Den nye sikkerhetsloven trådte i kraft i 2019, og den byr på en rekke endringer. Den innfører flere nye begreper, får et utvidet virkeområde og gir virksomheter større frihet i det forebyggende sikkerhetsarbeidet.
Den opprinnelige sikkerhetsloven er over 20 år gammel, og samfunnet har endret seg drastisk siden den gang. En voldsom teknologisk utvikling har skapt nye måter å produsere, dele og lagre informasjon på, og det har oppstått nye avhengigheter mellom virksomheter og sektorer. Konsekvensen er et komplekst risikobilde der nasjonal sikkerhet utfordres av avanserte og målrettede cyberangrep.
Tilrettelegger for spesialtilpassing
Den nye sikkerhetsloven legger til rette for fleksible løsninger ved at detaljerte regler er erstattet med funksjonelle krav. Funksjonelle krav innebærer også at det i liten grad konkretiseres hvilke sikkerhetstiltak en virksomhet skal etablere. Loven fokuserer heller på hva sikkerhetstiltakene skal oppnå, nemlig et forsvarlig sikkerhetsnivå.
I stedet for detaljerte krav til hvordan et konferanserom skal lydisoleres, er det krav til at det som diskuteres i rommet ikke skal bli kjent for uvedkommende. Hvilke konkrete tiltak som skal iverksettes for å hindre at dette skjer, må virksomheten selv bestemme ut i fra egen risikosituasjon.
Dette legger til rette for at virksomheten kan velge en løsning som er tilpasset dem, men endringen fra konkrete krav til funksjonelle krav fører samtidig til at virksomhetene må selv ta et større ansvar, noe som krever bedre sikkerhetskompetanse.
Sikkerhetsloven mer aktuell for offentlige virksomheter
Sikkerhetsloven stiller noen generelle krav til forebyggende sikkerhet, som gjelder for alle virksomheter som er underlagt loven. For eksempel er virksomhetens leder ansvarlig for å etablere et styringssystem for sikkerhet og for å sette i verk forebyggende sikkerhetstiltak basert på risikovurderinger.
På denne måten vil den nye sikkerhetsloven bli mer aktuell for offentlige virksomheter som frem til nå har vært omfattet av den, men som ikke har trengt å ta innover seg kravene i loven, rett og slett fordi de ikke har hatt skjermingsverdige verdier.
Etter den nye sikkerhetsloven kan departementene fatte vedtak om at sikkerhetsloven også skal gjelde for private virksomheter som har avgjørende betydning for «grunnleggende nasjonale funksjoner». Det er det enkelte departement som skal utpeke konkrete og grunnleggende nasjonale funksjoner innenfor egen sektor.
Eksempler på slike funksjoner kan være betalingsformidling, strøm, matforsyning, reseptformidling, transport og elektroniske kommunikasjonsmidler. Så vidt Sopra Steria vet, arbeider departementene fortsatt med å definere hva som er grunnleggende nasjonale funksjoner, og det er ikke kjent når arbeidet vil være ferdig.
Større handlingsrom, større ansvar
Departementene har også ansvaret for å identifisere hvilke virksomheter som er avgjørende for grunnleggende nasjonale funksjoner. Det er nok her den største utvidelsen av sikkerhetslovens virkeområde ligger. Fra Helse Sør-Øst-saken vet vi allerede at deler av helsesektoren var underlagt den tidligere sikkerhetsloven.
Vi tror blant annet at deler av legemiddelindustrien, virksomheter som sørger for matforsyning, transport og banktjenester også vil komme innunder den, men det gjenstår å se.
Det blir spennende å se hvordan norske virksomheter vil bruke det nye handlingsrommet i sikkerhetsloven for å nå et forsvarlig sikkerhetsnivå. Med større handlingsrom for den enkelte virksomhet, kommer også større ansvar for samfunnets grunnleggende funksjoner og hele befolkningens grunnleggende sikkerhet.
Dette innlegget var først publisert på Digi.no i august 2019.
Medforfatter er også Martin Kjellevand og Ida Thorsrud