4 Krav og forventninger til virksomhetenes arbeid med samfunnssikkerhet

4.1 Risiko- og sårbarhetsanalyser

KD forutsetter at alle aktører i sektoren jobber helhetlig og systematisk med sikkerhet og beredskap. Ved å legge risiko- og sårbarhetsanalyser (ROS-analyser) til grunn, legger man et godt grunnlag for å følge en risikobasert tilnærming til arbeidet med sikkerhet og beredskap.

Råd for samfunnssikkerhet og beredskap (Beredskapsrådet) har utarbeidet en veileder i risiko- og sårbarhetsanalyser for kunnskapssektoren . Veilederen er primært rettet mot virksomheter innen høyere utdanning og forskning, men den faglige tilnærmingen til ROS-analyseprosessen er også nyttig for andre virksomheter og sektorer. Dette avsnittet bygger på veilederen.

Veilederen retter seg mot overordnet ROS-analyse relatert til samfunnssikkerhet (heretter overordnet ROS-analyse). Denne analysen kobles til samfunnssikkerhet ettersom verdiene en gjennom analysen ønsker å beskytte, er menneskers liv og helse og opprettholdelse av driften av virksomheten.

I tråd med helhetsperspektivet, må en overordnet ROS-analyse relatert til samfunnssikkerhet se til tidligere utførte risikovurderinger (risikoanalyser) innenfor samfunnssikkerhet, nasjonal sikkerhet (jf. kap 5) og informasjonssikkerhet (jf. kap. 6) og vurdere hvilke uønskede hendelser som bør inkluderes i den overordnede analysen. Den overordnede ROS-analysen skal vektlegge de hendelsene som har et betydelig konsekvenspotensial med hensyn til menneskers liv og helse og opprettholdelse av driften. Det kan være at hendelser som er omfattet av tidligere utførte risikovurderinger på HMS-området også er relevante å ta med inn i en overordnet ROS-analyse.

Målet med ROS-analyser er å identifisere uønskede hendelser som kan inntreffe, vurdere risiko og sårbarhet knyttet til hendelsene på et overordnet nivå og gi et underlag for valg av tiltak for å redusere risiko og sårbarhet. Analysene kan også bidra til å styrke erkjennelsen av risiko i en virksomhet. Risikoerkjennelse er en forutsetning for å forebygge, redusere og håndtere risiko. Virksomhetens ledelse kan gjennom ROS-analysene både forstå risikoen de kan bli utsatt for og erkjenne ansvaret for å håndtere den. ROS-analysene ligger til grunn for det øvrige sikkerhets- og beredskapsarbeidet, som utviklingen av beredskapsplaner og planlegging av beredskapsøvelser.

Arbeidet med ROS-analyser er en systematisk prosess som kan baseres på ulike fremgangsmåter og standarder, deriblant ISO 31000:2018 (Risikostyring) og NS 5814:2021 (Risikovurderinger). Noe som går igjen er hoveddelene i selve prosessen: en planleggingsfase og forarbeid, en gjennomføringsfase, og en oppfølgingsfase. ROS-analyser må tilpasses virksomhetens størrelse og egenart. Det er stor variasjon innenfor KDs sektor, fra små barnehager og skoler til store universiteter og høyskoler, og fra opplæringsvirksomheter til rene forvaltningsorganer. Det er viktig at virksomhetene tar utgangspunkt i egen situasjon og tilpasser analysene til hva som er relevant for denne. ROS-analysene skal være nyttige verktøy i det konkrete arbeidet med sikkerhet og beredskap. 25

De ulike trinnene i ROS-analysearbeidet skal dokumenteres i en helhetlig rapport. Det er videre viktig at ROS-analysen følges opp med konkrete tiltak overfor uønskede hendelser som vurderes til å inneha middels og høy risiko. Dette må synliggjøres gjennom utarbeidelse av en tiltaksplan. Tiltaksplanen skal beskrive hvordan de enkelte tiltakene reduserer sannsynligheten for, og konsekvensene av, uønskede hendelser.

En virksomhets ROS-analyse må minimum gjennomgås hvert år og revideres ved behov. Det er vesentlig at analysen gir mest mulig oppdatert informasjon om risiko og sårbarhet. Endringer i konteksten, som at virksomheten blir omorganisert eller får nye oppgaver, at verdiene virksomheten har definert som beskyttelsesverdige blir redefinert, eller trusselbildet endrer seg, kan være grunner til å revidere ROS-analysen.

Gjennomgang av ROS-analysen, og eventuell revisjon, skal kunne dokumenteres.

Om forholdet til trussel- og risikovurderinger for sektor og på nasjonalt nivå

KD anbefaler at virksomhetene i sitt arbeid med ROS-analyser henter inspirasjon fra blant annet DSBs krisescenarioer og de årlige trussel- og risikovurderingene fra henholdsvis NSM, Politiets sikkerhetstjeneste (PST) og E-tjenesten i identifiseringen av relevante hendelser for egen virksomhet. I DSBs krisescenarioer analyseres svært alvorlige hendelser samfunnet bør kunne forebygge og håndtere konsekvensene av. DSB tar utgangspunkt i større kriser som rammer samfunnet som helhet, og som derfor også kan ramme virksomheter i KDs sektor.

KD gjennomfører en helhetlig risiko- og sårbarhetsanalyse av sektoren (Sektor-ROS) med noen års mellomrom. Analysen tar utgangspunkt i overordnede nasjonale planleggingsgrunnlag som krisescenarioer, trussel- og risikovurderinger og bygger der det er naturlig på analyser og vurderinger gjort av underliggende virksomheter. ROS-analyser fra underliggende virksomheter og kommuner legges også til grunn. Analysen er unntatt offentlighet, men kan deles på anmodning.

4.2 Beredskapsplanverk

En krise kan oppstå som en plutselig hendelse, som en eskalerende hendelse som gradvis går fra normal håndtering til krisehåndtering, eller som en varslet krise. Krisesituasjoner krever ofte svært raske beslutninger og iverksettelse av tiltak på en raskere og mer effektiv måte enn i en normal situasjon. Det er derfor viktig å ha utarbeidet en krise- og beredskapsplan som raskt kan tas i bruk for å håndtere ulike typer kriser.

Alle virksomheter må utvikle og vedlikeholde beredskapsplaner for håndtering av uønskede hendelser eller kriser. Planen skal utarbeides på grunnlag av ROS-analysen.

Beredskapsplanen må være lett tilgjengelig, og må som et minimum inneholde:

• Organiseringen av beredskapsarbeidet med definerte roller, ansvar, oppgaver og fullmakter i en beredskapssituasjon eller krise.
• Rutiner for krisekommunikasjon internt og eksternt.
• Varslingsrutiner (avklare hvem som skal varsles og hvem som har ansvaret for dette, samt hvordan varsling skal finne sted).
• Kontinuitetsplan som del av beredskapsplanen. Holdes oppdatert og revideres ved behov.
• Pandemiplan som utfyller beredskapsplanen. Revideres ved behov.

Ved alvorlige hendelser skal virksomhetene varsle KD. En indikator på at det er en alvorlig hendelse er at man setter krisestab. Når og hvordan virksomhetene skal varsle departementet om alvorlige hendelser, skal inngå i virksomhetens etablerte varslingsrutiner, jf. tredje kulepunkt i listen over. Virksomhetene har ansvar for å holde departementet tilstrekkelig orientert ved en hendelse. I tillegg til varsling, innebærer dette også informasjonsdeling og rapportering. Informasjon om KDs beredskaps-epost og beredskapsnummer er kommunisert direkte til KDs underliggende virksomheter. Ved hastesaker skal man benytte telefonnummeret. Ta kontakt med KD dersom virksomheten ikke har tilgang på denne kontaktinformasjonen.

Virksomhetene skal som en del av beredskapsplanen utarbeide en kontinuitetsplan for å opprettholde kritiske funksjoner ved høyt personellfravær, uavhengig av årsak.

Pandemi vurderes som et høyst relevant scenario som kan ramme kunnskapssektoren hardt. Det må tas høyde for dette i den enkelte virksomhet ved å utarbeide en egen pandemiplan som utfyller beredskapsplanen. Virksomhetene kan i tillegg velge å utarbeide egne planer for håndtering av andre bestemte hendelser. Eller innlemme disse i beredskapsplanen, for eksempel som situasjonsspesifikke tiltakskort.

Virksomhetene må årlig gjennomgå beredskapsplanverket, og revidere ved behov. Dette er særlig aktuelt når virksomhetene oppdaterer sine ROS-analyser eller i etterkant av øvelser og reelle hendelser der krise- og/eller hendelseshåndteringsevnen til virksomheten er prøvd ut.

4.3 Beredskapsøvelser

Øvelser er læringsarenaer som skal bidra til at ledere og medarbeidere i virksomheten kjenner beredskapsplanen, sin rolle og sine oppgaver i en krisesituasjon. Det er en viktig forutsetning for å lykkes i håndteringen av uønskede hendelser og kriser.

Ved prioritering og valg av øvingsscenario skal virksomhetene ta utgangspunkt i ROS-analysen, herunder uønskede hendelser med høy eller middels risiko.

Øvelser kan ha ulik form, for eksempel: (1) diskusjonsøvelse hvor øvingsdeltakerne diskuterer ulike problemstillinger i tilknytning til et scenario, (2) spilløvelse, hvor det utføres handlinger mot en spillstab som fyller aktuelle roller, eller (3) fullskalaøvelse, som er den øvingsformen som ligner mest på en virkelig situasjon ved at man øver mot reelle instanser. Hvilken form som er hensiktsmessig, avhenger av øvelsens hensikt og mål, samt tilgjengelige ressurser.

Samfunnssikkerhetsinstruksen stiller krav til at departementene evaluerer og følger opp hendelser og øvelser. Kravene er også relevante for virksomhetene i sektoren.

For de virksomhetene som er underlagt sikkerhetsloven, stiller virksomhetssikkerhetsforskriften krav til regelmessige øvelser for å kontrollere effekten av sikkerhetstiltakene i en normalsituasjon og av tiltakene som er planlagt ved økt trusselnivå. 26

Øvelser må evalueres. Evalueringen må dokumenteres. Forbedrings- og læringspunkter som avdekkes i evalueringen må følges opp og konkretiseres i en oppfølgingsplan. Virksomhetene skal utarbeide en ledelsesforankret oppfølgingsplan. Som minimum skal den inneholde:

• Læringspunkter
• Konkret beskrivelse av tiltak
• Tidsramme/frist for gjennomføring av tiltak
• Ansvarlig for hvert enkelt tiltak

En øvelse er ikke ferdigstilt før samtlige punkter i oppfølgingsplanen er fulgt opp.

For å strukturere øvingsvirksomheten skal virksomhetene utarbeide en årlig øvingsplan. Som minimum skal den inneholde:

• Formålet med den enkelte øvelse
• Tid og sted for gjennomføring av øvelsene
• Øvelsesscenario
• Type øvelse
• Målgruppe

Øvingsplanen skal sørge for at virksomheten har en systematisk tilnærming til øvelser, hvor hele organisasjonen og samtlige aktuelle krisescenarioer øves over tid. Som et minimum skal det gjennomføres én øvelse hvert år. Det er ikke nødvendig at hele organisasjonen øves hver gang. Kriseledelsen må håndtere hendelsen for at det skal regnes som en krise- og beredskapsøvelse. Virksomhetene bør gjennomføre krise- og beredskapsøvelser sammen med eksterne aktører/samarbeidspartnere som kommunen, politiet og andre beredskapsetater, eller sammen med departementet.

DSB utarbeidet i 2016 en grunnbok og metodehefter for ulike typer øvelser, som kan være nyttige å benytte.

4.4 Hendelser

På samme måte som med øvelser, må man gjennomføre en evaluering i etterkant av alvorlige hendelser. Når en hendelse er ferdig håndtert og man har fått gjenopprettet et akseptabelt sikkerhetsnivå, er det viktig at man så snart som mulig får evaluert hendelsen og håndteringen av denne, for å forhindre at fremtidige situasjoner oppstår og/eller reduserer konsekvensene.

Evaluering av hendelser må dokumenteres. Forbedrings- og læringspunkter som avdekkes i evalueringen må følges opp og konkretiseres i en oppfølgingsplan. Virksomhetene skal utarbeide en ledelsesforankret oppfølgingsplan. Som minimum skal den inneholde:

• Læringspunkter
• Konkret beskrivelse av tiltak
• Tidsramme/frist for gjennomføring av tiltak
• Ansvarlig for hvert enkelt tiltak

Oppfølgingen av en hendelse er ikke å anse som avsluttet før samtlige punkter i oppfølgingsplanen er fulgt opp.

4.5 Annet regelverk knyttet til sikring av liv og helse og materielle verdier i virksomhetene

Virksomhetene i sektoren må etterleve en rekke ulike regelverk som har som hensikt å sikre verdier som liv og helse og materielle verdier. KDs krav til arbeidet med samfunnssikkerhet stiller derfor ikke krav til denne type arbeid spesifikt, men heller til de overordnede grunnelementene i beredskapsarbeidet (ROS-analyser, planverk, øvelser mm.). Det er virksomhetenes eget ansvar å sette seg inn i relevant regelverk som omfatter dem. Dette inkluderer blant annet regelverk knyttet til brannvern (forskrift om brannforebygging), helse-, miljø og sikkerhet (internkontrollforskriften), arbeid med kjemiske og biologiske risikofaktorer og andre arbeidsmiljøforhold (forskrift om utførelse av arbeid), smittevern (smittevernloven), helseberedskap (helseberedskapsloven) og tilpasning til natur- og miljøforhold (plan- og bygningsloven).

Det er virksomhetenes eget ansvar å iverksette konsekvens- og sannsynlighetsreduserende tiltak for hendelser med høy risiko. Dette kan for eksempel være å iverksette nødvendige terrorsikringstiltak 27 eller ulike tilgangsstyringsløsninger.

Veiledningsmateriell for arbeidet med samfunnssikkerhet

Noe veiledningsmateriell er referert til i de foregående kapitlene. Annet er tilgjengelig ved å følge lenker i 7.3. I dette avsnittet trekker vi frem noe veiledningsmateriell av særskilt relevans for sikkerhets- og beredskapsarbeidet, I tillegg omtales materiale fra Beredskapsrådet og sikresiden.no separat i henholdsvis 7.1 og 7.2.

Veiledere for beredskap ved barnehager og utdanningsinstitusjoner

• Hvordan håndtere alvorlige hendelser i barnehage og skole er utarbeidet av Udir, DSB, Politidirektoratet (POD) og Helsedirektoratet og gir råd om praktisk beredskapsarbeid. Veilederen inneholder informasjon om ansvar, hvordan lage beredskapsplan samt konkrete strategier og forslag til tiltak.

POD oppfordrer virksomheter som har behov for bistand fra politiet med utarbeidelse av lokale beredskapsplaner eller til forebyggende rådgivning til å ta kontakt med politikontakten i sin geografiske enhet på telefon 02800.

• Veileder om atomhendelser for barnehager og skoler er utarbeidet av Udir, Helsedirektoratet og Direktoratet for strålevern og atomberedskap (DSA) i mars 2025. Barn og unge er særlig sårbare for stråling og radioaktivitet. Det er derfor viktig å sikre dem så god beskyttelse som mulig. Denne veilederen skal bidra til at skoler, barnehager og andre som driver opplæringstilbud for barn og unge er best mulig forberedt på atomhendelser. I forbindelse med arbeidet med veilederen ble det også laget et sett med spørsmål og svar om atomhendelser for barnehager og skoler .

Veiledere for beredskap knyttet til terrortrusselen

• Terrorsikring: Veileder i sikkerhets- og beredskapstiltak mot tilsiktede uønskede handlinger er utarbeidet av PST, POD og NSM. Veilederen gir virksomhetene et hjelpemiddel til å utarbeide tidsbegrensede sikkerhetstiltak for å møte en terrortrussel. Behovet for å iverksette slike tiltak kan oppstå ved endringer i trussel- og risikobildet knyttet til mulige terrorhandlinger. Det er stor variasjon når det gjelder de ulike virksomhetenes sikkerhetsbehov. Noen er mer utsatte enn andre avhengig av virksomhetens formål, driftsform og lokalisering. Derfor vil også anbefalte sikkerhetstiltak variere.
• Råd mot terrorhandlinger er også utgitt av PST, POD og NSM. Her gis råd om hva en kan gjøre for å beskytte seg mot terror og andre alvorlige hendelser som kan true liv og helse. Rådene er rettet mot grupper som kan være utsatt for terror og andre alvorlige hendelser, og som ikke nødvendigvis har kunnskap om sikkerhets- og beredskapsarbeid. Dette kan for eksempel være tros- og livssynssamfunn og minoritetsmiljøer, men også andre samlingssteder kan være utsatt.

Veiledning i forebygging av radikalisering og ekstremisme

• Regjeringen har utarbeidet en nasjonal veileder for forebygging av radikalisering og voldelig ekstremisme og en handlingsplan mot radikalisering og voldelig ekstremisme . Målet er å fange opp personer i risikosonen så tidlig som mulig og møte dem med tiltak som virker. Flere sektorer bidrar i oppfølgingen av tiltakene. KD har et særlig ansvar for forebyggende mot gruppebaserte fordommer, fremmedfrykt, rasisme, antisemittisme, hatefulle ytringer, ekstremisme og udemokratiske holdninger. Dette gjøres blant annet gjennom å bygge demokratisk kompetanse, med inkludering og deltakelse, kritisk tenkning og mangfoldskompetanse. I Meld. St. 13 (2024–2025) Forebygging av ekstremisme. Trygghet, tillit, samarbeid og demokratisk motstandskraft fra mars 2025 lanserer regjeringen en rekke tiltak. Et av tiltakene er et nytt nasjonalt senter for innsats mot radikalisering og voldelig ekstremisme. Sentrale oppgaver for senteret vil være veiledning og støtte til kommuner og førstelinjetjenester, pårørende, nærstående og andre aktører. Senteret skal formidle kompetanse og kunnskap om fenomener, utviklingstrekk og forebyggende arbeid til nasjonale, regionale og lokale aktører. Når senteret er på plass vil det kunne være et relevant tilbud for aktører i kunnskapssektoren.