Metode for identifisering og rangering av kritiske samfunnsfunksjoner

Prioritering av samfunnskritiske funksjoner og virksomheter er en politisk og ikke en teknokratisk prosess. Blind anvendelse av en metodikk til dette formålet er derfor lite hensiktsmessig – det må være klart hva prioriteringen skal anvendes til og hvilke ulike hensyn som skal tas i ulike prioriteringssituasjoner. Eksempler på beredskapsproblemstillinger med behov for prioritering er utpeking av nøkkelobjekter som beskyttes av militære styrker i en krisesituasjon, klassifisering kritiske infrastrukturer for å avklare hvilke som skal underlegges de hardeste sikkerhetskravene, og utpeking av sektorer som skal prioriteres med vaksiner i tilfelle en pandemi. Muligheten for prioritering er også et vesentlig aspekt av en nasjonal tverrsektoriell ROS-vurdering, hvor ulike sektorer, virksomheter eller til og med personer og stillinger kan ses mot hverandre. Prioriteringsproblematikken knyttet til IKT kan ikke bare inkludere IKT-systemene i seg selv, men må også inkludere brukerne som er avhengige av systemene. BAS5 har derfor utviklet en metode for identifisering og rangering av alle kritiske samfunnsfunksjoner, herunder alle kritiske infrastrukturer, og ikke bare kritiske IKT-systemer. Prosjektet har videre beskrevet et system for beslutningsstøtte, og ikke et system for automatisk prioritering. Dette betyr at relevante beslutningsmiljøer må involveres i bruken av metoden. I BAS5-prosjektet er ulike samfunnsfunksjoners kritikalitet knyttet til sårbarheten overfor ulike hendelser som kan ramme dem, i tillegg til betraktninger om deres vesentlighet eller viktighet for samfunnet. Det er derfor knapt mulig å prioritere kritiske samfunnsfunksjoner uten samtidig å gjøre seg opp en grunnleggende mening om hvilke risiko de er utsatt for eller utsetter andre for. Det vil si at det må forutsettes at det foretas risiko- og sårbarhetsvurdering (ROS-vurdering) på sektor- og virksomhetsnivå. Metoden som er utviklet beskriver hovedtrekkene for beslutningstøtte i situasjoner hvor det kan være nødvendig å prioritere mellom forskjellige kritiske samfunnsfunksjoner. Metoden er risikobasert, og inneholder to hovedaspekter. Det utvikles og forankres en permanent løpende prosess som involverer ansvarlige departementer og alle andre som har ansvar og kunnskap innen egen sektorer. Til støtte for denne prosessen brukes en teknikk som er ROS-basert, da antagelser om kritikalitet bør forutgås av nærmere analyse og vurdering Prosessen krever at ”noen” pekes ut til å samordne den på nasjonalt nivå, på tvers av ansvarsgrenser, at det ordinære ansvarsprinsippet utnyttes for å strukturere arbeidet, at det etableres tverrsektorielle felles prosedyrer, inklusive permanente fora med tett møtefrekvens og at det etableres tverrsektorielle standarder. Konkret valg av metodikk for ROS-analyse er overlatt til den enkelte sektor eller virksomhet, tilpasset dennes forutsetninger. Innrapportering av resultater fra ROS-analyse skal derimot foretas i et rigid standardisert format. Det forutsettes at det utvikles en enkel standard database for å håndtere informasjon på tvers av virksomheter og samfunnssektorer.