Overvåking og hendelseshåndtering (OH)

Ledere skal sørge for: 

• overvåking etter behov 
• forsvarlig rapportering, registrering og oppfølging av uønskede hendelser og avvik
• varsling til myndigheter og responsmiljøer i henhold til regelverk og avtaler
• å ha prosedyrer for beredskap og krisehåndtering som trer inn ved en hendelse

Virksomhetens rutiner for hendelses- og avvikshåndtering bør ha føringer for

• hva som skal rapporteres
• hvem som skal rapportere og når det skal rapporteres
• hvordan rapporteringen skal skje
• hvem som skal håndtere hva
• hvem som skal informeres om hva, inkludert varsling til myndigheter og responsmiljøer

Sikkerhetsovervåking er ett virkemiddel for å oppdage avvik og uønskede hendelser. Risikoeiere skal vurdere behov for overvåking av systemer og tjenester innenfor sitt ansvarsområde, og sørge for at nødvendig overvåking iverksettes. Vurderingen skal være basert på foranalysen av ansvarsområdet og vurdering av risiko.

Omfanget av slik overvåkning må være lovlig, strengt nødvendig og forholdsmessig. I tillegg må det tas hensyn til kostnadene ved overvåkingen, risikoen for hendelser og avvik, samt i hvilken grad overvåkingen er egnet til å redusere denne risikoen.  

Hva som skal overvåkes, hvordan overvåkingen skal gjennomføres og hvor lenge opplysningene skal lagres, må dokumenteres. Det finnes anbefalinger til hva som bør overvåkes i relevante ramme- og regelverk.

Risikoeier skal sørge for at meldinger om hendelser og avvik på sitt ansvarsområde blir håndtert. Varsel om hendelser kan komme fra interne og eksterne kilder.  

Ledere på alle nivåer skal sørge for at hendelser og identifiserte avvik brukes som grunnlag for læring.

Virksomheten skal varsle ved brudd på informasjonssikkerhet eller personopplysningssikkerhet der regelverk stiller krav til dette. Det kan inkludere varsling til

• Datatilsynet uten ugrunnet opphold og senest innen 72 timer, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter
• de registrerte uten ugrunnet opphold, dersom det er sannsynlig at bruddet vil medføre en høy risiko for fysiske personers rettigheter og friheter
• sikkerhetsmyndigheten og andre ved brudd eller mulighet for brudd i henhold til Sikkerhetsloven
• myndigheter i henhold til Digitalsikkerhetsloven, første varsel innen 24 timer
• relevante sektormyndigheter og responsmiljøer
• andre relevante berørte aktører
• politiet (anmeldelse eller tips) der det er relevant

Ledere på alle nivå skal sørge for beredskap for å være i stand til å redusere konsekvensene av hendelser. Virksomhetsledelsen må sørge for at det er klare føringer for når en hendelse defineres som en krise, og hvilke prosedyrer som da iverksettes. Prosedyrene må beskrive klare ansvarslinjer og nødvendig samordning, og være tilgjengelig i en krisesituasjon, slik at alle kjenner sitt ansvar og kan utføre sine oppgaver. 

Beredskapsarbeid og krisehåndtering baseres på

• ansvarsprinsippet    
• likhetsprinsippet 
• nærhetsprinsippet    
• samvirkeprinsippet 

Det bør etableres beredskaps- og kriseplaner for ulike virksomhetskritiske arbeidsoppgaver og funksjoner.