Lovdata – lese-visning

Alle dokumenter › Forskrifter

Forskrift om virksomheters arbeid med forebyggende sikkerhet (virksomhetsikkerhetsforskriften)

Departement
Justis- og beredskapsdepartementet
Ikrafttredelse av siste endring
2019-05-03

Vis endringshistorikk · Abonner (Atom)

Forskrift om virksomheters arbeid med forebyggende sikkerhet (virksomhetsikkerhetsforskriften)

Kapittel 1. Vedtak om at sikkerhetsloven skal gjelde og definisjoner

§ 1. Vedtak om at sikkerhetsloven skal gjelde

Når et departement fatter vedtak etter sikkerhetsloven § 1-3 om at loven skal gjelde for en virksomhet, skal virksomheten gis en rimelig frist for å oppfylle kravene gitt i eller med hjemmel i sikkerhetsloven. Fristen skal fastsettes ut fra hva som må gjøres for at virksomheten oppfyller kravene.

§ 2. Definisjoner

I denne forskriften menes med
  1. skjermingsverdige verdier: skjermingsverdig informasjon, skjermingsverdige informasjonssystemer, skjermingsverdig infrastruktur og skjermingsverdige objekter
  2. dokument: en logisk avgrenset mengde med informasjon som er lagret på et medium for senere lesing, lytting, framføring, overføring eller lignende
  3. lagringsmedium: en elektronisk eller fysisk enhet for lagring av informasjon til bruk for senere lesing, lytting, framføring, overføring eller lignende.

Kapittel 2. Sikkerhetsstyring

§ 3. Styringssystem for sikkerhet

En virksomhet som omfattes av sikkerhetsloven, skal etablere et styringssystem for sikkerhet. Systemet skal sikre at virksomheten oppfyller kravene gitt i eller med hjemmel i loven.

§ 4. Styringsdokument for det forebyggende sikkerhetsarbeidet

Lederen for en virksomhet skal fastsette et styringsdokument som beskriver
  1. hvilke deler av sikkerhetsloven med forskrifter som gjelder for virksomheten
  2. roller og ansvar i virksomhetens forebyggende sikkerhetsarbeid, jf. § 6
  3. prinsipper for virksomhetens sikkerhetsarbeid.
Styringsdokumentet skal gjøres kjent og være tilgjengelig for virksomhetens ansatte og for leverandører og andre eksterne samarbeidspartnere, i den grad det er nødvendig for å oppfylle virksomhetens plikter etter sikkerhetsloven.

§ 5. Sikkerhetsmål

En virksomhet skal fastsette hvordan kravene til et forsvarlig sikkerhetsnivå i sikkerhetsloven § 4-3 første ledd, § 5-2 første ledd, § 6-2 første ledd og § 7-3 første ledd skal oppfylles og kriterier for å evaluere om kravene er oppfylt.

§ 6. Roller i og ansvar for det forebyggende sikkerhetsarbeidet

Lederen for en virksomhet skal fordele roller i og ansvar for det forebyggende sikkerhetsarbeidet, slik at kravene gitt i eller med hjemmel i sikkerhetsloven ivaretas. Rollene og ansvarsfordelingen skal gjøres kjent i virksomheten.
Virksomhetens leder skal informeres om saker som er viktige for det forebyggende sikkerhetsarbeidet.
Kontrollen av styringssystemet for sikkerhet skal om mulig utføres av andre enn de som har styrende eller utøvende oppgaver i det forebyggende sikkerhetsarbeidet.

§ 7. Ressurser og kompetanse

En virksomhet skal forvalte og utvikle det forebyggende sikkerhetsarbeidet sitt på en forsvarlig måte.
Virksomheten skal utføre følgende tiltak overfor de som kan få tilgang til skjermingsverdige verdier gjennom å utføre arbeid eller tjenester for virksomheten:
  1. få bekreftet identiteten deres med gyldig legitimasjon
  2. sørge for at de kjenner til de relevante delene av styringssystemet for sikkerhet
  3. sørge for tilstrekkelig kompetanse om sikkerhet
  4. informere om endringer i kravene til sikkerheten
  5. klarlegge at personene kjenner til relevante sikkerhetstrusler og sikkerhetsbestemmelser.
Når et arbeidsforhold eller en tjeneste avsluttes, skal virksomheten sikre at den som slutter, ikke lenger har tilgang til skjermingsverdige verdier. Den som slutter, skal informeres om at taushetsplikten etter sikkerhetsloven § 5-4 andre ledd fremdeles gjelder.

§ 8. Tiltak ved sikkerhetstruende virksomhet, avvik og kompromittering av sikkerhetsgradert informasjon

Ved sikkerhetstruende virksomhet eller avvik fra styringssystemet for sikkerhet skal en virksomhet gjennomføre umiddelbare tiltak for å redusere skadeomfanget og gjenopprette et forsvarlig sikkerhetsnivå. Det skal rapporteres om den sikkerhetstruende virksomheten eller avviket internt og til andre som kan bli berørt i stor grad. Virksomheten skal vurdere konsekvensene av den sikkerhetstruende virksomheten eller avviket.
Hvis sikkerhetsgradert informasjon blir kjent for uautoriserte personer, skal virksomheten informere den som har tilvirket informasjonen, om hendelsen, i tillegg til å varsle etter sikkerhetsloven § 4-5.

§ 9. Evaluering og øvelser

En virksomhet skal regelmessig evaluere om kravet til et forsvarlig sikkerhetsnivå er oppfylt og minst én gang i året evaluere om styringssystemet for sikkerhet er egnet til å sørge for at kravet oppfylles, jf. § 5.
Virksomheten skal regelmessig gjennomføre øvelser for å kontrollere effekten av sikkerhetstiltakene i en normalsituasjon og av tiltakene som er planlagt ved økt trusselnivå. Er virksomheten avhengig av andre virksomheter for å fungere slik den skal, skal virksomheten be de andre virksomhetene om å delta på øvelser når det er relevant.
Resultatet av evalueringer og øvelser skal inngå i den årlige gjennomgangen av det forebyggende sikkerhetsarbeidet i virksomheten.

§ 10. Gjennomgang av det forebyggende sikkerhetsarbeidet av virksomhetens leder

Lederen for en virksomhet skal årlig foreta en helhetlig gjennomgang av virksomhetens forebyggende sikkerhetsarbeid for å vurdere om styringssystemet for sikkerhet fungerer etter hensikten.
Virksomheten skal gjennomføre nødvendige forbedringer i det forebyggende sikkerhetsarbeidet og i styringssystemet for sikkerhet.

§ 11. Dokumentasjon av styringssystemet for sikkerhet

En virksomhet skal dokumentere at styringssystemet for sikkerhet og sikkerhetstiltakene gir et forsvarlig sikkerhetsnivå, jf. § 5.

Kapittel 3. Generelle krav til beskyttelse av skjermingsverdige verdier

§ 12. Vurdering av risiko

Når en virksomhet vurderer risiko, skal den ta hensyn til
  1. hvilken betydning virksomhetens skjermingsverdige verdier har for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser
  2. hvilken sikkerhetstruende virksomhet de skjermingsverdige verdiene kan bli utsatt for
  3. sannsynligheten for at sikkerhetstruende virksomhet kan inntreffe
  4. hvilke sårbarheter som er knyttet til de skjermingsverdige verdiene
  5. konsekvensen av sikkerhetstruende virksomhet for de skjermingsverdige verdiene
  6. i hvilken grad virksomheten er avhengig av andre virksomheter for å fungere som den skal.
Behovet for å gjennomføre en ny helhetlig vurdering av risikoen skal vurderes årlig.
Dersom det planlegges, gjennomføres eller inntreffer endringer som kan påvirke skjermingsverdige verdier i vesentlig grad, skal virksomheten vurdere hvilken risiko endringene medfører.

§ 13. Håndtering av risiko

Når en virksomhet skal håndtere en risiko, skal den vurdere
  1. om risikoen er akseptabel
  2. å endre sårbarheten til de skjermingsverdige verdiene ved grunnsikringstiltak og påbyggingstiltak
  3. hvordan virksomheten kan påvirke konsekvensene som kan inntreffe dersom de skjermingsverdige verdiene rammes, for eksempel ved å endre redundansen eller iverksette tiltak for skadebegrensning og gjenopprettelse
  4. å gjøre seg mindre avhengig av andre virksomheter
  5. å håndtere risikoen på andre måter.
Virksomheten skal sende en oversikt over andre virksomheter den er avhengig av for å fungere som den skal, til Nasjonal sikkerhetsmyndighet og det departementet som er ansvarlig for det forebyggende sikkerhetsarbeidet i sektoren.

§ 14. Grunnsikringstiltak, påbyggingstiltak og tiltak for skadebegrensning og gjenoppretting

Grunnsikringstiltak skal bidra til et forsvarlig sikkerhetsnivå i virksomheter i en normaltilstand. Grunnsikringstiltakene kan være
  1. fysiske, elektroniske, menneskelige eller organisatoriske barrierer
  2. systemer som skal oppdage og varsle om aktiviteter eller hendelser
  3. systemer og rutiner for å avklare aktiviteter og hendelser og bakgrunnen for dem
  4. oppfølging av uønskede aktiviteter og uønskede hendelser
  5. en kombinasjon av tiltakene nevnt i bokstav a til d.
En virksomhet skal, i god tid før en skjermingsverdig verdi etableres, fastsette hvilke grunnsikringstiltak som skal beskytte den. Virksomheten skal også vurdere om det er behov for slike tiltak i forbindelse med avviklingen av den skjermingsverdien verdien.
En virksomhet skal planlegge påbyggingstiltak som kan iverksettes dersom økt risiko medfører at det ikke er tilstrekkelig med grunnsikringstiltakene. Påbyggingstiltakene skal kunne iverksettes i løpet av kort tid, og de skal kunne avvikles dersom risikoen reduseres i tilstrekkelig grad.
Dersom den økte risikoen vedvarer, skal virksomheten vurdere om påbyggingstiltakene skal bli en del av grunnsikringen. I slike tilfeller skal virksomheten planlegge nye påbyggingstiltak.
Virksomheten skal planlegge skadebegrensningstiltak som kan iverksettes i situasjoner som ikke kan håndteres fullt ut med grunnsikrings- og påbyggingstiltakene.
Virksomheten skal ha en plan for å gjenopprette et forsvarlig sikkerhetsnivå.

§ 15. Prinsipper ved valg og utforming av sikkerhetstiltak

Når en virksomhet velger ut og utformer sikkerhetstiltak, skal følgende prinsipper legges til grunn:
  1. Sikkerhetstiltakene skal ikke ha en annen funksjonalitet eller større kompleksitet enn nødvendig.
  2. Det skal ikke gis en mer omfattende tilgang til skjermingsverdige verdier enn nødvendig.
  3. Svikt i ett enkelt tiltak skal ikke kunne føre til kompromittering av skjermingsverdige verdier.
  4. Sikkerhetstiltak skal i minst mulig grad være avhengige av hverandre, og flere sikkerhetstiltak skal dermed ikke kunne svekkes eller settes ut av funksjon samtidig, for eksempel som følge av én enkelt feil eller hendelse.
  5. Effekten av sikkerhetstiltakene skal være tilnærmet lik for alle skjermingsverdige verdier med samme sikkerhetsbehov.
Sikkerhetstiltakene skal være samordnet. Kostnadene ved et sikkerhetstiltak skal stå i et rimelig forhold til det som kan oppnås ved tiltaket.
En virksomhet skal ikke bruke mer inngripende sikkerhetstiltak enn nødvendig for å håndtere en aktuell risiko. Virksomheten skal her særlig ta hensyn til enkeltpersoners rettssikkerhet og personvern. Det skal ikke behandles personopplysninger i større grad enn det som er nødvendig ut fra formålet med sikkerhetstiltaket.
Når et sikkerhetstiltak kan gripe inn i enkeltpersoners rettssikkerhet eller personvern, skal virksomheten kunne dokumentere hvorfor inngrepet er nødvendig.

§ 16. Krav om bruk av evaluerte produkter og tjenester

Når en virksomhet velger sikkerhetstiltak, skal den bruke evaluerte produkter og tjenester dersom produktets eller tjenestens funksjon i seg selv er avgjørende for at
  1. personer ikke får tilgang til informasjon gradert HEMMELIG eller STRENGT HEMMELIG uten å ha et tjenstlig behov for det
  2. personer ikke får tilgang til sikkerhetsgradert informasjon de ikke er autorisert for
  3. personer ikke kan overta eller sette ut av drift infrastruktur eller objekter som er klassifisert KRITISK eller MEGET KRITISK.
Evalueringen skal skje gjennom metodisk utvikling og testing av produktet eller tjenesten og være etterprøvbar. Den skal utføres av Nasjonal sikkerhetsmyndighet eller et akkreditert laboratorium utpekt av Nasjonal sikkerhetsmyndighet, gi tillit til produktet eller tjenesten og sikre at produktet eller tjenesten har nødvendig funksjonalitet for å sikre det aktuelle graderingsnivået eller klassifiseringsnivået. Nasjonal sikkerhetsmyndighet kan godkjenne bruk av produkter og tjenester som er evaluert eller sertifisert i andre land.

§ 17. Sertifisering av produkter og tjenester

Kravene til en evaluering etter § 16 kan oppfylles gjennom en sertifisering gitt av Nasjonal sikkerhetsmyndighet eller et akkreditert sertifiseringsorgan utpekt av Nasjonal sikkerhetsmyndighet.
Akkreditering av laboratorier og sertifiseringsorganer skal skje etter ISO- og IEC-standarder.

§ 18. Krav til sikkerhet i anskaffelser

Dersom en anskaffelse kan gi leverandøren eller dennes personell en mulighet til å påvirke et skjermingsverdig informasjonssystem eller objekt eller en skjermingsverdig infrastruktur, skal oppdragsgiveren vurdere risikoen for at informasjonssystemet, objektet eller infrastrukturen kan bli rammet av eller brukt til sikkerhetstruende virksomhet, og hvordan risikoen skal håndteres. Dersom virksomheten kommer til at anskaffelsen vil medføre en ikke ubetydelig risiko, skal virksomheten varsle departementet etter sikkerhetsloven § 9-4.
Dersom en anskaffelse gir tilgang til skjermingsverdige informasjonssystemer eller skjermingsverdig ugradert informasjon, skal det inngås en avtale mellom virksomheten og leverandøren, hvor det fastsettes hvordan leverandøren skal forholde seg til de kravene som gjelder for anskaffelsen.

§ 19. Varslingsplikt om anskaffelser til skjermingsverdig informasjonssystem, objekt og infrastruktur

Et varsel etter sikkerhetsloven § 9-4 skal opplyse om følgende:
  1. hva anskaffelsen gjelder
  2. leverandørens navn, adresse, organisasjonsnummer, nasjonalitet, styremedlemmer og eiere
  3. hvordan oppdragsgiveren vurderer risikoen for at skjermingsverdige verdier kan bli rammet av sikkerhetstruende virksomhet ved anskaffelsen
  4. hvordan oppdragsgiveren vil håndtere risikoen
  5. om det vil gjenstå en ikke ubetydelig risiko også etter at tiltak er iverksatt
  6. om anskaffelsen likevel bør gjennomføres
  7. andre forhold som oppdragsgiveren antar kan ha betydning for vurderingen av risikoen forbundet med anskaffelsen.
Med anskaffelse i sikkerhetsloven § 9-4 menes også tilleggsanskaffelser og kontrakter som tildeles under en rammeavtale.
Departementet skal innen 60 arbeidsdager orientere oppdragsgiveren om anskaffelsen kan gjennomføres, eller om at saken skal behandles av Kongen i statsråd. Fristen regnes fra det tidspunktet departementet har mottatt varselet. Har departementet innen 50 arbeidsdager framsatt et skriftlig krav om ytterligere opplysninger, avbrytes fristen inntil dette svaret er mottatt.

§ 20. Unntak fra sikkerhetskrav

Dersom det blir uforholdsmessig byrdefullt for virksomheten å oppfylle sikkerhetskravene, kan Nasjonal sikkerhetsmyndighet gjøre unntak fra § 14 andre ledd første punktum, § 15 første ledd bokstav a til e, § 16, § 18 andre ledd, § 22, § 23 andre ledd, § 26 første ledd, § 27 tredje ledd, § 28, § 34 til § 36, § 38, § 39, § 40 andre ledd, § 42 fjerde ledd, § 43, § 46, § 49, § 51 tredje ledd, § 52, § 53, § 55, § 58, § 76, § 78, § 80 første ledd, § 83 bokstav b og c, og § 84.
Myndigheter med tilsynsansvar etter sikkerhetsloven § 3-1 andre ledd kan gjøre unntak etter første ledd fra de sikkerhetskravene som ikke gjelder for beskyttelse av sikkerhetsgradert informasjon.
En virksomhet kan i særlige tilfeller søke om unntak fra krav om beskyttelse av et skjermingsverdig objekt eller skjermingsverdig infrastruktur i denne forskriften. En slik søknad avgjøres av det departementet som har ansvaret for det forebyggende sikkerhetsarbeidet innenfor den aktuelle samfunnssektoren.

§ 21. Forholdet til NATOs regler for sikkerhet

For beskyttelse av NATO-informasjon og informasjonssystemer som behandler NATO-informasjon eller NATO-utstyr, gjelder kravene i eller med hjemmel i sikkerhetsloven når ikke noe annet følger av NATOs regler for sikkerhet.

Kapittel 4. Håndtering og beskyttelse av skjermingsverdig informasjon

§ 22. Forsvarlig sikkerhetsnivå for skjermingsverdig informasjon

Når en virksomhet håndterer en risiko knyttet til ugradert skjermingsverdig informasjon etter § 13, skal tiltakene som et minimum sørge for at informasjonen ikke kan gå tapt, endres eller gjøres utilgjengelig med enkle midler. Dersom risikoen tilsier det, skal informasjonen også beskyttes mot avanserte angrepsmetoder.
Når virksomheten håndterer en risiko knyttet til informasjon gradert BEGRENSET, er kravet til et forsvarlig sikkerhetsnivå oppfylt dersom informasjonen ikke med enkle midler kan bli kjent for uautoriserte personer.
Ved valg av sikkerhetstiltak skal virksomheten se behovet for å beskytte informasjonens konfidensialitet, integritet og tilgjengelighet i sammenheng og veie hensynene mot hverandre.

§ 23. Destruering av dokumenter og lagringsmedier med sikkerhetsgradert informasjon

Ved destruering av dokumenter og lagringsmedier som inneholder eller har inneholdt sikkerhetsgradert informasjon, skal det brukes en metode som gjør at det ikke er mulig å rekonstruere og lese informasjonen.
Dersom informasjonen er eller har vært gradert KONFIDENSIELT eller høyere, skal det benyttes et produkt som er evaluert etter § 16, til å destruere dokumentet eller lagringsmediet.

§ 24. Evakuering og ekstraordinær destruering i nødsituasjoner

En virksomhet skal for nødsituasjoner ha en evakueringsplan og en plan for destruering av dokumenter og lagringsmedier med skjermingsverdig informasjon.

§ 25. Utlevering av sikkerhetsgradert informasjon til fremmede stater og internasjonale organisasjoner

Fremmede stater og internasjonale organisasjoner kan bare gis tilgang til norsk sikkerhetsgradert informasjon dersom det
  1. er i samsvar med nasjonale sikkerhetsinteresser
  2. ikke er i strid med lovbestemt taushetsplikt og
  3. foreligger en sikkerhetsavtale mellom Norge og den aktuelle staten eller internasjonale organisasjonen.
Når myndigheter eller virksomheter i andre stater eller internasjonale organisasjoner skal ha tilgang til sikkerhetsgradert informasjon, skal informasjonen behandles i samsvar med bestemmelsene i sikkerhetsavtalen som er inngått mellom Norge og den aktuelle staten eller organisasjonen.
Dersom det ikke er praktisk mulig å inngå en sikkerhetsavtale, men det likevel er i Norges interesse å utlevere informasjonen, kan Forsvarsdepartementet og Justis- og beredskapsdepartementet gjøre unntak fra kravet til sikkerhetsavtale innenfor sine fagsektorer.

§ 26. Tilsvarende sikkerhetsgrader

Informasjon som er sikkerhetsgradert av en fremmed stat eller internasjonal organisasjon, skal beskyttes på samme måte som informasjon gradert med en tilsvarende norsk sikkerhetsgrad etter sikkerhetsloven § 5-3.
Nasjonal sikkerhetsmyndighet fastsetter hvilke sikkerhetsgrader fastsatt av fremmede stater eller internasjonale organisasjoner som tilsvarer de norske sikkerhetsgradene etter sikkerhetsloven § 5-3.

§ 27. Kryptering

En virksomhet skal kryptere sikkerhetsgradert informasjon som sendes elektronisk ut av et fysisk område som virksomheten kontrollerer.
Sikkerhetsgradert informasjon som er lagret hos virksomheten, skal krypteres dersom informasjonen ikke er sikret med andre sikkerhetstiltak som gir det samme sikkerhetsnivået som kryptering.
Kryptomateriellet som brukes til å kryptere informasjonen, skal sikres på det samme sikkerhetsnivået som informasjonen det beskytter.
Materiellet skal forvaltes i samsvar med kravene til implementering, bruk, drift og forvaltning som Nasjonal sikkerhetsmyndighet etter sikkerhetsloven § 5-6 har fastsatt som en del av godkjenningen. Nasjonal sikkerhetsmyndighet bestemmer hvilket materiell som kan brukes til å kryptere informasjon gradert KONFIDENSIELT eller høyere.
Forsvarsdepartementet kan gi forskrift om krav til kryptering og beskyttelse av kryptomateriell.

Kapittel 5. Sikkerhetsgradering og merking

§ 28. Merking av dokumenter og lagringsmedier som inneholder sikkerhetsgradert informasjon

Dokumenter og lagringsmedier skal merkes med den høyeste sikkerhetsgraden som gjelder for informasjon i dokumentet eller lagringsmediet, og med hvor lenge graderingen varer. Merkingen skal være lett synlig og lett kunne gjøres kjent for alle i og utenfor virksomheten som skal håndtere informasjonen.
Dersom ikke all informasjon i et dokument eller et lagringsmedium har den samme sikkerhetsgraderingen, skal merkingen, så langt det er praktisk mulig, vise hvilke deler som har hvilken gradering eller ingen gradering.
Dokumenter og lagringsmedier med informasjon som utleveres til en annen stat eller internasjonal organisasjon etter § 25, skal merkes med hvilken stat eller organisasjon utleveringen gjelder.

§ 29. Sikkerhetsgradering ut over 30 år

Hvis det er behov for å beskytte informasjon som er over 30 år, skal avgradering vurderes 40 år etter utstedelsen og deretter hvert tiende år.

§ 30. Omgradering av sikkerhetsgradert informasjon

Virksomheten skal vurdere å omgradere sikkerhetsgradert informasjon dersom
  1. den mottar et varsel om feil gradering etter § 32
  2. den mottar en henvendelse om innsyn som nevnt i § 33
  3. den avleverer dokumenter til Arkivverket
  4. det ellers oppstår grunn til å tro at beskyttelsesbehovet for informasjonen har endret seg.
En omgradering kan gå ut på å fastsette en annen sikkerhetsgrad etter sikkerhetsloven § 5-3 første ledd eller å avgradere informasjonen.

§ 31. Hvem som kan omgradere

Informasjon med norsk sikkerhetsgradering kan omgraderes av virksomheten som har utstedt informasjonen, en overordnet virksomhet, det departementet som er ansvarlig for det forebyggende sikkerhetsarbeidet innenfor sektoren, og av Nasjonal sikkerhetsmyndighet. Informasjon med utenlandsk sikkerhetsgradering kan bare omgraderes av eller etter samtykke fra den staten eller organisasjonen som har utstedt informasjonen.

§ 32. Plikt til å informere om behov for eller avgjørelse om omgradering

Dersom en virksomhet som er omfattet av sikkerhetsloven, mottar informasjon og antar at en sikkerhetsgradering eller mangelen på en slik gradering er i strid med sikkerhetsloven § 5-3, skal utstederen informeres. Det samme gjelder dersom en autorisert person i en slik virksomhet mottar informasjon. Dersom det er uklart hvem som har utstedt informasjonen, eller utstederen ikke kan kontaktes, skal avsenderen av informasjonen informeres i stedet.
En virksomhet som omgraderer informasjon, skal informere alle som har mottatt informasjonen.

§ 33. Prosedyrer ved henvendelse om innsyn

En utsteder av sikkerhetsgradert informasjon som mottar et krav om innsyn i informasjon etter offentleglova eller miljøinformasjonsloven, eller om partsinnsyn etter forvaltningsloven, skal uten ugrunnet opphold vurdere om den samlede informasjonen eller deler av den skal omgraderes etter § 30.
En virksomhet som får en henvendelse om innsyn i sikkerhetsgradert informasjon den ikke har utstedt selv, skal uten ugrunnet opphold be utstederen å vurdere omgradering. Utstederen skal uten ugrunnet opphold vurdere spørsmålet og gi tilbakemelding. Kan ikke utstederen kontaktes, skal spørsmålet om omgradering legges fram for det departementet som er ansvarlig for det forebyggende sikkerhetsarbeidet innenfor sektoren, eller for Nasjonal sikkerhetsmyndighet.
Dersom informasjon som er omfattet av retten til partsinnsyn etter forvaltningsloven, er gradert BEGRENSET, kan en autorisasjonsansvarlig autorisere en fysisk person som er part i saken, slik at det kan gis partsinnsyn.

Kapittel 6. Beskyttelse av informasjon gradert KONFIDENSIELT eller høyere

§ 34. Forsvarlig sikkerhetsnivå for informasjon gradert KONFIDENSIELT eller høyere

Når en virksomhet håndterer en risiko knyttet til sikkerhetsgradert informasjon etter § 13, er kravet til et forsvarlig sikkerhetsnivå oppfylt dersom
  1. uautoriserte personer ikke kan få tilgang til informasjon gradert KONFIDENSIELT eller høyere, uten at virksomheten oppdager det
  2. uautoriserte personer ikke kan få tilgang til informasjon gradert HEMMELIG eller høyere, uten at virksomheten oppdager det og kan begrense skadefølgene
  3. risikoen for at uautoriserte personer får tilgang til informasjon gradert STRENGT HEMMELIG reduseres til et ubetydelig nivå.

§ 35. Sending av informasjon gradert KONFIDENSIELT eller høyere

Når informasjon som er gradert KONFIDENSIELT eller høyere, skal sendes fysisk, skal det brukes en kurér. Dersom informasjonen er gradert HEMMELIG eller STRENGT HEMMELIG, skal i tillegg mottakeren kvittere for at sendingen er mottatt.
Dersom informasjon med ulik sikkerhetsgradering sendes sammen, skal det ligge ved en liste med oversikt over informasjonen og sikkerhetsgradene.

§ 36. Pakking av informasjon gradert KONFIDENSIELT eller høyere

Når informasjon som er gradert KONFIDENSIELT eller høyere, skal sendes fysisk, skal emballasjen være dobbel, ugjennomsiktig og av solid kvalitet. Emballasjen skal ikke kunne åpnes uten at det er sporbart. Den ytre emballasjen skal ikke vise at sendingen inneholder sikkerhetsgradert informasjon. Den indre emballasjen skal forsegles og merkes med sikkerhetsgrad.

§ 37. Krav til oversikt over informasjon gradert KONFIDENSIELT eller høyere

En virksomhet skal ha en oversikt over hvor dens egne dokumenter og lagringsmedier med informasjon som er gradert KONFIDENSIELT eller høyere, til enhver tid befinner seg. I tillegg skal virksomheten ha en oversikt over hvilke dokumenter og lagringsmedier med informasjon som er gradert KONFIDENSIELT eller høyere, som er mottatt fra eller sendt til andre virksomheter.

§ 38. Soneinndeling for informasjon gradert KONFIDENSIELT eller høyere

Virksomheter som har informasjon som er gradert KONFIDENSIELT eller høyere, skal etablere en kontrollert og beskyttet sone for å beskytte den sikkerhetsgraderte informasjonen.
Dersom virksomheten har et område med direkte tilgang til informasjon gradert KONFIDENSIELT eller høyere, skal det etableres en sperret sone rundt området.

§ 39. Kontrollert sone

En kontrollert sone skal være et tydelig avgrenset område der virksomheten skal kunne ha kontroll med personer, kjøretøy og annen aktivitet.
Ved særlig høy risiko skal adgang og ferdsel kontrolleres med en fysisk avgrensning.

§ 40. Beskyttet sone

En beskyttet sone skal ha en fysisk avgrensing der sikkerhetstruende virksomhet skal kunne oppdages.
I en beskyttet sone skal dokumenter og lagringsmedier med informasjon som er gradert KONFIDENSIELT eller høyere, lagres i en oppbevaringsenhet godkjent av Nasjonal sikkerhetsmyndighet, eller være under stedlig vakthold.
Personer som skal gis permanent adgang til en beskyttet sone, skal være sikkerhetsklarert for KONFIDENSIELT. Dersom andre personer skal gis adgang, skal adgangen registreres, og personene skal følges av personer med permanent adgang.
Det skal være kontroll med adgangen til en beskyttet sone, og det skal være synlig hvem som har permanent adgang dit.

§ 41. Sperret sone

En sperret sone skal være tydelig merket med det høyeste tillatte graderingsnivået og sikres i samsvar med dette graderingsnivået.
Personer som skal gis permanent adgang til en sperret sone, skal være sikkerhetsklarert og autorisert for informasjonen i området. Dersom andre personer skal gis adgang, skal adgangen registreres, og personene følges av personell som har permanent adgang.
Det skal være kontroll med adgangen til en sperret sone, og det skal være synlig hvem som har permanent adgang til sonen.

§ 42. Behandling av informasjon gradert KONFIDENSIELT eller høyere

Dokumenter eller lagringsmedier med informasjon som er gradert KONFIDENSIELT eller høyere, skal bare oppbevares og behandles i en beskyttet eller sperret sone.
Slike dokumenter eller lagringsmedier kan likevel oppbevares og behandles utenfor en beskyttet eller sperret sone når dette er godkjent av virksomheten på bakgrunn av en vurdering av risiko. Virksomheten skal holde oversikt over slike godkjenninger.
Dersom sikkerhetsgradert informasjon behandles eller oppbevares utenfor en beskyttet eller sperret sone, skal virksomheten gjennomføre nødvendige tiltak for å beskytte informasjonen, slik at den ikke blir kjent for uautoriserte personer, går tapt, blir endret eller blir gjort utilgjengelig.
Dokumenter eller lagringsmedier med informasjon gradert KONFIDENSIELT kan tas med til et NATO-land eller en stat Norge har en sikkerhetsavtale med, dersom en person som er klarert for innholdet, tar vare på informasjonen gjennom hele reisen, og det er mulig å deponere informasjonen ved en norsk utenriksstasjon eller et annet norskkontrollert område ved ankomst. Informasjon gradert HEMMELIG eller STRENGT HEMMELIG må sendes med en kurér, jf. § 45.

§ 43. Særlige krav for informasjon gradert HEMMELIG eller høyere

Når dokumenter eller lagringsmedier gradert HEMMELIG eller høyere skal fordeles internt i en virksomhet, skal mottakeren bekrefte mottaket.
Destruering av informasjon gradert HEMMELIG eller høyere skal kontrolleres og bekreftes av minst to autoriserte personer.

§ 44. Rapportering av informasjon gradert STRENGT HEMMELIG

Virksomheter som har dokumenter eller lagringsmedier med informasjon gradert STRENGT HEMMELIG, skal hvert år kontrollere at dokumentene og lagringsmediene befinner seg i virksomheten. Kontrollen skal foretas på grunnlag av oversikten per 31. desember. Virksomheten skal innen utgangen av januar hvert år sende en oversikt over slike dokumenter og lagringsmedier til det departementet som er ansvarlig for det forebyggende sikkerhetsarbeidet innenfor sektoren. Departementet skal innen utløpet av februar hvert år sende Nasjonal sikkerhetsmyndighet en samlet oversikt over dokumenter og lagringsmedier med informasjon gradert STRENGT HEMMELIG innenfor sin sektor. Oversiktene skal graderes HEMMELIG.
Forsvarsdepartementet kan dispensere fra kravet i første ledd tredje punktum.

§ 45. Krav til forsendelse med kurér

Virksomheter som utfører kurérposttjeneste, skal sikre at informasjonen ikke blir kjent for uautoriserte personer. Avsenderen skal utstede et kurérsertifikat for hvert oppdrag og legge en plan for gjennomføringen av oppdraget. Kureren skal være sikkerhetsklarert for sikkerhetsgraden på den informasjonen som fraktes.
Med mindre Nasjonal sikkerhetsmyndighet gir tillatelse til noe annet, skal kurérpost til utlandet sendes som diplomatisk post, eller med en kurér fra Forsvaret eller utenrikstjenesten.

§ 46. Beskyttelse av rom og lokaler for tale som oppfyller vilkårene for å bli gradert KONFIDENSIELT eller høyere

Tale som inneholder informasjon som oppfyller vilkårene for å være gradert KONFIDENSIELT eller høyere dersom den nedtegnes eller tas opp, skal skje i sikrede rom og lokaler, slik at informasjonen ikke blir kjent for uautoriserte personer.
En virksomhet skal føre oversikt over hvilke personer som har selvstendig tilgang til et rom eller lokale som nevnt i første ledd, og det skal føres en oversikt over hvem som har besøkt rommet eller lokalet. Det skal være tydelig merket i rommet eller lokalet hvilket graderingsnivå informasjonen som framkommer der, kan oppfylle vilkårene for.
En virksomhet skal be Nasjonal sikkerhetsmyndighet vurdere om det skal gjennomføres en teknisk sikkerhetsundersøkelse før et rom eller lokale som nevnt i første ledd tas i bruk. Dersom det gjennomføres en slik undersøkelse, skal virksomheten legge Nasjonal sikkerhetsmyndighets rapport fra undersøkelsen til grunn når den sikrer rommet eller lokalet. Virksomheten skal også be Nasjonal sikkerhetsmyndighet om teknisk sikkerhetsundersøkelse dersom det skjer vesentlige endringer i et rom eller lokale som nevnt i første ledd, ved mistanke om at informasjon som nevnt i første ledd er blitt kjent for uautoriserte, og ved mistanke om at uvedkommende har hatt adgang til rommet eller lokalet.

§ 47. Tekniske sikkerhetsundersøkelser (TSU)

I vurderingen av om tekniske sikkerhetsundersøkelser etter sikkerhetsloven § 5-5 skal gjennomføres, skal det legges vekt på
  1. om den aktuelle virksomheten kontrollerer områdene som grenser til lokalet, bygningen eller objektet
  2. om lokalet, bygningen eller objektet befinner seg i utlandet
  3. hvilket graderingsnivå informasjonen i tale som skal forekomme i lokalet, bygningen eller objektet, oppfyller vilkårene for
  4. om det er en risiko for at uvedkommende har hatt tilgang til lokalet, bygningen eller objektet siden forrige tekniske sikkerhetsundersøkelse der.
Det skal inngås en avtale med virksomheten om hvilket personell som skal stå for undersøkelsen, og hva undersøkelsen skal omfatte.
Nasjonal sikkerhetsmyndighet skal forhåndsvarsle Politiets sikkerhetstjeneste om at tekniske sikkerhetsundersøkelser skal gjennomføres. Varslingsplikten gjelder ikke ved gjennomføring av tekniske sikkerhetsundersøkelser i Forsvaret.
Nasjonal sikkerhetsmyndighet skal rapportere resultatene av tekniske sikkerhetsundersøkelser til virksomheten som råder over lokalet, bygningen eller objektet, og myndigheten som etter loven fører tilsyn med virksomheten. Rapporten skal kun i nødvendig grad inneholde informasjon som identifiserer enkeltpersoner som har begått sikkerhetsbrudd.
Informasjonen fra den tekniske sikkerhetsundersøkelsen skal slettes senest innen tre måneder etter at oppdraget er avsluttet. Informasjonen kan likevel bevares lengre enn tre måneder, dersom dette er nødvendig for å håndtere sårbarheter eller sikkerhetstruende virksomhet. Det samme gjelder dersom det er nødvendig av hensyn til kontrollvirksomheten til Stortingets kontrollorgan for etterretnings-, overvåkings- og sikkerhetstjeneste (EOS-utvalget).

§ 48. Bruk av tredjepart til å utføre tekniske sikkerhetsundersøkelser

Nasjonal sikkerhetsmyndighet kan la andre virksomheter utføre tekniske sikkerhetsundersøkelser. Virksomhetene skal være leverandørklarert og ha personell med nødvendig klarering og kompetanse til å utføre slike undersøkelser. Nasjonal sikkerhetsmyndighet skal inngå en avtale med den aktuelle virksomheten om hvordan de tekniske sikkerhetsundersøkelsene skal gjennomføres.

Kapittel 7. Beskyttelse av skjermingsverdige informasjonssystemer

§ 49. Forsvarlig sikkerhetsnivå for skjermingsverdige informasjonssystemer

Når en virksomhet håndterer en risiko knyttet til skjermingsverdige informasjonssystemer etter § 13, skal den oppnå et forsvarlig sikkerhetsnivå ved å
  1. beskytte data mot uønsket lesing og beskytte tjenester mot uønsket bruk
  2. beskytte data mot uønsket modifikasjon og beskytte tjenester mot uønsket modifikasjon og manipulasjon
  3. beskytte data mot uønsket sletting og beskytte tjenester mot uønsket reduksjon eller stans
  4. identifisere og autentisere brukere som kan påvirke informasjonssystemets funksjon, eller som kan få tilgang til data i systemet, før de gis tilgang til data og tjenester
  5. forhindre at falske data og tjenester introduseres i informasjonssystemet
  6. registrere bruk, misbruk og forsøk på misbruk av informasjonssystemet, tjenester og data
  7. systematisk kontrollere at sikkerhetstiltakene er korrekt implementert og ivaretar sikkerheten på en effektiv og hensiktsmessig måte.
Sikkerhetstiltakene skal være tilpasset systemets totale omfang og kompleksitet gjennom hele systemets levetid.
Sikkerhetstiltak som skal virke hurtig, eller som lett kan utløse feil når de utføres manuelt, skal automatiseres så langt det er praktisk mulig.

§ 50. Plikt til å sørge for godkjenning av skjermingsverdige informasjonssystemer

Når en virksomhet har besluttet å utvikle et skjermingsverdig informasjonssystem, skal den informere Nasjonal sikkerhetsmyndighet. Informasjonsplikten gjelder ikke dersom det ut fra § 51 er åpenbart at Nasjonal sikkerhetsmyndighet ikke trenger å godkjenne systemet.
En virksomhet skal sørge for at informasjonssystemer som skal behandle sikkerhetsgradert informasjon, er godkjent før de tas i bruk. Andre skjermingsverdige informasjonssystemer skal godkjennes så snart det er praktisk mulig. Virksomheten skal dekke kostnadene med godkjenningen.

§ 51. Godkjenningsmyndighet

Nasjonal sikkerhetsmyndighet godkjenner skjermingsverdige informasjonssystemer som er utpekt som, eller har avgjørende betydning for funksjonen til, et objekt eller en infrastruktur klassifisert KRITISK eller MEGET KRITISK.
Nasjonal sikkerhetsmyndighet godkjenner informasjonssystemer som behandler sikkerhetsgradert informasjon og som
  1. skal brukes i utlandet
  2. har forbindelse til informasjonssystemer i utlandet eller til andre virksomheters informasjonssystemer
  3. brukes eller har forbindelser utenfor områder virksomheten kontrollerer
  4. har brukere som ikke er sikkerhetsklarert for det graderingsnivået som behandles i informasjonssystemet eller informasjonssystemer dette har forbindelse til
  5. behandler informasjon som er gradert HEMMELIG, og som har brukere som ikke skal ha tilgang til all informasjon i informasjonssystemet eller de informasjonssystemer dette har forbindelse til
  6. behandler informasjon som er gradert STRENGT HEMMELIG.
En virksomhet som råder over et skjermingsverdig informasjonssystem som ikke er nevnt i første eller andre ledd, skal selv godkjenne systemet. Nasjonal sikkerhetsmyndighet og relevante tilsynsmyndigheter skal informeres om slike informasjonssystemer.
Nasjonal sikkerhetsmyndighet kan bestemme at en myndighet med tilsynsansvar eller virksomheten selv skal godkjenne et informasjonssystem som nevnt i andre ledd.
Departementet som har utpekt det skjermingsverdige objektet eller infrastrukturen, kan bestemme at godkjenning av skjermingsverdige informasjonssystemer etter første ledd skal gjøres av en myndighet med tilsynsansvar. Det skal gjøres en helhetsvurdering av om myndigheten har tilstrekkelig kompetanse til å godkjenne skjermingsverdige informasjonssystemer, eller kan få slik kompetanse uten uforholdsmessig store utgifter. En uttalelse fra Nasjonal sikkerhetsmyndighet skal inngå i vurderingen.

§ 52. Godkjenningen av et skjermingsverdig informasjonssystem

Godkjenningen av et skjermingsverdig informasjonssystem er en planlagt og systematisk gjennomgang av om virksomheten har oppnådd et forsvarlig sikkerhetsnivå. Virksomheten skal dokumentere at den på en tilfredsstillende måte har vurdert og håndtert risikoen, og den skal i forbindelse med dette ha
  1. identifisert behovet for beskyttelse, basert på informasjonssystemets funksjon og operative miljø
  2. fastsatt sikkerhetskrav ut fra behovet for beskyttelse
  3. etablert sikkerhetstiltak som oppfyller sikkerhetskravene gjennom hele informasjonssystemets levetid
  4. kontrollert at sikkerhetstiltakene fungerer etter sin hensikt.

§ 53. Godkjenningens varighet

En godkjenning av et skjermingsverdig informasjonssystem kan gis for inntil fem år. Hvis det oppstår en vesentlig endring som har betydning for beskyttelsen av informasjonssystemet og informasjonen, skal informasjonssystemet godkjennes på nytt.

§ 54. Midlertidig brukstillatelse

Foreligger det et særlig behov for å ta i bruk et skjermingsverdig informasjonssystem før det er godkjent, kan godkjenningsmyndigheten gi midlertidig brukstillatelse dersom
  1. behovet for beskyttelse er identifisert, basert på informasjonssystemets funksjon og operative miljø
  2. mangler som er forbundet med fastlegging av sikkerhetskrav, etablering av sikkerhetstiltak og sikkerhetstiltakenes funksjon, er identifisert og håndtert med kompenserende tiltak
  3. det foreligger en plan for å rette manglene.
Nasjonal sikkerhetsmyndighet kan i særlige tilfeller dispensere fra kravene i første ledd.

§ 55. Sammenkobling av informasjonssystemer som behandler sikkerhetsgradert informasjon

Dersom en sammenkobling av flere informasjonssystemer som behandler informasjon gradert KONFIDENSIELT eller høyere, medfører at systemene sikkerhetsmessig blir avhengige av hverandre på en uoversiktlig måte, skal sammenkoblingen skje via et eget informasjonssystem.
Slike sammenkoblinger skal reguleres i avtaler mellom de aktuelle virksomhetene. Avtalene skal avklare roller og ansvaret for sammenkoblingen og hvilken informasjon og hvilke tjenester som skal utveksles.

Kapittel 8. Klassifisering av skjermingsverdige objekter og infrastruktur

§ 56. Klassifisering av skjermingsverdige objekter og infrastruktur

Når departementene eller Nasjonal sikkerhetsmyndighet klassifiserer skjermingsverdige objekter og infrastruktur etter sikkerhetsloven § 7-2, skal det legges vekt på
  1. i hvilken grad grunnleggende nasjonale funksjoner er avhengig av objektet eller infrastrukturen
  2. virksomhetens skadevurdering.
Dersom forholdene som er lagt til grunn for klassifiseringen, endrer seg, skal departementet vurdere om det skal fattes et nytt vedtak om klassifisering.
Klassifiseringsnivået og grunnlaget for klassifiseringen skal graderes BEGRENSET eller høyere. En oversikt over samtlige eller et større antall klassifiserte objekter eller infrastrukturer skal graderes KONFIDENSIELT eller høyere.

§ 57. Skadevurdering i forbindelse med utpeking og klassifisering av skjermingsverdige objekter eller infrastruktur

En virksomhet skal vurdere hvilke skadefølger det kan få for grunnleggende nasjonale funksjoner om et objekt eller en infrastruktur som den råder over, blir utsatt for skadeverk, ødeleggelse eller en rettsstridig overtakelse. I vurderingen skal virksomheten legge vekt på
  1. hvilke konsekvenser det vil få for grunnleggende nasjonale funksjoner dersom objektets eller infrastrukturens funksjonalitet faller bort eller reduseres
  2. hvor lenge objektets eller infrastrukturens funksjonalitet kan være satt ut av drift før det får betydning for grunnleggende nasjonale funksjoner
  3. i hvilken grad objektets eller infrastrukturens funksjonalitet kan gjenopprettes eller erstattes
  4. i hvilken grad en rettsstridig overtakelse av objektet eller infrastrukturen kan påvirke befolkningens grunnleggende sikkerhet.
Skadevurderingen skal sendes til det departementet som er ansvarlig for det forebyggende sikkerhetsarbeidet i sektoren, eller til Nasjonal sikkerhetsmyndighet. Den skal graderes BEGRENSET eller høyere.
Virksomheten skal gjøre en ny vurdering dersom forhold som er relevante for vurderingen etter første ledd, endrer seg.
Dersom virksomheten råder over andre skjermingsverdige objekter eller infrastruktur som kan være skjermingsverdige etter sikkerhetsloven § 7-1, skal den varsle det departementet som er ansvarlig for det forebyggende sikkerhetsarbeidet i sektoren, eller Nasjonal sikkerhetsmyndighet.

Kapittel 9. Beskyttelse av skjermingsverdige objekter og infrastruktur

§ 58. Forsvarlig sikkerhetsnivå for klassifiserte objekter og infrastruktur

Når en virksomhet håndterer en risiko knyttet til skjermingsverdige objekter eller infrastruktur etter § 13, er kravet til et forsvarlig sikkerhetsnivå oppnådd dersom virksomheten kan dokumentere at det er foretatt en konkret vurdering av risikoen, og at det er iverksatt nødvendige tiltak for å håndtere den. I vurderingen av om det er iverksatt nødvendige tiltak skal det legges vekt på om sikkerhetstiltakene er egnet til å
  1. begrense tap av vesentlige funksjoner ved skadeverk på eller forsøk på å ødelegge objekter eller infrastruktur klassifisert VIKTIG
  2. begrense tap av funksjoner ved skadeverk på eller forsøk på å ødelegge objekter eller infrastruktur klassifisert KRITISK
  3. avverge tap av funksjoner ved skadeverk på eller forsøk på å ødelegge objekter eller infrastruktur klassifisert MEGET KRITISK
  4. avverge en rettsstridig overtakelse av objekter eller infrastruktur klassifisert KRITISK eller MEGET KRITISK.

§ 59. Tilrettelegging for bruk av sikringsstyrker

Dersom politiet eller Forsvaret har bestemt at det skal planlegges for bruk av sikringsstyrker ved et objekt eller en infrastruktur, skal virksomheten som råder over objektet eller infrastrukturen, tilrettelegge og utarbeide en plan for bruk av sikringsstyrkene i samarbeid med politiet eller Forsvaret.

§ 60. Behovet for bruk av adgangsklarering

En søknad om adgangsklarering etter sikkerhetsloven § 8-3 må redegjøre for hvorfor virksomheten finner at andre sikkerhetstiltak ikke er egnet eller tilstrekkelige for å oppnå et forsvarlig sikkerhetsnivå. En adgangsklarering vil være gyldig for alle type objekter eller infrastruktur med krav om samme type adgangsklarering.

Kapittel 10. Inntrengningstesting, testing av sikkerhetstiltak og kommunikasjons- og innholdskontroll av informasjonssystemer

§ 61. Fellesregler for inntrengningstesting, testing av sikkerhetstiltak og kommunikasjons- og innholdskontroll av informasjonssystemer

Det skal inngås avtale med den aktuelle virksomheten om hvilket personell som, i samsvar med sikkerhetsloven § 6-5, § 6-6 og § 7-4, skal
  1. forsøke å trenge inn i virksomhetens skjermingsverdige informasjonssystemer
  2. kontrollere om virksomhetens informasjonssystemer behandler sikkerhetsgradert informasjon utover det systemets sikkerhetsgodkjenning tillater
  3. forsøke å forsere etablerte sikkerhetstiltak.

Avtalen skal også regulere hva denne testingen eller kontrollen skal omfatte.

Den som gjennomfører tester, kontroller og undersøkelser etter første ledd, skal rapportere resultatene til virksomheten og myndigheten som fører tilsyn etter loven. Rapporten skal kun i nødvendig grad inneholde informasjon som identifiserer enkeltpersoner som har begått sikkerhetsbrudd.
Informasjonen fra slike undersøkelser, testing og kontroller skal slettes senest innen tre måneder etter at oppdraget er avsluttet. Informasjonen kan likevel bevares lengre enn tre måneder når dette er nødvendig for å håndtere sårbarheter eller sikkerhetstruende virksomhet. Det samme gjelder dersom det er nødvendig av hensyn til kontrollvirksomheten til Stortingets kontrollorgan for etterretnings-, overvåkings- og sikkerhetstjeneste (EOS-utvalget).

§ 62. Bruk av tredjeparter til å utføre inntrengningstesting, testing av sikkerhetstiltak og kommunikasjons- og innholdskontroll av informasjonssystemer

Nasjonal sikkerhetsmyndighet kan la andre virksomheter utføre inntrengningstesting, testing av sikkerhetstiltak og kommunikasjons- og innholdskontroll av informasjonssystemer etter § 61. Virksomhetene skal være leverandørklarert og ha personell med nødvendig klarering og kompetanse til å utføre slike undersøkelser.
Nasjonal sikkerhetsmyndighet skal inngå avtale med virksomheter som nevnt i første ledd om hvordan testene og kontrollene skal gjennomføres.

Kapittel 11. Nasjonalt varslingssystem for digital infrastruktur

§ 63. Drift av en nasjonal responsfunksjon for alvorlige digitale angrep og nasjonalt varslingssystem for digital infrastruktur

Nasjonal sikkerhetsmyndighet skal drifte en nasjonal responsfunksjon for alvorlige digitale angrep og et nasjonalt varslingssystem for digital infrastruktur. I forbindelse med dette skal informasjon om digitale angrep innhentes, analyseres og deles.

§ 64. Tilknytning til varslingssystemet for digital infrastruktur

Virksomheter kan søke Nasjonal sikkerhetsmyndighet om å bli tilknyttet det nasjonale varslingssystemet for digital infrastruktur. Det skal inngås en avtale mellom Nasjonal sikkerhetsmyndighet og en virksomhet som blir tilknyttet systemet. Avtalen skal alltid regulere
  1. utplassering av sensorer eller andre tekniske løsninger som skal overvåke virksomhetens digitale infrastruktur
  2. hvordan alvorlige digitale angrep skal håndteres
  3. hvordan personopplysninger og opplysninger underlagt lovbestemt taushetsplikt skal behandles.
Nasjonal sikkerhetsmyndighet kan pålegge virksomheter som er underlagt sikkerhetsloven, å knytte seg til det nasjonale varslingssystemet når dette er nødvendig for å oppnå et forsvarlig sikkerhetsnivå og redusere risikoen for sikkerhetstruende virksomhet. Pålegget skal regulere forholdene nevnt i første ledd tredje punktum.
Et pålegg etter andre ledd kan påklages til Forsvarsdepartementet dersom virksomheten er tilknyttet forsvarssektoren, og til Justis- og beredskapsdepartement dersom organet er tilknyttet sivil sektor.

§ 65. Informasjonsbehandling og -deling av informasjon fra varslingssystemet for digital infrastruktur

Når det er innenfor sikkerhetslovens formål, kan Nasjonal sikkerhetsmyndighet dele informasjon innhentet fra varslingssystemet for digital infrastruktur eller gjennom den nasjonale responsfunksjonen, med partene i Felles cyberkoordineringssenter.
I den utstrekning det er nødvendig for å håndtere en konkret hendelse, kan Nasjonal sikkerhetsmyndighet også dele slik informasjon med andre aktører.
Ved fare for alvorlige hendelser skal Nasjonal sikkerhetsmyndighet informere berørte nasjonale og internasjonale aktører om trusler, sårbarheter og mulige tiltak.

§ 66. Virksomhetenes rett til innsyn

Virksomheter som er tilknyttet det digitale varslingssystemet, har rett til innsyn i hvordan tekniske komponenter og programvare som benyttes til å overvåke nettverkstrafikk og redusere sårbarhet, er konfigurert. Disse virksomhetene har også rett til innsyn i hvilke data Nasjonal sikkerhetsmyndighet mottar fra virksomheten gjennom det digitale varslingssystemet, og hvordan disse behandles.

Kapittel 12. Personellsikkerhet

§ 67. Vilkår for å gi autorisasjon

Den som skal autoriseres, skal signere en taushetserklæring før det gis autorisasjon. Før det gis autorisasjon for COSMIC TOP SECRET, skal også NATOs COSMIC-erklæring undertegnes. Dersom personen har en klarering på vilkår etter sikkerhetsloven § 8-6, skal den autorisasjonsansvarlige, før det gis autorisasjon, fastsette hvordan vilkårene skal følges opp.

§ 68. Autorisasjonssamtale

En autorisasjonssamtale skal gjennomføres:
  1. før det gis autorisasjon
  2. når en autorisert person selv ber om det
  3. ved reklarering
  4. når en autorisasjonsansvarlig ellers finner grunn til det.

Personer som får autorisasjon for STRENGT HEMMELIG, COSMIC TOP SECRET eller tilsvarende, skal gjennomføre en ny autorisasjonssamtale minst annethvert år.

Den autorisasjonsansvarlige skal gjennom autorisasjonssamtalen
  1. forsikre seg om at den som skal autoriseres, kjenner til relevante sikkerhetstrusler og sikkerhetsbestemmelser og forstår sin rolle i sikkerhetsarbeidet til virksomheten
  2. kontrollere at opplysningene den som skal autoriseres, gir, er tilstrekkelige og oppdaterte
  3. drøfte eventuelle risikofaktorer ved personen som er relevante for personellsikkerheten
  4. drøfte tiltak som kan redusere risikofaktorer ved personen, eller som kan oppfylle vilkår som klareringsmyndigheten har gitt for klareringen.
Dersom personen har vært autorisert før, skal den som autoriserer, hente inn opplysninger av betydning fra forrige autorisasjonsavgjørelse. Taushetsplikt er ikke til hinder for utlevering av opplysningene.
Personer som skal autoriseres for BEGRENSET, eller med kortvarig behov for autorisasjon for KONFIDENSIELT eller høyere, kan få en felles orientering om sikkerhetsmessige risikofaktorer og relevante krav til sikkerhet, i stedet for en individuell autorisasjonssamtale. De skal likevel orienteres om sin rett til å kreve en individuell autorisasjonssamtale.

§ 69. Autorisasjon av autorisasjonsansvarlig og personell hos leverandøren

Oppdragsgiveren skal autorisere den autorisasjonsansvarlige hos leverandøren og personell hos leverandøren som bare får tilgang til skjermingsverdig informasjon, skjermingsverdige objekter eller skjermingsverdig infrastruktur hos oppdragsgiveren.

§ 70. Autorisasjon av utenlandske statsborgere

Før en utenlandsk statsborger som ikke har klarering, kan autoriseres for informasjon gradert BEGRENSET, skal den autorisasjonsansvarlige vurdere om personens tilknytning til hjemlandet og hjemlandets sikkerhetsmessige betydning utgjør en uakseptabel risiko. Den autorisasjonsansvarlige kan be klareringsmyndigheten om en vurdering av hjemlandets sikkerhetsmessige betydning.
Dersom en utenlandsk statsborger kommer fra en stat som Politiets sikkerhetstjeneste mener utgjør en høy sikkerhetsrisiko for Norge, må den autorisasjonsansvarlige innhente samtykke fra en klareringsmyndighet før den utenlandske statsborgeren kan autoriseres for BEGRENSET.
Utenlandske statsborgere kan bare autoriseres for tilgang til informasjon sikkerhetsgradert av en fremmed stat dersom personen er borger av denne staten, eller dersom Nasjonal sikkerhetsmyndighet har innhentet tillatelse fra statens myndigheter.
Utenlandske statsborgere kan bare autoriseres for tilgang til informasjon sikkerhetsgradert av en internasjonal organisasjon dersom staten personen er borger av, er medlem av organisasjonen, eller dersom Nasjonal sikkerhetsmyndighet har innhentet tillatelse fra organisasjonen.
Den autorisasjonsansvarlige skal orientere Nasjonal sikkerhetsmyndighet om utenlandske statsborgere som autoriseres for BEGRENSET.
Bestemmelsene i denne paragrafen gjelder også for personer som har dobbelt statsborgerskap, er statsløse eller har uavklart statsborgerskap.

§ 71. Tilgang uten autorisasjon

En person kan gis tilgang til skjermingsverdig informasjon, skjermingsverdige objekter eller skjermingsverdig infrastruktur uten å være autorisert eller klarert, dersom vilkårene i straffeloven § 17 om nødrett er oppfylt. En virksomhet som gir en slik tilgang, skal uten ugrunnet opphold varsle klareringsmyndigheten og Nasjonal sikkerhetsmyndighet om hvilke personer dette gjelder, og hvilket graderings- eller klassifikasjonsnivå personen har fått tilgang til.

§ 72. Oversikt over personell med autorisasjon

Den autorisasjonsansvarlige skal ha en oversikt over autorisert personell. Oversikten skal opplyse om
  1. den enkeltes navn, fødselsnummer eller tilsvarende nummer, statsborgerskap, tjenestested, saksfelt og stilling
  2. klareringsnivå og autorisasjonsnivå
  3. klareringens gyldighetstid
  4. eventuelle vilkår knyttet til klareringen
  5. datoen for en eventuell autorisasjonssamtale
  6. eventuell tilgang uten autorisasjon etter § 71.
Den autorisasjonsansvarlige skal gjøre klarerings- og autorisasjonsavgjørelser kjent for personell som har et tjenstlig behov for det.

§ 73. Dokumentasjon på autorisasjon

Hvis den autorisasjonsansvarlige utsteder dokumentasjon for at en person er autorisert, skal dokumentasjonen være tidsbegrenset og vise hvilket graderingsnivå for informasjon eller klassifiseringsnivå for objekter eller infrastruktur personen er autorisert for å få tilgang til.

§ 74. Nedsettelse, suspensjon og tilbakekallelse av autorisasjon

Dersom den autorisasjonsansvarlige vurderer om en autorisasjon skal endres eller tilbakekalles etter sikkerhetsloven § 8-10, skal vurderingen og avgjørelsen dokumenteres. Avgjørelsen kan ikke påklages.
Hvis en autorisasjon endres til ulempe for den autoriserte, skal den autorisasjonsansvarlige uoppfordret gjøre den autoriserte kjent med avgjørelsen og informere klareringsmyndigheten etter sikkerhetsloven § 8-10 første ledd. Avgjørelsen skal begrunnes overfor klareringsmyndigheten.
Dersom klareringsmyndigheten opprettholder klareringen etter å ha blitt informert etter andre ledd, skal avgjørelsen om å endre autorisasjonen omgjøres.

§ 75. Begrunnelse og dokumentasjon ved forespørsel om klarering

Når den autorisasjonsansvarlige ber om at det gjennomføres en sikkerhetsklarering, skal behovet for klareringen begrunnes og dokumenteres. Hvis begrunnelsen er at det foreligger en risiko for vilkårlig tilgang, skal den autorisasjonsansvarlige bekrefte at andre tiltak for å redusere risikoen ikke er tilstrekkelig til å fjerne behovet for klarering.

§ 76. Merking av personopplysninger for klarering og autorisasjon

Informasjon som inneholder personopplysninger i saker om autorisasjon, personkontroll eller klarering, skal merkes PERSONKONTROLL. Kravet gjelder ikke meldinger om at det er gitt en autorisasjon eller klarering eller meldinger om andre autorisasjons- eller klareringsavgjørelser til personen som avgjørelsen gjelder.

§ 77. Beskyttelse av personopplysninger for klarering og autorisasjon

Den autorisasjonsansvarlige skal bestemme hvem i virksomheten som kan få tilgang til opplysninger merket PERSONKONTROLL. Slike opplysninger skal lagres atskilt fra andre opplysninger i virksomheten, og de skal bare være tilgjengelige for det utpekte personellet.
Når virksomheter utveksler opplysninger merket PERSONKONTROLL, skal det gjøres på en slik måte at uvedkommende ikke får tilgang til opplysningene.

§ 78. Bevaring og kassasjon av opplysninger i saker om autorisasjon og klarering

Den autorisasjonsansvarlige skal uten ugrunnet opphold kassere eller returnere dokumenter som er innhentet for autorisasjon eller klarering av søkere som ikke blir tilsatt, engasjert eller opptatt på skoler eller kurs, og som inneholder personopplysninger.
Den autorisasjonsansvarlige skal bevare opplysninger i autorisasjonssaker i ett år etter at autorisasjonen er utløpt. Dersom den autoriserte er klarert, skal autorisasjonsopplysningene bevares så lenge klareringen er gyldig. Bevaringsplikten opphører dersom autorisasjonsopplysningene sendes til en ny autorisasjonsmyndighet etter § 68 tredje ledd.
Den autorisasjonsansvarlige skal bevare taushetserklæringer i 10 år etter at autorisasjonen har utløpt. Oversikter etter § 72 over personell som er eller har vært autorisert, skal bevares i 10 år etter utstedelsen.
Når bevaringstiden etter andre og tredje ledd utløper, skal autorisasjonsansvarlig kassere dokumentene.
Den autorisasjonsansvarlige skal føre et register over kassasjoner med opplysninger om
  1. hvem de kasserte opplysningene gjelder
  2. hvilken type opplysninger eller dokumenter som er kassert
  3. datoene for kassasjonene.

Kapittel 13. Sikkerhetsgraderte anskaffelser

§ 79. Vurdering av graderingsnivået for ulike deler av en sikkerhetsgradert anskaffelse

Oppdragsgiveren skal ta stilling til hva tilbydere, leverandører og underleverandører kan få tilgang til av sikkerhetsgradert informasjon, skjermingsverdige objekter eller skjermingsverdig infrastruktur i de ulike fasene av en sikkerhetsgradert anskaffelse.

§ 80. Krav til sikkerhetsavtalen når en leverandør skal ha tilgang til sikkerhetsgradert informasjon, et skjermingsverdig objekt eller skjermingsverdig infrastruktur

Dersom en leverandør skal ha tilgang til sikkerhetsgradert informasjon, et skjermingsverdig objekt eller skjermingsverdig infrastruktur i eller fra sine egne lokaler, skal det fremgå av sikkerhetsavtalen etter sikkerhetsloven § 9-2
  1. hvilken sikkerhets- eller klassifiseringsgrad informasjonen, objektet eller infrastrukturen har
  2. hvem som skal få tilgang til den sikkerhetsgraderte informasjonen eller det skjermingsverdige objektet eller infrastrukturen
  3. hvordan den sikkerhetsgraderte informasjonen skal formidles mellom avtalepartene
  4. hvilket informasjonssystem som skal brukes for å behandle den sikkerhetsgraderte informasjonen, eller for å få tilgang til det skjermingsverdige objektet eller infrastrukturen, og hvem som er ansvarlig for å godkjenne systemet
  5. hvilke lokaler den sikkerhetsgraderte informasjonen skal behandles i
  6. hvordan det skal varsles om sikkerhetstruende virksomhet og avvik fra sikkerhetskrav
  7. om den sikkerhetsgraderte informasjonen skal leveres tilbake eller destrueres når oppdraget er avsluttet.
En sikkerhetsavtale kan tas inn i det ordinære avtaledokumentet for anskaffelsen.

§ 81. Unntak fra krav om sikkerhetsavtale

Det kreves ikke sikkerhetsavtale etter sikkerhetsloven § 9-2 dersom leverandørens personell bare skal gis tilgang til sikkerhetsgradert informasjon, skjermingsverdige objekter eller skjermingsverdig infrastruktur under oppsyn av en representant for oppdragsgiveren.

§ 82. Tilbakelevering av sikkerhetsgradert informasjon

En tilbydere som ikke tildeles kontrakten, skal levere tilbake sikkerhetsgradert informasjon uten unødig opphold.
Leverandører skal levere tilbake sikkerhetsgradert informasjon når kontraktsforholdet opphører. En eventuell service- og garantitid inngår i kontraktsforholdet. Oppdragsgiveren skal melde fra til klareringsmyndigheten om at kontraktsforholdet har opphørt.
Dersom klareringsmyndigheten tilbakekaller en leverandørklarering etter sikkerhetsloven § 9-3 fjerde ledd, skal oppdragsgiveren inndra all sikkerhetsgradert informasjon fra leverandøren.

§ 83. Krav om leverandørklarering

En leverandør til en sikkerhetsgradert anskaffelse skal ha leverandørklarering når det er nødvendig for å oppnå et forsvarlig sikkerhetsnivå under anskaffelsen. Leverandøren skal uansett ha leverandørklarering dersom den skal
  1. ha tilgang til eller oppbevare informasjon gradert KONFIDENSIELT eller høyere i sine egne informasjonssystemer eller lokaler
  2. ha elektronisk tilgang fra sine egne informasjonssystemer eller lokaler til objekter eller infrastruktur klassifisert KRITISK eller MEGET KRITISK
  3. råde over objekter eller infrastruktur som tilhører oppdragsgiveren, og som er klassifisert KRITISK eller MEGET KRITISK.

§ 84. Leverandører med lokaler utenfor norsk jurisdiksjon og utenlandske leverandører

Dersom en leverandør som skal klareres etter § 83, driver virksomheten sin fra en annen stats jurisdiksjon, eller skal behandle eller oppbevare informasjon i lokaler utenfor norsk jurisdiksjon, må Norge ha en sikkerhetsavtale med staten som har jurisdiksjon der lokalene ligger eller virksomheten drives fra. Det samme gjelder dersom leverandøren skal ha tilgang til informasjonssystem som er sikkerhetsgradert eller klassifisert som skjermingsverdig infrastruktur, fra egne lokaler utenfor norsk jurisdiksjon, eller skal råde over objektet eller infrastrukturen i eller fra lokaler utenfor norsk jurisdiksjon.
Det skal følge av sikkerhetsavtalen hvem som skal kontrollere at leverandøren oppfyller kravene gitt i eller med hjemmel i sikkerhetsloven, eller tilsvarende krav i sikkerhetsregelverket til den andre staten, jf. klareringsforskriften § 37.

§ 85. Forespørsel om leverandørklarering

Oppdragsgivere skal be klareringsmyndigheten om en leverandørklarering. Forespørselen skal inneholde informasjon om det høyeste graderingsnivå i anskaffelsen, jf. § 79, og egenopplysninger fra leverandøren, jf. klareringsforskriften § 35.

§ 86. Oversikt over sikkerhetsgraderte anskaffelser

Oppdragsgivere skal føre en årlig oversikt over sikkerhetsgraderte anskaffelser til sin virksomhet. Oversikten skal inneholde informasjon om
  1. hva anskaffelsene gjelder
  2. leverandørenes navn, adresse, organisasjonsnummer eller tilsvarende nummer, og nasjonalitet
  3. hvilken sikkerhetsgrad informasjon som leverandørene skal få, eller har fått, tilgang til
  4. det høyeste klassifiseringsnivået til objekter eller infrastruktur som leverandørene skal få, eller har fått, tilgang til
  5. hvor lang tid anskaffelsene tok.
Oversikten skal årlig sendes til klareringsmyndigheten.
Forsvarsdepartementet kan gjøre unntak fra kravet i andre ledd dersom virksomheten har et særlig behov for å skjerme opplysningene av hensyn til sin operative virksomhet.

§ 87. Prosedyrer for besøk fra utlandet

Før et besøk fra en utenlandsk oppdragsgiver eller leverandør som er tilknyttet en sikkerhetsgradert anskaffelse, skal de besøkendes identitet og klarering kontrolleres. Kontrollen skal skje i samsvar med besøksprosedyrene i eller med hjemmel i avtalen mellom Norge og den andre staten.
Første ledd gjelder også dersom oppdragsgiver er en internasjonal organisasjon.

§ 88. Tilsynsmyndighet for leverandører til sikkerhetsgraderte anskaffelser

Nasjonal sikkerhetsmyndighet fører tilsyn med leverandører til sikkerhetsgraderte anskaffelser som har lokaler innenfor norsk jurisdiksjon, med mindre noe annet er avtalt med en sektormyndighet med tilsynsansvar.

Kapittel 14. Tilsyn

§ 89. Tilsyn med virksomheter underlagt lov om nasjonal sikkerhet

Tilsynsmyndigheten skal kontrollere at virksomhetene overholder kravene i sikkerhetsloven med forskrifter og bidra til å forbedre virksomhetenes arbeid med forebyggende sikkerhet.
Et tilsyn skal planlegges på bakgrunn av risiko og vesentlighet. Det skal gjennomføres tilsyn ofte nok og i stort nok omfang til at lovens formål ivaretas.
Tilsyn skal som hovedregel gjennomføres som systemrevisjon.
For å kontrollere sikkerhetstilstanden til informasjonssystemer og infrastruktur, kan tilsynsmyndigheten benytte automatiserte metoder for å samle inn teknisk informasjon.

§ 90. Avtale om samarbeid mellom Nasjonal sikkerhetsmyndighet og andre myndigheter med tilsynsansvar

Overordnet departement til en sektormyndighet med tilsynsansvar, har ansvaret for at det inngås samarbeidsavtaler mellom Nasjonal sikkerhetsmyndighet og myndigheten med tilsynsansvar etter sikkerhetsloven § 3-2.
Det skal følge av slike samarbeidsavtaler
  1. hvilke kriterier som skal ligge til grunn for tilsyn
  2. hvem som skal være ansvarlig for opplæring og veiledning, og hvordan opplæring og veiledning skal gjennomføres
  3. hvordan tilsyn der både Nasjonal sikkerhetsmyndighet og sektormyndigheten deltar, skal forberedes og gjennomføres
  4. hvordan Nasjonal sikkerhetsmyndighet skal dele relevant informasjon om trusselbildet og risiko med sektormyndigheten
  5. hvordan sektormyndigheten skal rapportere til Nasjonal sikkerhetsmyndighet om planlagte tilsyn
  7. hvordan godkjennings- og dispensasjonsmyndighet i sektoren skal utøves
  8. hvordan sektormyndigheten skal dele kunnskap og erfaringer med Nasjonal sikkerhetsmyndighet.
Myndigheter som er tildelt tilsynsansvar etter sikkerhetsloven § 3-1, har ansvaret for tilsynet også når Nasjonal sikkerhetsmyndighet medvirker til eller deltar på tilsynet.

§ 91. Rapport etter tilsyn

Etter et gjennomført tilsyn skal tilsynsmyndigheten utarbeide en foreløpig rapport som forelegges virksomheten for uttalelse. Det skal deretter utarbeides en endelig rapport som skal sendes til virksomheten og Nasjonal sikkerhetsmyndighet. Nasjonal sikkerhetsmyndighet kan gjøre endelige tilsynsrapporter tilgjengelige for Politiets sikkerhetstjeneste.

§ 92. Tvangsmulkt

En tvangsmulkt fastsatt med hjemmel i sikkerhetsloven § 11-2 kan fastsettes som en engangsmulkt eller løpende for hver dag, uke eller måned etter at fristen for å rette forholdet er gått ut. Tilsynsmyndigheten kan frafalle en påløpt tvangsmulkt.

Kapittel 15. Melding om erverv av kvalifisert eierandel i virksomhet underlagt sikkerhetsloven

§ 93. Krav til innholdet i en melding om et erverv av en kvalifisert eierandel i en virksomhet underlagt sikkerhetsloven

En melding til departementet om erverv etter sikkerhetsloven § 10-1 skal opplyse om
  1. erververens navn, adresse og organisasjonsnummer, fødselsnummer eller tilsvarende nummer
  2. organisasjonsnummeret til virksomheten ervervet gjelder
  3. erververens eierandel etter at ervervet er gjennomført
  4. erververens eierstruktur
  5. hvem som sitter i erververens styre
  6. hvem som utgjør den daglige ledelsen i erververens virksomhet
  7. eventuelle relasjoner mellom erververen og andre eksisterende eiere i virksomheten ervervet gjelder
  8. erververens eierinteresser i andre virksomheter underlagt sikkerhetsloven
  9. erververens eierinteresser i andre virksomheter innenfor den aktuelle sektoren
  10. erververens årsomsetning og årsregnskap for de siste fem årene, så langt dette er tilgjengelig
  11. andre forhold som erververen antar kan ha betydning for vurderingen av om ervervet kan godkjennes etter sikkerhetsloven § 10-2.
Opplysningene om eierstruktur etter første ledd bokstav d skal omfatte eventuelle utenlandske eierinteresser i erververens virksomhet og erververens eventuelle eierinteresser i utlandet. Nasjonaliteten skal framgå.
Opplysningene om styret og den daglige ledelsen etter første ledd bokstav e og f skal omfatte navn, fødselsdato, nasjonalitet og personlige næringsinteresser utenfor den aktuelle virksomheten.
Dersom erververen er en privatperson som ikke har norsk fødselsnummer eller D-nummer, skal meldingen i stedet opplyse om personens fødselsdato og nasjonalitet.

Kapittel 16. Avsluttende bestemmelser

§ 95. Overgangsregler

Destrueringsmetoder og oppbevaringsenheter som er godkjent etter forskrift 1. juli 2001 nr. 744 om informasjonssikkerhet § 4-36, § 6-11 og § 6-12, skal anses godkjent inntil godkjenningen opphører, eller det av andre grunner er behov for ny godkjenning av destrueringsmetoden eller oppbevaringsenheten.
En klage på klassifisering eller godkjenning etter første eller andre ledd skal avgjøres etter de reglene som gjelder når klageinstansen treffer vedtak i saken.

Refereres av

3 dokument(er) refererer hit.