Informasjons-
deling

Den skjerpede sikkerhetssituasjonen fører til økt behov for informasjonsdeling mellom bedrifter, og mellom myndigheter og næringslivet. NSR har utarbeidet en anbefaling for hvordan ugradert informasjonsdeling kan foregå, for å sikre trygge og forutsigbare rammer.

• Næringslivets Sikkerhetsråd anbefaler at sikkerhets- og beredskapspersonell benytter trafikklysprotokollen (TLP) for å klassifisere og merke ugradert informasjon, som deles mellom virksomheter.

• NSR har utviklet en erklæring om informasjonsdeling, som er et verktøy alle kan benytte for å forsikre seg om at parten man ønsker å dele informasjon med forstår delingskriteriene, og er juridisk forpliktet til å følge dem.

Viktig: Kun UGRADERT informasjon kan klassifiseres etter trafikklysprotokollen. Sikkerhetsgradert materiale skal merkes og distribueres i henhold til egne krav.

Trafikklysprotokollen (TLP) er et system som opprinnelig ble utviklet av britiske myndigheter for å fremme økt deling av ugradert, men sensitiv informasjon. De siste årene er protokollen i hovedsak brukt i cybersikkerhetsmiljøet. Dagens TLP 2.0-protokoll forvaltes av cybersikkerhetsforumet FIRST. Nasjonal Sikkerhetsmyndighet og KraftCERT har vært instrumentelle i å oversette og innføre protokollen i Norge.

Trykk her for FIRSTs veiledning for bruk av TLP 2.0.

Trafikklysprotokollen består av fem klassifiseringsmerker, se illustrasjon over.

Informasjon som klassifiseres etter trafikklysprotokollen skal merkes tydelig. I e-poster skal TLP-merket fremgå i emnefeltet. I dokumenter skal merket stå oppe og nede, høyrejustert og i skriftstørrelse 12. I presentasjoner bør TLP-merket plasseres godt synlig, oppe til høyre.

Man kan også punktklassifisere avsnitt for avsnitt i en e-post eller et dokument, for å angi at de ulike avsnittene har ulike delingskriterier.

Trykk her for å laste ned en PDF med eksempler på bruk av TLP 2.0 i praksis.

Viktig om bruk av TLP i kontakt med offentlige virksomheter

Offentlige myndigheter er bundet av forvaltningslovverk, og kan ikke forplikte seg til delingsvilkårene i trafikklysprotokollen. Informasjonsdeling, offentlighet og unntak fra offentlighet er blant annet regulert i arkivloven, forvaltningsloven, offentleglova og straffeprosessloven.

NSR vurderer at det likevel er mulig å bruke prinsippene i trafikklysprotokollen i harmoni med forvaltningsregelverket. Dersom en offentlig myndighet er avsender av informasjon til næringslivet, kan informasjon for eksempel merkes med TLP-merke for å angi hvordan informasjonen kan spres videre. Dette forutsetter at dokumentet også er unntatt offentlighet etter en relevant lovhjemmel.

Offentlige etater kan også motta TLP-merket informasjon. Selv om TLP-merket ikke vil forplikte det offentlige organet juridisk, gir TLP-merket en indikasjon på avsenderens forventning til videredeling. I mange tilfeller vil det være åpning i ulike hjemler i forvaltningslovverket for å unnta slik informasjonen offentlighet. Dette er situasjonsavhengig, og opp til forvaltningsorganet å avgjøre. Tabellen over eksemplifiserer forholdet mellom TLP-merkene og mulig anvendbare lovhjemler.