Rammeverk for risikovurdering av kritiske samfunnsfunksjoner

Abstract

I denne rapporten er det utviklet et rammeverk for risikovurdering av de kritiske samfunnsfunksjonene som søker å ivareta resiliensperspektivet. Fordelen med et slikt perspektiv er vektleggingen av å opprettholde funksjonalitet til tross for at uønskede hendelser inntreffer. Rammeverkets utforming og oppbygning bygger direkte på, og er en videreutvikling av, tidligere anbefalinger fra FFI. Rapportene om resiliens i risikostyring og framgangsmåten FFI har anbefalt for status- og tilstandsvurderinger for kritiske samfunnsfunksjoner har vært særlig relevant. Det er identifisert 14 kritiske samfunnsfunksjoner, hvor det for hver av dem er utpekt et hovedansvarlig departement. Dette ansvaret innebærer blant annet at departementene holder oversikt over risiko og sårbarhet innenfor sine områder. For at de hovedansvarlige departementene skal kunne gjennomføre risikovurderinger av de kritiske samfunnsfunksjonene er de avhengige av grunnlagsinformasjon fra andre departementer, direktorater og etater. Rapporten søker derfor også å belyse hvorvidt gjennomførte risiko- og sårbarhetsanalyser (ROSanalyser) fra departementenes underlagte etater er tilstrekkelig for å anvende rammeverket. «Transport» er en av de 14 identifiserte kritiske samfunnsfunksjonene og risiko- og sårbarhetsanalyser fra Samferdselsdepartementets underlagte etater er anvendt som eksempel i denne rapporten. Rapporten konkluderer med at en del av informasjonskategoriene dekkes i de underlagte etatenes analyser, men rapporten gir også konkrete forslag til hvordan analysene kan forbedres. Med utgangspunkt i ROS-analysene presenteres konkrete anbefalinger for hvordan fremtidige analyser og bestillinger kan utformes for å dekke alle informasjonskategoriene i rammeverket. Selv om Samferdselsdepartementet og den kritiske samfunnsfunksjonen «transport» anvendes som eksempel i denne rapporten, er rammeverket generisk utformet og kan derfor anvendes av andre departementer med hovedansvar for kritiske samfunnsfunksjoner. Rammeverket kan også være nyttig for andre systemer, ettersom elementer kan tilpasses til det systemet som skal analyseres og til analysens formål. FFI anbefaler derfor at rammeverket testes på andre systemer for å vurdere egnetheten utover de kritiske samfunnsfunksjonene. Rapporten tar utgangspunkt i en tilnærming der syv indikatorer for resiliens er identifisert, og rammeverket som er utviklet bygger på én av disse. Selv om dette medfører en begrensning, argumenterer vi for at indikatorene ikke er gjensidig utelukkende og at sentrale aspekter ved de resterende indikatorene også er dekket. Vi argumenterer for at risikovurderinger vil gi viktig bakgrunnsinformasjon til arbeidet med forebygging, forberedelse, varsling, respons og gjenoppretting. En grundig gjennomført risikovurdering kan være svært nyttig i arbeidet med en helhetlig tilnærming til resiliens. Samtidig vil en helhetlig håndtering av resiliens forutsette at en også vurderer de resterende indikatorene, noe som bør studeres nærmere.

The purpose of this report is to develop and present a framework for risk assessment that will be useful for ministries with primary responsibility for critical societal functions. There are 14 critical societal functions and for each critical societal function, a ministry has primary responsibility for management and coordination. These ministries are, amongst other requirements, responsible for maintaining risk and vulnerability analyses for the critical societal functions. The framework for risk assessment seeks to integrate resilience because it focuses on maintaining functionality in a system, despite occurrence of unwanted incidents. The structure and content of the framework are based on previous recommendations from the Norwegian Defence Research Establishment (FFI) to integrate resilience in risk management as well as FFIs proposed approach for status and condition assessments. In order to analyse risk and vulnerability within a critical societal function, the primary responsible ministry is dependent on information from relevant directorates and agencies. The report aims to consider whether risk analyses from underlying agencies provide the primary responsible ministry with sufficient information to conduct a risk assessment based on the presented framework in this report. As an example, we have chosen the critical societal function “transportation” and assessed risk and vulnerability analyses from the four transportation agencies. The report concludes that the transportation agencies’ risk analyses sufficiently cover some information categories in the presented framework. However, improvements and recommendations related to how future orders can be designed in order to cover all the information categories are also presented. Even though the transportation sector is given as an example in this report, the framework is generic and can therefore be used by other ministries with primary responsibility for a critical societal function. The report also argues that the framework can be useful for other systems as well, because the content is adaptable. FFI therefore recommends testing the framework on other systems.