Virksomhetens øverste leder har ansvaret for å sikre at virksomheten har et sikkerhetsnivå som oppfyller gjeldende krav til informasjonssikkerhet og personvern. For virksomheter som er underlagt Lov om digital sikkerhet, innebærer dette å etablere og opprettholde et forsvarlig sikkerhetsnivå i tråd med lovens krav.
For virksomheter som ikke er omfattet av lov om digital sikkerhet, gjelder Normens krav om at virksomhetens informasjonsbehandling skal ha et sikkerhetsnivå som er egnet med hensyn til risikoen og behandlingens art.
Der Normen benytter begrepet «egnet» sikkerhetsnivå, skal dette for virksomheter som er underlagt lov om digital sikkerhet forstås som «forsvarlig» sikkerhetsnivå. Det vil si et sikkerhetsnivå som er tilpasset risikoen og er i tråd med lovens krav.
Videre skal ledelsen sikre at alle nødvendige organisatoriske, tekniske, fysiske og personellmessige sikkerhetstiltak blir gjennomført for å redusere risiko og opprettholde et egnet sikkerhetsnivå i virksomheten. Ansvaret bør ivaretas som en del av arbeidet med virksomhetsstyring og kvalitetsforbedring.
Ansvaret inkluderer å:
- sette føringer for vurdering og håndtering av risiko,2 inkludert fastsettelse av kriterier for å akseptere risiko
- sørge for velfungerende styring og kontroll.
Virksomheten skal dokumentere alle tiltak som iverksettes for å opprettholde informasjonssikkerhet og personvern.
Virksomheter som er omfattet av både Normens krav og forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten, bør legge denne forskriftens bestemmelser til grunn for å sikre at helse- og omsorgslovgivningens krav til informasjonssikkerhet og personvern etterleves.
