Vi lever i omskiftelige tider. Mange vil si i en usikker tid hvor trusselbildet er alvorlig og stadig i endring. De tre årlige trusselvurderingene som utarbeides av PST, E-tjenesten og NSM peker trusler fra statlige- så vel som ikke statlige aktører. Norske virksomheter og det norske samfunnet må sikres mot anslag, det være seg i form av spionasje, politisk motivert vold eller sabotasje av kritisk infrastruktur. 

Sikkerhetsloven

Sikring av Norges nasjonale sikkerhetsinteresser er regulert i lov om nasjonal sikkerhet. Loven trådte i kraft i 2019 og representerte en ny måte å regulere forebyggende sikkerhet sett opp mot nasjonale sikkerhetsinteresser.  Loven gjelder med få unntak, alle offentlige virksomheter samt private virksomheter som gjennom leveranser av varer og tjenester bidrar til å understøtte grunnleggende nasjonale funksjoner, som igjen sikrer våre nasjonale sikkerhetsinteresser.  

Sikkerhetsloven med tilhørende forskrifter er et omfattende regelverk. Etterlevelse pålegger virksomhetene en rekke krav med hensyn til verdikartlegging og styring av sikkerhet og risiko. For virksomheter som omfattes, kan kravene til etterlevelse virke overveldende og ressursinnsatsen omfattende. Vi vil i denne artikkelen se på sikring av verdier som understøtter grunnleggende nasjonale funksjoner og hevde at de vesentlige bestemmelsene i regelverket også er grunnleggende for god virksomhetsstyring, være seg i private eller offentlige virksomheter og uavhengig av om disse faller inn under loven. Hva legger vi i det?   

Forebyggende sikkerhet i virksomheter som faller utenfor loven 

En virksomhet leverer varer eller tjenester. Virksomheten fyller et formål. For private virksomheter vil formålet ofte være mål om avkastning på investert kapital. Formålet med sikkerhetsloven er å sikre nasjonale sikkerhetsinteresser. For å sikre formålet, må virksomheten produsere varer eller tjenester. Det gjør den gjennom sine virksomhetsprosesser.  Noen av prosessene er grunnleggende for å sikre virksomhetens evne til å levere varer eller tjenester. I sikkerhetslovens forstand er disse prosessene de grunnleggende nasjonale funksjonene.  I disse prosessene benytter virksomheten forskjellige innsatsfaktorer. Kall de gjerne verdier.  Noen av verdiene vil være avgjørende for virksomhetens evne til å levere varer og tjenester og man vil derfor ønske å sikre disse særskilt. I sikkerhetsloven er disse skjermingsverdige verdier.  Kort oppsummert:  

  • Sikkerhetsloven pålegger virksomheter som omfattes av denne å sikre verdier for å opprettholde grunnleggende nasjonale funksjoner som ivaretar nasjonale sikkerhetsinteresser 
  • God virksomhetsstyring innebærer at virksomheten sikrer sine grunnleggende verdier slik at den kan opprettholde produksjon av varer eller tjenester slik at virksomheten når målsettingene (som oftest avkastning på investert kapital) 

En virksomhet som har kartlagt sine verdier må vurdere hvilke skadefølger det vil få dersom verdiene blir utsatt for skadeverk eller ødeleggelse. En skadevurdering vil være en systematisk gjennomgang av verdiene. Det vesentlige er å vurdere konsekvenser av skade, bortfall og tid for gjenopprettelse, som vil være styrende for oppnåelse av det sikkerhetsnivået virksomhetene skal sikre verdiene for. Sikkerhetsloven klassifiserer de skjermingsverdige verdiene ut fra hvor kritisk bortfall eller tap vil være sett opp mot utførelse av deres funksjoner. Hensikten med klassifiseringen er å fastsette et riktig nivå for forsvarlig sikkerhet og at tiltak tilpasses dette. I virksomheter som omfattes av sikkerhetsloven, er det sektordepartementet som klassifiserer verdiene etter innstilling fra virksomhetene. I virksomheter som ikke omfattes av loven vil dette være et arbeid som utføres av virksomheten selv. Poenget med skadevurderingen er at det forebyggende sikkerhetsarbeidet differensieres og tilpasses viktigheten av verdiene. Selv virksomheter som ikke er underlagt sikkerhetslovens bestemmelser, bør sikre verdiene sine tilsvarende, som det viktigste tiltaket for å oppnå tilstrekkelig sikkerhet og dermed bedre være i stand til å oppnå solide resultater. 

Risikovurdering i virksomheten 

Når virksomheten har kartlagt og klassifisert sine verdier må den ta stilling til risiko.  Sikkerhetsloven stiller krav til at risiko vurderes regelmessig og at sikkerhetsreduserende tiltak tilpasses risiko.  Sikkerhetsloven stiller videre kun krav til sikring mot tilsiktede handlinger, ofte benevnt trusler. Vi vil anbefale at risiko også vurderes mot utilsiktede handlinger, ofte benevnt farer.  Valg av metode gjøres av virksomheten, men vi anbefaler at det skilles på trusler og farer.  NS 5832 gir et godt rammeverk for behandling av tilsiktede handlinger. NS 5814 kan benyttes for behandling av utilsiktede handlinger, hvor det ofte foreligger empirisk data for sannsynlighet og konsekvens av en uønsket hendelse. 

 

Risikovurdering innebærer en systematisk gjennomgang av verdiene som inngår i virksomheten.  Verdiene og deres betydning for virksomhetens arbeidsprosesser må vurderes og klassifiseres. Vurderingene må omfatte tap eller redusert tilgang til disse, noe som vil kreve involvering av de delene av virksomheten som er ansvarlig for bruk av disse. Vurderingen må også omfatte innsatsfaktorer til verdiene som virksomheten selv ikke rår over. Eksempler på dette kan være vann, strøm og ekom. 

 

Trusler og farer mot virksomheten må vurderes.  Virksomhetens egne vurderinger bør suppleres med tilgjengelige trusselvurderinger som nevnt innledningsvis i denne artikkelen. Vurdering av risiko knyttet til farer bør baseres på kjent empiri for aktuelle scenarioer som flom, ras, utfall av infrastruktur mm. Trusler og farer må oppsummeres i et sett scenarioer som benyttes videre i risikovurderingen. 

Virksomhetens ledelse må fastsette mål for sikkerhet. Sikkerhetsmålene skal si noe om virksomhetens evne til å produsere varer og tjenester etter en uønsket hendelse, det være seg tilsiktet eller utilsiktet. Dersom virksomheten oppfyller sine sikkerhetsmål, vil den være forsvarlig sikret. Sikkerhetsmålene vil være dimensjonerende for valg av sikringstiltak. Å sikre at virksomheten opprettholder vare- og tjenesteproduksjon under og etter en uønsket hendelse, vil ofte stille krav til ressurskrevende tiltak.  Virksomhetens ledelse må derfor beslutte hvor høy risiko den er villig til å akseptere.  Aksept av risiko innebærer at virksomhetens ledelse tar stilling til konkrete trussel- og farescenarier og aksepterer at disse kan inntreffe uten at virksomheten sikres mot disse. Av hensyn til ressursbruk, bør virksomheten vurdere om produksjon helt eller delvis kan gjøres ved bruk av reserveløsninger, ofte benevnt redundans.  Bruk av reserveløsninger kan være effektivt og gi besparelser i redusert omfang knyttet til grunnsikringstiltak. 

 

Virksomhetens verdier må vurderes opp mot deres sårbarheter. En sårbarhetsvurdering er en beskrivelse og vurdering av hvordan virksomheten påvirkes av at et gitt scenario inntreffer. Sårbarheten vurderes opp mot eksisterende sikringstiltak og bør deles inn i teknologiske, menneskelige, og organisatoriske sårbarheter. 

 

Samlet vurdering av verdier, trusler og sårbarheter vil gi en god beskrivelse av virksomhetens risiko. En slik vurdering vil ofte utløse behov for definering av risikoreduserende tiltak. Tiltakene faller som nevnt inn i tre kategorier; teknologiske, menneskelige og organisatoriske.  Virksomheten må ha en helhetlig tilnærming til alle tre, da det ofte er gjensidig avhengigheter mellom tiltakene. For eksempel så vil ikke innføring av et teknologisk tiltak, f eks i form av et sikkerhetssystem virke etter hensikten dersom det ikke er gjennomført et menneskelig tiltak i form av opplæring, eller at det foreligger organisatoriske tiltak i form av rutiner og planer for bruk og øvelser av systemet.  En helhetlig tilnærming er avgjørende for å dekke alle forhold og dermed oppnå forsvarlig sikkerhet over tid. 

Avsluttende betraktninger 

Vi har i denne artikkelen forsøkt å vise at krav i sikkerhetsloven knyttet til forebyggende sikkerhet i virksomheter som er underlagt sikkerhetsloven, ikke er veldig annerledes enn hva som bør forventes av god styring av virksomheter som ikke er underlagt denne loven. Vi mener at virksomheter som bevisst forholder seg til uønskede hendelser, vil stå sterkere over tid.  Dette er spesielt viktig nå når trusselbilde er forhøyet og vi går inn i en tid med en sikkerhetspolitisk situasjon som er i stadig endring. 

 

De prosessene som sikkerhetsloven innbyr til for kartlegging av verdier, avdekking av risikoer og etablering av nødvendige tiltak i form av rutiner og planer vil være til stor hjelp for virksomheter som ikke er underlagt sikkerhetsloven, i en stadig omskiftelig og mer utrygg sikkerhetspolitisk verden ønsker å sikre verdiene sine.  

Nysgjerrig?

Vi kan hjelpe din virksomhet på veien inn i en tryggere og mer robust hverdag. 

Lisa Grav Henriksen : Leder IKT

Lisa Grav Henriksen

Leder IKT

+47 975 09 004

E-post