Aldri forholdt deg til Sikkerhetsloven? Nå kan det hende du må det

Fra 1. januar i år fikk vi en ny Sikkerhetslov. Den er innrettet på å beskytte grunnleggende nasjonale funksjoner (også kalt GNF) mot angrep som kan skade nasjonale sikkerhetsinteresser.

Loven vil nå kunne omfatte informasjonssystemer, infrastruktur og objekter av nasjonal betydning for rikets sikkerhet. Det betyr at private virksomheter som på en eller annen måte er involvert i denne verdikjeden, må tilpasse seg de nye bestemmelsene:

Er du en virksomhet som er eller blir underlagt sikkerhetsloven?

Har du en kunde som er underlagt sikkerhetsloven?

Har du planer om å utvikle produkter for, eller delta i anbud til en kunde som er underlagt sikkerhetsloven?

Lovens krav til risikoanalyse

Virksomheter som kommer innunder den nye Sikkerhetsloven er pålagt å kjenne og forstå sitt risikobilde. Det betyr at de må gjøre en grundig risikoanalyse og denne må være av en kvalitet som tilfredsstiller lovens krav.

I § 12 heter det: Vurdering av risikoNår en virksomhet vurderer risiko, skal den ta hensyn til

hvilken betydning virksomhetens skjermingsverdige verdier har for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser

hvilken sikkerhetstruende virksomhet de skjermingsverdige verdiene kan bli utsatt for

sannsynligheten for at sikkerhetstruende virksomhet kan inntreffe

hvilke sårbarheter som er knyttet til de skjermingsverdige verdiene

konsekvensen av sikkerhetstruende virksomhet for de skjermingsverdige verdiene

i hvilken grad virksomheten er avhengig av andre virksomheter for å fungere som den skal.

Næringslivets Sikkerhetsråd (NSR) gjennomfører hvert annet år undersøkelsen KRISINO (Kriminalitets- og sikkerhetsundersøkelsen i Norge). I 2017 rapporterte kun 17 prosent av private virksomheter at de hadde gjennomført en risikoanalyse. Tallet for offentlige virksomheter var 46 prosent.

Dette viser at det er et betydelig underskudd av risikoforståelse i norsk næringsliv, og at mange virksomheters leveranser vil være i fare dersom de ikke hever sin kompetanse og tilfredsstiller lovens krav i de delene av organisasjonen som eksponeres mot GNF.

Effektiv ressursbruk

Det er viktig å forstå at risikoanalyse nå blir en gjentagende prosess i mange virksomheter. Man vil tjene på å etablere en struktur som er enkel å vedlikeholde, samt bruke et verktøy som gjør at man slipper å starte forfra når analysen skal oppdateres. Bruker man regneark eller en annen manuell metode, vil analysen kreve unødvendig mye ressurser hver gang den skal gjennomføres.

Godt verktøy

Jeg har i en tidligere artikkel skrevet om VTS-analysens (Verdi-Trussel-Sårbarhet) fortrinn. Ved bruk av VTS-analyse kan du gjennomføre lovpålagte risikoanalyser på en effektiv måte. Slik oppnår virksomheten god struktur og sporbarhet, og en lett forståelig fremstilling av hvilken risiko virksomheten har.

Verktøyet gjør virksomheten i stand til å administrere både prosess, resultat og oppfølging over tid. Utfordringer med maler og disposisjoner fjernes helt, og samhandlingen går lettere.

Ved bruk av VTS-analyse vil virksomheten tilfredsstille den nye lovens krav til risikoanalyser for lovbrudd og kriminalitet.

Fram til påske vil alle medlemsbedrifter i NSR, samt NHO, Norsk Industri og Finans Norge, i tillegg til CIM-kunder, få 30 prosent rabatt på VTS-analyse. Hvis du vil vite mer om dette tilbudet, kan du klikke på denne linken.

Artikkelen er også publisert på Beredskapsbloggen