Sikkerhetsloven: Alt du trenger å vite

Hvordan arbeide med sikkerhetsloven og hva betyr det for norske virksomheter?

Flere blir helt eller delvis omfattet av sikkerhetsloven

Sikkerhetsloven gir et viktig fundament i videreutviklingen av det samlede sikkerhetsarbeidet i Norge, og vil bli stadig viktigere for mange offentlige og private virksomheter fremover. Det er flere offentlige og private virksomheter som blir underlagt loven, enten helt eller delvis, etterhvert som prosessen med å identifisere og risikovurdere systemer og infrastruktur som understøtter grunnleggende nasjonale funksjoner (GNF), går fremover.

Vi har bistått flere virksomheter som er delvis underlagt sikkerhetsloven. For mange virksomheter er det krevende å vite hva delvis underleggelse betyr og hva slags krav i regelverket som gjelder for dem. Vår fremgangsmåte er å arbeide tverrfaglig med eksperter innen det regulatoriske som gjennomfører en gapanalyse. Deretter trer risikostyringseksperter inn, som sammen med kunden gjennomfører risikovurderinger. Til slutt bistår cyber- og sikkerhetspesialister som bistår med å lage et styringssystem for sikkerhet som er tilpasset kundens behov og som ivaretar de gjeldende kravene fra sikkerhetsloven og forskrifter.

Kontakt oss

Sikkerhetsloven, beskyttelse av kritisk infrastruktur og totalforsvaret

Sikkerhetsloven er viktig for å styrke Norges totalforsvar, og gjelder for flere offentlige og private virksomheter. Norsk næringsliv er ikke bare viktig for landets økonomiske, sosiale og miljømessige velvære - det er også viktig for beskyttelse av nasjonale interesser og Norges sikkerhet. I et samfunn med større angrepsflater og mer sofistikerte trusselaktører er det viktig at vi klarer å beskytte de grunnleggende nasjonale funksjonene som er viktig for landet vårt.

Det er flere gråsoner og sammenfallende interesser mellom samfunnssikkerhet og statssikkerhet innenfor enkelte områder. Samtidig er hovedfokuset for sikkerhetsloven de nasjonale sikkerhetsinteressene (NSI). Fortsatt skal sektorregelverk som gjelder kritiske infrastrukturer og samfunnskritiske tjenester sikre den sivile samfunnssikkerheten. Det er viktig for private leverandører/underleverandører til slike tjenester at de er oppdaterte på regelverket og hva dette innebærer for deres egen del.

Les også: Seks råd til ledere som vil unngå cyberangrep

– Det er avgjørende å samarbeide tverrfaglig for å sikre helhetlige vurderinger som fører til målrettede og balanserte sikkerhetstiltak, sier sikkerhetsekspert Maren Maal.

Slik kan vi hjelpe deg

Vi er et tverrfaglig team som jobber med sikkerhetsrådgiving i privat og offentlig sektor. Med eksperter innen risikostyring, fysisk sikkerhet, informasjonssikkerhet og juridiske spørsmål kan vi hjelpe din organisasjon med å navigere kravene og forventningene i sikkerhetsloven.

1. Gapanalyse

En gapanalyse er en metode for å måle forskjellene mellom faktiske prestasjoner og potensielle eller ønskede prestasjoner i en organisasjon. I denne konteksten vil en gapanalyse identifisere hvor organisasjonen ikke oppfyller kravene i sikkerhetsloven eller forskrifter. Dette kan inkludere alt fra manglende prosedyrer og retningslinjer til tilstrekkelig teknologi og opplæring.

2. Risikovurdering

En risikovurdering er en systematisk prosess for å identifisere og vurdere risikoer som en organisasjon kan stå ovenfor. Risikovurderingen kan vurdere sannsynligheten for at en bestemt hendelse vil skje, og konsekvensene hvis den gjør det. Resultatene av risikovurderingen brukes til å prioritere tiltak for å redusere risiko.

3. Styringssystem

Et styringssystem for sikkerhet er et rammeverk som en organisasjon bruker for å håndtere og kontrollere sikkerhetsrisikoer. Dette kan inkludere retningslinjer, prosedyrer, teknologiske løsninger og opplæringsprogrammer. Et godt styringssystem for sikkerhet er tilpasset organisasjonens unike behov og risikoer, samtidig som det er i samsvar med, i dette tilfelle, sikkerhetsloven og forskrifter.

Sikkerhetsloven skal bidra til å styrke sikkerhetskultur og sikkerhetsledelse

Sikkerhetslovens formål kan bidra til å styrke sikkerhetskulturen i norske virksomheter. Dersom norske virksomheter som understøtter en GNF har en grundig og systematisk tilnærming i gjennomføringen av skadevurderingene, vil det kunne legge grunnlaget for en mer robust og motstandsdyktig infrastruktur. Dette vil bidra til at virksomheter ikke bare ivaretar krav i sikkerhetsloven med et styrket Norges forsvar mot trusler, men også til å øke bevisstheten og ansvarsfølelsen blant norske virksomheter når det gjelder å ivareta nasjonal sikkerhet.

Dynamiske, funksjonelle og risikobaserte regler stiller høyere krav til ledere om å sikre god sikkerhetsstyring - som en integrert del av en proaktiv virksomhetsstyring. Det positive med denne tilnærmingen er at den enkelte virksomhet må finne frem til et sett med sikringstiltak som passer til deres virksomhet, og som også er tilpasset deres virksomhet sitt risikobilde. Samtidig stiller det krav til tverrfaglig kompetanse og at risikovurderingene gjøres regelmessig og grundig. Virksomhetene må sikre seg god nok kompetanse om hva som skal til for å oppnå et forsvarlig sikkerhetsnivå. Presise nok verdivurderinger, god forståelse for spennet av mulige trusler og innsikt i avhengigheter er avgjørende i dette arbeidet.

Hele formålet med gode risikovurderinger er at det skal føre til målrettede, balanserte og hensiktsmessige tiltak. Ofte kreves det ulik type kompetanse og tverrfaglighet inn i både analysearbeidet og i gjennomføringen av tiltak. Det er fordi det handler ikke bare om fysiske sikringstiltak eller tekniske overvåkingssystemer, men også om bevissthet, kultur og kompetanse, samt gode styringssystemer, tydelige roller, ansvar og effektive varslingssystemer.

Les også: NIS2 - Alt du må vite om det nye direktivet

Møt noen av våre sikkerhetseksperter

Vi kan bistå med å utarbeide gode beslutningsgrunnlag og komme med anbefalinger til hva som er et forsvarlig sikkerhetsnivå.

Vi samarbeider tverrfaglig for å sikre helhetlige vurderinger. I fellesskap sikrer vi best mulig resultat.

Maren Maal

Maren Maal

Senior Manager, PwC Norway

Maren er ekspert på forebyggende sikkerhet og beredskap. Hun har bistått flere offentlige og private virksomheter med å opprette systemer for etterlevelse av sikkerhetsloven.

476 65 552

Contact

Oslo

Mats Ruge Holte

Partner | Consulting, PwC Norway

Mats har mer enn 20 års erfaring med risikostyring, sikkerhet, cyber, evaluering og granskinger for både privat og offentlig sektor.

952 60 122

Contact

Oslo

Maria Fonneløp Inderberg

Advokat | Manager, PwC Norway

Maria har erfaring i å bistå både privat og offentlig sektor med etterlevelse og tolkning av sikkerhetsloven.

478 65 144

Contact

Oslo

Fem steg for din virksomhet

Gjennomføre en skadevurdering

Hvis din virksomhet er utpekt som understøttende virksomhet til en GNF, må det gjennomføres en skadevurdering. Dette innebærer å identifisere konkrete informasjonssystemer, objekter og infrastrukturer som understøtter virksomhetens funksjon. Nøkkelen er å trekke på relevate personer for en effektiv systemkartlegging.

Verdien av skadevurdering er stor

Se på skadevurderingen som mer enn bare en rapporteringsøvelse. Denne prosessen identifiserer bedriftens mest kritiske funksjoner, potensielle konsekvenser ved bortfall. Resultatene er avgjørende for virksomhetens kontinuitetsplanlegging, beredskapsplanlegging og krisehåndtering.

Bruke gjeldende veiledning

Den nye sikkerhetsloven, sammen med tilhørende forskrifter og veiledninger, gir et godt grunnlag for å etablere god sikkerhets- og risikostyring og cybersikkerhet. Bruk dem som en veiledning for å styrke din organisasjons sikkerhet.

Kartlegge om du er delvis underlagt

Hvis din virksomhet er delvis underlagt sikkerhetsloven, er det avgjørende å kartlegge hvilke deler av loven som gjelder din virksomhet. Basert på dette er det enklere å gjennomføre en risikovurdering og lage et hensiktsmessig styringssystem for sikkerhet.

Helhetlig tilnærming for maksimalt utbytte

Tenk helhetlig i arbeidet med sikkerhetsloven. Unngå flere separate rapporteringsløp til ledelsen eller styret. Integrer sikkerhets- og etterlevelsearbeid for effektiv samordning. Utnytt overlappende krav og kunnskap for bedre analyse og tiltak, og redusert arbeidsmengde.

Ofte stilte spørsmål

Lov om nasjonal sikkerhet, også kalt sikkerhetsloven, har som formål å trygge Norges suverenitet, territorielle integritet, vårt demokrati og andre nasjonale sikkerhetsinteresser. Loven, og de underliggende forskriftene, er viktige verktøy for å sikre disse grunnleggende nasjonale interessene, og betydningen av dette har ikke blitt mindre med et utfordrende trusselbilde, omfattende digitalisering, lange og uoversiktlige verdikjeder.

Sikkerhetsloven i Norge gjelder for offentlige myndigheter og private virksomheter som er utpekt av myndighetene som viktige for Norges sikkerhet og andre vitale samfunnsinteresser. Loven gjelder for virksomheter som håndterer gradert informasjon, har kontroll over viktig informasjon, informasjonssystemer, objekter eller infrastruktur som er viktig for nasjonale funksjoner eller sikkerhetsinteresser, eller driver aktiviteter som er viktige for nasjonale funksjoner eller sikkerhetsinteresser.

Loven spesifiserer ikke hvilke bransjer som typisk treffes, da dette vil variere avhengig av virksomhetenes spesifikke aktiviteter. Alle virksomheter som håndterer gradert informasjon eller har avgjørende betydning for nasjonale funksjoner eller sikkerhetsinteresser kan underlegges loven. Virksomheter som opererer innenfor statlige organer, forsvarssektoren, energisektoren, transportsektoren, telekommunikasjonssektoren, finanssektoren kan typisk treffes av loven. Det er imidlertid opp til det enkelte departement å fatte vedtak om hvilke virksomheter som skal omfattes av loven.

Lov om nasjonal sikkerhet, også kalt sikkerhetsloven, trådte i kraft 1. januar 2019. Loven erstatter eldre “Lov om forebyggende sikkerhetstjeneste”, som ble vedtatt i 1998. I sikkerhetsloven fra 2019 har vi sett en dreining fra fysisk sikkerhet og objektfokus til logisk sikring og informasjonssystemer.

Sikkerhetsloven gir myndighetene mulighet til å ilegge tvangsmulkt, overtredelsesgebyr eller straff ved brudd på lovens bestemmelser eller pålegg gitt i medhold av loven.

Tvangsmulkt er et økonomisk pressmiddel som løper frem til overtredelsen er rettet opp, og skal sikre at virksomheten oppfyller sine plikter etter loven. Tvangsmulkt kan ilegges ved overtredelse av bestemmelser om blant annet sikkerhetsstyring, sikkerhetsklarering, sikkerhetsgraderte anskaffelser, informasjonssikkerhet og forebygging av uønskede sikkerhetshendelser. Tvangsmulkt kan også ilegges ved brudd på pålegg gitt i medhold av loven, altså pålegg fra tilsynsmyndigheten om gjennomføring av tiltak som er nødvendige for å ivareta sikkerhetslovens formål.

Overtredelsesgebyr er en sanksjon som skal virke preventivt. Overtredelsesgebyr kan pålegges en virksomhet som forsettlig eller uaktsomt overtrer de samme bestemmelsene som kan medføre tvangsmulkt, og ved overtredelse av et pålegg gitt med hjemmel i loven. Også medvirkning til slike brudd kan sanksjoneres med overtredelsesgebyr. Størrelsen på gebyret skal blant annet avhenge av overtredelsens grovhet, varighet, skyld og virksomhetens omsetning.

Straff er den strengeste sanksjonen som kan følge av brudd på sikkerhetsloven. Straff kan være bot eller fengsel, eller begge deler, avhengig av overtredelsens art og alvorlighetsgrad. Straff kan ilegges ved brudd på taushetsplikt, forbud mot å utøve visse aktiviteter eller yrker, eller forbud eller pålegg gitt av tilsynsmyndigheten i medhold av loven. Forsøk på slike overtredelser straffes på samme måte som fullbyrdede overtredelser.

Kontakt oss

Maren Maal

Senior Manager, Oslo , PwC Norway

476 65 552

Kontakt meg

Trenger du hjelp med etterlevelse av sikkerhetsloven?

Vi kan bistå med å utarbeide gode beslutningsgrunnlag og komme med anbefalinger til hva som er et forsvarlig sikkerhetsnivå.

Sikkerhet- og beredskapstjenester

Ønsker du faglig påfyll?

Få nyhetsbrev