Avslutning og Oppsummering

Samfunnets endringstakt, avhengighet og sårbarhet skaper i ulike sammenhenger behov for en

112 Acquis (Communautaire), dsv EUs samlede (fr. acquis = eng. acquired, no. samlet) lovgivning til dags dato; for tiden delt i 35 kapitler, hvorav kapittel 32 inneholder direktiver vedrørende finansnæringen.

FFI-rapport 2007/00875 115

metode for å identifisere og rangere hva som er mest kritisk for samfunnet. Denne studien har vist til aktuelle metoder, kriterier, teori og begreper som er relevante i utarbeidelsen av en norsk metode.

Et hovedinntrykk er at det ikke er produsert en helhetlig metodikk for rangering av

samfunnsfunksjoner og kritisk infrastruktur som er tatt i bruk av de lands myndigheter som studien har tatt for seg. Det er i alle tilfeller ikke funnet noen metodikk som faller helt sammen med målsettingen i BAS5-prosjektet. Det eksisterer likevel mye metodikk som kan relateres til denne problemstillingen, for eksempel for analyse av gjensidige avhengigheter og nasjonale ROS-vurderinger. I enkelte tilfeller er eksisterende metodikk nylig utgitt og ikke utprøvd, som for eksempel svenskenes metodikk for identifisering av samfunnsfunksjoner og danskenes metodikk for nasjonal ROS-analyse.

Samtidig har denne studien vist at det eksisterer mange kriterier med potensial for å bli benyttet i en metode. Det er også vist at enkelte teorier kan brukes som kriterier. Det fremstår derfor som en utfordring å omsette dette til en norsk metode som er enkel å bruke og forstå, og som i størst mulig grad gjenspeiler virkeligheten. I metoderapporten er dette forsøkt gjort.¹¹³

Utformingen av en metode må også ta hensyn til hvem som skal bruke den. Er det den enkelte virksomhet, de enkelte sektormyndigheter eller en myndighet med tverrsektorielle interesser som DSB og NSM eller forskningsinstitusjoner som FFI, UiS og SINTEF? Det kan tenkes at selv en enkel metode er for vanskelig å bruke for aktører som ikke er vant til å tenke tverrsektorielt. Det reiser også spørsmål om den skal vedlikeholdes og eventuelt av hvem?

Det må også tas hensyn til hva man ønsker at metoden skal gi svar på. Skal den produsere en

”autoritativ” rangert liste over hvilke funksjoner som er mest kritiske for samfunnet, skal den brukes av den enkelte virksomhet som en egenevaluering av hvor kritisk egen virksomhet er for samfunnet, eller skal den fungere som et utgangspunkt for konkrete oppdrag? Eksempelvis kan man tenke seg at en sektormyndighet henvender seg til ”metodeforvalteren” med et oppdrag om å identifisere samfunnets mest kritiske objekter, eller kanskje en liste over sektorens mest kritiske virksomheter?

Det kan også tenkes at metoden ikke gir endelige svar, men at resultater må justeres i samråd med sektoreksperter. Man kan lett forestille store forskjeller mellom eksempelvis en oversikt over prioriterte brukere av mobilnettet, og prioriterte mottagere av vaksine ved en pandemi. En metode må ha rom for å ta opp i seg slike forskjeller, for eksempel ved å inngå samtaler med

sektoreksperter.

En metode må også legge opp til åpenhet om hvordan et resultat er produsert. Det vil gjøre det enklere å få et resultat som er tilpasset det spesifikke behovet. Det gjør det også enklere å få tilbakemeldinger på selve metoden, for justeringer etter hvert som man høster erfaring med den.

113 Henriksen, Stein. Sørli, Kjetil. Bogen, Lene. 2007. Metode for identifisering og rangering av kritiske samfunnsfunksjoner. FFI/RAPPORT-2007/00874

116 FFI-rapport 2007/00875

Litteraturliste

Amici, Stefano et.al. 2005. Network Security in Critical Infrastructures. Istituto Superiore delle Comunicazionie delle Tecnologie dell’Informazione (ISCOM) 2005.

Antón, Phillip S. et al. 2003. The The Vulnerability Assessement & Mitigation Methodology.

Finding and Fixing Vulnerabilities in Informasjons Systems.Rand National Defense Research Institute.

Audestad, J. 2005. E-bomber og e-granater – om IKT og sårbarhet. FFI/NOTAT-2005/00938.

Aven, Terje. 2003. Foundations of Risk Analysis. A Knowledge and Decision-Oriented Perspective. John Wiley & Sons, Ltd 2003.

Aven, Terje. Boyesen, Marit. Njå, Ove. Olsen, Kjell Harald. Sandve, Kjell. 2004.

Samfunnssikkerhet. Universitetsforlaget.

Avon and Somerset Local Resilience Forum. 2006. Community Risk Register. Version 2.1 January 2006.

Beck, Ulrich. 1986. Risikogesellschaft: Auf dem Weg in eine andere Moderne. Suhrkamp Verlag, Frankfurt am Main. Engelsk utgave: Beck, Ulrich. 1992. Risk Society: Towards a New Modernity.

Sage Publ. 1992.

Beredskapsstyrelsen. 2004. National Sårbarhedsudredning. Udvalget for National Sårbarhedsudredning.

Beredskapsstyrelsen. 2005. ROS-modellen. Beredskabsstyrelsens model for risiko- og sårbarhedsanalyse af samfundets kritiske funktioner.

Bjørgo, Tore. 2003. Norske dammer – i hvilken grad er de sannsynlige terror- og sabotasjemål.

Revidert utgave april 2003. NUPI.

Commision of the European Comunities 2005. Green Paper on a European Programme for Critical Infrastructure Protection. Brussels, 17.11.2005. COM (2005) 576 final.

Communication from the Commission to the Council and the European Parliament. COM (2004) 702 final. Critical Infrastructure Protection in the fight against terrorism. Brussels. 20.10.2004.

Council of the European Union. 2004. Prevention, Preparedness and Response to Terrorist Attacks og EU solidarity Programme on the Consequences of Terrorist Threats and Attacks.

FFI-rapport 2007/00875 117

Departement of Homeland Security. 2003. Homeland Security Presidential Directive (HSPD)-7 2003. Critical Infrastructure Identification, Prioritization, and Protection.

Departement of Homeland Security. 2006. Draft NIPP v.2.0 2006.

Donzelli, Paolo. Setola, Roberto .2005. Identifying and Evaluating Risks related to External Dipendencies: A Practical Goal Driven Risk Analysis Framework.

Donzelli, Paolo. Setola, Roberto og Tucci, Salvatore. 2004. Identifying and Evaluating Critical Infrastructures- A Goal Driven Dependability Analysis Framework - Communications in Computing.

EAPC(CCPC)D(2003)0007-REV1. 26 april 2004. Policy on the implementation of the international emergency preference scheme in the EAPC area.

Federal Emergency Management Agency Strategic Plan, Fiscal Years 2003 – 2008. A Nation Prepared.

Federal Ministry of the Interior. 2005. Protection of Critical Infrastructures – Baseline Protection Concept. Recommendation for Companies. Germany 2005.

Føli, Anja Elisabeth 2006. Hovedoppgave: Utvikling av verktøy for evaluering av risiko- og sårbarhetsanalyser. Universitetet i Stavanger 22. juni 2006.

Försvarsministeriet, Finland. 2003. Strategi för tryggande av samhällets livsviktiga funktioner.

Statsrådets principbeslut 27.11.2003.

Fridheim, Håvard. Betten, Stian. Hagen, Janne M. Henriksen, Stein. Rodal, Gry Hege. Rodal, Siv Kjersti. Rutledal Frode. 2001. Sårbarhetsreduserende tiltak i kraftforsyningen – Sluttrapport.

FFI/RAPPORT – 2001/02383 (Begrenset).

Fridheim, Håvard. Hæsken Ole Morten. Olsen Thor Gunnar. Balke, T, Ensrud May-Kristin. 1997.

Viktige samfunnsfunksjoner. FFI/RAPPORT-97/01458 (Begrenset).

Hæsken, Ole Morten. Olsen, Thor Gunnar. Fridheim, Håvard. 1997. Beskyttelse av samfunnet (BAS) – Sluttrapport. FFI/RAPPORT-97/01459.

Hagen, Janne M. Rodal, Gry Hege. Hoff, Erlend. Lia, Brynjar. Torp, Jan Erik. Gulichsen, Steinar.

2003. Beskyttelse av samfunnet med fokus på transportsektoren. FFI/RAPPORT-2003/00929.

Hellevik, Ottar. Forskningsmetode i sosiologi og statsvitenskap. 5. utgave, 2. opplag 1993.

Universitetsforlaget.

118 FFI-rapport 2007/00875

Henriksen, Stein. 2004. Ikke utgitt manus NSBR04. Direktoratet for samfunnssikkerhet og beredskap.

Henriksen, Stein. Sørli, Kjetil. Bogen, Lene. 2007. Metode for identifisering og rangering av kritiske samfunnsfunksjoner. FFI/RAPPORT-2007/00874.

HM Government (Udatert). Emergency Preparedness. Guidance on Part 1 of the Civil Contingencies Act 2004, its associated Regulations and non-statutory arrangements.

Hokstad, Per. 2005. Overordnet risiko- og sårbarhetsanalyse for samferdselssektoren. SINTEF.

Hokstad, Per. Jersin, Erik. Rossnes, Ragnar. Steiro, Trygve. Tinmannsvik, Ranveig K. 2002.

Risiko på tvers (RPT). Gjennomgående og helhetlig strategi for risikovurdering på HMS-området. SINTEF Rapport STF38 A01435.

IEC 60300-3-9. Dependability management - Part 3: Application guide - Section 9: Risk analysis of technological systems. 1995.

International Telefommunication Union (ITU). E.106 (03/2000). Description of an international emergency preference scheme IEPS; ITU er FNs spesialistorgan for telekommunikasjon.

Klinke & Renn. 2002. A New Approach to Risk Evaluation and Management: Risk-based, Precaution-based, and Discourse-based Strategies.

Lewerentz, Birgitta. Frost, Christina. Marklund, Anna. Franzén, Göran. Wahlberg, Maria. Ånäs, Per. 2005. Kriteriemodell för identifiering av samhällsviktiga verksamheter och system. FOI Memo 1283. Totalförsvarets forskningsinstitut.

Mærli, Morten Bremer. 2004. Crude Nukes on the Loose? Unipub AS 2004.

Ministry of the Interior and Kingdom Relations. 2003. Critical Infrastructure Protection in the Netherlands.

Ministry of the Interior and Kingdom Relations. 2004. Critical Infrastructure Protection in the Netherlands. The Dutch approach on CIP.

Moteff, John and Parformak, Paul. 2004. Critical Infrastructure and Key Assets: Definition and Identification. CRS Report for Congress.

National Council for Civil Emergency Planning (NCCEP. Planeamenta Civil de Emergência).

2005. Critical Infrastructure Protection in Portugal – Ranking Critical Infrastructures – the Portuguese Methodology.

FFI-rapport 2007/00875 119

National Council for Civil Emergency Planning (NCCEP. Planeamenta Civil de Emergência) 2005. Critical Infrastructure Protection in Portugal – Workplan 2003-2007.

NOU 2000:24. Et sårbart samfunn. Utfordringer for sikkerhets- og beredskapsarbeidet i samfunnet.

NOU 2006:6. Når sikkerheten er viktigst. Beskyttelse av landets kritiske infrastrukturer og kritiske samfunnsfunksjoner.

OECD. 2003. Emerging risks in the 21st century. An OECD international futures project.

Office of Critical Infrastructure Protection and Emergency Preparedness. 2002. Draft. Tool to Assist Owners and Operators to Identify Critical Infrastructure Assets.

Office of Homeland Security. 2002. National Strategy for Homeland Security.

Office of Public Sector Information.2004. Civil Contingencies Act 2004.

Perrow, Charles. 1999. Normal Accidents. Living with High-Risk Technologies. Princeton University Press.

Krisberedskapsmyndigheten.2003. Planeringsprocessen. 2003:7. Samhällets krisberedskap 2005.

Planeringsinriktning. Krisberedskapsmyndigheten.

Post- og teletilsynet. 2003. Risiko og sårbarhetsanalyse av mobilnettene i Norge. Saksnummer:

200205841. (Unntatt off i.h.t. offentlighetsloven § 6.1. ledd nr. 1).

Public Safety and Emergency Preparedness Canada. 2003. National Critical Infrastructure Assurance Program. An Assessment of Canada's National Critical Infrastructure Sectors. July 2003.

Public Safety and Emergency Preparedness Canada. 2004. National Critical Infrastructure Assurance Program. Selection Criteria to Identify and Rank Critical Infrastructure Assets. 20 January 2004.

Schneier, Bruce. 2003. Beyond Fear. Thinking Sensibly about Security in an Uncertain World.

Copernicus Books.

Sosial- og helsedirektoratet. 2005. Nasjonal ROS- og beredskapsanalyse innen helse.

Hovedrapport. Dok. nr. ST-25459-RA-15-Rev03. Juni 2005.

St.meld. nr. 39 (2003–2004). Samfunnssikkerhet og sivilt-militært samarbeid.

120 FFI-rapport 2007/00875

St.meld. Nr. 47 (2000-2001). Telesikkerhet og –beredskap i et telemarked med fri konkurranse.

St.prp. nr. 42 (2003–2004). Den videre moderniseringen av Forsvaret i perioden 2005–2008.

UK Resilience internettside mai 2006. Introduction to the Civil Contingencies Secretariat.

http://www.ukresilience.info/ccs/index.shtm .

Unisys Belgium. 2005. Survey to Assess Risk Preparedness in European businesses. Done for the European Commission and The European Network and Information Security Agency.

US Senate. 2001. US Patriot Act of 2001. H.R. 3162.

Vinje, Finn-Erik 2005. Sikkerhet – Safety/Security. En begrepsutredning – i NOU 2006:6. Når sikkerheten er viktigst. Beskyttelse av landets kritiske infrastruktur og kritiske

samfunnsfunksjoner.

In document 07-00875 (sider 114-120)