Uønskede hendelser, som sikkerhetstruende virksomhet, avvik og kompromittering av sikkerhetsgradert informasjon, skal håndteres for å begrense skade og hindre gjentagelse. Hendelseshåndteringen bør omfatte deteksjon, varsling, iverksetting av strakstiltak for å begrense skade, etablering av permanente korrigerende tiltak for å hindre gjentagelse. Håndtering av uønskede hendelser er en del av virksomhetens oppfølging av det forebyggende sikkerhetsarbeidet, og således også av virksomhetens styringssystem for sikkerhet.

Som grunnlag for hvordan virksomheten håndterer hendelser kan også NSMs Veileder for virksomheters håndtering av sikkerhetstruende hendelser anvendes.

Hvorfor er dette viktig: Uønskede hendelser skal håndteres for å begrense skade, sikre gjenoppretning og hindre gjentagelse. Uønskede hendelser kan innebære alvorlige sikkerhetsutfordringer, men er også et viktig grunnlag for virksomhetens kontinuerlige forbedring av eget forebyggende sikkerhetsarbeid.

Anbefalte tiltak:

  • Virksomheten bør sikre at nødvendig dokumentasjon, det være seg styrende, utførende og kontrollerende dokumenter som ivaretar håndtering av hendelser er integrert i styringssystemet for sikkerhet
  • Det bør etableres nødvendige systemer eller tiltak som muliggjør deteksjon av uønskede hendelser. Tiltakene kan være både fysiske, elektroniske, menneskelige eller organisatoriske.
  • Det bør etableres nødvendige systemer som muliggjør varsling og rapportering av uønskede hendelser, inkludert avvik fra virksomhetens styringssystem. Systemet må også ivareta nødvendig ekstern varsling, også til myndigheter.
  • Det bør være etablert nødvendige systemer eller tiltak for å avverge eller begrense uønskede hendelser, inkludert å gjenopprette det ønskede sikkerhetsnivået i virksomheten. Dette kan forberedes gjennom etablering av systemer for beredskap- og krisehåndtering. I den grad det er hensiktsmessig bør beredskap- og krisehåndtering følge ansvars-, nærhets-, likhets- og samvirkeprinsippet.
  • Uønskede hendelser bør dokumenteres (eks. logg, rapporter og evalueringer) som del av virksomhetens kontrollerende dokumentasjon for forebyggende sikkerhetsarbeid. Slik dokumentasjon kan blant annet brukes i forbindelse med varsling og ved evaluering av håndteringen.