NSMs grunnprinsipper for sikkerhetsstyring er et sett med prinsipper og anbefalte tiltak som beskriver hva virksomheten kan gjøre for å oppnå og opprettholde et akseptabelt sikkerhetsnivå.

Hvorfor er det viktig med sikkerhetsstyring?

Arbeidet med sikkerhet handler om å beskytte noe som er verdifullt. Tap av disse kan gi negative konsekvenser, ikke bare for virksomheten selv, men også andre interessenter.

I møte med stadig mer komplekse verdikjeder og en verden preget av globalisering, der sårbarheter forplanter seg raskt og virksomhetene knyttes sammen gjennom nettverk og avhengigheter, er det viktig at virksomheten har god kontroll på sikkerheten for å redusere risikoen til et akseptabelt nivå.

Alle aktiviteter som er nødvendig for å opprettholde og forbedre beskyttelsen av virksomhetens verdier, omfattes av det vi beskriver som sikkerhetsstyring. Formålet med sikkerhetsstyring er å etablere et sikkerhetsnivå for verdiene som er ansett som akseptabelt eller tilstrekkelig. Hva som er akseptabelt bestemmes og konkretiseres av virksomheten selv, og baserer seg på krav fra myndigheter, kunder, virksomheten selv eller av andre interessenter.

Hvordan kan virksomheten ivareta sikkerheten?

For å ivareta sikkerhetsarbeidet må virksomheten bl.a. identifisere hvilke verdier virksomheten råder over, analysere risikoen for at verdiene kan gå tapt og iverksette og opprettholde nødvendig tiltak slik at verdiene er tilstrekkelig beskyttet. I tillegg vil det være nødvendig å etablere aktiviteter som på annen måte understøtter arbeidet med sikkerhet. Slike aktiviteter kan for eksempel rette seg mot opplæring, sikkerhetskultur, fordeling av roller og ansvar og håndtering av hendelser.

Sikkerhetsstyring er avgjørende for at riktig tiltak identifiseres og implementeres. Svakheter i sikkerhetsstyringen kan medføre at f.eks. personellmessige eller fysiske sårbarheter forblir åpne. Et sikkerhetsstyringssystem skal kunne identifisere sårbarheten og sørge for at den blir lukket.

Det overordnede ansvaret for sikkerheten ligger hos ledelsen, gjennom at de setter mål og føringer for sikkerhetsarbeidet, samt følger opp og leder forbedringsarbeidet.  Ansvaret for å ivareta sikkerheten for verdiene ligger også hos alle de ansatte, de vil på en eller annen måte ha befatning med virksomhetens verdier.

Hva kan NSMs grunnprinsipper for sikkerhetsstyring bidra med?

For å gi virksomheter et utgangspunkt for sitt arbeid med sikkerhet har NSM etablert grunnprinsipper for sikkerhetsstyring. Prinsippene skal bidra til at virksomheten tenker helhetlig på sikkerheten og skal være en overbygning eller introduksjon til de mer fagspesifikke sikkerhetsgrenene, som IKT-sikkerhet, personellsikkerhet og fysisk sikkerhet. Hvilke anbefalinger som er relevant vil variere fra virksomhet til virksomhet, avhengig av om virksomheten er stor eller liten, hvilke verdier virksomheten råder over, samt hvilke trussel- og sårbarhetsbilde virksomheten står ovenfor. 

Hvem er målgruppen?

Målgruppen for grunnprinsippene er primært ledere og andre med ansvar for sikkerhetsstyring i virksomheten. Grunnprinsippene er sektorovergripende og gir anbefalinger for alle typer virksomheter som ønsker å beskytte sine verdier, både private og offentlige virksomheter. Grunnprinsippene er relevante uavhengig av om virksomheten er underlagt sikkerhetsloven eller ikke.

Hva er NSMs grunnprinsipper for sikkerhetsstyring?

Verdier kan gå tapt på ulike måter, og være et resultat av naturskapte eller menneskeskapte hendelser. NSMs grunnprinsipper for sikkerhetsstyring er et sett med prinsipper og anbefalte tiltak for å sikre verdiene mot menneskeskapte villede handlinger, også kalt tilsiktende handlinger eller sikkerhetstruende virksomhet.

Grunnprinsippene er delt inn i fire kategorier, som vist i Figur 1. Kategoriene bygger på hverandre, og enkelte er en forutsetning for at andre skal kunne implementeres effektivt. Å etablere og følge opp helhetlig sikkerhet er en kontinuerlig aktivitet som må vurderes i hele verdiens levetid, fra planlegging og etablering til avhending, og endres ved behov.

GP Sikk.styring figur 1

Under hvert grunnprinsipp beskriver vi hvorfor dette grunnprinsippet er viktig og mulige konsekvenser dersom prinsippet ikke er implementert. Hvert grunnprinsipp har tilknyttede sikkerhetstiltak som beskriver hva som bør gjøres. NSMs grunnprinsipper for sikkerhetsstyring er et utvalg av de prinsippene og tiltakene vi mener er mest relevant for norske virksomheter, men omfatter ikke alle tenkelige tiltak. Grunnprinsippene sier ikke mye om hvordan virksomheten skal styre sikkerheten. Hvordan virksomheten velger å styre sikkerhet bør i størst mulig grad tilpasses virksomhetens egne behov, muligheter og begrensinger.

Selv om vi anbefaler alle virksomheter å følge prinsippene betyr ikke det at virksomheten oppfyller sikkerhetsloven ved å følge dem. Grunnprinsippene er ikke knyttet opp mot krav i, eller i medhold av sikkerhetsloven, men de vil være en nyttig, første byggestein for virksomheter som er eller kan bli underlagt sikkerhetsloven. For virksomheter underlagt sikkerhetsloven viser vi til NSMs Veileder i sikkerhetsstyring, der det dannes et grunnlag for virksomhetenes arbeid med å etterleve regelverket.

Det er fire premisser som er gjennomgående i NSMs grunnprinsipper for sikkerhetsstyring, og som er viktige suksessfaktorer for akseptabel sikkerhet:

  • Virksomhetens leder er ansvarlig for sikkerheten
  • Sikkerhetsstyringen er en integrert del av virksomheten
  • Det er god risiko- og sikkerhetsforståelse i hele virksomheten
  • Det forebyggende sikkerhetsarbeidet er helhetlig

Virksomhetens leder er ansvarlig for sikkerheten

God styring og effektive styringsprosesser er viktig for å opprettholde ønsket kvalitet, utvikling og levere etter fastsatte mål. For å etablere god sikkerhet er det helt avgjørende at ledelsen er involvert og tar ansvar for det forebyggende sikkerhetsarbeidet. Dette bidrar til at beslutninger om sikkerhet tas på riktig grunnlag, tilstrekkelige og nødvendige ressurser tildeles og til at ressursene brukes riktig.

Det er en klar sammenheng mellom sikkerhetsengasjerte ledere og sikkerhetstilstanden i virksomheten. Der ledelsen er fraværende i sikkerhetsspørsmål, blir avstanden til sikkerhetsarbeidet fort stor, og det blir vanskeligere å få besluttet, gjennomført og evaluert relevante tiltak. Leder skal engasjere seg, og skal legge til rette for gode rutiner og samarbeid som fremmer ønskelig sikkerhet.

Leder er ansvarlig for:

  • Å sette mål for sikkerheten
  • Fastlegge prinsipper for forebyggende sikkerhetsarbeid gjennom etablering av et styringsdokument
  • Sikre hensiktsmessig sikkerhetsorganisering
  • Oppfølging av det forebyggende sikkerhetsarbeidet

Mangelfull sikkerhetsstyring og -ledelse fører til at de viktigste risikoene ikke blir identifisert og redusert. Leder skal sørge for at det gjennomføres gode risiko- og sårbarhetsvurderinger og at vurderingene gir grunnlag for beslutninger om sikkerhetstiltak. Sist, men ikke minst skal leder sørge for at etablerte sikkerhetstiltak i nødvendig grad kontrolleres.

Sikkerhetsstyringen er en integrert del av virksomheten

NSM erfarer at de mest alvorlige avvikene ved tilsyn gjerne forekommer i virksomheter hvor sikkerhet er noe litt «annerledes», noe som behandles i et eget fagområde og av en adskilt gruppe mennesker.

Sikkerhetsstyring er et av flere underliggende prosesser som må være på plass for at virksomheten skal kunne løse sine oppgaver og nå sine mål. Hva som er akseptabel risiko for virksomhetens verdier, dvs. tilstrekkelig sikkerhet i forhold til virksomhetens mål og krav, besluttes av virksomhetens leder. Leder bør derfor sørge for at sikkerhetsstyring er godt integrert i virksomhetsstyringen, slik at det forebyggende sikkerhetsarbeidet blir ivaretatt i hele virksomheten. Dette betyr at virksomhetens toppledelse og resultatsansvarlige må være godt kjent med hvordan sikkerhetsstyring gjennomføres i virksomheten. Ved å inkludere forebyggende sikkerhet i virksomhetens arbeid med risikostyring bidrar virksomheten til at sikkerhetstiltakene prioriteres etter hvor risiko for sikkerhetstruende virksomhet er størst.

Det er tilstrekkelig risiko- og sikkerhetsforståelse i hele virksomheten

Ledelsen bør sikre tilstrekkelig risiko- og sikkerhetsforståelse i hele virksomheten. Dette gjøres gjennom opplæring av egne ansatte, men vel så viktig er å sørge for at leverandører, underleverandører og andre oppdragstakere har god risiko- og sikkerhetsforståelse.

Alle ansatte har et ansvar for å sikre en god sikkerhetskultur i virksomheten, men leder bør går foran med et godt eksempel og skape et miljø som gjør at medarbeiderne tørr å rapportere avvik og sårbarheter.

Det forebyggende sikkerhetsarbeidet er helhetlig

Videre bør leder sikre at det forebyggende sikkerhetsarbeidet er helhetlig. For å oppnå tilstrekkelig sikkerhet er det ikke nok med f.eks. bare fysiske tiltak eller bare elektroniske tiltak. Tilstrekkelig sikkerhet oppnår man når både organisatoriske, elektroniske, fysiske og menneskelige tiltak er kombinert og virker sammen. Dette kaller vi helhetlig sikkerhet. En sentral del av det forebyggende sikkerhetsarbeidet er å velge de risikoreduserende sikkerhetstiltakene som er mest hensiktsmessige og effektive for beskyttelse av virksomhetens verdier. Uten et helhetlig perspektiv på sikkerhet vil det være vanskelig for virksomheten å sikre sine verdier i tilstrekkelig grad. Dette krever en god ledelse.

Å etablere og følge opp helhetlig sikkerhet er en kontinuerlig aktivitet som må vurderes i hele verdiens levetid, fra planlegging og etablering til avhending og endres ved behov. 

Andre relevante råd og anbefalinger

NSM gir ut veiledningsmateriale og andre produkter som retter seg både mot virksomheter underlagt sikkerhetsloven og virksomheter utenfor sikkerhetslovens domene. NSM anbefaler at virksomhetene ser til hele bredden av NSMs veiledningsmateriale for å sørge for helhetlig sikkerhet.

Virksomheter vil først kunne oppnå et akseptabelt sikkerhetsnivå for sine verdier når de har identifisert og implementert tiltak som reduserer organisatoriske, elektroniske, fysiske og menneskelige sårbarheter.  

Grunnprinsippene for sikkerhetsstyring bør sees i sammenheng med øvrige grunnprinsipper utarbeidet av NSM samt NSMs veileder i sikkerhetsstyring. Grunnprinsipper for sikkerhetsstyring beskriver overordnede prinsipper som gjelder for virksomheten. Grunnprinsipper for fysisk sikkerhet, IKT-sikkerhet og personellsikkerhet utfyller grunnprinsippene for sikkerhetsstyring i de enkelte tiltakskategoriene. Samlet kan disse brukes i virksomhetens arbeid med helhetlig sikkerhet. Figur 2 viser sammenhengen mellom grunnprinsipper for sikkerhetsstyring og de ulike grunnprinsippene for tiltakskategoriene fysisk, personell, og IKT.

GP Sikkerhetsstyring figur 2