Hendelsesrapportering

Publisert: 17.06.2014

Virksomheter underlagt sikkerhetsloven skal rapportere sikkerhetstruende hendelser til NSM. Disse hendelsene kan ha betydning for rikets sikkerhet, selvstendighet eller vitale interesser.

Hvorfor rapportere

Rapportering av sikkerhetstruende hendelser er primært "hjelp til selvhjelp", ved at både virksomheten og samfunnet potensielt blir sikrere. Husk at innrapportering av sikkerhetstruende hendelser til NSM er en lovpålagt plikt.

Rapportering av sikkerhetstruende hendelser til NSM bidrar blant annet til å:

  1. avdekke trender og sammenhenger som det kan være vanskelig å se for den enkelte virksomhet, og dermed
  2. sikre et korrekt og rettidig bilde av rikets sikkerhetstilstand og risikonivå
  3. gi mulighet til snarest mulig å iverksette forebyggende sikkerhetstiltak iht. risikobildet
  4. sikre at sikkerhetsavtaler med andre nasjoner og internasjonale organisasjoner blir opprettholdt

Ansvar og plikter

Iht sikkerhetsloven §5 plikter virksomheten:

  • å utøve forebyggende sikkerhetstjeneste. Enhver virksomhet underlagt sikkerhetsloven og dens ansatte, plikter å utøve forebyggende sikkerhetstjeneste. Ansvaret ligger hos virksomhetens leder.

Iht forskrift om sikkerhetsadministrasjon §5-6 plikter virksomheten snarest mulig å avgi foreløpig rapport til NSM dersom den oppdager:

  1. en sikkerhetstruende hendelse, eller
  2. sikkerhetsbrudd om informasjon sikkerhetsgradert av utenlandske myndigheter eller internasjonale organisasjoner.

Hva skal rapporteres til NSM

Eksempler på forhold som vil være rapporteringspliktige:

  • mistanke om avlytting/avlesing av gradert informasjon
  • manglende kontroll på kryptoutstyr
  • mistet minnepinne eller laptop med gradert informasjon
  • lekkasjer av gradert informasjon
  • kommunikasjon av gradert informasjon på lavere graderte/ugraderte systemer

For kategorisering av disse og mer informasjon, se tabell.

Hvordan rapportere til NSM

Rapportering til NSM skal foregå gjennom:

  • Hendelsesrapporteringsskjema - utskriftsversjon [PDF]

Hvordan sende hendelsesrapporteringsskjemaet

Dersom virksomheten vurderer informasjonen i rapporten som:  

Klassifisering/ Gradering

Forsendelse eller overlevering

Ugradert,
Unntatt offentlighet,
FORTROLIG eller BEGRENSET

1) send skjemaet som ordinær post, eller

2) lever personlig

STRENGT FORTROLIG,
KONFIDENSIELT eller HEMMELIG

1) send skjemaet i dobbel emballasje, enten med kurer eller som registrert postsending, eller

2) lever personlig i dobbel emballasje

STRENGT HEMMELIG

1) send skjemaet i dobbel emballasje med kurertjeneste, eller

2) lever personlig i dobbel emballasje

Skjemaet sendes til:

NSM
Postboks 814
1306 Sandvika

Andre rapporteringsformer til NSM

Ved alvorlige hastesaker, eller om de ovennevnte former anses som uegnet, rapportér snarest til NSM på en eler flere av følgende måter:

  • Ugradert telefon: 67 86 40 00 / 02497
  • Ugradert e-post: post@nsm.stat.no
  • Ugradert telefaks: 67 86 40 09
  • Gradert e-post: kan brukes av personell med tilgang til gradert system (ring NSM for nærmere opplysninger)
  • Gradert  telefaks: kan brukes av personell med tilgang til gradert faks (ring NSM for nærmere opplysninger)
  • Personlig overlevering/kurer: Kolsås Leir, Rødskiferveien 20, Kolsås, Bærum

Hvordan rapportere internt

Et hjelpemiddel for internrapportering er å bestille følgende blankett:

  • Blankett: "Melding om sikkerhetshendelse", papirblokkversjon for internt bruk, bestilles ved å ta kontakt med NSM.

Andre rapporteringshensyn

  • Dersom rapporten inneholder personopplysninger, må disse skjermes i henhold til personopplysningsloven.
  • Skulle det fremkomme ny viktig informasjon i saken etter førstegangsrapportering, skal en utfyllende rapport fremsendes snarest.
  • Endelig rapport med sammenfatning av alle opplysninger og undersøkelser, og med informasjon om gjennomførte og planlagte tiltak, sendes NSM når saken anses avsluttet.
  • Foreløpig og endelig rapport kan slås sammen når saken avsluttes kort tid etter at hendelsen eller bruddet ble oppdaget.
  • Ved kompromittering av informasjon sikkerhetsgradert KONFIDENSIELT eller høyere må virksomheten informere tilvirker av informasjonen. Tilvirker må deretter gjøre en skadevurdering, som rapporterende virksomhet oversender en kopi av til NSM.

Rundskriv 1/11: Rapportering av sikkerhetstruende hendelser til NSM

Dette rundskrivet omhandler sikkerhetstruende hendelser som virksomheter underlagt sikkerhetsloven plikter å rapportere til Nasjonal sikkerhetsmyndighet (NSM), samt former for rapportering.

  • Rundskriv 1/11: Rapportering av sikkerhetstruende hendelser til NSM [PDF]