Håndbok i kartlegging og vurdering av avhengigheter
Vurdering av beskyttelse og resiliens
Det er viktig å ha tiltak som både øker redundans (reell tilgang til alternativer) og resiliens (bl.a. motstandsdyktighet), slik at det gir bedre fleksibilitet i hvordan og med hvilke typer tiltak en funksjon skal opprettholdes.
Det er selve funksjonen som skal unngås redusert, tapt eller overtatt, ikke objektet eller infrastrukturen som sådan. Det betyr at virksomheten kan vurdere at tilstrekkelig redundans oppfyller kravet til at funksjonstap begrenses, eller at alternative løsninger i form av egenberedskap, som for eksempel tilstrekkelig nødstrømsaggregat, i tilstrekkelig grad vil avverge funksjonstap. Det er forskjell mellom, og komplementaritet i, beskyttelsestiltak («protective security») og tiltak som øker resiliens. Der beskyttelse tradisjonelt har omhandlet reduksjon av sårbarheter og fysiske sikkerhetstiltak, kan dagens risikobilde kreve mer grundige vurderinger rundt hvordan funksjoner (f.eks. infrastruktur) kan gjøres mer resiliente og kan opprettholdes, uavhengig av type trussel. Man kan si at beskyttelse (sikkerhetstiltak) er for kjente trusler, mens tiltak som øker resiliens og redundans er for å forhindre negative konsekvenser fra både kjente og ukjente trusler. Et fellestrekk ved høy resiliens er evnen til å respondere, overvåke, lære av og forvente hendelser[1]. Hensikten med å bruke begrepet i vurderinger av avhengigheter er å ivareta intensjonen om styrket nasjonal sikkerhet gjennom økt resiliens.
Tabell 1 inneholder vurderingsspørsmål som skal bidra til at det kun er avhengigheter som ikke virksomheten klarer å redusere til et akseptabelt nivå, som skal meldes inn. Spørsmålene skal fungere som et «filter» før virksomheten melder inn avhengigheten. I flere tilfeller vil det, iallfall delvis, være en vurdering av hvilken risiko som er akseptabel for virksomheten (jf. vsf 13 bokstav a). Det er i tråd med lovens generelle krav til virksomheten (f.eks. sikkerhetslovens kap. 4).
Tabellen har svaralternativer med fargekode. Det kan være vanskelig å svare klart ja eller nei på spørsmålene. Intensjonen er veiledning, og er ikke en streng kategorisk inndeling. «Grønne svar» vil trekke avhengigheten mot det som ikke skal meldes inn som avhengighet, mens «røde svar» vil indikere at det er riktig å melde inn avhengighet. Det er lagt inn eksempel og veiledende tekst på spørsmålene.
Klikk på bildet for fullversjon.
[1] Se f.eks. FFI 2019 - Resiliens – hva er det og hvordan kan det integreres i risikostyring? Rapportnummer 19-00363 https://publications.ffi.no/nb/item/asset/dspace:6458/19-00363.pdf