Utvalgte hurtiglenker

    Rapporter og planer

    Styringsdokument for arbeidet med sikkerhet og beredskap i Kunnskapsdepartementets sektor

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    5 Grunnleggende tiltak

    Det er viktig at alle aktører i KDs sektor jobber systematisk og helhetlig med samfunnssikkerhet.

    Det som omtales i dette kapittelet må regnes som krav til underliggende virksomheter og sterke anbefalinger til andre virksomheter i sektoren. Der det står "skal" må dette altså leses som "bør" for de virksomhetene som ikke er direkte underlagt departementet. Alle kravene i listen under skal dokumenteres skriftlig og dato for gjennomgang/revisjon må fremkomme.

    • KDs underliggende virksomheter skal/andre virksomheter i sektoren bør:
    • ROS-analyse
    • Utarbeide ROS-analyser som omfatter de tre sikkerhetsområdene samfunnssikkerhet og beredskap, nasjonal sikkerhet, og informasjonssikkerhet og personvern.
    • Analysen skal gjennomgås minimum hvert år og revideres ved behov.
    • Analysen skal presenteres i en helhetlig rapport.
    • Utarbeide en tiltaksplan til ROS-analysen for samtlige uønskede hendelser med middels eller høy risiko (denne kan inkluderes i den helhetlige ROS-rapporten).
    • Tiltaksplanen skal beskrive hvordan de enkelte tiltakene reduserer sannsynligheten for, og konsekvensene av, de uønskede hendelsene.
    • Krise- og beredskapsplaner
    • Utarbeide en krise- og beredskapsplan. Gjennomgås årlig og revideres ved behov. Planen skal som et minimum inneholde:
    • Definerte roller, oppgaver og fullmakter i en beredskapssituasjon eller krise
    • Rutiner for krisekommunikasjon internt og eksternt
    • Varslingsrutiner (herunder varsling av departementet)
    • Rutiner for koordinering med andre aktører
    • Utarbeide en kontinuitetsplan som del av beredskapsplanen. Holdes oppdatert og revideres ved behov.
    • Utarbeide en pandemiplan som utfyller beredskapsplanen. Revideres ved behov.
    • Krise- og beredskapsøvelser
    • Gjennomføre minimum en krise- og beredskapsøvelse per år. Øvelsene skal ta utgangspunkt i uønskede hendelser identifisert i virksomhetens ROS-analyse.
    • Utarbeide en årlig øvelsesplan som minimum skal inneholde:
    • Formålet med den enkelte øvelse
    • Tid og sted for gjennomføring
    • Øvelsesscenario
    • Type øvelse
    • Målgruppe
    • Gjennomføre og dokumentere evalueringer av gjennomførte beredskapsøvelser og reelle hendelser.
    • Gjennomføre ledelsesforankrede oppfølgingsplaner. Disse skal som et minimum inneholde:
    • Læringspunkter
    • Beskrivelse av tiltakene
    • Tidsramme/frist for gjennomføring av tiltakene
    • Ansvarlig for hvert enkelt tiltak

    5.1 Risiko- og sårbarhetsanalyser

    Målet med ROS-analyser er å identifisere uønskede hendelser som kan inntreffe, vurdere risiko og sårbarhet knyttet til hendelsene og utarbeide tiltak som er nødvendige for å redusere risiko og sårbarhet. Analysene kan også bidra til å styrke erkjennelsen av risiko i en virksomhet. Risikoerkjennelse er en forutsetning for å forebygge, redusere og håndtere risiko. Virksomhetens ledelse kan gjennom ROS-analysene både forstå risikoen de kan bli utsatt for og erkjenne ansvaret for å håndtere den. ROS-analysene ligger til grunn for det øvrige samfunnssikkerhets- og beredskapsarbeidet.

    Arbeidet med ROS-analyser er en systematisk prosess som kan baseres på ulike fremgangsmåter og standarder, deriblant ISO 31000 (Risikostyring) og NS 5814 (Risikovurderinger). Noe som går igjen er hoveddelene i selve prosessen: en planleggingsfase og forarbeid, en gjennomføringsfase, og en oppfølgingsfase. ROS-analyser må tilpasses virksomhetens størrelse og egenart. Det er stor variasjon innenfor KDs sektor, fra små barnehager og skoler til store universiteter og høyskoler, og fra opplæringsvirksomheter til rene forvaltningsorganer. Det er viktig at virksomhetene tar utgangspunkt i sin egen situasjon og tilpasser analysene til hva som er relevant for denne. ROS-analysene skal være nyttige verktøy i det konkrete arbeidet med samfunnssikkerhet og beredskap.

    Arbeidet med sikkerhet og beredskap skal være en integrert del av den helhetlige virksomhetsstyringen. Det er derfor hensiktsmessig å se ROS-analyser i sammenheng med virksomhetens øvrige risikoanalyser, deriblant av måloppnåelse og helse, miljø og sikkerhet (HMS). Å se disse i sammenheng kan for eksempel innebære at man gjør seg kjent med øvrige risikoanalyser, identifiserer hendelser som kan være relevante for flere av risikoanalysene, og bruker integrerbare kategoriinndelinger.

    KD anbefaler at ROS-analysene som omfatter samfunnssikkerhet, nasjonal sikkerhet, og informasjonssikkerhet og personvern utarbeides separat fra HMS. Dette bidrar til at både HMS og de tre sikkerhetsområdene vies tilstrekkelig ressurser og fokus, og at analysene legges til grunn for videre planverk innenfor begge feltene. Det er likevel mulig å integrere analysene dersom man finner gode løsninger på dette, men dette krever at man er bevisst formålet med de ulike analysene og at disse legges til grunn for videre oppfølging innenfor de ulike områdene.

    KD anbefaler at virksomhetene i sitt arbeid med ROS-analyser henter inspirasjon fra blant annet DSBs krisescenarioer og de årlige trusselvurderingene fra henholdsvis NSM, PST og Etterretningstjenesten i identifiseringen av relevante hendelser for egen virksomhet. I DSBs krisescenarioer analyseres svært alvorlige hendelser samfunnet bør kunne forebygge og håndtere konsekvensene av. DSB tar utgangspunkt i større kriser som rammer samfunnet som helhet, og som derfor også kan ramme virksomheter i KDs sektor.

    De ulike trinnene i ROS-analysearbeidet skal dokumenteres i en helhetlig rapport. Det er videre viktig at ROS-analysen følges opp med konkrete tiltak overfor uønskede hendelser som vurderes til å inneha middels og høy risiko. Dette må synliggjøres gjennom utarbeidelse av en tiltaksplan. Tiltaksplanen skal beskrive hvordan de enkelte tiltakene reduserer sannsynligheten for, og konsekvensene av, uønskede hendelser.

    En virksomhets ROS-analyse må minimum gjennomgås hvert år og revideres ved behov. Det er vesentlig at analysen gir mest mulig oppdatert informasjon om risiko og sårbarhet. Endringer i konteksten, som at virksomheten blir omorganisert eller får nye oppgaver, at verdiene virksomheten har definert som beskyttelsesverdige blir redefinert eller trusselbildet endrer seg kan være grunner til å revidere ROS-analysen.

    De to foregående utgavene av dette styringsdokumentet hadde et vedlegg med veiledning til arbeidet med ROS-analyser. Vedlegget er nå tatt ut, og Beredskapsrådet jobber med en ny veileder.

    5.2 Krise- og beredskapsplanverk

    En krise kan oppstå som en plutselig hendelse, som en eskalerende hendelse som gradvis går fra normal håndtering til krisehåndtering, eller som en varslet krise. Krisesituasjoner krever ofte svært raske beslutninger og iverksettelse av tiltak på en raskere og mer effektiv måte enn i en normal situasjon. Det er derfor viktig å ha utarbeidet en krise- og beredskapsplan som raskt kan tas i bruk for å håndtere ulike typer kriser.

    Alle virksomheter må utvikle og vedlikeholde krise- og beredskapsplaner for håndtering av uønskede hendelser eller kriser. Planen skal utarbeides på grunnlag av ROS-analysen.

    Krise- og beredskapsplanen må være lett tilgjengelig, og som et minimum inneholde:


    Definerte roller, ansvar, oppgaver og fullmakter i en beredskapssituasjon eller krise
    Rutiner for krisekommunikasjon internt og eksternt
    Varslingsrutiner (avklare hvem som skal varsles og hvem som har ansvaret for dette, samt hvordan varsling skal finne sted)
    Rutiner for koordinering med andre aktører

    Jf. første kulepunkt kan tiltakskort som beskriver roller og ansvar være en hensiktsmessig del av beredskapsplanen.

    Jf. tredje kulepunkt skal alle virksomheter ha etablerte rutiner for hvordan også departementet skal varsles ved en uønsket hendelse. Virksomhetene har ansvar for å holde departementet tilstrekkelig orientert ved en hendelse. I tillegg til varsling, innebærer dette også informasjonsdeling og rapportering.

    Virksomhetene skal som en del av beredskapsplanen utarbeide en kontinuitetsplan for å opprettholde kritiske funksjoner ved høyt personellfravær, uavhengig av årsak. DSB har utarbeidet en veileder for kontinuitetsplanlegging som kan være nyttig å benytte.

    I kapittel 4.2 beskrives pandemi som et scenario som kan ramme kunnskapssektoren hardt. Det må tas høyde for dette i den enkelte virksomhet ved å utarbeide en egen pandemiplan som utfyller beredskapsplanen. Virksomhetene kan i tillegg velge å utarbeide egne planer for håndtering av andre bestemte hendelser. Eller innlemme disse i beredskapsplanen, for eksempel som situasjonsspesifikke tiltakskort.

    Virksomhetene må årlig gjennomgå krise- og beredskapsplanverket, og revidere ved behov. Dette er særlig aktuelt i etterkant av øvelser og reelle hendelser der krise- og/eller hendelseshåndteringsevnen til virksomheten er prøvd ut.

    5.3 Krise- og beredskapsøvelser

    Øvelser er læringsarenaer som skal bidra til at ledere og medarbeidere i virksomheten kjenner krise- og beredskapsplanen, sin rolle og sine oppgaver i en krisesituasjon. Det er en viktig forutsetning for å lykkes i håndteringen av uønskede hendelser og kriser.

    Ved prioritering og valg av øvingsscenario skal virksomhetene ta utgangspunkt i ROS-analysen, herunder uønskede hendelser med høy eller middels risiko.

    Øvelser kan ha ulik form, for eksempel: (1) diskusjonsøvelse hvor øvingsdeltakerne diskuterer ulike problemstillinger i tilknytning til et scenario, (2) spilløvelse, hvor det utføres handlinger mot en spillstab som fyller aktuelle roller, eller (3) fullskalaøvelse, som er den øvingsformen som ligner mest på en virkelig situasjon ved at man øver mot reelle instanser. Hvilken form som er hensiktsmessig avhenger av øvelsens hensikt og mål, samt tilgjengelige ressurser.

    Samfunnssikkerhetsinstruksen stiller krav til at departementene evaluerer og følger opp hendelser og øvelser. Kravene er også relevante for virksomhetene i sektoren. Øvelser og hendelser må evalueres. Evalueringen må dokumenteres. Forbedrings- og læringspunkter som avdekkes i evalueringen må følges opp og konkretiseres i en oppfølgingsplan. Virksomhetene skal utarbeide en ledelsesforankret oppfølgingsplan. Som minimum skal den inneholde:


    Læringspunkter
    Konkret beskrivelse av tiltak
    Tidsramme/frist for gjennomføring av tiltak
    Ansvarlig for hvert enkelt tiltak

    En øvelse er ikke ferdigstilt før samtlige punkter i oppfølgingsplanen er fulgt opp.

    For å strukturere øvingsvirksomheten skal virksomhetene utarbeide en årlig øvingsplan. Som minimum skal den inneholde:


    Formålet med den enkelte øvelse
    Tid og sted for gjennomføring av øvelsene
    Øvelsesscenario
    Type øvelse
    Målgruppe

    Øvingsplanen skal sørge for at virksomheten har en systematisk tilnærming til øvelser, hvor hele organisasjonen og samtlige aktuelle krisescenarioer øves over tid. Som et minimum skal det gjennomføres én øvelse hvert år. Det er ikke nødvendig at hele organisasjonen øves hver gang. Kriseledelsen må håndtere hendelsen for at det skal regnes som en krise- og beredskapsøvelse. Virksomhetene bør gjennomføre krise- og beredskapsøvelser sammen med eksterne aktører/samarbeidspartnere som kommunen, politiet og andre beredskapsetater, eller sammen med departementet.

    DSB utarbeidet i 2016 en grunnbok og metodehefter for ulike typer øvelser, som kan være nyttige å benytte.

    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen