Veileder i sikkerhetsstyring
Krav om sikkerhetsstyring
Sikkerhetsstyring omfatter alle aktiviteter med betydning for forebyggende sikkerhetsarbeid og skal gjennomføres planlagt og systematisk i form av et sikkerhetsstyringssystem som omfatter planlegging, etablering, gjennomføring og forbedring av det forebyggende sikkerhetsarbeidet. Sikkerhetsstyringen skal være del av virksomhetsstyringen for øvrig jf.:
§ 4-1. Sikkerhetsstyring (første ledd andre setning)
Forebyggende sikkerhetsarbeid skal være en del av virksomhetens styringssystem
Kravet om sikkerhetsstyring er utdypet i virksomhetsikkerhetsforskriften kapittel 2 med krav om etablering av sikkerhetsstyringssystem i:
§ 3. Styringssystem for sikkerhet
En virksomhet som omfattes av sikkerhetsloven, skal etablere et styringssystem for sikkerhet. Systemet skal sikre at virksomheten oppfyller kravene gitt i eller med hjemmel i loven.
Kravet om etablering av styringssystem for sikkerhet gjelder uavhengig av om virksomheten har en skjermingsverdig verdi. Sikkerhetsstyringssystemets utforming avhenger av de verdier som skal beskyttes og hvordan beskyttelsen etableres. Utformingen henger følgelig sammen med risiko for sikkerhetstruende virksomhet. NSM legger til grunn at styringssystemet for sikkerhet skal omfatte hele det forebyggende sikkerhetsarbeidet, det vil si både aktiviteter dedikert for sikkerhet og aktiviteter som kan ha betydning for sikkerhet. Dette innebærer at styringssystemet for sikkerhet skal omfatte:
- risikostyring
- sikkerhetsledelse
- sikkerhetsorganisering
- sikkerhetstiltak og -prosedyrer
- forholdet til andre virksomheter
- sikkerhetsoppfølging
- sikkerhetsdokumentasjon
Disse prinsippene for sikkerhetsstyring har sammenheng med grunnleggende forutsetninger for styring og kontinuerlig forbedring: Planlegge, utføre, kontrollere og forbedre – som illustrert i Figur 1.
Figur 1: Styring og kontinuerlig forbedring
Styringssystemet for sikkerhet skal samordnes med virksomhetsstyringen for øvrig. Dette vil gi grunnlag for felles tilnærming i håndteringen av de risikoer virksomheten står overfor. Med utgangspunkt i prinsippene for sikkerhetsstyring vil det være mulig å identifisere de deler av eksisterende virksomhetsstyring som kan utvides og tilpasses til også å dekke forebyggende sikkerhetsarbeid. Eksempelvis kan virksomhetens kompetansestyring utvides til også å omfatte sikkerhetskompetanse, og prosedyrer for avviksrapportering kan tilpasses til å inkludere rapporter om sikkerhetstruende virksomhet.
Ved samordning er det viktig å være oppmerksom på at forebyggende sikkerhetsarbeid vil medføre behandling av skjermingsverdig informasjon. Samordningen må derfor ivareta behovet for beskyttelse av slik informasjon.
Styringssystemet kan med fordel etableres med grunnlag i anerkjente standarder for styring som for eksempel ISO 9000-serien og ISO 27000-serien. Forutsetningen er at styringssystemet dekker (hele) det forebyggende sikkerhetsarbeidet, er dimensjonert i forhold til risiko for sikkerhetstruende virksomhet og oppfyller kravene i og i medhold av sikkerhetsloven, slik disse er beskrevet for hvert av styringselementene i kapittel 2-8 i denne veiledningen.