Overordnete krav til sikkerhetsstyring
Hvorfor må man tenke på risiko og sikkerhet når det kommer til internasjonalt akademisk samarbeid?
Sist oppdatert : 22. februar 2024De åpne trusselvurderingene til NSM, PST og Etterretningstjenesten peker på at risikobildet for sikkerhetsområdene; nasjonal sikkerhet, samfunnssikkerhet og beredskap, og informasjonssikkerhet og personvern, blir mer komplekst og at skillelinjene hviskes ut. Derfor må flere til stadighet forholde seg til et utvidet og sammensatt risikobilde. Risikobildet kan påvirke flere verdier, treffe flere sikkerhetsområder og omfatte bruk av sammensatte virkemiddel. Dette gjelder også internasjonale samarbeid.
En trusselaktør kan eksempelvis bruke en kombinasjon av økonomiske, informasjonsbaserte og etteretningsbaserte virkemidler for å nå et mål, som kan utgjøre en trussel for virksomheters informasjonssikkerhet, men også utfordre norske sikkerhetsinteresser. PST peker på kartlegging av potensielle kilder som en uønsket hendelse som kan ramme internasjonale samarbeid. Det kan starte med at en norsk forsker tilbys god betaling for å skrive for en utenlandsk tenketank. Vedkommende blir så invitert til deltagelse på konferanser med alle utgifter dekket. Relasjonsbyggingen fortsetter i sosiale sammenhenger over tid. Målet kan i realiteten være å få vedkommende til å dele sensitiv informasjon. Dette er et av flere eksempler på trusler mot virksomhetene. Se ellers trusselvurderingene eller egen side om informasjonssikkerhet for mer om trusselbildet.
Trusselvurderingene peker på spesifikke områder (se Hva er trusselbildet og hva må man ha i bakhodet i internasjonalt samarbeid?) innenfor forsknings- og utdanningssektoren som potensielle mål, hvor det er en tilstedeværende risiko for at uønskede hendelser kan inntreffe. Internasjonalt akademisk samarbeid er ikke risikofritt. Ved å iverksette tiltak som reduserer risiko, basert på god innsikt i risikobildet og egne sårbarheter, er det mulig å fortsette gode og viktige akademiske samarbeid.
For å lykkes må det bygges god sikkerhetskultur, basert på kompetanse og tillit mellom ledelse og ansatte. Ansatte og studenter må oppleve det som trygt å ta kontakt om bekymringsverdige forhold. Dette oppnår man gjennom god sikkerhetsstyring og kunnskapsbaserte beslutninger, forankret i gjeldene lovverk og anbefalinger for risiko- og sårbarhetsanalyser, krise- og beredskapsplaner, og øvelser.
Hvordan påvirker internasjonalt samarbeid sikkerhetsstyring ved virksomhetene?
Arbeidet med ansvarlig internasjonalt samarbeid bør kobles på virksomhetenes strukturer for sikkerhetsstyring og inngå i det helhetlige arbeidet med risikohåndtering. Sikkerhetsstyring handler om de systematiske aktivitetene som er nødvendige for å beskytte virksomhetens verdier mot uønskede hendelser. Risikovurdering, risikohåndtering, sikkerhetskontroll og hendelseshåndtering inngår i dette arbeidet. Dette er et lederansvar, men for å bygge en god sikkerhetskultur må medarbeidere på alle nivåer bidra.
Alle virksomheter underlagt KD er pålagt å jobbe systematisk og helhetlig med sikkerhet og beredskap. Kravene følger av KD sitt Styringsdokument for arbeidet med sikkerhet og beredskap i Kunnskapsdepartementets sektor (2021). Policyen bygger på lover, forskrifter og instrukser med føringer for sikkerhetsarbeidet. Noen virksomheter og samarbeid vil også måtte forholde seg til situasjonsspesifikke krav og pålegg som stilles i andre lovverk enn de som nevnes her, eksempelvis samarbeid og virksomhet underlagt regelverket for eksportkontroll.
Hvilke overordnede krav stilles til sikkerhetsstyring for virksomhetene?
Krav og føringer følger av flere lovverk, forskrifter og instrukser. Under listes de viktigste overordnede kravene og dokumentene opp. Virksomhetene må selv vurdere om hvilke andre lover og krav som må følges.
Lov om nasjonal sikkerhet (Sikkerhetsloven)
Alle KDs virksomheter er som statlige, kommunale og fylkeskommunale organer er underlagt sikkerhetsloven. Underleverandører, offentlig eller privat, kan også omfattes av loven.
Loven skal bidra til å trygge Norges sikkerhetsinteresser gjennom å forebygge, avdekke og motvirke sikkerhetstruende virksomhet. Dette følger av krav om regelmessig gjennomgang av risikovurderinger, som danner grunnlag for iverksetting av tiltaksplaner for å opprettholde et forsvarlig sikkerhetsnivå. Det stilles krav om definering av roller og ansvar, at nødvendige systemer for sikkerhetsstyring er på plass og at man har en tilstrekkelig sikkerhetsforståelse og kompetanse i virksomheten.
For KDs virksomheter oppsummeres krav knyttet til sikkerhetsloven i styringsdokumentet:
Alle virksomheter i sektoren som er underlagt sikkerhetsloven skal:
Styringssystem for sikkerhet
- Utarbeide styringssystem or sikkerhet som skal omfatte:
- Risikostyring
- Sikkerhetsledelse
- Sikkerhetsorganisering
- Sikkerhetstiltak- og prosedyrer
- Forholdet til andre virksomheter
- Sikkerhetsoppfølging
- Sikkerhetsdokumentasjon
- Samordne styringssystemet med ledelsessystem for informasjonssikkerhet og virksomhetsstyringen.
- Dokumentere styringssystemet skriftlig og revidere ved behov.
Skjermingsverdige verdier
- Vurdere, kartlegge og holde oversikt over virksomhetens skjermingsverdige verdier (definert som skjermingsverdig informasjon, informasjonssystemer, infrastruktur eller objekter).
Sikkerhetsklarerte og autoriserte
- Føre oversikt over virksomhetens ansatte som er sikkerhetsklarert og/eller autorisert iht. sikkerhetsloven. Oversikten skal til enhver tid være oppdatert.
Forskrift om virksomheters arbeid med forebyggende sikkerhet (Virksomhetsforskriften)
Forskrift om virksomheters arbeid med forebyggende sikkerhet regulerer krav til håndtering og beskyttelse av skjermingsverdig informasjon, objekter og infrastruktur, nasjonalt varslingssystem for digital infrastruktur og krav til sikkerhet i anskaffelser. Det legges føringer på krav til utenlandske leverandører og prosedyrer ved besøk fra utlandet knyttet til sikkerhetsgraderte anskaffelser (se også eksportkontrollforskriften) og personellsikkerhet, herunder autorisasjon av utenlandske statsborgere.
Styringsdokument for arbeidet med sikkerhet og beredskap i Kunnskapsdepartementets sektor
Styringsdokument for arbeidet med sikkerhet og beredskap i Kunnskapsdepartementets sektor stiller krav til sikkerhetsarbeid ved virksomheter som er underlagt KD. For virksomheter innenfor KDs politikkområde, som i mer begrenset grad er underlagt KDs styring (for eks. private virksomheter), er dette formulert som sterke anbefalinger.
Kravene er fordelt på det tre sikkerhetsområdene; nasjonal sikkerhet, samfunnssikkerhet og beredskap, og informasjonssikkerhet og personvern. Det anbefales å se helthetlig på arbeidet med de tre sikkerhetsområdene, også når det gjelder internasjonalt samarbeid. Dette fordi de tre sikkerhetsområdene henger sammen, kan påvirke og påvirkes av hverandre.
Arbeidet skal være basert på kunnskap og erfaring. Dette innebærer jevnlig gjennomføring og oppdatering av risiko- og sårbarhetsanalyser, krise- og beredskapsplaner, og medfølgende tiltaksplaner. Det stilles også krav til krise- og beredskapsøvelser.
Grunnleggende tiltak oppsummeres i styringsdokumentet slik:
KDs underliggende virksomheter skal/andre virksomheter i sektoren bør:
ROS-analyse
- Utarbeide ROS-analyser som omfatter de tre sikkerhetsområdene samfunnssikkerhet og beredskap, nasjonal sikkerhet, og informasjonssikkerhet og personvern.
- Analysen skal gjennomgås minimum hvert år og revideres ved behov.
- Analysen skal presenteres i en helhetlig rapport.
- Utarbeide en tiltaksplan til ROS-analysen for samtlige uønskede hendelser med middels eller høy risiko (denne kan inkluderes i den helhetlige ROS-rapporten).
- Tiltaksplanen skal beskrive hvordan de enkelte tiltakene reduserer sannsynligheten for, og konsekvensene av, de uønskede hendelsene.
Krise- og beredskapsplaner
- Utarbeide en krise- og beredskapsplan. Gjennomgås årlig og revideres ved behov. Planen skal som et minimum inneholde:
- Definerte roller, oppgaver og fullmakter i en beredskapssituasjon eller krise
- Rutiner for krisekommunikasjon internt og eksternt
- Varslingsrutiner (herunder varsling av departementet)
- Rutiner for koordinering med andre aktører
- Utarbeide en kontinuitetsplan som del av beredskapsplanen. Holdes oppdatert og revideres ved behov.
- Utarbeide en pandemiplan som utfyller beredskapsplanen. Revideres ved behov.
Krise- og beredskapsøvelser
- Gjennomføre minimum en krise- og beredskapsøvelse per år. Øvelsene skal ta utgangspunkt i uønskede hendelser identifisert i virksomhetens ROS-analyse.
- Utarbeide en årlig øvelsesplan som minimum skal inneholde:
- Formålet med den enkelte øvelse
- Tid og sted for gjennomføring
- Øvelsesscenario
- Type øvelse
- Målgruppe
- Gjennomføre og dokumentere evalueringer av gjennomførte beredskapsøvelser og reelle hendelser.
- Gjennomføre ledelsesforankrede oppfølgingsplaner. Disse skal som et minimum inneholde:
- Læringspunkter
- Beskrivelse av tiltakene
- Tidsramme/frist for gjennomføring av tiltakene
- Ansvarlig for hvert enkelt tiltak
Hvordan bidra i arbeidet med risiko- og sårbarhetsanalyser?
Ledelsen har ansvar for å sørge for rammebetingelser og strukturer for sikkerhetsarbeidet. Det understrekes også i styringsdokumentet at det må bygges en sikkerhetskultur som involverer, bevisstgjør og ansvarliggjør alle medarbeidere. Ett ledd i dette arbeidet er å være involvert i risiko- og sårbarhetsanalyser (ROS-analyser) for samarbeidsprosjekter. Her skaper man en omforent oversikt over de verdikjedene, sårbarhetene og utfordringene man har og trusselbildet ved samarbeidsprosjektet. De som arbeider nærmest prosjektet er ofte best kjent med potensielle risikoer og bør derfor involveres. ROS-analyser har som mål å kartlegge og vurdere trusler og risiko knyttet til virksomhetens drift og verdier, og identifisere relevante risikoreduserende tiltak. KD anbefaler at virksomhetene i arbeidet ROS-analysen også ser til trusselvurderingene fra NSM, PST og Etterretningstjenesten. Grundig ROS-arbeid bidrar til å forebygge potensiell risiko gjennom kunnskapsbaserte forebyggende tiltak, som bør dokumenteres i samarbeidsavtalen.
Arbeidet med ROS-analyser kan baseres på ulike fremgangsmåter og standarder, deriblant ISO 31000 (Risikostyring) og NS 5814 (Risikovurderinger). Råd for samfunnssikkerhet og beredskap i kunnskapssektoren har utviklet en Veileder i risiko- og sårbarhetsanalyser (ROS-analyser) for kunnskapssektoren. Veilederen kan brukes som oppslagsverk, spesielt for personer som har roller og ansvar knyttet til gjennomføring av ROS-analyser. NSM har utviklet en Veileder i sikkerhetsstyring og veileder i verdivurdering av informasjon. Direktoratet for forvaltning og økonomistyring (DFØ) har en Veileder for risikostyring. Vi viser også til Sikt sine anbefalinger for arbeid med sikkerhet og beredskap for kunnskapssektoren. Målet er å legge til rette for en felles forståelse av hva risiko er og hvordan den kan håndteres gjennom tiltak ved institusjonene.
ROS- analysen vil gjennom kartlegging og vurdering av risikoen knyttet til virksomhetens drift på et overordnet nivå, bidra til god risikoforståelse og gi et underlag for valg av tiltak. I ROS-analysen identifiseres mulige hendelser og situasjoner som kan true virksomhets verdier. Gjennom å vurdere hva som kan skje og tilhørende usikkerhet, er det mulig å identifisere og iverksette relevante tiltak som kan bidra til å hindre at den aktuelle hendelsen inntreffer og/eller redusere konsekvensene dersom hendelsen ikke kan unngås. Resultatene fra ROS-analyser gir grunnlag for videre arbeid med krise- og beredskapsplaner og øvelser.
Hvordan bidra i arbeidet med krise-, beredskapsplaner og -øvelser?
For å oppnå et helhetlig arbeid med sikkerhets og beredskapsarbeidet må krise- og beredskapsplanverket og øvelser bygge på arbeidet som er lagt ned i ROS-analysen.
En krise kan oppstå som en plutselig hendelse, som en eskalerende hendelse som gradvis går fra normal håndtering til krisehåndtering, eller som en varslet krise. Krisesituasjoner krever ofte svært raske beslutninger og iverksettelse av tiltak på en raskere og mer effektiv måte enn i en normal situasjon. Det er derfor viktig å ha utarbeidet en krise- og beredskapsplan som raskt kan tas i bruk for å håndtere ulike typer kriser.
Planene skal inneholde:
- Definert rolle-, ansvarsfordeling og fullmakter i en beredskapssituasjon eller krise.
- Rutiner for krisekommunikasjon internt og eksternt
- Varslingsrutiner (avklare hvem som skal varsles og hvem som har ansvaret for dette, samt hvordan varsling skal finne sted)
- Rutiner for koordinering med andre aktører.
Krise- og beredskapsplanverket skal øves. Øvelser er læringsarenaer som skal bidra til at ledere og medarbeidere i virksomheten kjenner krise- og beredskapsplanen, sin rolle og sine oppgaver i en krisesituasjon. Det er en viktig forutsetning for å lykkes i håndteringen av uønskede hendelser og kriser. Ved prioritering og valg av øvingsscenario skal virksomhetene ta utgangspunkt i ROS-analysen, særlig uønskede hendelser med høy eller middels risiko.
Øvelser kan ha ulik form, for eksempel diskusjonsøvelse, spilløvelse eller fullskalaøvelse. Hvilken form som er hensiktsmessig avhenger av øvelsens hensikt og mål, samt tilgjengelige ressurser. DSB har en veileder for øvelser som kan benyttes for å strukturere dette arbeidet.
Øvelsen skal evalueres i etterkant. Forbedrings- og læringspunkter som avdekkes i evalueringen må følges opp og konkretiseres i en oppfølgingsplan. Virksomhetene skal utarbeide en ledelsesforankret oppfølgingsplan. Som minimum skal den inneholde:
- Læringspunkter
- Konkret beskrivelse av tiltak
- Tidsramme/frist for gjennomføring av tiltak
- Ansvarlig for hvert enkelt tiltak
Relevante myndigheter og ressurser å kontakte
Beredskapsrådet er et frivillig tiltak for å styrke arbeidet med samfunnssikkerhet og beredskap i et bredt lag av kunnskapssektoren. Siktemålet er at statlige og private institusjoner opparbeider seg kunnskap om feltet slik at de kan arbeide systematisk og godt med dette. En viktig oppgave for rådet er å legge til rette for at det kan utvikle seg en samordnet praksis i sektoren på områder det vurderes hensiktsmessig, og bidra til deling av beste praksis og erfaring mellom virksomhetene.
Direktoratet for samfunnssikkerhet og beredskap (DSB) skal være faglig rådgiver for Justis- og beredskapsdepartementet og være et kompetanseorgan for justis- og beredskapssektoren, andre offentlige organer, frivillige organisasjoner, næringsliv og befolkningen. Fagrollen innebærer at DSB har ansvar for å følge med på forhold som påvirker samfunnets beredskap, og for å sammenstille kunnskap og erfaringer og opptre som nasjonal normgiver på vårt arbeidsfelt.
Nasjonal sikkerhetsmyndighet (NSM) er Norges direktorat for forebyggende nasjonal sikkerhet. Direktoratet gir råd om og gjennomfører tilsyn og andre kontrollaktiviteter på sivil og militær side knyttet til sikring av informasjon, systemer, objekter og infrastruktur av nasjonal betydning. NSM har også et nasjonalt ansvar for å avdekke, varsle og koordinere håndtering av alvorlige IKT-angrep.
Politiets Sikkerhetstjeneste (PST) er Norges nasjonale innenlands etterretnings- og sikkerhetstjeneste, underlagt justis- og beredskapsministeren. PST har som oppgave å forebygge og etterforske alvorlig kriminalitet mot nasjonens sikkerhet. PST samler inn informasjon om personer og grupper som kan utgjøre en trussel, utarbeider analyser og trusselvurderinger, samt gir råd.
Sikresiden.no lages av og for norske universiteter, høyskoler og forskningsvirksomheter. Siden skal bidra til at studenter og ansatte ved hva de skal gjøre når noe skjer og hvordan de kan jobbe forebyggende. Siden dekker bl.a. reisevirksomhet, nettsvindel og dataangrep.
Sikt er kunnskapssektorens tjenesteleverandør. De utvikler, anskaffer og leverer produkter og tjenester til utdanning og forskning. De tilbyr kunnskapssektoren infrastruktur, data og fellestjenester som gir gode brukeropplevelser og oppfyller de overordnete mål om digitalisering, datadeling og åpen forskning. I tillegg har ansvaret for rollen som sektorvis responsmiljø (SRM) tilknyttet IKT-hendelser for høyere utdannings- og forskingssektoren.
Ordliste
Ordliste om sikkerhetsstyring
Hybride/sammensatte trusler
I Meld.St. 9 (2022-2023) Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet. Så åpent som mulig, så sikkert som nødvendig, beskrives sammensatte trusler som «en betegnelse på strategier for konkurranse og konfrontasjon under terskelen for direkte væpnet konflikt, som kan kombinere diplomatiske, informasjonsmessige, militære, økonomiske, finansielle, etterretningsmessige og juridiske virkemidler for å nå strategiske målsettinger. Sammensatte trusler kan forekomme i sikkerhetspolitiske gråsoner, der formålet er å skape splid og destabilisering. Virkemiddelbruken kan være bredt distribuert og kombinere åpne, fordekte og skjulte metoder. Virkemiddelbruken kan være rettet mot konkrete aktiviteter eller situasjoner, eller være innrettet mer langsiktig for å skape tvil, undergrave tillit og ved dette svekke våre demokratiske verdier. Sammensatte trusler er i sin natur komplekse og utfordrer tidlig varsling, omforent situasjonsforståelse samt effektiv og samordnet håndtering».
Kunnskapssikkerhet
Kunnskapssikkerhet referer til å forhindre uønsket overføring av sensitiv kunnskap og teknologi med negative følger for nasjonal sikkerhet og innovasjonsevne. Begrepet dekker aktiviteter rettet mot å påvirke og forstyrre aktiviteter på vegne av utenlandske statlige aktører innenfor høyere utdanning og forskning. Slike aktiviteter kan føre til sensur og svekke akademisk frihet. Kunnskapssikkerhet dekker også etiske problemstillinger knyttet til samarbeid med land der grunnleggende rettigheter ikke respekteres.
Land av bekymring
Land av bekymring referer til land som pekes ut i de årlige nasjonale risiko- og trusselvurderingene til E- tjenesten, PST og NSM som høyrisikoland.
Nasjonal sikkerhet
Nasjonal sikkerhet er statssikkerhet og en avgrenset del av samfunnssikkerhetsområdet, som er av vesentlig betydning for statens evne til å ivareta nasjonale sikkerhetsinteresser.
Nasjonale sikkerhetsinteresser
Nasjonale sikkerhetsinteresser er landets suverenitet, territorielle integritet og demokratiske styreform og overordnede sikkerhetspolitiske interesser knyttet til; (a) de øverste statsorganers virksomhet, sikkerhet og handlefrihet, (b) forsvar, sikkerhet og beredskap, (c) forholdet til andre stater og internasjonale organisasjoner, (d) økonomisk stabilitet og handlefrihet, og (e) samfunnets grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhet.
Samfunnssikkerhet
Samfunnssikkerhet er samfunnets evne til å verne seg mot og håndtere hendelser som truer grunnleggende verdier og funksjoner og setter liv og helse i fare. Slike hendelser kan være utløst av naturen, være utslag av tekniske eller menneskelige feil eller bevisste handlinger.
Statssikkerhet
Statssikkerhet er ivaretagelse av statens eksistens, suverenitet, territorielle integritet og politiske handlefrihet. Statssikkerhet har tradisjonelt vært knyttet til forsvaret av territoriet mot væpnede angrep, men den kan også utfordres ved påvirkning med ulike former for pressmidler mot norske myndigheter og samfunnsaktører.
Sårbarhetsvurdering
Sårbarhetsvurdering beskriver hvor sårbare verdiene er i lys av identifiserte trusler og danner grunnlag for forebyggende og konsekvensreduserende mottiltak.
Verdier
Verdier brukes til å, på den ene siden, referere til normer og prinsipper, som akademisk frihet. På den andre siden brukes begrepet «verdier» i sammenheng med verdivurdering og risikoanalyse. Her referer verdier til alt som er beskyttelsesverdig og kan trues, for eksempel liv og helse, informasjon, materielle verdier og omdømme.
Verdivurdering
Verdivurdering er en analyse for å identifisere hvilken informasjon, hvilke objekter og andre verdier (for eksempel liv og helse, omdømme o.a.) som er så viktige at de må skjermes eller beskyttes. Verdivurdering danner utgangspunkt for identifisering av trusler som er relevante for virksomheten med hensyn til hvordan trusselaktører kan påvirke verdiene i virksomheten.