4 Operatørsikkerhetsplaner
4.1 Direktivets krav
Artikkel 5 Operatørsikkerhetsplaner
EØS-statene skal vurdere om hver utpekt europeisk kritisk infrastruktur (EKI) innen deres territorium har en operatørsikkerhetsplan eller tilsvarende, jf. direktivets artikkel 5 nr. 2. Vedlegg II til direktivet angir minstekravene til hva en operatørsikkerhetsplan skal inneholde. Operatørsikkerhetsplanen skal identifisere de kritiske aktiva innenfor infrastrukturen samt presisere hvilke sikkerhetsløsninger som er eller skal bli iverksatt med henblikk på å beskytte den. Sikkerhetsplanen skal minst dekke følgende:
Utpeking av viktige aktiva,
gjennomføring av en risikoanalyse med grunnlag i alvorlige trusselscenarioer, hver aktivas sårbarhet og potensielle konsekvenser og
identifisering, utpeking og prioritering av mottiltak og prosedyrer med en sondering mellom permanente og graderte sikkerhetsforanstaltninger.
De permanente sikkerhetstiltakene skal identifisere hvilke investeringer og midler som er nødvendige for sikkerheten og relevante å bruke til enhver tid. Dette vil omfatte generelle tiltak, slik som tekniske sikkerhetstiltak (herunder installering av detektorer, adgangskontroll, samt beskyttelses- og forebyggelsestiltak), organisatoriske sikkerhetstiltak(herunder varslingsprosedyrer og krisestyring), kontroll- og verifiseringstiltak, kommunikasjon, bevisstgjøring og opplæring samt sikring av informasjonssystemer. De graderte sikkerhetstiltakene kan aktiveres avhengig av risiko- og trusselnivået.
Dersom en EØS-stat konstaterer at det allerede eksisterer sikkerhetsplaner som oppfyller minimumsnivået som gjennomgått ovenfor og disse jevnlig ajourføres, er det ikke nødvendig å foreta seg ytterligere med hensyn til gjennomførelsen, jf. direktivets artikkel 5 nr. 2.
Hver EØS-stat skal sikre at operatørsikkerhetsplanen eller tilsvarende plan foreligger og gjennomgås regelmessig, innen ett år etter at den kritiske infrastrukturen er utpekt som EKI. Dette tidsrommet kan forlenges i unntakstilfeller, gjennom avtale med EØS-statenes myndigheter og med en underretning til Kommisjonen/ESA.
4.2 Gjeldende rett
Det foreligger i dag flere krav i lovgivningen til virksomheter innen energi- og transportsektoren om å utarbeide beredskapsplaner eller tilsvarende. Nedenfor følger en kort referanseliste til regelverk som kan oppfylle enkelte av direktivets krav helt eller delvis når det gjelder kravet til operatørsikkerhetsplan.
4.2.1 Energi
Petroleumsvirksomhet
Forskrift 29. april 2010 nr. 634 om utforming og utrustning av innretninger med mer i petroleumsvirksomheten (innretningsforskriften) § 8, kap. V og VI.
Forskrift 29. april 2010 nr. 613 om utføring av aktiviteter i petroleumsvirksomheten (aktivitetsforskriften) § 76 Beredskapsplaner.
Forskrift 29. april 2010 nr. 612 om tekniske og operasjonelle forhold på landanlegg i petroleumsvirksomhet med mer (teknisk og operasjonell forskrift) § 66 Beredskapsplaner.
Forskrift 29. april 2010 nr. 611 om styring og opplysningsplikt i petroleumsvirksomheten og på enkelte landanlegg (styringsforskriften) §§ 4, 17 og 23.
Forskrift 17. juni 2005 nr. 672 om tiltak for å forebygge og begrense konsekvensene av storulykker i virksomheter der farlige kjemikalier forekommer (storulykkeforskriften) § 5 Virksomhetens plikter og § 11 Beredskapsplaner.
Forskrift 22. juni 2004 nr. 972 om sikkerhet og terrorberedskap om bord på skip og flyttbare boreinnretninger § 9 Sikkerhets- og terrorberedskapsplan.
Forskrift 31. august 2001 nr. 1016 om helse, miljø og sikkerhet i petroleumsvirksomheten (rammeforskriften) § 29 Samordning av beredskap, § 30 Samarbeid om beredskap, kap VII sikkerhetssoner.
Forskrift 27. juni 1997 nr. 653 til lov om petroleumsvirksomhet § 29 første ledd bokstav j (beskrivelse av tekniske tiltak for beredskap).
Elektrisitet
Forskrift 18. desember 2009 nr. 1600 om sikkerhet ved vassdragsanlegg (damsikkerhetsforskriften) § 7-1.
Forskrift 16. desember 2002 nr. 1606 om beredskap i kraftforsyningen §§ 1-1, 1-3 og 1-4.
4.2.2 Transport
Forskrift 15. desember 2009 nr. 1543 om lossing, lasting, lagring og transport innen kommunens sjøområde og havner innenfor samme område av farlige stoffer og varer § 11-1 Utarbeidelse av beredskapsplan.
Forskrift 8. desember 2009 nr. 1481 om transport av farlig last om bord på norske skip.
Forskrift 3. juli 2007 nr. 825 om sikring av havner og havneterminaler mot terrorhandlinger mv. § 7 Sårbarhetsvurdering og sikringsplan for havneterminaler og § 8 Sårbarhetsvurdering og sikringsplan for havner.
Forskrift 15. mai 2007 nr. 517 om minimum sikkerhetskrav til visse vegtunneler (tunnelsikkerhetsforskriften) vedlegg II nr. 2 Sikkerhetsdokumentasjon (kriseberedskapsplan mv).
Forskrift 19. desember 2005 nr. 1621 om krav til jernbanevirksomhet på det nasjonale jernbanenettet (sikkerhetsforskriften) § 7-1 Beredskap, del III Særskilte krav til infrastrukturforvalter og jernbaneforetak.
Forskrift 1. mars 2011 om forebyggelse av anslag mot sikkerheten i luftfarten § 11 - virksomheten skal utarbeide beredskapsplaner og gjennomføre beredskapsøvelser.
Forskrift 1. februar 2007 nr. 114 om felles krav for yting av flysikringstjenester (gjennomfører forordning (EU) 2096/2005).
4.3 Forslaget i høringsbrevet
Det eksisterer omfattende krav til beredskapsplaner eller tilsvarende i sektorregelverket. Departementet foreslo i høringsbrevet at det likevel var behov for en egen bestemmelse om operatørsikkerhetsplaner i sivilbeskyttelsesloven i tråd med ordlyden i direktivet. Formålet vil være å fange opp de områdene i sektorregelverket hvor EPCIP-direktivets krav til operatørsikkerhetsplaner ikke er oppfylt i tilstrekkelig grad, eller der det er virksomheter som ikke faller inn under aktuell sektorlovgivning. Det er også aktuelt å utvide direktivet til flere sektorområder, slik at lovbestemmelsen vil kunne fange opp øvrige sektorer som ikke nødvendigvis vil kunne oppfylle de kravene direktivet oppstiller.
4.4 Høringsinstansenes syn
OLF foreslår å bruke det omforente begrepet “Sikring” der dette er naturlig, og foreslår begrepet «Operatørsikringsplan» og «Sikringskontakt/Sikringsliason».
4.5 Departementets vurderinger
Det fremgår av direktivets fortale pkt. 11 at for å unngå unødig dobbeltarbeid bør den enkelte EØS-stat først vurdere hvorvidt eier eller operatør av en utpekt europeisk kritisk infrastruktur (EKI) allerede har sikkerhetsplaner for operatører eller tilsvarende. Dette kravet vil derfor kun komme til anvendelse for eier eller operatør av en utpekt EKI som ikke har slike planer fra før. Det fremgår også av fortalen pkt. 11 at den enkelte medlemsstat selv kan avgjøre hva som er den mest hensiktsmessige fremgangsmåten med hensyn til utforming av operatørsikkerhetsplaner. Det fremgår videre av direktivets fortale at tiltak, prinsipper, retningslinjer, herunder fellesskapstiltak samt bilaterale og/eller multilaterale samarbeidsordninger som innebærer en plan som ligner eller tilsvarer en sikkerhetsplan for operatører, bør anses å oppfylle kravene i dette direktivet.
Minstekrav til innholdet i sikkerhetsplaner for operatører av europeisk kritisk infrastruktur angis i direktivets vedlegg II. Sikkerhetsplaner for operatører eller tilsvarende tiltak som omfatter en identifisering av viktige anlegg, en risikovurdering og identifisering, utvelgelse og prioritering av mottiltak og fremgangsmåter bør foreligge for all utpekt europeisk kritisk infrastruktur.
I NOU 2006:6 Når sikkerheten er viktigst ble det foretatt en sondering mellom begrepene “Security” og “Safety”. Begrepet “Security” ble fortolket som sikring mot tilsiktede uønskede hendelser. Begrepet “Safety” ble brukt om uønskede utilsiktede hendelser. For å få et norsk begrep som dekket både tilsiktede og utilsiktede uønskede hendelser falt utvalget ned på at begrepet “Sikkerhet” kunne brukes til å dekke alle uønskede hendelser uavhengig av om de var tilsiktet eller ikke. Departementet mener derfor at “operatørsikkerhetsplan” er den riktige benevnelsen å bruke i denne sammenheng, da direktivet retter seg mot både tilsiktede og utilsiktede hendelser.