasjon.

Risiko for virksomhetens samtlige skjermingsverdige verdier må vurderes. Flere verdier kan dekkes av samme risikovurdering, eller vurderinger kan gjennomføres for avgrensede verdier. Sikkerhetstruende virksomhet Risikovurderingen skal beskrive hvilken sikkerhetstruende virksomhet verdiene kan bli utsatt for, jf. virksomhetsikkerhetsforskriften § 12 b. Virksomheten skal vurdere hvilke typer tilsiktede handlinger som kan utgjøre en trussel mot de skjermingsverdige verdiene. Hvilken sikkerhetstruende virksomhet som kan inntreffe kan leses ut i bl.a. nasjonale trussel- og risikovurderinger, geopolitiske og sikkerhetspolitiske analyser, samt sektorspesifikke vurderinger. Trusler er hva som kan skje, mens trusselaktør er hvem som gjør det. Se faktaboks. Det er viktig at vurderingen av sikkerhetstruende virksomhet beskriver det gjeldende trusselbildet for det som skal beskyttes. Det skal tilpasses egen virksomhet, og ha fokus på reelle og potensielle trusselaktører. Sannsynlighet

Trusler og trusselaktører Trusler mot skjermingsverdige verdier kan være: • • • • • •

Spionasje og sabotasje Terrorangrep Innsidevirksomhet Aktivisme som hindrer viktige funksjoner Økonomi/svindel Hybride / sammensatte trusler

Trusselaktører er de som står bak eller utfører aktive handlinger mot verdiene våre. Aktørene kan være: • • • • • •

Statlig etterretning eller statssponsede aktører Terrorister/ekstremister Innsidere Aktivister Organisert kriminalitet Kombinasjoner, for eksempel statlige aktører som støtter «aktivisme»

I beskrivelsen av sikkerhetstruende virksomhet må virksomheten si noe om sannsynligheten for at denne hendelsen kan inntreffe, jf. virksomhetsikkerhetsforskriften § 12 c. Trusler, sårbarheter og verdier påvirker sannsynligheten for at en uønsket hendelse vil inntreffe. I kontekst av risikovurdering for tilsiktede handlinger er det mest aktuelt å bruke en kunnskapsbasert, kvalitativ vurdering av

sannsynlighet. Det betyr at de eller den som utfører risikoanalysen må vurdere sannsynligheten for at hendelsen inntreffer, basert på kunnskap og tilgjengelig fakta. Sårbarheter Sårbarheter knyttet til de skjermingsverdige verdiene skal vurderes, jf. virksomhetsikkerhetsforskriften § 12 d. Noen sårbarheter er spesielle for analyseobjektet eller situasjonen (spesifikke sårbarheter), mens andre er av mer generell karakter. Identifisering og beskrivelse av sårbarheter skal avdekke eventuelle gap mellom etablerte sikkerhetstiltak og en trusselaktørs vilje og evne. Finnes det sårbarheter som kan utnyttes av en trusselaktør? I hvilken grad er det mulig for en trusselaktør å gjennomføre en handling uten å bli stanset eller påvirket? Hvor effektive er dagens tiltak? Sårbarhetene kan deles inn i fire forhold: -

Bruk av scenario i risikoanalysen: Scenarioer er tenkte situasjonsbeskrivelser hvor en trusselaktør forsøker å påvirke virksomhetens verdier. Det er et nyttig verktøy for kontekstualisering av risiko. Ved utarbeidelse av scenarioer kan trusselvurderinger brukes som grunnlag for å identifisere relevante trusselaktører. Scenarioene bør omhandle relevante hendelsesforløp med utgangspunkt i forskjellige forhold som treffer virksomhetens verdier gjennom utnyttelse av sårbarheter. Utarbeidelse av scenarioer er en anbefalt tilnærming, men ikke et krav. Virksomheten velger selv fremgangsmåte i risikovurderingen.

for et forsvarlig sikkerhetsnivå, jf. virksomhetsikkerhetsforskriften § 5, er oppnådd. Evalueringen skal fremskaffe et beslutningsgrunnlag for hvordan risikoene skal håndteres på et overordnet nivå, jf. virksomhetsikkerhetsforskriften § 13. Dette er i hovedsak en kvalitativ vurdering, som danner grunnlag for hvilke sikkerhetstiltak virksomheten må iverksette for å oppnå forsvarlig sikkerhetsnivå. Slik kan virksomheten benytte ressurser hvor det er størst behov, og kan håndtere risikoen ved å ta i bruk de mest hensiktsmessige tiltakene. Virksomheten bør beskrive og drøfte usikkerhet om informasjonen som ligger til grunn for vurderingen. Tilgang til informasjon og tid til innhenting og bearbeiding av informasjon kan være begrenset. Forbehold og presiseringer gjør det lettere for mottakeren å vurdere hvor stor vekt analysen bør få. Å gjennomgå usikkerheten kan gi bedre beslutningsprosesser, bedre informasjon og bedre beslutninger. Dersom kunnskapsgrunnlaget for analysen er mangelfullt kan en konklusjon i seg selv være å søke mer kunnskap. Grundig belysning av usikkerhet kan også bidra til nødvendig ydmykhet når beslutninger skal tas og stimulere til videre kunnskapsutvikling.

5. Risikohåndtering I risikohåndteringen skal virksomheten vurdere måter å håndtere risikoen på. Etter at tiltakene er gjennomført, må de dokumenteres, driftes, og kontroll av funksjon og effekt gjennomføres. Risikohåndtering gjennomføres på et overordnet nivå ved valg av strategi for håndteringen. Det finnes fire strategier for å håndtere risiko: •

unngå risiko, ved å fjerne den skjermingsverdige verdien eller avslutte aktivitet som innebærer for høy risiko.

overføre risiko, for eksempel ved å flytte en skjermingsverdig verdi til en annen virksomhet.

akseptere risiko, ved å justere sikkerhetsmålene eller erkjenne at ytterligere sikkerhetstiltak vil koste mer enn den risikoreduksjonen de gir.

redusere risiko, ved å innføre fysiske, tekniske, organisatoriske eller menneskelige sikkerhetstiltak som gjør virksomheten mindre sårbar.

Sikkerhetstiltak er den vanligste måten å håndtere risiko, og er nesten i ethvert tilfelle en forutsetning for å oppnå et forsvarlig sikkerhetsnivå. Det sentrale er imidlertid ikke på hvilken måte risiko håndteres, men at den håndteres på en slik måte at virksomheten oppnår et forsvarlig sikkerhetsnivå. Det må understrekes at en virksomhet er juridisk ansvarlig for at sikkerheten er forsvarlig for verdiene, også i de tilfeller der virksomheten velger å overføre eller akseptere risiko. Sikkerhetslovens krav til forsvarlig sikkerhet setter en nedre grense for hvilken risiko som kan aksepteres. I en risikovurdering blir det ofte vurdert flere risikoer samtidig. Da benyttes flere strategier ved at for eksempel noen risikoer aksepteres og noen krever risikoreduserende tiltak.

Hvordan virksomheten skal vurdere og håndtere risiko er beskrevet overordnet i virksomhetsikkerhetsforskriften § 13. Bestemmelsen inneholder et generelt krav om at risiko skal håndteres og må leses i sammenheng med kravene som stilles til de konkrete verdiene. Disse kravene er utledet i sikkerhetsmålene som ble formulert innledningsvis. § 13. Håndtering av risiko Når en virksomhet skal håndtere en risiko, skal den vurdere a) om risikoen er akseptabel b) å endre sårbarheten til de skjermingsverdige verdiene ved grunnsikringstiltak og påbyggingstiltak c) hvordan virksomheten kan påvirke konsekvensene som kan inntreffe dersom de skjermingsverdige verdiene rammes, for eksempel ved å endre redundansen eller iverksette tiltak for skadebegrensning og gjenopprettelse d) å gjøre seg mindre avhengig av andre virksomheter e) å håndtere risikoen på andre måter. Virksomheten skal sende en oversikt over andre virksomheter den er avhengig av for å fungere som den skal, til Nasjonal sikkerhetsmyndighet og det departementet som er ansvarlig for det forebyggende sikkerhetsarbeidet i sektoren.

fysiske forhold – for eksempel svake fysiske barrierer, manglende soneinndeling og lignende. elektroniske forhold – for eksempel svak autentisering av brukere eller manglende eller utilstrekkelig oppdatering av programvare i et datasenter. menneskelige forhold – for eksempel manglende kunnskap hos ansatte i å bruke sikkerhetstiltak. Trusselen fra innsidevirksomhet faller inn under denne kategorien. organisatoriske forhold – for eksempel mangelfulle rutiner for varsling av uønskede hendelser, manglende prosedyrer eller planverk som ikke har blitt øvd.

Avdekking av sårbarheter, identifisering av trusler, og vurderinger av sannsynlighet og konsekvens, kan gjennomføres med utgangspunkt i scenarioer. Se faktaboks. Selv om loven ikke beskriver at utilsiktede handlinger skal vurderes, det vil si naturkatastrofer og lignende, kan analysen også inkludere scenarioer om dette. Det kan i noen tilfeller også være hensiktsmessig, da noen virksomheter er spesielt utsatt for dette. For eksempel hvis man har en avhengighet til strømtilførsel som er særlig utsatt for bortfall ved lynnedslag. Konsekvenser Virksomheten skal vurdere konsekvenser dersom sikkerhetstruende virksomhet påvirker den skjermingsverdige verdien, jf. virksomhetsikkerhetsforskriften § 12 e.

Nedetid på skjermingsverdige objekter og infrastruktur (knyttet til energi, vann, kommunikasjon, transport) Økonomiske tap Tap av konfidensialitet (uvedkommende får tilgang til sikkerhetsgraderte planverk, agentinformasjon, kontraetterretning, kapasiteter m.m.) Integritetstap (manipulasjon av data i skjermingsverdige informasjonssystemer, feil i advarsler, slettet skjermingsverdige informasjon, urettmessig overtagelse)

Tap av konfidensialitet i forbindelse med informasjon har noen særskilte konsekvenser. For eksempel er lekkasje av sikkerhetsgradert informasjon til antatte trusselaktører i mange tilfeller irreversibel, i den forstand at informasjon ikke kan trekkes tilbake. Om skadepotensial ved tap av konfidensialitet, se NSMs veileder i sikkerhetsgradert informasjon. Avhengighet Hvis virksomheten er avhengig av andre virksomheter for å håndtere og beskytte skjermingsverdige verdier, må dette beskrives i risikovurderingen, jf. virksomhetsikkerhetsforskriften § 12 f. Virksomheter underlagt sikkerhetsloven skal kartlegge hvilke andre virksomheter de er avhengige av for å fungere. Risikovurderingen skal ta hensyn til hvor sterk avhengigheten er. Det handler blant annet om funksjonen eller ressursen kan erstattes, og hvor tett avhengigheten er koblet til virksomhetens prosesser eller systemer. Avhengighetene vil være av ulik grad og det finnes ulike typer: •

Fysisk avhengighet: Hvis virksomheten er avhengig av en ekstern innsatsfaktor i form av fysisk tilførsel eller overføring av fysiske elementer for å kunne opprettholde sine funksjoner (eksempel: vann, kraft, kjemikalier, utstyr, transportmidler).

Digital avhengighet (cyber-avhengighet): Dersom virksomheten er avhengig av elektronisk overføring av informasjon eller signaler fra eller til en ekstern kilde.

Stedlig avhengighet: Dersom beliggenheten til virksomheten har betydning – slik at en hendelse i nærområdet kan påvirke funksjonaliteten til egne objekt. Stedlig avhengighet kan også være betydningen av andre forhold til omgivelsene rundt: temperatur, luftfuktighet.

Prosessuelle: avhengighet til verdikjeder. Dersom en virksomhet er avhengig av en annen virksomhet på andre måter, for eksempel tilgang til ekspertise, leverandører eller andre støttetjenester.

Risikoevaluering Når faktorene beskrevet i forrige kapittel er analysert, er det mulig å si noe om risikonivået for de skjermingsverdige verdiene. Evaluering består i å sammenligne risikonivået med sikkerhetsmålene som innledningsvis ble formulert. Ut fra dette kan det vurderes om målet

Virksomhetsikkerhetsforskriften § 14 beskriver nærmere hvordan virksomheten kan og skal håndtere risiko: § 14.Grunnsikringstiltak, påbyggingstiltak og tiltak for skadebegrensning og gjenoppretting Grunnsikringstiltak skal bidra til et forsvarlig sikkerhetsnivå i virksomheter i en normaltilstand. Grunnsikringstiltakene kan være: a) b) c) d) e)

fysiske, elektroniske, menneskelige eller organisatoriske barrierer systemer som skal oppdage og varsle om aktiviteter eller hendelser systemer og rutiner for å avklare aktiviteter og hendelser og bakgrunnen for dem oppfølging av uønskede aktiviteter og uønskede hendelser en kombinasjon av tiltakene nevnt i bokstav a til d.

En virksomhet skal, i god tid før en skjermingsverdig verdi etableres, fastsette hvilke grunnsikringstiltak som skal beskytte den. Virksomheten skal også vurdere om det er behov for slike tiltak i forbindelse med avviklingen av den skjermingsverdien verdien. En virksomhet skal planlegge påbyggingstiltak som kan iverksettes dersom økt risiko medfører at det ikke er tilstrekkelig med grunnsikringstiltakene. Påbyggingstiltakene skal kunne iverksettes i løpet av kort tid, og de skal kunne avvikles dersom risikoen reduseres i tilstrekkelig grad. Dersom den økte risikoen vedvarer, skal virksomheten vurdere om påbyggingstiltakene skal bli en del av grunnsikringen. I slike tilfeller skal virksomheten planlegge nye påbyggingstiltak. Virksomheten skal planlegge skadebegrensningstiltak som kan iverksettes i situasjoner som ikke kan håndteres fullt ut med grunnsikrings- og påbyggingstiltakene. Virksomheten skal ha en plan for å gjenopprette et forsvarlig sikkerhetsnivå

presisere dette er for å gjøre virksomheten bevisst på at det også er en fare for kompromittering dersom en annen virksomhet skal overta et objekt eller dersom man leverer fra seg systemer eller lagringsmedier til andre. Valg og utforming av sikkerhetstiltak Virksomheten skal legge til grunn følgende prinsipper ved valg og utforming av sikkerhetstiltak, jf. virksomhetsikkerhetsforskriften § 15: 1. Begrense kompleksitet og kostnad: Tiltakene skal ikke ha annen funksjonalitet eller større kompleksitet enn nødvendig, og kostnadene skal stå i et rimelig forhold til hva som oppnås ved tiltakene. For eksempel bør systemer for adgangskontroll ikke i unødvendig grad kobles til andre administrative systemer enn de som er nødvendige for å ivareta sikkerheten. Et annet eksempel er når sikre informasjonssystemer skal designes, vil det være lettere å sikre disse dersom det er tydelig gjennom prosessen hva systemene skal benyttes til og at de ikke designes for også å løse oppgaver som ikke krever et like høyt sikkerhetsnivå.

Økt kompleksitet kan på sin side medføre økt sårbarhet. 2. Begrense tilgang: Det skal ikke gis en mer omfattende tilgang til skjermingsverdige verdier enn nødvendig for å ivareta funksjonen, eller for å gi informasjon. Tjenstlig behov for tilgang skal være styrende. For eksempel tilsier prinsippet at ikke alle ansatte i en bedrift skal ha tilgang til alle områder og kontorer hos virksomheten. 3. Sikkerhet i dybden: Svikt i ett enkelt tiltak skal ikke kunne føre til kompromittering av skjermingsverdige verdier. Formålet med prinsippet er at beskyttelsen av et verdiobjekt ikke skal være avhengig av bare ett sikkerhetstiltak. Det klassiske eksempelet er bruk av soner for beskyttelse av sikkerhetsgradert informasjon. 4. Begrense avhengighet: Tiltakene skal i minst mulig grad være avhengige av hverandre, og ikke kunne settes ut av funksjon eller svekkes samtidig som følge av en enkelt hendelse.

5. Inngripen og personvern: Tiltakene skal ikke være mer inngripende enn nødvendig, og det skal tas særlig hensyn til enkeltpersoners rettsvern og personvern. Hvis tiltaket kan gripe inn i enkeltpersoners rettssikkerhet eller personvern, skal virksomheten kunne dokumentere hvorfor inngrepet er nødvendig. Prinsippene er generelle og må tilpasses og vurderes ut fra situasjonsbilde, kontekst, kritikalitet og verdiens egenart. Det første punktet omhandler forholdsmessighet i tiltakene, mens punkt 2,3 og 4 omhandler praktiske sikkerhetsprinsipper. Det siste punktet sier hvordan personvern og rettssikkerhet skal hensyntas i sikkerhetstiltak begrunnet i sikkerhetsloven.

Dersom virksomheten, på bakgrunn av sin vurdering av risiko, velger å håndtere risikoen med bruk av sikkerhetstiltak skal det etableres grunnsikringstiltak. I tillegg skal virksomheten ha en plan for påbygningstiltak og tiltak for skadebegrensning og gjenopprettelse. Hvor stor betydning de skjermingsverdige verdiene har for grunnleggende nasjonale funksjoner vil være avgjørende for hvilke grunnsikringstiltak som er nødvendig for å oppnå et forsvarlig sikkerhetsnivå, holdt opp mot den risiko virksomheten er utsatt for. Selv om det er et skalkrav at virksomheten etablerer tiltak, står virksomheten fritt til å utforme de konkrete løsningene. Grunnsikringstiltak Virksomhetsikkerhetsforskriften § 13 b viser til grunnsikringstiltak og påbyggingstiltak for å redusere sårbarheter ved skjermingsverdige verdier. Grunnsikring er de etablerte, verifiserte og dokumenterte samlede sikkerhetstiltakene som skal beskytte de skjermingsverdige verdiene som er identifisert i en normalsituasjon.

Grunnsikringstiltakene opprettes med bakgrunn i virksomhetens risikovurdering. Kravene til grunnsikringstiltak gjør seg like gjeldende for beskyttelse av informasjon og informasjonssystemer, og det bør derfor være overordnede krav til grunnsikringstiltakene for virksomheten. Påbyggingstiltak Virksomheten skal planlegge påbyggingstiltak som kan settes i verk dersom risikoen blir høyere enn det grunnsikringen kan håndtere, jf. virksomhetsikkerhetsforskriften § 14 tredje ledd. Påbyggingstiltak brukes når risikoen øker utover det grunnsikringen i normaltilstand er dimensjonert for. Planen for påbyggingstiltak er en form for beredskap. Den vil normalt ha flere nivåer, avhengig av hvor mye risikoen øker. Påbyggingstiltak kan være å forsterke etablerte fysiske, menneskelige, organisatoriske eller elektroniske tiltak, eller å etablere helt nye tiltak mot en identifisert trussel. Eksempler er å utvide soner, forsterke perimetersikring, øke patruljering eller bruke sikringsstyrker.

Tiltakene bør være enkle og raske å sette i verk, og raske å avvikle. De bør utarbeides med utgangspunkt i scenarioer fra risikovurderingen. Et eksempel kan være at virksomheten bruker sikkerhetsdører med et avansert elektronisk låssystem til alle adgangspunkter. Dette er et grunnsikringstiltak, og i en normalsituasjon er det tilstrekkelig at de ansatte åpner døren med sitt adgangskort. Dersom risikoen øker kan det innføres PIN-kode for å åpne dørene. Ved økning av risiko til et høyere nivå, kan det i tillegg innføres adgangsbegrensning. Dersom det er grunn til å tro at den økte risikoen er varig, f.eks. som følge av trusselen virksomheten er utsatt for, eller det er svakheter i virksomhetens sikkerhetstiltak, skal virksomheten vurdere om påbyggingstiltakene skal inngå i grunnsikringen. I visse tilfeller kan påbyggingstiltakene være kostnadskrevende, og kravet er ikke til hinder for at virksomheten heller iverksetter andre tiltak som skal inngå i grunnsikringen.

Påbyggingstiltak bør være reelle, det vil si at virksomheten har ressurser til å iverksette disse.

Kontorplasser hvor BEGRENSET informasjon behandles skal være skjermet mot innsyn.

Delmål 2.1: Dokument eller lagringsmedium gradert BEGRENSET skal oppbevares i kontrollert sone.

4. Risikovurdering Formålet med risikovurderingen er å finne en strategi for å håndtere risiko. Risikovurderinger danner grunnlag for virksomheters sikkerhetstiltak, der målet er å oppnå forsvarlig sikkerhetsnivå gjennom risikohåndtering. Vurderingen skal skape bevissthet og kunnskap om risikonivået og bidra til praktiske beslutninger i sikkerhetsarbeidet. Risikovurdering i denne sammenhengen er en analyse og evaluering av trusler, sårbarheter, konsekvenser og sannsynlighet med utgangspunkt i virksomhetenes skjermingsverdige verdier. Risikovurderinger skal oppdateres og revideres jevnlig, ettersom endringer i virksomheten eller trusselbilde som kan påvirke disse vurderingene kan forekomme når som helst, jf. virksomhetsikkerhetsforskriften § 12 siste ledd. For eksempel kan informasjonssystemer behøve jevnlig revurdering av risiko dersom de har høy endringsfrekvens eller eksponering mot internett. Fysiske objekter som bygg og anlegg kan derimot ha vurdering av risiko under etablering.

Sikkerhetsloven har følgende krav til vurdering av risiko: § 4-2 Vurdering av risiko (første til tredje ledd) Virksomheten skal regelmessig gjennomføre vurdering av risiko. Vurderingen skal danne grunnlag for iverksetting av forebyggende sikkerhetstiltak. Virksomheten skal som del av vurderingen kartlegge hvilke virksomheter den er avhengig av for å fungere som den skal. Vurderingen skal gjennomgås jevnlig og om nødvendig revideres. Dersom virksomheten har skjermingsverdige verdier må risiko vurderes ut ifra faktorene i virksomhetsikkerhetsforskriften § 12 a-f. For virksomheter som ikke har skjermingsverdige verdier, skal risiko likevel vurderes, jf. sikkerhetsloven § 4-2. Siden risikovurderingen beskriver virksomhetens verdier, sårbarheter og konsekvenser ved bortfall eller reduksjon må det vurderes om informasjonen skal skjermes med sikkerhetsgradering. Se NSMs veileder i sikkerhetsgradert informasjon og håndbok i verdivurdering av informasjon for hvordan dette gjøres.

Risikoanalyse Risikoanalysen er første steg i risikovurderingen. Her samler virksomheten inn og analyserer relevant informasjon. Målet er å forstå hva slags risiko det er snakk om, og hva som kjennetegner den. For virksomheter som råder over skjermingsverdige verdier, er kravene til risikovurdering utdypet i virksomhetsikkerhetsforskriften § 12. Vurdering av risiko Når en virksomhet vurderer risiko, skal den ta hensyn til a) hvilken betydning virksomhetens skjermingsverdige verdier har for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser b) hvilken sikkerhetstruende virksomhet de skjermingsverdige verdiene kan bli utsatt for c) sannsynligheten for at sikkerhetstruende virksomhet kan inntreffe d) hvilke sårbarheter som er knyttet til de skjermingsverdige verdiene e) konsekvensen av sikkerhetstruende virksomhet for de skjermingsverdige verdiene f) i hvilken grad virksomheten er avhengig av andre virksomheter for å fungere som den skal. Behovet for å gjennomføre en ny helhetlig vurdering av risikoen skal vurderes årlig. Dersom det planlegges, gjennomføres eller inntreffer endringer som kan påvirke skjermingsverdige verdier i vesentlig grad, skal virksomheten vurdere hvilken risiko endringene medfører.

Verdier Virksomheten må vurdere hvor viktige verdiene er for nasjonale sikkerhetsinteresser eller grunnleggende nasjonale funksjoner, jf. virksomhetsikkerhetsforskriften § 12 a. Etter

sikkerhetsloven kan skjermingsverdige verdier være objekt, infrastruktur, informasjon og informasjonssystem. •

Objekt og infrastruktur er skjermingsverdig dersom det kan skade nasjonale sikkerhetsinteresser eller grunnleggende nasjonale funksjoner at de får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettstridig overtakelse. Se NSMs håndbok i skadevurdering.

Redundans Virksomheten skal vurdere hvordan den kan redusere konsekvensene av hendelser som kan ramme skjermingsverdige verdier, jf. virksomhetsikkerhetsforskriften § 13 c. Redundans betyr at flere enheter, delsystemer eller alternative løsninger kan opprettholde funksjonen hvis noe faller bort. Hvis én del mister funksjonen, kan andre deler overta. Slik kan virksomheten hindre alvorlige konsekvenser. Redundante løsninger er også en form for beredskap. Skadebegrensning Når en hendelse oppstår, er det viktig å ha gode og innøvde skadebegrensende tiltak på plass som en del av beredskapen. Virksomhetsikkerhetsforskriften § 14 fjerde og femte ledd stiller krav til at virksomheten planlegger for tiltak for skadebegrensning og gjenopprettelse dersom en sikkerhetstruende hendelse inntreffer, til tross for grunnsikrings og påbygningstiltakene. Tiltakene må være egnet til å redusere skade, og gjenopprette sikkerhetsnivået forut for den sikkerhetstruende hendelsen, hvis mulig, jf. virksomhetsikkerhetsforskriften § 8.

Gjennom grundige forberedelser og trening er det mulig å være i forkant av situasjonen og slik kunne styre utviklingen i ønsket retning. Skadebegrensende tiltak kan være begrensning av tilgang til verdien, nød-makulering eller -flytting av skjermingsverdig informasjon og evakuering av personell. Gjenoppretting Gjenoppretting av systemer eller barrierer kan også være skadebegrensende hvis det utføres raskt nok. Kapasitet og tilgjengelighet for reparasjon av fysiske objekter og utstyr kan redusere konsekvensene. Eksempler på tiltak for gjenoppretting som en del av beredskapen er innkjøp av reservedeler til å reparere skjermingsverdige verdier slik at funksjonen ivaretas, eller tilbakeføring av back-up av informasjonssystemer. Redusere avhengighet Virksomheten kan redusere risiko ved å håndtere de fysiske, digitale, stedlige eller prosessuelle avhengighetene som er kartlagt i risikoanalysen.

Hvis virksomheten for eksempel er avhengig av en underleverandør, kan den redusere avhengigheten ved å gjøre aktiviteten selv. God kartlegging av avhengigheter er viktig. Avhengigheter som ikke håndteres, kan bli sårbarheter en trusselaktør vil utnytte. Sikkerhet i alle stadier For virksomheter som planlegger for grunnsikringen etter at objektet er etablert, vil det kunne påløpe store kostnader. Det er vesentlig mer kostbart å bytte ut veggene i et rom, fordi det eksempelvis ikke egner seg for å behandle sikkerhetsgradert informasjon, etter at det allerede er satt opp. Virksomhetsikkerhetsforskriften gir virksomheten plikt til å tenke sikkerhet i alle stadier – fra planlegging til avvikling av skjermingsverdige verdier. Dette er en del av sikkerhetsstyringen til virksomheten. Ved avvikling, enten det er et objekt som skal avhendes eller et system som skal tas ned eller destrueres, er det viktig å opprettholde et forsvarlig sikkerhetsnivå.

Hensikten med å

Virksomhetsikkerhetsforskriften § 58 bokstav a

Delmål 1.1: Virksomhetens skjermingsverdige objekter skal ikke miste tap av vesentlig funksjon uten at dette detekteres, varsles og avklares.

Skjermingsverdige objekter må ha systemer for deteksjon, varsling og verifikasjon av uautorisert adgang til lokaler der det behandles og oppbevares skjermingsverdig informasjon.

Delmål 1.2: Virksomhetens skjermingsverdige verdier skal kunne gjenopprettes dersom de faller bort.

Virksomheten skal ha en plan for utrykning til skjermingsverdig objekt. Responstid for vakt- og sikringsstyrker skal være på maksimalt 30 minutter.

Sikkerhetsmål 2: Når virksomheten håndterer informasjon gradert BEGRENSET skal informasjonen ikke med enkle midler bli kjent for uautoriserte personer

BEGRENSET informasjon skal oppbevares i avlåst rom eller i låsbart skap/skuff.