En full revisjon av beredskapsplanene kan være en omfattende oppgave, men en første gjennomgang kan gi mange av svarene du trenger, og er relativt enkelt å gjennomføre hvis du bruker malen vi beskriver her:
Beredskapsplanen
En god beredskapsplan skal sette organisasjonen i stand til å håndtere det uventede, fjerne uklarheter under krisen ved å angi mottiltak, kommunikasjonsprosedyrer og ansvarsforhold, samt gi rettledning for personale som skal håndtere alvorlige kriser. Den bør også gi rettledning for organisasjonens talspersoner som skal kommunisere med media og sentrale berørte parter under krisen.
Beredskapsplanen skal også vise til hvilke supplerende ressurser som er tilgjengelig innenfor organisasjonen, og gi oversikt over hvilken hjelp du kan få fra nødetater og det offentlige, samt viktige kontaktpunkter for disse. Men er din plan på plass?
Tre nivåer:
Start med å se på organiseringen. Vi deler gjerne beredskapsorganisasjonen opp i tre nivåer; 1. linje (skadested, frontlinje i forhold til media, involverte, etc), 2. linje med beredskapsledelsen og 3. linje med øverste ledelse, også kalt strategisk nivå. Sjekk planverket med disse kontrollspørsmålene:
- 1. linje: Er det klart definerte roller, ansvar og organisering fra skadested/kundekontakt/personellhåndtering?
- 2. linje: Er klart definerte roller og ansvar for beredskapsledelsen? Er det definert back-up ressurser. Rutiner for varsling og informasjon til samarbeidspartnere og myndigheter?
- 3. linje: Er det definert når og hvordan selskapsledelsen involveres? Hva med eiere/styre? Partnere og myndigheter?
Fire «egg»
For beredskapsledelsen deler man gjerne opp oppgavene i fire områder (eller «egg» som på illustrasjonen her):
Beredskapsorganisasjonen
Informasjonsflyt
En hovedutfordring ved enhver uønsket hendelse eller krise er informasjonsflyten mellom disse fire områdene, og mellom de tre nivåene. Hvordan er informasjonsflyten definert mellom disse ulike ansvarsområdene i ditt planverk? Hvordan sikres korrekt informasjon til beslutningstakerne? Hvordan tas beslutningene og hvordan kommuniseres de?
Planen må sikre at beredskapsledelsen får rask og korrekt informasjon. Du må også ha på plass en løsning for å skille mellom ubekreftet og bekreftet, verifisert informasjon, slik at det ikke tas beslutninger basert på rykter eller feil. Samtidig må planen sørge for at ledelsen ikke «drukner» i unødig informasjon. Her må det derfor være klare føringer for HVA som skal loggføres og av HVEM, samt til HVEM denne informasjonen skal.
Ved en krise kan interne IT-systemer være ute av funksjon, helt eller delvis. Disse prinsippene og planene må fungere også i slike tilfeller. Har din plan tatt høyde for dette og definert en alternativ kanal for informasjon internt i beredskapsledelsen, i organisasjonen og til eksterne?
Beredskapsplanen bør også ha føringer for loggføring av beslutninger som tas i beredskapsledelsen, slik at disse er mulige å spore i ettertid. Det heter seg jo at «Er det ikke skrevet ned – så har det ikke hendt.» Det samme gjelder beslutninger – er de ikke dokumentert, kan det være vanskelig å vise at de ble tatt, av hvem og når. Er dette definert klart i planverket ditt?
4 K-er
Se deretter på de fire sentrale K-ene:
- Kommando: Hvem bestemmer hva i ulike situasjoner?
- Kontroll: Kvalitetssikring og tilbakemelding på gjennomførte tiltak.
- Koordinering: Hvem følger opp ansatte og eksterne?
- Kommunikasjon: Hvem informeres? Hva sies til hvem? Hvordan? Når?
Beredskapsplanen din bør gi helt konkrete, klare svar på disse enkle kontrollspørsmålene.
Varsling
tillegg er det fornuftig med en gjennomgang av virksomhetens instrukser for varsling. Under en krise er rask og korrekt informasjon essensielt. Berørte personer og grupper, øvrig befolkning, media og egne ansatte trenger nøyaktig, relevant og praktisk informasjon for å forstå situasjonen, vurdere risikoer og ta informerte beslutninger. Det vil også bidra til arbeidsro for de som håndterer krisen og støtte opp under kriseledelsens arbeid. Rykter kan dessuten raskt oppstå og spre seg i forbindelse med kritiske hendelser. Tidlig, god og ærlig informasjon vil styrke sjansene for god ryktekontroll.
Er det effektive og tilfredsstillende varslingsrutiner etablert for din virksomhet? Er verktøyene tilgjengelig og varslingslister oppdatert?
Med de nye DORA- og NIS2-direktivene stilles det klare krav til varsling og rapportering ved cyberhendelser. Men også for andre hendelser kan dette være fornuftig å ha på plass.
Du kan lese mer om effektiv varsling og effektivt meldingsinnhold her
Ulike faser
Krisehåndtering handler ikke bare om å håndtere en akutt situasjon – men i stor grad også om det som skjer før og etter en kritisk hendelse.
De aller fleste hendelser går gjennom ulike faser; Fra hendelsen oppstår, til varsling og mobilisering, håndtering, normalisering og evaluering/læring. I alle disse fasene er arbeidsoppgavene forskjellige. For å få en oversikt over fasene og de ulike oppgavene, kan det være en god hjelp å tegne dette opp i et enkelt flyt-skjema. Det gjør det enklere å få en oversikt over hvem som varsles når, i hvilken rekkefølge oppgaver skal utføres og av hvem, og hvordan normaliseringsfasen – når du går tilbake til vanlig drift – skal håndteres.
Ved å ta utgangspunkt i noen av de tenkte krisescenariene virksomheten kan møte, og skissere opp håndteringen som en prosess, er det lettere å bygge en plan for de ulike fasene.
Les mer om kriseplanen som flytskjema og prosesskart her
De fleste kriser er som regel ikke over på noen timer. Det er Covid-pandemien vi har slitt med de siste årene et godt eksempel på. Men også andre, ressurskrevende kriser kan binde opp sentrale medarbeidere i dager og uker. Hva da med slike enkle ting som forpleining, vaktbytte, overlevering til neste vaktlag og så videre. Kanskje er det behov for overnatting for flere av medarbeiderne. Kriseplanen må derfor også ta høyde for dette.
Worst Case
Forutsetningen for en god kriseplan er også at det er gjennomført en risiko- og sårbarhetsanalyse, og at du har et forhold til hva som er organisasjonens «Worst case scenario». ROS-analysene må oppdateres kontinuerlig, i tråd med det endrede risikobildet. De siste årene har eksempelvis dataangrep blitt en stadig større trussel mot norske virksomheter.
Den tradisjonelle ROS-analysen er i stor grad bygget på HMS- og “safety”-tenkning, med historie tilbake til 1980-tallet og erfaringer fra hendelser som Alexander Kielland, store transportulykker og Tsjernobyl-ulykken. En viljeshandling, som terrorisme og dataangrep, setter fort tradisjonell ROS-analyse på prøve. Mange velger derfor å benytte en VTS-analyse eller sikringsrisikoanalyse. Denne metoden er nyere og bygger på en “security”-tradisjon, basert på kriminologi og sikkerhetsteori.
Sikringsrisikoanalysen dekker spesielt det som er særegent for risiko relatert til viljeshandlinger og benyttes gjerne for å analysere risiko knyttet til dette. Den kan imidlertid med hell også benyttes for å analysere risiko relatert til andre uønskede hendelser.
Uansett hvilken modell din virksomhet benytter, må du sørge for at analysen til enhver tid er oppdatert.
Du kan lese mer om ROS og VTS-analyser her
Gratis e-bøker
Synes du det er vanskelig å komme i gang med ROS-analyse og beredskapsplanlegging, eller har du behov for å vite mer om hvordan du skal sikre god beredskap, varsling og krisekommunikasjon?
Våre gratis e-bøker gir deg en rekke gode råd og tips.
Jan Terje Sæterbø
Jan Terje Sæterbø er sikkerhetsleder i F24 Nordics. Han har vært med på å designe løsninger for digital krisehåndtering helt fra slutten av 1990-tallet og har ledet implementeringen av slike løsninger for en rekke både nasjonale og internasjonale aktører. Han har bakgrunn fra forsvaret og har mange års erfaring fra IT-bransjen både som leder og prosjektleder. Han har en bachelorutdannelse i beredskap og krisehåndtering fra Høgskolen i Innlandet og en master i kriseledelse og beredskap fra Nord Universitet.
