God beredskap gir trygg ledelse i utrygge tider

beredskap beredskapsøvelse krisehåndtering risiko risiko- og sårbarhetsanalyse øvelse Jul 10, 2025
Kriseledelse

Strømbrudd, cyberangrep, sabotasje, nettverksbrudd… Det kan skje – og det kan ramme deg. Er du klar når krisen rammer?

 

Vi lever i en tid der trusselbildet mot norske virksomheter er i stadig og rask endring. Det er et helt annet trusselbilde i dag enn for bare få år siden. Alvorlige hendelser som tidligere virket usannsynlige, har blitt betydelig mer realistiske. Dagens trusselvurderinger fra myndighetene peker entydig på en ny sikkerhetssituasjon – nye trusler som er høyst reelle og som kan ramme din arbeidsplass, enten direkte eller indirekte.

 

Samtidig står mange virksomheter uforberedt.

 

Trusselbildet i Norge i dag – det angår deg

I trusselvurderingene til Politiets sikkerhetstjeneste, Nasjonal sikkerhetsmyndighet og Forsvarets etterretningstjeneste for 2025, slås det fast at det er sannsynlig at Russland vil forsøke å utføre sabotasjeaksjoner i Norge i 2025. Det kan ramme strømnettet, mobilnettet, tilgangen til internett – ja, alle de faktorene som så og si enhver arbeidsplass er avhengige av for å opprettholde driften.

I tillegg peker trusselvurderingene på at aktører som Kina benytter alt fra cyberoperasjoner til fordekte økonomiske virkemidler og oppkjøpsforsøk for å fremme egne interesser.

 

 

Hva gjør du hvis...

Hva gjør dere på din arbeidsplass hvis:

  • strømmen blir borte, og dere ikke vet når den kommer tilbake igjen (dager, uker...)?
  • internettforbindelsen blir brutt og ikke kommer tilbake igjen?
  • det ikke kommer vann i springen, og dere må hente vann fra andre kilder (som flasker eller vanntanker)?
  • veiforbindelser og offentlig transport ikke lenger fungerer?

Tenk over hvert av disse fire punktene. Hent gjerne frem en papirblokk og en blyant, og skriv ned noen stikkord. Og tenk at dette kan bli reelt. Hva gjør du den dagen disse scenarioene blir til virkelighet? Og hva med andre scenarioer, som svikt i drivstoff-forsyningen eller langvarig nedetid på mobilnettet?

 

Er dere klare for krisen?

 

Cyberangrep har økt kraftig

Samtidig har cyberangrep mot norske virksomheter økt kraftig. Det dreier seg ikke bare om målrettede angrep mot store, statlige virksomheter, men om alle typer virksomheter, både private og offentlige.

Det er ikke bare bare de direkte angrepene mot din arbeidsplass som kan ramme deg og dine; dere risikerer å bli fanget i "kryssilden" av digital kriminalitet, slik strømbrudd og nettverkskollaps kan ramme dere enten direkte eller indirekte. Hvordan, spør du? Forestill deg dette: En tjenesteleverandør av programvare eller lagringsplass blir angrepet, og alle dataene blir kryptert. Du som tjenestemottaker blir da berørt.

Mange tenker dessverre slik: "Nei, dét kan ikke skje. Vi bruker bare store, internasjonale selskaper for våre IKT-løsninger". Husk da på at både Microsoft, Apple og andre tilsvarende store tjenesteleverandører har blitt hacket. Her hjemme i Norge har store aktører som Telenor og politiet blitt hacket. Én dag klarer datasvindlere eller fremmedstatlige aktører å bryte seg inn og gjøre store ødeleggelser. Da må du og din arbeidsplass være forberedt.

 

Den økte digitaliseringen har konsekvenser

Sammen med økt digitalisering, følger økt avhengighet av andre aktører – som nettselskap og tjenesteleverandører. Med tjenesteleverandører menes alt fra regnskapssystemer til avvikssystemer, dokumentlagringstjenester, og en nesten ubegrenset mengde andre tjenester.

 

Når vi blir mer avhengige av andre, blir vi også mye mer sårbare

 

Flere aktører, både statlige og kriminelle, retter seg mot norsk infrastruktur. Avbrudd av tjenester får følgekonsekvenser: en lokal hendelse får regional rekkevidde, og den påvirker nasjonalt. Følelsen av usikkerhet truer ansattes tillit og trygghet. Og den truer kundene/brukerne og leverandørene dine.

 

IKT-sikkerhetspodden – laget for deg

Hvis du vil lære mer om cybertrusler og hvordan du og dine ansatte kan sikre dere mot angrep, kan du lytte til IKT-sikkerhetspodden. Vi har laget den for at du og dine skal få en sikrere hverdag: IKT-sikkerhetspodden

 

Beredskapen må være på plass i dag – den dagen det smeller, er det for sent

Det er ikke nok å utrede og håndtere risiko på papiret. Vi må operasjonalisere risikovurderingene. Det vil si at vi må finne konkrete tiltak for å redusere risikoen – for å klare oss selv i en alvorlig krisesituasjon.

 

Litt forenklet, kan man si at det er fire steg til god beredskap:

1. Kartlegg risikoen

Forstå hvilken risiko dere står overfor. Hva er spesielt kritisk for din arbeidsplass? Er det strømforsyning, IKT-systemer, tilgang på drivstoff, sikring av bygninger eller informasjon, tilgang på tilstrekkelige personalressurser? For et regnskapsbyrå, vil IKT-systemer, strøm og internettilgang være helt avgjørende. For et transportselskap, vil tilgang på drivstoff være en selvsagt faktor. For et sykehus, vil rask tilgang på mye og kvalifisert personell være kritisk.

Og husk: Selv om et alvorlig og omfattende krisescenario vurderes til å ha lav sannsynlighet, så må man likevel ha vurdert det. Kan dere leve med lav beredskap for et scenario som vil sette arbeidsplassen ut av drift?

 

2. Lag brukervennlige og effektive planer

Når en krisesituasjon oppstår, er det for sent å planlegge. Da må dere aksjonere. Da må ledere og ansatte ha en liste med tiltak som skal iverksettes: konkrete sjekklister, kontaktlister og tiltakskort – PÅ PAPIR. Hvis strømmen har gått og/eller nettverket er nede, nytter det ikke med digitale planer.

Det må være tydelig hvem som leder i en krise, hvem som kommuniserer ut mot involverte parter, pårørende, publikum, media og myndighetene (politiet, brann- og redningsvesenet, og andre).

Og du: Ikke glem å kartlegge hva andre aktører har av beredskapstiltak som dere vil få bruk for. Eller er det slik at dere må klare dere alene? Her er et konkret eksempel fra en kommunal virksomhet som vi bistod med å utarbeide beredskapsplanverk: De hadde ført opp at teknisk avdeling i kommunen hadde nødstrømsaggregat som de kunne benytte ved langvarig strømbrudd. På et arbeidsmøte ringte vi til teknisk etat, og det viste seg st de nødstrømsaggregatene de hadde var tiltenkt helt andre ting i en krisesituasjon. Da måtte virksomheten kjøpe inn sitt eget aggregat.

Lag en kontinuitetsplan. Det er en plan for hvordan dere skal opprettholde driften ved langvarige hendelser, og/eller hendelser der mange ansatte ikke kan stille på jobben. Et eksempel på dette er korona-pandemien, da mange arbeidsplasser måtte ty til reserveløsninger for å få hjulene til å gå rundt.

Et tragisk eksempel på manglende planlegging – og manglende beredskap – ble vi vitne til 22. juli 2011. Under terroraksjonene i regjeringskvartalet og på Utøya, manglet politiet tilstrekkelig beredskap. Dette er slått fast gjennom 22. juli-kommisjonens rapport. Politietaten lærte mye den dagen, og i ettertid er det gjennomført et enormt arbeid for å sikre god beredskap for de alvorlige og omfattende hendelsene. 22. juli-terroren var en katastrofe-hendelse, helt sikkert mye mer omfattende enn den du og din arbeidsplass noen gang må håndtere. Men den tjener som et svært godt eksempel på hvordan dårlig beredskap kan få fatale følger. Det ble gjort mye godt arbeid den dagen, både av politiet og andre aktører, men systemet sviktet.

Du kan lese 22. juli-kommisjonens rapport her: NOU 2012: 14 – Rapport fra 22. juli-kommisjonen.

 

3. Øve, Øve, øve

Det nytter ikke med gode planer hvis dere ikke øver på dem. Begynn med en skrivebordsøvelse, der dere setter opp et tenkt scenario og øver på hva dere ville gjort i en reell situasjon. Bruk realistiske scenarioer, som langvarig strømbrudd, langvarig brudd på internettforbindelsen, trusler mot bygninger, anlegg eller personer, sabotasje, datainnbrudd som medfører at alle skjermene går i svart, eller andre alvorlige hendelser som vil ramme din arbeidsplass særlig hardt.

Se hva som mangler i planverket deres, og revider planverket deretter.

Øvelsene trenger ikke å være avanserte. Gode diskusjoner, innspill fra de som er nærmest når krisen inntreffer, gode refleksjoner, tydelig ansvar, samt oppfølging, er det som gir effekt.

 

4. Lag en tiltaksplan

Skriv opp de tiltakene dere identifiserer underveis i punkt 1-3:

Når dere utarbeider risikovurderingen i punkt 1, så vil dere finne frem til tiltak som kan redusere risikoen. Et eksempel: Dere finner at dere ikke har noen reserveløsning for det tilfellet at dere blir hacket, så dere finner ut at dere må sette opp en PC uten internettforbindelse der alle data ligger (for uten internettforbindelse, er den mye vanskeligere å hacke – da må dere kopiere en virusinfisert fil over på den). Kjør backup til denne PCen for eksempel en gang i uken.

Når dere utarbeider planverket i punkt 2, så vil dere også finne frem til gode tiltak for å sikre en god beredskap, for eksempel om dere må ha et lager av vann – eller om dere trenger et strømaggregat for å holde liv i de viktigste strømkrevende apparatene eller maskinene deres (PCer, lys, et minimum av varme så vannet ikke fryser, etc.).

Når dere øver (punkt 3), så ser dere kanskje at dere trenger whiteboards og whiteboard-tusjer for å registrere og loggføre hendelsen. Mangler dere noe så banalt som linjerte skriveblokker? Eller kanskje dere trenger dedikerte telefonnumre som pårørende kan ringe til, eller til de som skal sitte i "staben" og håndtere hendelsen. Noen arbeidsplasser trenger satellittelefoner eller VHF-radioer for å kunne kommunisere med personell ute "i felten". Mange ser at det er formålstjenlig med et antall ladebanker for å sikre at mobiltelefoner og annet utstyr ikke går tom for strøm.

Kort sagt: Skriv ned alle de tiltakene dere kommer frem til underveis arbeidet med beredskapen deres. Lag en prioritert liste med alle tiltakene, og iverksett. Det kan koste noen kroner, men det skaper svært gode synergieffekter – ikke bare sørger dere for at beredskapen er god den dagen krisen inntreffer, men tiltakene kan komme til god nytte også i hverdagen. Dere blir mer robuste. Dere blir bedre.

 

Hva er det viktigste å få på plass for din arbeidsplass? Er det backup av lagrede data? Er det vannforsyning? Er det nødstrømsaggregat? Er det å vurdere risikoen og ta det derfra?

 

Følg med

Hold deg oppdatert på nyhetsbildet, og følg med på det myndighetene legger ut. Nasjonal sikekrhetsmyndighet (nsm.no), Direktoratet for samfunnssikkerhet (dsb.no), kommunens hjemmeside og lokalavisene har ofte nyttig og oppdatert informasjon.

 

Hva skal øvelser inneholde?

Litt mer om øvelser, for de er så verdifulle: Øvelse gjør virkelig mester. Dere kan ha verdens flotteste beredskapsplanverk, men den dagen krisen kommer vil dere oppdage hull i det planverket. Derfor MÅ dere øve.

Her kommer enda et eksempel som sannsynligvis er hentet fra en langt mer alvorlig hendelse enn det dere noen gang vil oppleve (får jeg da virkelig håpe!): I 2004 var jeg militærpolitibefal i Afghanistan, i hovedkvarteret til den NATO-ledede ISAF-styrken der. Hovedkvarteret hadde et svært omfattende planverk for hva vi skulle gjøre når Taliban eller Al-Qaida angrep oss. Det gjorde de fra tid til annen, ved at de skjøt raketter mot oss. En mai-dag gjennomførte vi en øvelse der alarmen gikk, og vi simulerte et rakettangrep. Det gikk ikke etter planen: Mange av de i leiren visste ikke hva de skulle gjøre, og det var store hull i beredskapsplanen.

Etter den øvelsen reviderte man beredskapsplanen, og alle i leiren ble informert om nøyaktig hva de skulle gjøre ved et angrep.

 

Hektisk under en kritisk situasjon.

 

Tre uker senere gikk alarmen i leiren. Da var det alvor. Og da fungerte alt som det skulle. Den gangen lærte jeg at øvelse – ja, det gjør mester. Neste gang vi ble angrepet, fungerte alt også optimalt.

Jeg skal ikke foreslå noen konkrete øvelser for deg og din arbeidsplass. Det kommer helt an på hvilken bransje du er i, og hva som utgjør størst risiko for dere. Du er den beste til å finne et godt scenario.

 Men her er noen punkter du bør ta med i øvelsen:

  • Hvilke tiltak setter dere i verk?
  • Hva er de viktigste tiltakene?
  • Hvordan ivaretar dere liv og helse til ansatte og andre involverte eller berørte personer?
  • Hvem varsler dere?
  • Hvem leder krisehåndteringen?
  • Hvem loggfører det som skjer og de tiltakene dere setter i verk underveis?
  • Hvordan loggfører dere? (skjema på papir, på PC, eller har dere kanskje et eget loggføringssystem?)
  • Hvem, kommuniserer med ansatte, pårørende, media, politiet, publikum og andre?
  • Hvilke funksjoner må dere ha i krisehåndteringen?

 

God krisehåndtering handler om trygghet – ikke om frykt

Kriseberedskap handler ikke om frykt – men om trygghet. Et svært viktig moment er kommunikasjon – både internt og eksternt. Hvis du ikke kommuniserer under en krise, risikerer du å få en dobbel krise: Ansatte som er redde og ikke gjør det de skal, og media og publikum som trenger informasjon som dere aldri gav dem.

God krisehåndtering skaper tillit og lojalitet. Ikke bare når krisen inntreffer, men i høyeste grad også i "fredstid". Når ansatte, kunder/brukere og publikum ser at virksomheten er forberedt, så bygger du en god relasjon. Da er det også mye enklere å lede i en krise.

De ansatte må vite at ledelsen tar beredskapen på alvor, at dere har gått opp den stien dere forhåpentligvis aldri må begi dere ut på.

 

Dokumentasjon, dokumentasjon, dokumentasjon

Det som ikke er dokumentert, har ikke skjedd. Det gjelder både risikovurderinger, planverk, øvelser og tiltaksplaner. Og det gjelder i aller høyeste grad også når krisen en dag inntreffer – ja, for den dagen kommer da dere må sette planverket ut i livet. Forhåpentligvis vil dét skje som følge av en mindre alvorlig hendelse, men i en usikker verden er det ikke godt å vite. Og vi må være forberedt på det verste. Dessverre.

God beredskap skaper tillit, den trygger de ansatte, den opprettholder driften, den sparer liv og helse, den reduserer kostnader, og den sørger for et godt omdømme.

 

Er du klar for krisen?

Er du klar for krisen? Nettopp dét er tittelen på et dagskurs vi holder tirsdag 16. september. Da får du lære mer om hva som kan skje, hvilke trusler som truer nettopp din arbeidsplass, og hvordan du kan forberede deg. På denne kursdagen lærer du:

  • Hva er de største spesifikke truslene mot din arbeidsplass i tiden vi er inne i nå – og i tiden som kommer?
  • Hvordan du vurderer den «nye typen» risiko som du må være forberedt på.
  • Hva du skal gjøre for å få en god beredskap som kan møte nye trusler, og hva er det første du må få på plass.
  • Hvordan du utarbeider et funksjonelt beredskapsplanverk.
  • Hvordan du skal håndtere krisen når den oppstår.

Kurset passer for:

  • Daglige ledere
  • Virksomhetsledere
  • Enhetsledere
  • Avdelingsledere
  • Beredskapsansvarlige
  • Andre personer med roller innen beredskap og ledelse

Kurset er like aktuelt for offentlige og private arbeidsplasser, og for store og små virksomheter/arbeidsplasser.

Du kan lese mer om kurset her: Klar for krisen. Kurset holdes digitalt, via Teams, så du kan delta hvor enn du er i landet.

 

 

 

Et godt, gammelt ordtak sier: Bedre føre var enn etter snar. Det betyr: Det er bedre å ta sine forholdsregler – å planlegge for den store krisen – enn å sette i verk uforberedte hastetiltak den dagen krisen inntreffer.

 

Riktig god beredskap (og sommer).

 

 

Hilsen
Paul