Vad är Sikkerhetsloven? 🇳🇴 Norsk säkerhetslag

Sikkerhetsloven, eller formellt Lov om nasjonal sikkerhet (lagen om rikets säkerhet), är Norges nationella säkerhetslag. Den gäller i hela Norge och omfattar offentliga organ och andra företag som hanterar sekretessbelagd information, stöder grundläggande nationella funktioner eller kontrollerar kritisk information, system, föremål eller infrastruktur.

Lagens syfte är att skydda nationella säkerhetsintressen, förebygga och motverka säkerhetshot samt säkerställa att åtgärder sker med respekt för demokratiska principer. Den nationella säkerhetsmyndigheten (NSM) har ett sektorsövergripande ansvar för att styra, övervaka och samordna säkerhetsskyddsarbetet. Nedan följer en snabb översikt som beskriver de viktigaste kraven i säkerhetsskyddslagen som du behöver känna till.

Läs också om detta: Vad är NSM:s ICT-säkerhetsprinciper? Norska rekommendationer för cybersäkerhet

Vad står Sikkerhetsloven för?

"Sikkerhetsloven" definierar nationella säkerhetsintressen och fördelar ansvaret för säkerhetsskyddsarbetet. Ministerier identifierar kritiska funktioner och åtaganden. Den nationella säkerhetsmyndigheten (NSM) har ett sektorsövergripande ansvar för att övervaka, vägleda och kontrollera efterlevnaden samt för att samordna information om hot och incidenthantering på nationell nivå.

Vad kräver Sikkerhetsloven?

På en hög nivå innebär efterlevnad av Sikkerhetsloven att man kör ett riskbaserat skyddssäkerhetsprogram för information, system, objekt och infrastruktur, personal och leverantörer. De viktigaste kraven i Sikkerhetsloven inkluderar:

• Säkerhetsarbetet leds av högsta ledningen, är integrerat i ledningssystemet, kontrolleras regelbundet och personal och leverantörer är medvetna om riskerna.
• Riskbedömningar som identifierar beroenden, driver åtgärder och ses över regelbundet.
• Implementera åtgärder och övningar för att hålla säkerheten i proportion till risk och kostnad, och testa den.  
• Dokumentation av risker och genomförda eller planerade åtgärder.
• Skyldighet att underrätta NSM och andra myndigheter om hot, misstanke om hot eller allvarliga säkerhetsbrister.
• Informationssäkerhet, inklusive identifiering av kritisk nationell information, klassificering av information, beviljande av tillgång efter behov och skydd av sekretess.  
• Informationssystemsäkerhet för kritiska nationella informationssystem, inklusive godkännande före användning med sekretessbelagda uppgifter, kontinuerlig övervakning och loggning.
• Objekt- och infrastruktursäkerhet med klassificering och fysiska, tekniska och organisatoriska kontroller i flera lager.  
• Säkerhetsprövning och godkännande av personal innan de får tillgång till sekretessbelagda uppgifter eller vissa kritiska objekt och viss kritisk infrastruktur.
• Sekretessbelagda upphandlingar med säkerhetsavtal för leverantörer och säkerhetsprövning av anläggningar vid behov.
• Begränsningar av högriskupphandlingar och ägande i känsliga områden, inklusive meddelande och eventuella förbud eller villkor.

Hur tillhandahåller Sikkerhetsloven säkerhet?

Lagen kopplar samman ledaransvar, riskbedömning och proportionerliga kontroller med nationell kapacitet. Den tillhandahåller en nationell responsfunktion och ett varningssystem för digital infrastruktur, etablerar ett strukturerat utbyte av hotinformation, kräver övervakning och godkännande av kritiska system samt möjliggör kontrollerade tester av system och fysiska skydd.

Vilka är fördelarna med Sikkerhetsloven?

• Tydlig rättslig grund för att bedriva skyddande säkerhet inom IT, fysiskt och personellt
• Minskad sannolikhet för och påverkan av incidenter genom övervakning, övningar och rapportering
• Bättre kontroll av leverantörs- och ägarrisker i känsliga områden
• Ökat förtroende hos myndigheter och partners genom att visa att Sikkerhetsloven följs
• Revisionsfärdig dokumentation och definierade tillsynsvägar via NSM

Hur lång tid tar det att uppfylla kraven i Sikkerhetsloven?

Typiska intervall:

• Från låg mognadsgrad: 6-12 månader
• Med ISO 27001 eller liknande kontroller på plats: 3-6 månader
• Mycket mogna program: 1-3 månader för att anpassa detaljer som godkännande, godkännanden och rapportering

Tiden beror på det ansvariga ministeriets beslut om omfattning, din roll i nationella funktioner, volymen av sekretessbelagd information och sekretessbelagda system, leverantörsexponering och ledningskapacitet.

Genom att använda Cyberday kan du förkorta tidsfristerna genom att få färdiga uppgifter, dokumentationsmallar och bevisinsamling som är anpassade till Sikkerhetsloven krav.

Vanliga frågor

Är Sikkerhetsloven obligatorisk?

Ja, den gäller för statliga organ, för leverantörer i sekretessbelagda upphandlingar och för andra företag när ett ministerium beslutar att lagen ska tillämpas på grund av deras roll med sekretessbelagd information, kritiska system, objekt eller infrastruktur eller vitala verksamheter.

Varför är Sikkerhetsloven viktig?

Den skyddar suveräniteten, grundläggande nationella funktioner och befolkningens grundläggande säkerhet. Den standardiserar också hur offentliga och privata aktörer förebygger, upptäcker och hanterar hot på ett sätt som respekterar demokratiska värderingar.

Vem måste följa Sikkerhetsloven?

• Statliga, landstingskommunala och kommunala organ
• Leverantörer som deltar i sekretessbelagda upphandlingar
• Andra företag som utsetts av ett ministerium och som hanterar sekretessbelagd information, kontrollerar kritisk information, system, objekt eller infrastruktur eller bedriver verksamhet som är avgörande för grundläggande nationella funktioner
  

När träder Sikkerhetsloven i kraft?

Lagen trädde i kraft den 1 januari 2019. Det har gjorts ändringar, bland annat uppdateringar av den 1 juli 2023 och en uppdatering av den 14 juni 2024 om påföljder. Vissa ändrade bestämmelser som anges i texten hade ännu inte trätt i kraft vid tidpunkten för denna sammanställning.

Är Sikkerhetsloven stödd i Cyberday?

Ja, det gör vi. Cyberday stöder efterlevnaden av Sikkerhetsloven med kartlagda uppgifter, dokumentation och bevishantering.