I 2025 står Norge overfor et risikobilde som stadig vokser i kompleksitet og uforutsigbarhet, preget av sikkerhetspolitiske utfordringer som følge av blant annet Russlands fullskala invasjon av Ukraina, krig i Midtøsten med høyt eskaleringspotensiale, og økt sannsynlighet for geoøkonomisk konfrontasjon mellom stormaktene USA og Kina. Med dette bakteppet la regjeringen 10. januar frem Totalberedskapsmeldingen: Forberedt på krise og krig. Stortingsmeldingen beskriver regjeringens plan for utvikling av totalberedskapen i Norge, med mål om å styrke den helhetlige motstandskraften i Norges befolkning.
Totalberedskapsmeldingen favner bredt og omfatter problemstillinger, trusler og tiltak som berører både offentlig sektor, privat næringsliv og sivilbefolkningen i Norge. I denne artikkelen ser vi først nærmere på de aspektene av totalberedskapsmeldingen som vil kunne få regulatoriske konsekvenser for det private næringsliv, og gir våre anbefalinger til hvordan norske virksomheter kan forberede seg på de stadig mer omfattende og konkrete kravene som stilles til deres arbeid med sikkerhet og beredskap.
Tydeligere krav til sikkerhet og beredskap
I totalberedskapsmeldingen skriver regjeringen at de vil styrke og formalisere involvering av og samarbeid med privat næringsliv om sikkerhet og beredskap gjennom to hovedspor: 1) Involvering av privat næringsliv i samordning og rådsstruktur og 2) Tydeligere krav til sikkerhetsarbeidet i virksomheter. For virksomheter som er del av verdikjeden i samfunnskritiske sektorer vil det være nyttig å allerede nå begynne forberedelsene på de kommende regulatoriske kravene. Dette vil ikke bare sikre god etterlevelse når kravene etter hvert trer i kraft, men også styrke sikkerheten og beredskapen til virksomheter som kan være særlig utsatte for spionasje, digitale angrep, sabotasje, eller andre trusler. Dette vil gjøre det lettere å sikre kontinuitet, og dermed bidra til å opprettholde samfunnskritiske funksjoner samt minske de driftsmessige og økonomiske konsekvensene av uønskede hendelser.
Det fremgår av totalberedskapsmeldingen at regjeringen vil foreslå en sektorovergripende lov som skal fastsette felles krav til grunnsikring hos virksomheter som er viktige for at samfunnet fungerer i fred, krise og krig. Ifølge meldingen skal denne ses i sammenheng med arbeidet for å forberede implementeringen av EUs NIS2- og CER-direktiver. Den stiller krav til virksomheters gjennomføring av risikovurderinger og implementering av nødvendige sikkerhetstiltak, samt til beredskap, hendelseshåndtering og varsling av alvorlige hendelser og kriser. NIS2- og CER-direktivene vil omfatte mange sektorer, blant annet energi, transport, finansmarkedsinfrastruktur, helse, matproduksjon og -forsyning, avfallshåndtering, forskning og andre samfunnskritiske bransjer.
Hybride trusler
Totalberedskapsmeldingen påpeker at trusselaktørers vilje og evne til å konfrontere Vesten og Norge ved sammensatt virkemiddelbruk, ofte også omtalt som hybride trusler, synes å ha økt. Hybride trusler kan rettes mot både stater og næringsliv, og har som oftest et mål om å svekke tillit, skape splid, eller destabilisere hele eller deler av samfunnet gjennom virkemidler som påvirkningsoperasjoner, spionasje, spredning av desinformasjon og cyberangrep. Virksomheter i verdikjedene til aktører som leverer kritiske samfunnsfunksjoner, slik som kraft, petroleum, vann og helsetjenester, samt andre virksomheter som eier kritisk infrastruktur, kan være mål for hybride trusler. Deres karakteristika gjør at hybride trusler ofte kan være vanskelige å identifisere, og dermed også å håndtere. Dette kan medføre at virksomheter ikke er bevisste de faktiske langsiktige konsekvensene av hybride trusler og dermed ikke planlegger for håndtering av uønskede hendelser som følge av slik virkemiddelbruk.
Selv om mange virksomheter allerede tar sikkerhet og beredskap på alvor, blir forebygging og planlegging for uønskede hendelser ofte ikke tilstrekkelig prioritert. Dette kan føre til at risiko- og sårbarhetsanalyser ikke blir gjennomført, at beredskapsplaner ikke blir oppdatert i tråd med endringer i risikobildet, og at øvelser gjennomføres sporadisk uten tilstrekkelig forberedelse eller evaluering. Konsekvensen er at virksomhetene stiller dårligere forberedt i å håndtere en krise, noe som kan forverre omfanget av hendelsen.
Hva bør man gjøre nå?
Fordi sikkerhet og beredskap i dag ofte ikke prioriteres høyt nok, vil mange virksomheter måtte sette av betydelige ressurser for å oppfylle de mer omfattende lovpålagte kravene som kan komme. Virksomheter bør begynne å forberede seg på å etterleve slike krav allerede nå. Ved å prioritere mer tid og ressurser på sikkerhet- og beredskapsarbeid vil man bidra til god sikkerhetskultur som i neste omgang gjør virksomheten tryggere og mer robust i møte med uønskede hendelser. I tillegg blir det vanskeligere for aktører med onde hensikter å utnytte ansatte i virksomheten for å innhente informasjon eller påvirke virksomhetens drift. Gjennom god sikkerhetskultur blir hendelser gjerne avdekket tidligere – fordi ansatte i virksomheten er mer årvåkne.
Strengere krav til hvordan norske virksomheter forebygger, planlegger for og håndterer uønskede hendelser er viktig for Norges totalforsvar. Det vil også gagne den enkelte virksomhet i form av driftsmessige og økonomiske fordeler på lang sikt. I tillegg til å redusere sjansene for at uønskede hendelser inntreffer, vil økt prioritering av sikkerhet og beredskap bidra til å minske konsekvensene dersom uhellet først skulle være ute. Under listes noen konkrete steg virksomheter kan ta for å være litt bedre forberedt på både endringer i trusselbildet og ventede regulatoriske krav:
- Gjennomfør en risiko- og sårbarhetsanalyse. Hvilke konkrete risikoer står virksomheten overfor? Hvilke sårbarheter har virksomheten, og hvilke barrierer er etablert?
- Revider virksomhetens beredskapsplan. Er den oppdatert og i henhold til virksomhetens sist gjennomførte risiko- og sårbarhetsanalyse?
- Få bistand til å gjennomføre en skrivebordsøvelse med et realistisk og utfordrende scenario – bruk god tid på å evaluere øvelsen i etterkant.
- Bli kjent med NIS2- og CER-direktivene og vurder hvorvidt/hvordan de vil omfatte virksomheten.
- Gjennomgå sikkerhetsrutinene for den fysiske og digitale arbeidsplassen med selskapets ansatte.
Vi i Agenda Risk har lang erfaring med å gjennomføre risiko- og sårbarhetsanalyser, utvikle beredskapsplanverk, planlegging og gjennomføring av øvelser samt annet arbeid innenfor sikkerhets- og beredskapsområdet. For å bistå virksomheter med å bli litt bedre rustet for å håndtere uønskede hendelser i tråd med totalberedskapsmeldingens budskap har vi utarbeidet en mal til beredskapsplan som vi nå gir tilgang til gratis. Ta kontakt på lenken under for å få tilgang til beredskapsplanmalen, så planlegger vi en kort prat der vi går igjennom planens ulike punkter og hjelper dere et stykke på vei.
Om forfatteren: Ada Hoff er rådgiver i Agenda Risk. Hun arbeider med prosjekter på tvers av Agenda Risk sine tjenesteområder og har opparbeidet seg bred erfaring og kunnskap innenfor sikkerhet og beredskap, helhetlig risikostyring og compliance. Ada har tidligere arbeidet med kommunikasjon i den politiske avisen Altinget og det internasjonale senteret for kontraterror i Nederland. Hun har gjennom sine erfaringer fått svært god innsikt i det stadig mer komplekse risikobildet og sikkerhetslandskapet norske virksomheter står overfor.
Om forfatteren: Julie er trainee i Agenda Risk og bistår på tvers av de ulike fagområdene samtidig som hun deltar på prosjekter, hovedsakelig innenfor sikkerhet og beredskap. Hun har en gjennomgående tverrfaglig og internasjonal studiebrakgrunn, noe som har utstyrt henne med en helhetlig og analytisk tilnærming til det hun tar for seg. Fra tidligere har Julie jobbet som førstekonsulent ved avsnitt for pass og ID, Oslo politidistrikt. Hun har en mastergrad i internasjonale sikkerhetsstudier fra Universitet i Trento og Scuola Superiore Sant’Anna Pisa og en bachelorgrad i internasjonale studier fra Universitetet i Oslo.