Den nye sikkerhetsloven trådte i kraft 1. januar 2019. Fredag 23. august publiserte Nasjonal sikkerhetsmyndighet (NSM) åtte veiledere til den nye loven. Vi har tidligere også omtalt den nye loven.
Den forrige sikkerhetsloven inneholdt mange detaljerte regler som nå er erstattet med funksjonelle krav for å oppnå et forsvarlig sikkerhetsnivå. Samtidig innførte loven flere nye begreper, et utvidet virkeområde og gav virksomheter større frihet i det forebyggende sikkerhetsarbeidet. Funksjonelle krav innebærer at det i liten grad konkretiseres hvilke sikkerhetstiltak en virksomhet skal etablere, og at virksomheten kan velge forskjellige løsninger for å oppnå forsvarlighet, noe som særlig er relevant når det gjelder informasjonssikkerhet. Endringen fra konkrete krav til funksjonelle krav fører samtidig til at virksomhetene må selv ta et større ansvar, og det har vært etterspurt nærmere veiledning fra myndighetene.
NSMs veiledninger skal utdype forståelsen av regelverket, inkludert de ulike bestemmelsene i sikkerhetsloven og tilhørende forskrifter. Veilederne representerer NSMs syn på hvordan lov og forskrifter er å forstå, og danner et grunnlag for virksomhetenes arbeid med å etterleve regelverket. De vil trolig være et vektig moment ved tolkning av loven, og det kan ikke ses bort fra at de også får en viss overføringsverdi på tilsvarende vurderinger etter eksempelvis sektorspesifikk lovgivning (selv om vurderingene under sikkerhetsloven generelt nok vil være i den strenge delen av skalaen).
I denne omgangen var det åtte veiledere som ble publisert av NSM:
• Veileder i sikkerhetsstyring
• Veileder i verdivurdering av informasjon
• Veileder i personellsikkerhet
• Veileder i fysisk sikkerhet
• Veileder i håndtering og beskyttelse av sikkerhetsgradert informasjon
• Veileder for godkjenning av informasjonssystem
• Veileder for virksomheters håndtering av uønskede hendelser
• Veileder for tilsyn med forebyggende sikkerhetsarbeid
Det er verdt å merke seg at ingen av veilederne sier noe særlig om hvordan krav til forsvarlig sikkerhet skal ivaretas juridisk, i form av gjennomføring og kontraktsregulering av anskaffelser som er underlagt sikkerhetsloven. Vår erfaring er at kravene som følger av sikkerhetsloven må ivaretas allerede fra kravsutformingen, og man må sørge for at dette også adresseres gjennom kontraktstekst mv. Som oftest vil det være behov for å både justere på avtaletekstens generelle vilkår, samt å være oppmerksom på de særlige utfordringene som kan oppstå ved anskaffelser underlagt sikkerhetsloven, allerede fra starten av.