Veileder for tilsyn med forebyggende sikkerhetsarbeid
Risikohåndtering
Virksomhetsikkerhetsforskriften har krav om risikohåndtering i:
§ 13. Håndtering av risiko
Når en virksomhet skal håndtere en risiko, skal den vurdere
a) om risikoen er akseptabel
b) å endre sårbarheten til de skjermingsverdige verdiene ved grunnsikringstiltak og påbyggingstiltak
c) hvordan virksomheten kan påvirke konsekvensene som kan inntreffe dersom de skjermingsverdige verdiene rammes, for eksempel ved å endre redundansen eller iverksette tiltak for skadebegrensning og gjenopprettelse
d) å gjøre seg mindre avhengig av andre virksomheter
e) å håndtere risikoen på andre måter.
Virksomheten skal sende en oversikt over andre virksomheter den er avhengig av for å fungere som den skal, til Nasjonal sikkerhetsmyndighet og det departementet som er ansvarlig for det forebyggende sikkerhetsarbeidet i sektoren.
Sikkerhetsstyringssystemet skal dimensjoneres i forhold til risiko overfor de skjermingsverdige verdiene. Dette innebærer at sikkerhetstiltak skal etableres med utgangspunkt i risikovurderinger.
Risiko kan håndteres ved å begrense sårbarheter eller konsekvenser av at sikkerhetstruende virksomhet inntreffer. Risikohåndtering gjennom etablering av sikkerhetstiltak og -prosedyrer er nærmere beskrevet i kapittel 7.3.
Forsvarlig sikkerhetsnivå er oppnådd når risiko er redusert til akseptabelt nivå. Dette innebærer at resultater fra risikovurderinger må sammenlignes med fastlagt nivå for akseptabel risiko for å avgjøre om risikohåndteringen er tilstrekkelig eller om ytterligere sikkerhetstiltak må til.
Nivå for akseptabel risiko avledes av forsvarlig sikkerhetsnivå og må være konkret nok til å fungere som sammenligningsgrunnlag for resultater fra risikovurderinger. Eksempler på slik konkretisering fremgår av tabellene i vedlegg 1. Vurderingskriteriene her kan benyttes som sammenligningsgrunnlag for resultater fra risikovurderinger gjennomført i henhold til metoden (tiltaksvurderingen) beskrevet i dette vedlegget.