Etterlevelse av regelverk

Denne delen drar fram særlig relevant regelverk, spesielt tverrsektorielt regelverk som er relevant for alle statlige virksomheter. Ved behov for å ha dialog om etterlevelse av regelverk er det viktig at etatsstyrere også har oversikt over sektorregelverk og særlover som er relevante for den aktuelle virksomheten.

Innholdet i tabellen er prefikset med navn på regelverk som omtales, og kan benyttes der dette regelverket er relevant.

Hensikt

Ved gjennomgang av dette temaet vil du som er etatsstyrer, få innsikt i virksomhetens etterlevelse av regelverk.

Overordnede spørsmål

  • Har virksomheten oversikt over sine forpliktelser knyttet til informasjonssikkerhet i henhold til gjeldende regelverk?
  • Kan virksomheten redegjøre for om de etterlever regelverk?
  • Kan virksomheten redegjøre for hvordan de etterlever regelverk?

God eller manglende styring og kontroll?

Indikatorene under inneholder en liste med utsagn eller beskrivelser av tilstand. Den første listen kan benyttes som indikatorer på god styring og kontroll, mens den andre listen beskriver forhold som kan indikere manglende styring og kontroll. Det er ikke direkte sammenheng mellom innholdet i de to listene, og alt har ikke en positiv og en negativ omtale. En del typiske og kjente problemsymptomer er vektlagt med forhold som kan indikere mangler i styring og kontroll.

Indikerer god styring og kontroll

Forvaltningsloven: Virksomheten har styring og kontroll i tråd med eForvaltningsforskriften § 15 andre ledd, som er basert på anerkjent internasjonal standard og gjeldende anbefalinger for etterlevelse av bestemmelsen. Arbeidet med styring og kontroll med informasjonssikkerhet er en integrert del av virksomhetens helhetlige styringssystem og inkluderer relevante krav som er fastsatt i annen lov, forskrift eller instruks.

Sikkerhetsloven: Ledelsen viser god forståelse for innholdet i sikkerhetsloven med forskrifter og har oversikt over hvor sikkerhetsbrudd kan få konsekvenser for grunnleggende nasjonale funksjoner og nasjonale sikkerhetsinteresser.

Sikkerhetsloven: Sikkerhetsstyring etter denne loven er en del av virksomhetens styringssystem. Innholdet i de systematiske aktivitetene er tilpasset for å ivareta alle særkrav i dette regelverket i de tilfellene der det er behov for det.

Sikkerhetsloven: Virksomheten har etablert sikkerhetstiltak i tråd med minimumskravene, inkludert kravene i virksomhetsikkerhetsforskriften.

Sikkerhetsloven: Virksomheten kan redegjøre for hvordan de oppnår forsvarlig sikkerhetsnivå for det som skal sikres etter loven.

Personopplysningsloven med personvernforordningen: Virksomheten behandler personopplysninger med tilstrekkelig sikkerhet og kan dokumentere etterlevelse av regelverket.

Virksomheten har god oversikt over hvilke særlover og sektorregelverk som gjelder informasjonsbehandlingen deres, og god forståelse for hvilke krav det stiller til deres arbeid med informasjonssikkerhet.

Kan indikere manglende styring og kontroll

Virksomheten har ikke oversikt over regelverk de er omfattet av.

Virksomheten håndterer forskjellige regelverk for seg, er ikke i stand til å se sammenhengene og har ikke en helhetlig oppfølging av dem.

Forvaltningsloven: Virksomheten har ikke styring og kontroll i tråd med eForvaltningsforskriften § 15 andre ledd og tilhørende anbefalinger.

Sikkerhetsloven: Virksomheten kan ikke redegjøre for pliktene de har etter sikkerhetsloven med forskrifter.

Personopplysningsloven med personvernforordningen: Virksomheten har ikke oversikt over hvordan de behandlerpersonopplysninger og hvilket behov det er for å sikre personopplysningene med tanke på konfidensialitet, integritet og tilgjengelighet for å ivareta fysiske personers rettigheter og friheter.

Oppdatert: 22. januar 2023

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.