nätverket POS-SR Handbok för kontinuitetsplanering i privat-offentlig samverkan

nätverket POS-SR Handbok för kontinuitetsplanering i privat-offentlig samverkan

nätverket POS-SR Handbok för kontinuitetsplanering i privat-offentlig samverkan Framtagen under arbetet med Utvecklingsprojektet privat-offentlig samverkan för tryggare elförsörjning i Södra Roslagen (UPOS SR) 2009 Texter: Folke Pärnerteg, Mats Ekeblom (Ekeblom Konsult AB) Figurer: 4C Strategies AB Layout: imagine, www.imagine.info Tryck: Täby kommun 2

DEL 1 GENERELL ME TODH A NDBOK Innehåll DEL 1 GENERELL METODHANDBOK 1. Introduktion 5 1.1 Handboken bakgrund 5 1.2 Samhällsviktig verksamhet 5 1.3 Elförsörjningen en vital samhällsfunktion 6 2. Privat-offentlig samverkan 7 2.1 Vad är POS? 7 2.2 Nätverket POS SR Privat-offentlig samverkan i södra Roslagen 8 3. Kontinuitetsplanering 9 3.1 Grunder 9 3.2 Modell för kontinuitetsplanering 11 Steg 1 Samhällskonsekvensanalys 11 Steg 2 Riskanalys och riskvärdering 11 Steg 3 Kontinuitetsstrategi 11 Steg 4 Kontinuitetslösningar 11 Steg 5 Kontinuitetsplaner 11 3.3 Samhällskonsekvensanalys 12 3.3.1 Syfte och mål 12 3.3.2 Genomförande 12 3.3.3 Exempel 13 3.4 Riskanalys och riskvärdering 15 3.4.1 Syfte och mål 15 3.4.2 Genomförande 15 3.4.3 Exempel 16 3.5 Kontinuitetsstrategi 17 3.5.1 Syfte och mål 17 3.5.2 Utformning av en strategi 17 3.5.3 Genomförande 18 3.5.4 Exempel på strategier 18 3.6 Kontinuitetslösningar 19 3.6.1 Syfte och mål 19 3.6.2 Genomförande 19 3.6.3 Exempel från analyserad verksamhet 19 3.7 Kontinuitetsplaner 22 3.7.1 Syfte, innehåll och utformning 22 3.7.2 Genomförande 23 4. Certifiering 24 5. Implementering i den dagliga verksamheten 25 DEL 2 LOKAL BEREDSKAPSHANDBOK Lokal beredskab 27 Bilaga Förslag till avsiktsförklaring för Nätverket POS SR 28 Handboken för kontinuitetsplanering i privat-offentlig samverkan 3

4

DEL 1 GENERELL ME TODH A NDBOK 1. Introduktion 1.1 Handboken - bakgrund I Södra Roslagen finns sedan hösten 2009 planer på etablering av en privat-offentlig samverkan för att stärka möjligheterna för deltagande företag, kommuner, och organisationer att hantera extraordinära händelser Nätverket POS SR. Arbetet började år 2006 då kommunerna, tog upp en dialog med företrädare för näringslivet om samhällsskydd och beredskap. Dialogen visade på behov av ömsesidig samverkan bl.a. kring elförsörjningen. Detta blev grunden till ett utvecklingsprojekt i privat-offentlig samverkan för att etablera en långsiktig sådan samverkan UPOS SR. Projektet skulle ge en ökad beredskap att upprätthålla kritisk (prioriterad) verksamhet vid elavbrott, men också lägga en grund för en permanent privat-offentlig samverkan för samhällsskydd och beredskap. I projektet deltog, förutom kommunerna, också 14 samhällsviktiga verksamheter, t.ex. läkemedels-, livsmedels- och vattenförsörjning, vård och äldreomsorg, räddningstjänst, vissa industriella verksamheter och elnätsföretag. Dessutom fanns ett samverkansforum, med ytterligare ett trettiotal privata och offentliga aktörer, där idéer diskuterades och slutsatser förankrades. Den handbok som du nu håller i din hand bygger på erfarenheter från detta projekt. De metoder och arbetssätt som redovisas går att tillämpa även vid planering för att möta andra extraordinära händelser än elavbrott, som t.ex. svåra översvämningar, omfattande snöoväder med mera. Handboken ska tjäna som vägledning och stöd för arbetet att stärka samhällsskydd och beredskap. Den innehåller två delar en metoddel som beskriver hur kontinuitetsplanering kan genomföras inom ramen för en privat-offentlig sam-verkan samt en lokal beredskapshandbok med adresser, förteckningar över resurser, behov med mera som ska tjäna som ett stöd i en skarp krissituation. Denna del avses tas fram inom ramen för det planerade Nätverket POS SR. 1.2 Samhällsviktig verksamhet Kommunens geografiska områdesansvar, socialtjänstlagen, mm innebär att man har ett avsevärt ansvar för invånarnas liv, hälsa och trygghet. Detta innebär att man ska verka för att en mängd s.k. samhällsviktiga verksamheter fungerar även vid extraordinära händelser. En del av dessa verksamheter drivs helt i kommunal regi, en del under kommunens ansvar men genom underleverantörer, medan andra verksamheter drivs av privata företag eller andra offentliga aktörer. Kommunen behöver därför, tillsammans med dessa privata aktörer, klarlägga vilka verksamheter som Handboken för kontinuitetsplanering i privat-offentlig samverkan 5

är mer samhällsviktiga än andra. En del av dessa verksamheter finns inom kommunen medan andra verksamheter kan vara regionala. Målet är att skapa en lista över prioriterade samhällsviktiga verksamheter och få dess aktörer engagerade i arbetet med kontinuitetsplanering för samhällsskydd och beredskap. Urvalet styrs av vilka verksamheter som har så stor betydelse för befolkningens liv, hälsa och samhällets funktionalitet samt grundläggande värden att de i alla lägen måste fungera åtminstone på en basal nivå. Exempel: Hälso- och sjukvård samt vård och omsorg (akutsjukhus, primärvård etc.) Kommunalteknisk försörjning (vatten och avlopp, renhållning med mera) Skydd och säkerhet (Räddningstjänst, SOS Alarm, Polis, bevakning etc.) Transporter Bränsle- och drivmedelsförsörjning Information och kommunikation (tele, Internet, radio- och TV etc.) Finansiella tjänster (betalningsförmedling, tillgång till kontanter etc.) Verksamheter som har mycket stor betydelse för miljö och ekonomi. Som samhällsviktiga betraktas i första hand verksamheter som har betydelse för befolkningens liv och hälsa. Därnäst betraktas verksamheter som samhällsviktiga om de har betydelse för samhällets funktionalitet, grundläggande värden som demokrati, rättssäkerhet och mänskliga fri- och rättigheter. Verksamheter som har betydelse för miljö och ekonomi kan i vissa fall vara samhällsviktiga. Här bör även noteras att det finns verksamheter utanför kommunens geografiska område som är kritiska, t.ex. vattenförsörjning och kommunikationer. Gränsöverskridande samverkan är därför nödvändig. Identifiering av samhällsviktig verksamhet kan genomföras som en workshop där kommunen, andra offentliga aktörer och näringslivet deltar. Efter en kartläggning av vad som är samhällsviktigt (baserat på kriterierna ovan) får deltagarna prioritera vilka verksamheter och funktioner som är särskilt intressanta. Resultatet blir en förteckning över prioriterade funktioner inom kommunen och regionen. 1.3 Elförsörjningen en vital samhällsfunktion Elförsörjningen är ett av vårt lands viktigaste försörjningssystem. Vid omfattande elavbrott upphör eller störs alla viktiga samhällsverksamheter - utan el stannar Sverige. Därför har UPOS-projektet utgått från konsekvensen för prioriterade verksamheter vid elavbrott. Anledningen till avbrottet eller dess varaktighet har inte diskuterats, eftersom det inte är relevant för de hotoberoende analysmetoder som använts och förmågan att skapa en bra beredskap hos elanvändarna. Uthålligheten vid elavbrott varierar mellan olika verksamheter. Därför har en av de inledande frågorna varit hur länge olika verksamheter klarar sina uppgifter under elavbrott. Var går brytgränsen för deras förmåga att upprätthålla sin verksamhet? 6

DEL 1 GENERELL ME TODH A NDBOK 2. Privat-offentlig samverkan 2.1 Vad är POS? Privat-offentlig samverkan (POS) är en nödvändig del av samhällets krisberedskap eftersom många samhällsviktiga verksamheter ägs och drivs av privata aktörer. Vare sig kommunen eller de privata aktörerna klarar att hantera en kris på egen hand - de behöver stödja varandra. För att kunna göra det behövs samverkan, både före, under och efter en extraordinär händelse. Enligt Regeringens propositioner och Riksdagens beslut om krisberedskap bör POS vara en i krishanteringssystemet integrerad process på såväl central som regional och lokal nivå. Och den bör vara baserad på frivilliga avtal mellan likvärdiga parter och bedrivas med kvalitetssäkrade metoder, bland annat för säkert informationsutbyte. Genom POS kan kompetens och resurser från både den privata och offentliga sidan samarbeta till nytta för såväl enskilda företag som samhället i stort. Även om de aktörer som deltar i POS bör ses som likvärdiga parter måste kommunen ta initiativ till samarbetet, på grund av sitt geografiska områdes- och samordningsansvar. Kommunen bör också säkerställa att samhällsviktiga verksamheter deltar i POS. Aktörer som bedriver verksamhet inom kommunen, men som inte har direkt koppling till samhällsskydd och beredskap, kan av andra skäl vara samhällsviktiga och bör därför inbjudas till samverkan. Hos varje medverkande aktör bör det utses en person eller grupp med god kunskap om den egna verksamheten, som ansvarar för såväl medverkan i POS som för det interna arbetet. Dessa bör också ha ansvar för, eller medverka i, utvecklingen av de planer och åtgärder som arbetas fram. Den internationella standardiseringsorganisationen ISO håller på att ta fram en standard för privat-offentlig samverkan - ISO 22397 Public/ Privat Partnership. Arbetet görs inom ramen för den kommande standarden för kontinuitetshantering (ISO Societal Security). Denna handbok och inriktningen av det blivande Nätverket POS SR ligger helt i linje med arbetet inom ISO. Handboken för kontinuitetsplanering i privat-offentlig samverkan 7

2.2 Nätverket POS SR - Privat-offentlig samverkan i södra Roslagen Som resultat av det genomförda utvecklingsprojektet (UPOS SR) planeras en permanent privat-offentlig samverkan inom Södra Roslagen genom att inom något år etablera Nätverket POS SR. I det följande beskrivs hur detta nätverk avses fungera. Nätverket POS SR planeras att bestå av de privata och offentliga företag, organisationer och andra aktörer som vill delta och som skrivit under en avsiktsförklaring 4. Som medlem har man tillgång till arrangemang, arbetsgrupper och resultat inom nätverket. Det kostar ingenting att vara med och man kan när som helst gå ur. Syftet med nätverket är att stärka och upprätthålla samhällets motståndskraft och beredskap mot extraordinära händelser för att bygga en tryggare tillvaro för både företag, kommuner och enskilda medborgare. All samverkan inom nätverket är frivillig, men medlemmarna åtar sig att bidra med tid, resurser, kunskap och engagemang efter förmåga, både i det förebyggande arbetet och vid akut krishantering. I nätverket görs bland annat analyser av hot, risker och möjliga åtgärder, man utbyter kunskaper och erfarenheter och kommer överens om åtgärder. I ett krisläge bidrar nätverket till att klarlägga läget i stort, bedöma resursbehov och samordna insatser. Men medlemmarna är inte begränsade till dessa områden, utan kan agera flexibelt efter förmåga och ambition. Inom nätverket finns ett samverkansforum för alla medlemmar som bas för ömsesidig information, analys och inriktning. Här diskuterar medlemmarna olika idéer om utveckling av samverkan och beredskap samt ger råd till styrgruppen. Det är i samverkansforumet som grunden läggs för samverkan i en akut krissituation. Det konkreta arbetet utgår från de gemensamma behov som löpande identifieras. Särskilda arbetsgrupper eller projekt tillsätts i specifika frågor. För sådana projekt ska särskild finansiering ordnas i varje enskilt fall. Eventuella kostnader för åtgärder som deltagarna kommer överens om, finansieras i särskild ordning. Nätverket POS SR leds av en styrgrupp. Den är sammansatt av såväl privata som offentliga aktörer och har en, av styrgruppen själv, utsedd ordförande - gärna från den privata sektorn. Styrgruppen upprättar årligen en verksamhetsplan, som ska diskuteras på möte med samverkansforum och leder arbetet i övrigt. Nätverket POS SR avhandlar normalt enbart öppen information. Grunden är dock att allt som sägs på möten, enbart är till för dem som deltar. I vissa projekt kan det dock förekomma såväl företagshemligheter som annan sekretessbelagd information. I dessa fall bör alla deltagare skriva under en sekretessförbindelse. Känsliga uppgifter från såväl företag som kommuner, som hanteras i risk- och sårbarhetsanalyser, är skyddade av offentlighets- och sekretesslagen (2009:400) 18 kap, 13. Dessa uppgifter blir därmed inte offentliga handlingar. 4 Planerad avsiktsförklaring för Nätverket POS SR finns i bilaga. 8

DEL 1 GENERELL ME TODH A NDBOK 3. Kontinuitetsplanering 3.1 Grunder Modern kontinuitetsplanering tar avstamp i ett antal nationella standarder där den brittiska är den idag mest tongivande. Den internationella standarden, ISO Societal Security, kommer att rullas ut med början 2010. Enligt dessa standarder fokuserar kontinuitetsplanering på att: Säkerställa att verksamhetskritiska processer i ett företag eller annan organisation ska kunna fungera på en acceptabel nivå vid svåra störningar. Avbrutna ordinarie processerna ska kunna återupptas inom en acceptabel tidsrymd under vilken: 1. Alternativa rutiner upprätthåller prioriterad/kritisk verksamhet. 2. Återhämtningsrutiner för kritiska resurser/aktiviteter exekveras. Säkra verksamheten vid olika typer av risker Lägga ansvaret för åtgärder (återhämtningsrutiner etc.) på den som äger den verksamhetskritiska resursen. Med kontinuitetsplanering kan konsekvenserna av ett allvarligt driftavbrott begränsas och verksamheten gå stärkt ur krisen. Resultatet av planeringen dokumenteras i planer. I en konventionell risk- och sårbarhetsanalys identifierar man vilka störningar som kan uppstå i samhället vid en viss risk, t.ex. ett elavbrott. Men i kontinuitetsplanering identifierar man inledningsvis vilka verksamheter, kritiska processer etc. som absolut måste fungera och i vilken omfattning. Först därefter bildar man sig en uppfattning om vilka risker (hot) som finns mot dessa. Därefter utvärderar man de identifierade riskerna så att man kan prioritera vilka man i första hand ska hantera, det vill säga avgör om en risk kan accepteras eller inte. Denna metod är således hotoberoende och förenklar och effektiviserar beredskapsarbetet. Angreppssättet börjar nu också användas på nationell nivå. Regeringen har givit myndigheterna i uppgift att klarlägga vilka verksamheter som är samhällsviktiga och ta fram grundläggande säkerhetsnivåer för dessa. Först därefter ska man klarlägga vad som hotar dessa verksamheters grundläggande funktion. Kontinuitetsplanering genomförs i följande fem steg: 1. Analysera verksamheten för att prioritera de viktigaste huvud- och stödprocesserna. Detta görs i en samhällskonsekvensanalys. I en strikt kommersiell kontinuitetsplanering kallas detta för affärskonsekvensanalys, eftersom man där klarlägger vilka processer som är viktigast att hålla igång för att minimera de negativa effekterna för affärerna vid svåra driftstörningar. 2. Genomför en riskanalys och riskvärdering för att identifiera vilka risker dessa huvudprocesser har att möta 3. Ta fram strategier som visar hur de viktigaste processerna/funktionerna ska säkras 4. Ta fram lösningar genom att analysera vilka åtgärder som krävs för att möta riskerna 5. Ta fram planer som visar vad som ska göras före, under och efter svåra driftstörningar. Handboken för kontinuitetsplanering i privat-offentlig samverkan 9

Härutöver behöver ledning och personal utbildas och övas för att förankra, verifiera och uppdatera planerna samt för att höja krishanteringsförmågan inom organisationen. Inom ramen för kontinuitetsplanering används ett antal begrepp: Acceptabla avbrottstider Anger hur länge en verksamhet och olika processer/funktioner kan vara utslagna utan att leda till oacceptabla konsekvenser. Begreppet tydliggör var gränsen går för vad ledningen kan acceptera. Delprocess En verksamhet kan delas in i ett antal delprocesser som är mer eller mindre viktiga för att kunna bedriva verksamheten på en tolerabel nivå. Kritisk aktivitet De aktiviteter som måste genomföras för att leverera de delprocesser som är nödvändiga för att funktionen ska möta det krav på kontinuitet som definierats. Kritisk resurs De resurser i form av personal, system, utrustning, lokaler, leverantörer, etc. som måste finnas tillgängliga för att kunna leverera de kritiska aktiviteter som identifierats. Kritisk infrastruktur Den infrastruktur (t.ex. elsystem, kommunikation) som är nödvändig för tillgängligheten hos en kritisk resurs. Maximalt tolerabel avbrottstid De maximala avbrottstider (i sekunder, minuter, timmar eller dagar) som kan tillåtas för en kritisk aktivitet utan att en delprocess avbryts. Uthållighet Anger hur länge en verksamhet behöver/kan bedrivas med reservlösningar. Återställningstid Kravet på tid (i sekunder, minuter, timmar eller dagar) inom vilken en kritisk resurs (personal, system, utrustning, leverantör etc.) måste återställas efter ett avbrott för att inte den samhällsviktiga verksamheten ska drabbas av oacceptabla konsekvenser. Återställningstiden måste vara mindre eller lika med kravet på maximalt tolerabel avbrottstid. 10

DEL 1 GENERELL ME TODH A NDBOK 3.2 Modell för kontinuitetsplanering Arbetet sker i fem steg, enligt figur 1 nedan. I avsnitt 3.3-3.7 beskrivs de fem stegen mer detaljerat. Steg 1 Samhällskonsekvensanalys En samhällskonsekvensanalys syftar till att klarlägga konsekvenserna för kommuninnevånarna och kunder/ klienter av avbrott i en samhällsviktig verksamhet. T.ex. kan avbrott i ett företag leda till att innevånarnas och/ eller klienternas liv och hälsa hotas. Men samhällskonsekvensanalysen syftar också till att klarlägga vilka processer/funktioner som under alla omständigheter måste hållas igång inom den specifika verksamheten samt vilka resurser som är nödvändiga för att denna verksamhet ska fungera. Steg 2 Riskanalys och riskvärdering Kritiska aktiviteter och resurser (sårbarheter) i verksamheten identifieras och betydelsen av avbrott i dessa, på grund av t.ex. elavbrott, klarläggs. Maximala tider för tolerabla avbrott definieras, dvs. hur snabbt måste man på något sätt kunna återhämta sig - få igång den kritiska aktiviteten eller få tillgång till den kritiska resursen. Slutligen analyseras risker och vägs mot befintliga förmågor/åtgärder för att bedöma om man klarar att nå kraven på återhämtningstid. Steg 3 Kontinuitetsstrategi I detta steg skapas strategier (inriktningar och koncept) för att kunna hantera problemen och lösa kraven på återhämtning. Steg 4 Kontinuitetslösningar Strategierna läggs till grund för att identifiera och skapa konkreta och optimala lösningar på problemen. Det vill säga lösningar som möjliggör att de prioriterade verksamheterna kan upprätthållas på en tolerabel nivå, även under ett långvarigt elavbrott. Steg 5 Kontinuitetsplaner För varje enskild verksamhet skapas detaljerade planer som visar vilka åtgärder, metoder och resurser som behövs för att säkerställa de viktigaste processerna/funktionerna före, under och efter extraordinära händelser. Figur 1. Arbete i fem steg 1. Samhällskonsekvensanalys 2. Riskanalys 3. Kontinuitetsstrategi 4. Kontinuitetslösningar 5. Kontinuitetsplaner Identifiera kritiska aktiviteter och resourser (sårbarheter) hos samhällsviktiga verksamheter Analysera kritiska beroendeförhållanden (el) och hot mot dess kontinuitet Definiera tider för maximalt tolerable avbrott Analysera händelser som utgör risker och åtgärder för att nå kraven på återhämtningstid. Identifiera hur funktionalitet ska säkerställas t ex Utveckla robusta servicecentra Säker bränsleförsörjning Reservkraftpooler. Identifiera och utforma praktiskt och ekonomiskt genomförbara lösningar för att nå målen i strategin Utformas så detaljerade att de kan ligga till grund för planering. Dokumentera åtgärder före, under och efter extraordinära händelser Flexibelt verktyg som stöd i alla typer av kriser. Handboken för kontinuitetsplanering i privat-offentlig samverkan 11

3.3 Samhällskonsekvensanalys 3.3.1 Syfte och mål Genom en samhällskonsekvensanalys klarläggs konsekvenserna för samhället av avbrott i en verksamhet. Detta ger grund för att klarlägga vilka processer/funktioner som under alla omständigheter måste hållas igång inom den specifika verksamheten samt vilka resurser som är nödvändiga för att denna verksamhet ska fungera. De resurser som krävs kan vara av olika slag som personal, system, utrustning etc. vars tillgänglighet i sin tur bl.a. är beroende av kritisk infrastruktur t.ex. el. Inga organisationer kan verka utan en mängd väsentliga underleverantörer av tjänster och varor. Om en organisation inte kan leverera sina tjänster eller produkter kan andra verksamheter påverkas, vilket i sin tur påverkar ännu fler verksamheter. Samhällskonsekvensanalys handlar alltså om att skapa kunskap om de kritiska processer/funktioner som finns hos verksamheterna. Samhällskonsekvensanalysen ska också klarlägga ambitionsnivån för det fortsatta kontinuitetsarbetet i form av: Acceptabla avbrottstider Hur länge kan verksamheten och olika processer/funktioner vara utslagna? Uthållighet Hur länge ska verksamheten kunna bedrivas med reservlösningar? Det är viktigt att klarlägga vem som har ansvar för olika processer och för att dessa processer analyseras i det fortsatta arbetet. Klarlägg vem som har befogenhet att fatta beslut såväl före som under och efter en kris. Målet är att ta fram ett underlag för efterföljande riskanalys som i sin tur leder till att man kan göra prioriteringar av kritiska resurser, t.ex. elleveranser, reservkraft, transporter eller drivmedel. 3.3.2 Genomförande Arbetet drivs med fördel i en liten grupp av experter och med en ledare som deltar i alla analyser. Det sistnämnda för att analyserna ska bli likvärdiga för alla verksamheter och funktioner vad avser detaljeringsgrad, riskidentifiering och riskvärdering, mm. Arbetet ska ge kunskap om: Verksamhetens betydelse för samhället (samhällskonsekvenser) Verksamhetens funktioner, delprocesser, resurser och beroenden samt begränsningar Kritiska aktiviteter i en verksamhet och maximalt tolerabla avbrottstider Kritiska (interna) resurser i en verksamhet och maximala återställningstider Kritisk infrastruktur/externa beroenden i en verksamhet Arbetet inleds med att den aktuella verksamhetens betydelse för samhället i en krissituation analyseras. Detta för att i nästa steg kunna fastställa vilka processer/funktioner som absolut måste hållas igång. Därefter analyseras vilka processer/ funktioner som under alla omständigheter måste hållas igång inom verksamheten samt vilka resurser som är nödvändiga för att denna ska fungera. Till stöd för analysen kan processkartor på papper med fördel användas i ett handfast arbete där verksamhetens delprocesser, kritiska aktiviteter och resurser samt kritiska externa beroenden kartläggs och skrivs ner. Arbetet med att fylla i processkartan börjar högst upp med att man skriver in vilken verksamhet och tjänst det handlar om (t.ex. bränsleförsörjning genom en lokal drivmedelsstation). Identifierar vilka viktiga delprocesser den består av och vilka kritiska aktiviteter det finns inom dessa delprocesser. Arbetet avslutas med att man iden- 12

DEL 1 GENERELL ME TODH A NDBOK tifierar kritiska interna resurser och slutligen kritiska externa beroenden. Se exemplet om drivmedelsstationer i avsnitt 3.3.3 till höger. Under arbetet med kritiska aktiviteter klarlägger man maximalt tolerabel avbrottstid för dessa. Den anger den maximala avbrottstid (i sekunder, minuter, timmar eller dagar) som kan tillåtas för en kritisk aktivitet utan att en delprocess avbryts och ger oacceptabla konsekvenser för verksamheten. När man analyserar kritiska (interna) resurser klarlägger man också återställningstid. Med det menas kravet på tid (i sekunder, minuter, timmar eller dagar) inom vilken en kritisk resurs (personal, system, utrustning, leverantör etc.) måste återställas efter ett avbrott för att inte verksamheten ska drabbas av oacceptabla konsekvenser. Återställningstiden måste vara mindre eller lika med kravet på maximalt tolerabel avbrottstid. 3.3.3 Exempel Samhällskonsekvenser Inom projektet UPOS SR identifierades samhällskonsekvenser av elavbrott för 14 olika verksamheter. Analysen gjordes med förutsättningen att ingen reservkraft fanns tillgänglig. Detta är nödvändigt för att få en rättvisande bild över vilka sårbarheter som finns och vilka åtgärder som behöver vidtas. Nedan redovisas exempel på konsekvenser: Bränsle-/drivmedelsstationer stänger eftersom de inte kan pumpa upp drivmedel från cisternerna (handpumpning är inte möjlig) och inte kan ta betalt. Sjukhus kan inte genomföra flera livsviktiga aktiviteter som operationer, anestesi och förlossning. Sjukhus och äldreboende kan inte hantera kost/livsmedel. Apotek kan inte genomföra någon verksamhet, stänger och hänvisar till närmaste öppen läkemedelsförsörjare. Figur 2. Processkarta för samhällskonsekvensanalys Samhällsviktig funktion Tjänst Delprocess Delprocess Delprocess Delprocess Delprocess Kritiska aktiviteter MTO = Maximalt tolerabel avbrottstid (Maximum Tolerable Outage, MTO) 1 MTO 2 3 MTO 4 5 MTO 6 MTO MTO MTO Kritisk resurser (interna) RTO = Återställningstid (Recovery Time Objective, RTO) RTO RTO RTO RTO RTO RTO RTO RTO Kritisk infrastruktur/ övriga externa beroenden E L Handboken för kontinuitetsplanering i privat-offentlig samverkan 13

Figur 3. Exempel på maximalt tolerabla avbrottstider vid elavbrott utan reservkraft i UPOS SR 0 min 5 min 2 dagar 2 veckor Bevakningsverksamhet Köpcentrum Läkemedelsförsörjning Spårbunden trafik Äldreomsorg Räddningstjänsen Industriföretag A + C Drivmedelsförsörjning SjukhusFörsörjning Akutsjukvård Dricksvattenförsörjning Avloppshantering Avfallshantering Industriföretag B Räddningstjänsten får problem med ut- och inlarmning samt kommunikation. För spårbunden trafik uppstår problem genom att passagerare fastnar under jord (belysning) eller blir inlåsta i vagnar, vilket kan leda till olyckor, oro och panik. Bussar kan inte köra när drivmedlet tar slut. Dricksvattenförsörjningen upphör i stora områden då pumpar stannar. Vid industri med flödesorienterade processer stannar verksamheten. Köpcentra måste stänga och utrymmas inom 30 minuter, då det är maximal tid som normalt disponibel reservkraft kan hålla igång t.ex. nödbelysningen. Utrymning sker på grund av stöld- och säkerhetsrisker. Delprocesser i en samhällsviktig verksamhet Delprocesser på t.ex. en modern bränsle-/drivmedelsstation kan vara: Livsmedelsförsäljning, mm Försäljning av biltillbehör, etc. Biltvätt Tankning Biluthyrning Alla dessa kan inte betraktas som samhällsviktiga, t.ex. biltvätt, medan biluthyrning mycket väl kan vara samhällsviktig i vissa situationer. Kritiska aktiviteter i en samhällsviktig verksamhet Kritiska aktiviteter är kärnverksamhet/funktioner/aktiviteter i en verksamhet vid en extraordinär händelse. För en drivmedelsstation kan det, vid elavbrott, t.ex. handla om att: 1 kunderna kan tanka 2. kunderna kan betala 3. stationen kan få nytt drivmedel 4. livsmedlen inte förstörs 5. inbrott och stölder förhindras De maximalt tolerabla avbrottstiderna varierar mellan och är unika för olika objekt och verksamheter. Variationerna beror på drivmedelsstationernas läge, storlek, hur många och vilka som är beroende av dem, etc. Man kan alltså inte säga att drivmedelsstationer alltid ska ha en viss tolerabel avbrottstid för vissa kritiska aktiviteter. Under projektet UPOS SR analyserades maximalt tolerabla avbrottstider vid elavbrott (utan reservkraft) för 14 verksamheter. I figur 3 nedan redovisas exempel på olika verksamheters maximalt tolerabla avbrottstider. Kritiska (interna) resurser i en samhällsviktig verksamhet De kritiska interna resurserna för en bränsle-/drivmedelsstation enligt punkt 1, 2 och 3 ovan kan bl.a. vara: 1. För att tanka a. Att pumparna fungerar b. Att tankarna är fyllda 2. För att betala a. Att det finns möjligheter att ta emot kontanter och kortbetalning b. Att det finns personal som kan hantera betalningen 3. För att få nytt drivmedel till stationen a. Att man kan beställa påfyllning (Telefon? Dator? Annat sätt?) b. Att man kan ta emot tankfordon 14

DEL 1 GENERELL ME TODH A NDBOK För dessa ska maximala återställningstider tas fram. Som nämnts ovan ska dessa ange inom vilken tid som en kritisk resurs måste återställas vid ett elavbrott för att inte verksamheten ska drabbas av oacceptabla konsekvenser. Under projektet UPOS SR togs maximala återställningstider fram för kritiska resurser hos de 14 verksamheter som deltog. Kritisk infrastruktur/externa beroenden i samhällsviktig verksamhet Kritisk infrastruktur/externa beroenden kan för de identifierade kritiska aktiviteterna och interna resurserna i en bränsle-/drivmedelsstation vara: För att tanka - pumparna fungerar Att det finns reservkraft Att det finns (extern) personal som kan serva pumparna För att betala Att det finns reservkraft till kassorna Att kortbetalning kan nå externa datorcentraler för betalningskontroll, mm eller att betalningarna kan lagras lokalt Att personalen kan komma till arbetet Kommunikationer Barnomsorg fungerar Etc För att få nytt drivmedel Att telefonnät/datornät fungerar så att man kan beställa Alternativt att man kan buda skriftliga beställningar Kräver budfirma eller att personal avdelas för detta Att säkerhetssystem vid påfyllning fungerar 3.4 Riskanalys och riskvärdering 3.4.1 Syfte och mål En riskanalys och riskvärdering av en verksamhet genomförs utifrån resultaten av samhällskonsekvensanalysen. Syftet med riskanalysen är att ta fram ett för hotbilden representativt urval av risker för de olika delprocesser, kritiska aktiviteter och resurser samt kritiska externa resurser. Riskvärdering syftar till att utvärdera de identifierade riskerna mot den befintliga redundansen, dvs. den förmåga som redan finns. Detta för att skapa klarhet kring vilka förmågor som inte uppfyller kravbilden. Identifierade risker kan med fördel användas i traditionella risk- och sårbarhetsanalyser (RSA) där man prioriterar vilka risker som man i första hand ska hantera. Målet är att skapa en förteckning över de risker som behöver åtgärdas för att uppnå kraven på tid för återhämtning, dvs. de gränssättande riskerna för alla de delprocesser, etc. som behövs för att bedriva verksamheten på en tolerabel nivå. Förteckningen kan utgöra grunden för nästa steg i planeringen att ta fram en kontinuitetsstrategi. Inom kontinuitetsplanering är målet att identifiera de resurser som faller utanför återställningstiden. Resurserna prioriteras sen efter den sannolikhet de har att inte uppfylla kraven. Därmed har ett beslutsunderlag skapats som visar vilka resurser som är felaktigt dimensionerade. Denna felaktiga dimensionering kan vara åt båda hållen d.v.s. antingen otillräcklig (=risk) eller för stor (=kostnad). Underlaget utgör grunden för nästa steg i planeringen att ta fram en kontinuitetsstrategi. 3.4.2 Genomförande Arbetet med riskanalys och riskvärdering kan ta stöd i och samtidigt komplettera de mer övergripande risk- och Handboken för kontinuitetsplanering i privat-offentlig samverkan 15

sårbarhetsanalyser som kommunerna enligt lag är skyldiga att genomföra. Observera att händelser som kan störa kontinuiteten hos kritiska resurser kan vara både interna och externa. De kan exempelvis röra sig om sjukdom, tekniska eller mänskliga fel, sabotage, IT-attacker eller naturkatastrofer. I vissa fall finns sådana händelser beskrivna och värderade i de olika organisationernas eller kommunernas hotbildsbeskrivningar. I andra fall måste man börja från grunden. Riskanalysen kan med fördel genomföras som en workshop i följande fyra steg: Identifiera de risker som kan påverka tillgängligheten hos de resurser som stöder de processer och delprocesser, kritiska aktiviteter och resurser samt kritiska externa resurser som måste fortsätta fungera. Syfte är att skaffa sig en uppfattning om HUR utsatt den kritiska resursen är. Ett representativt urval av risker är gott nog. Identifiera befintlig redundans, till exempel i form av reservfunktioner som reservkraft. Bedöm sedan sannolikheten för att en händelse orsakar ett avbrott hos resursen som överstiger kravet på maximalt tolerabel avbrottstid. Genomför sedan en riskvärdering, dvs. bedöm om resursen har otillräcklig/tillräcklig/för stor kapacitet vid kris och bestäm därefter vilken prioritet resursen ska ha i det fortsatta arbetet. Vill man acceptera att resursen har en otillräcklig kapacitet vid kris så bör det beslutet förankras i högsta ledningen. Under riskvärderingen ska man analysera sannolikheten av att en händelse orsakar ett avbrott hos en process/funktion som är längre än det krav på maximal tolerabel avbrottstid och återhämtningstid som definierats i samhällskonsekvensanalysen. 3.4.3 Exempel Nedan visas resultatet av en analys under projektet UPOS SR. Listan visar de resurser som vid ett elavbrott befanns vara de mest kritiska för de funktioner som hanterades under projektet. För dessa resurser är sannolikheten mycket hög att ett längre elavbrott får konsekvenser som överstiger de tider som sattes som maximalt tolerabla. Följande kritiskt elberoende resurser kan vid ett elavbrott orsaka icke tolerabla konsekvenser för de enskilda aktörerna: Räddningstjänst Eldrivna bränslepumpar på bränsledepåerna Sjukhus/Akutsjukhus Utrustning såsom medicinsk övervakning, operationsutrustning, kuvöser, respiratorer samt röntgen Kost, som måste värmas/hållas kyld Låsta dörrar låses upp på demensavdelningar Omsorg av äldre och demensvård Lokalen, värme, ljus, vatten och avlopp Kost/mat som måste värmas/hållas kyld Industriföretag A Testutrustning MPS Produktstruktur CAD Vakuum och tryckluft till domkraft Vissa specialtillverkade maskiner Laser Processutrustning och framkallning Ren 16

DEL 1 GENERELL ME TODH A NDBOK 3.5 Kontinuitetsstrategi rum Med resultaten från samhällskonsekvens- och riskanalysen samt riskvärderingen som grund utformas en eller flera strategier för hur verksamheterna skall stärkas. Strategierna ska fungera som underlag för gemensamma förhållningsregler och synsätt vid planering, samt som underlag för prioriteringar. De ska också tjäna som underlag för de enskilda verksamheternas val av kontinuitetslösningar, framtagning av planer och investeringar i åtgärder. En strategi kan avse en funktion, som drivmedelsförsörjning, eller en störning, t.ex. elavbrott eller översvämning. Att strategierna utformas gemensamt, inom ramen för privat-offentlig samverkan, medför att de lösningar, åtgärder och planer som de olika aktörerna sedan tar fram är avstämda med varandra och därmed mer kostnadseffektiva. Utifrån strategin väljs sedan lösningar som säkerställer att berörda verksamheter kan motstå allvarliga störningar. När olika aktörer, genom informationsutbyte och samverkan, tagit fram gemensamma strategier och lösningar har förutsättningarna för ökad robusthet tagit ett stort steg framåt. 3.5.1 Syfte och mål Arbetet med en strategi syftar till att ta fram ett gemensamt mål och tillvägagångssätt för att stärka funktionaliteten hos berörda verksamheter. Målet är att formulera en strategi, innehållande en måldel och en genomförandedel, som är så tydlig att man i det fortsatta arbetet lätt kan hitta lösningar. Genom kontinuitetsstrategier ökar förmågan hos verksamheterna att utveckla väl anpassade egna lösningar och vidta åtgärder för att vidmakthålla eller återuppta kritisk verksamhet i samband med extraordinära händelser. Effekterna av arbetet förväntas dessutom bidra till: Ökad samsyn bland aktörerna Gemensamma arbetssätt och principer Ökat informationsutbyte både före, under och efter en kris. Att skapa en bas för privat-offentliga samverkan. Att långsiktigt bygga upp eller öka kompetensen inom samhällsviktiga verksamheter Ökad samverkan mellan samhällsviktiga verksamheter och kritiska externa leverantörer, t.ex. elföretag. 3.5.2 Utformning av en strategi Strategin bör vara övergripande utformad, tydlig och kortfattad, bland annat för att inte behöva ändras vid smärre ändringar i förutsättningarna. Vem som ska göra vad behöver som regel inte nämnas. Istället används funktionsbegrepp som äldreomsorg, ordning och säkerhet, inledningsvis, i slutet, etcetera. Strategin bör inledas med en måldel och följas av en genomförandedel som beskriver genomförandet i stort. I måldelen ska det klart formuleras vad som ska åstadkommas. Texten bör vara stringent och bestå av tydliga ord och uttryck som kan förstås entydigt av alla i organisationen (t.ex. inom äldreomsorgen ska lösningar väljas som tillåter de boende att stanna kvar i sina boenden och där ges vård och omsorg så nära normala förhållanden som möjligt.. ). Eventuella delmål bör framgå i kronologisk ordning intill målet nåtts. I måldelen kan också de viktigaste metoderna anges eftersom detta har en stark koppling till uppgiften och syftet, men utan att Handboken för kontinuitetsplanering i privat-offentlig samverkan 17

möjligheterna att välja bästa arbetssätt och metoder inskränks (t.ex. reservelförsörjning ska förberedas och kunna kopplas in inom fyra timmar... ). Genomförandedelen ska beskriva genomförandet i grova drag och ge övergripande riktlinjer för det fortsatta arbetet. Beskrivningen kan med fördel beskriva viktiga tyngdpunkter eller särskilt viktiga funktioner ( härvid ska i första hand tillgången till vatten, mat, värme, läkemedel och vårdspersonal säkras. ). Strategin skall således ge de ramar och inriktningar inom vilka man skall finna lösningar. Ramar och inriktningar skall följa berörda verksamheters övergripande mål och syften. 3.5.3 Genomförande Eftersom framtagning av strategier direkt följer och baseras på tidigare steg i planeringen är det viktigt att samma personer som genomförde dessa moment också tar fram förslag till strategi. Även framtagning av en strategi kan med fördel genomföras som en workshop. Man börjar med att gå igenom förteckningen över de risker som behöver åtgärdas för att uppnå kraven på tid för återhämtning, d.v.s. de gränssättande riskerna för alla de delprocesser, etc. som behövs för att bedriva verksamheten på en tolerabel nivå. Med detta som bas formuleras ett preliminärt övergripande mål, t.ex. Regionens prioriterade verksamheter ska, vid alla typer av extraordinära händelser, kunna försörjas med drivmedel under minst sju dygn Därefter genomförs en analys av det preliminära målets innebörd. Analysen bör omfatta: Hur läget är idag, främst vilka användbara resurser som finns och deras situation/status Tidsförhållanden och krav från avnämare Externa faktorer som kan påverka (t.ex. möjligheter till påfyllning av stationernas cisterner) Andra omvärldsfaktorer (t.ex. krav från icke prioriterade verksamheter att få tanka och hur man kan hantera det) Efter denna grundläggande analys formuleras ett antal olika realistiska handlingsalternativ och dessa jämförs mot varandra. Sedan man valt alternativ bearbetas detta vidare, dels för att slutligt utforma det övergripande målet, dels för att klarlägga hur det ska kunna uppnås, d.v.s. man tar fram genomförandedelen i strategin. Denna bör innehålla: Genomförande i stora drag. Delmål och skedesindelningar Underlag/uppgifter för delprojekt Skulle man inte hitta några realistiska handlingsalternativ som leder till det preliminära övergripande målet måste målet revideras. T.ex. kan man i fallet ovan avgränsa målet till bara vissa prioriterade verksamheter och vissa extraordinära händelser samt ett mindre antal dygn. Avslutningsvis formuleras övergripande riktlinjer för det fortsatta arbetet. Observera att strategin ska vara kortfattad. En ordentligt genomarbetad strategi blir kort och koncis och kan mycket väl rymmas på en sida. 3.5.4 Exempel på strategier På nästa sida redovisas tre exempel på strategier. Det bör noteras att de inte är fullständigt utformade. 18

DEL 1 GENERELL ME TODH A NDBOK Bränsle- och drivmedelsförsörjning Regionens prioriterade samhällsviktiga verksamheter ska, vid alla typer av extraordinära händelser, kunna försörjas med drivmedel under minst sju dygn. Här vid ska minst en drivmedelsstation i varje kommun (i XX kommun två stationer) kunna sälja bensin, diesel, etanol och gas till prioriterade kunder. Med prioriterade kunder avses räddningstjänst, ordning och säkerhet, sjukvård, hemtjänst Varje sådan drivmedelsstation ska ha reservkraftförsörjning och Robusta servicecentra (RSC) Ett Robust Servicecentrum ska etableras i varje kommun i regionen, baserat på befintliga köpcentra. Vid ett RSC ska invånare, i en krissituation, kunna få tillgång till livsmedel, vatten och värme, information, läkemedel, kunna ladda batterier och Där ska det också finnas tillgång läkare och/eller sjuksköterska, socialtjänst, samt tillgång till Internet och ges möjligheter till kommunikation med systemet RAKEL. Vid en krissituation ska varje RSC inledningsvis utrymmas och stängas för att sedan inom fyra timmar efter beslut kunna bedriva denna samhällsviktiga verksamhet Varje RSC ska ha möjlighet till reservförsörjning med el, elektronisk kommunikation, vatten, avlopp, renhållning, ordning och säkerhet Reservkraft Följande verksamheter i kommunen ska kunna driva oundgängliga funktioner med reservkraft Äldreboende Bränsle och drivmedelsförsörjning Storkök Vatten och avlopp Kommunens lokaler för krisledningsgrupp och -nämnd Här vid ska de funktioner som har avgörande betydelse för kommuninnevånarnas liv och hälsa prioriteras. Inom dessa verksamheter ska ett antal objekt, beroende på befolkningstäthet, mm, installera inkopplingsdon och göra de övriga förberedelser som krävs för att inom två timmar kunna koppla in reservkraftaggregat och få igång driften av dessa avgörande funktioner. 3.6 Kontinuitetslösningar 3.6.1 Syfte och mål Syftet är att, utifrån den strategi som tagits fram, utforma detaljerade lösningar för att nå målen - så kallade kontinuitetslösningar. Man bör i detta sammanhang också vidta åtgärder för att reducera risker mot särskilt viktiga externa resurser. Målet är att hitta och utforma praktiskt och ekonomiskt genomförbara åtgärder som leder till att de strategiska målen nås. 3.6.2 Genomförande Arbetet med att arbeta fram lösningar bör genomföras av experter i respektive verksamhet. Dessa bör vara väl kunniga inom den egna verksamhet och bör ha deltagit i tidigare utförda steg i kontinuitetsplaneringen. 3.6.3 Exempel från analyserad verksamhet Robust Service Center (RSC) Vid omfattande och långvariga elavbrott upphör väsentliga delar av samhället att fungera. Medborgarnas tillgång till information och trygghet minskar och risken för kriminalitet ökar. I UPOS beslöts därför att utreda möjligheter att inrätta Robusta Servicecenter (RSC) i någon eller några av tätorterna inom Södra Roslagen. RSC är en samlingsplats som sä- Handboken för kontinuitetsplanering i privat-offentlig samverkan 19

Exempel på huvudcenter med satelliter Vallentuna Upplands-Väsby Åkersberga Täby Djursholm Vaxholm Sundbyberg Lidingö Stockholm Nacka Gustavsberg kerställer tillgång till samhällsviktiga funktioner under en kris. Centret ska hjälpa medborgarna att få grundläggande behov av trygghet, information, läkemedel, livsmedel, m.m. tillgodosedda. Vid val av anläggning för RSC bör följande kriterier värderas: Centrets geografiska placering i förhållande till tätbefolkade områden Möjligheter att nå centret, bl.a. närhet till större vägförbindelser, parkeringsmöjligheter, uppsamlingsplatser, närhet till kollektivtrafik m.m. Avstånd till drivmedelsanläggningar Samhällsviktiga verksamheter som finns i centret t.ex. apotek, vårdcentral, banker, livsmedelsbutiker Närhet till räddningstjänst och polis Utgående från dessa kriterier beslöts i UPOS att studera möjligheterna att anordna RSC i de köpcentra som finns i Täby, Vallentuna, Åkersberga och Gustavsberg. Ett av dessa centra kan eventuellt inrättas som huvudcenter och övriga köpcentra som satelliter i ett RSC-system RSC ska vara centralt beläget för medborgaren. Man bör ha rimliga möjligheter att ta sig till RSC. Genom att ha ett större regionalt RSC (huvudcenter, större symbolen i bilden nedan) skapas flexibilitet i RSC-systemet, vilket innebär att medborgarens möjligheter att tillgodose sina basala trygghets- och försörjningsbehov ökar. För att åstadkomma ett fungerande RSC krävs tillgång till reservkraft för drift av vitala funktioner i RSC. Reservkraft bör vara i funktion inom 4-6 timmar för att RSC ska uppfylla rimliga krav på tillgänglighet. Detta behov kan tillgodoses antingen genom att reservkraftaggregat installeras i anläggningen eller att handskar för anslutning installeras och avtal om reservkraft sluts med elföretag eller annan leverantör av reservkraft. Användning av reservkraft kräver i regel viss ombyggnad av elsystemet i den anläggning som ska utgöra RSC för att säkerställa att elförsörjning kan ske av de anläggningsdelar som måste fungera. Sådan ombyggnad kan bli mycket kostsam om det inte kan ske i samband nyetablering av en centrumanläggning eller en större ombyggnad av befintlig sådan. Om det finns en drivmedelsanläggning/ bensinstation nära intill eller i anslut- 20

DEL 1 GENERELL ME TODH A NDBOK ning till det blivande RSC bör man pröva möjligheter ansluta denna till nätet för reservkraft. Bränsle- och drivmedelsförsörjning Vid omfattande och långvariga elavbrott ökar behoven av bränslen och drivmedel på grund av att spårbunden trafik måste ersättas med vägtransporter. Dessutom kräver reservkraft för drift av vitala anläggningar tillgång till bränslen. Anläggningar med fasta reservkraftaggregat har i regel bränslen för ett begränsat antal timmars drift. För mobil reservkraft saknas i regel lokal tillgång till bränsle. Dessa förhållanden medför i sin tur behov av fungerande drivmedelsanläggningar. Dessa anläggningar saknar i regel tillgång till egen reservkraft. Flertalet bensinmackar saknar dessutom utrustning för anslutning av mobil reservkraft. Dessa brister innebär att drivmedelsanläggningarna stänger av sin verksamhet vid elavbrott. Inte ens prioriterade samhällsverksamheter kan få sina behov av bränslen och drivmedel tillgodosedda efter det att deras egna eventuella reserver har tagit slut. I privat-offentlig samverkan bör dessa problem ges en prioriterad behandling. Ett sätt att hantera frågan om reservkraft till drivmedelsanläggningar som finns i närheten av RSC har presenterats ovan. I de fall denna lösning inte kan tillämpas bör en dialog tas upp mellan kommunen och berörda drivmedelsbolag om att utrusta någon bensinmack i anslutning kommunhuvudorten med reservkraft eller utrustning för anslutning av mobil reservkraft. En inventering av befintliga lokala bränsle- och drivmedelslager bör ske. Vissa större företag kan ha reservlager, som kan ställas till kommunens förfogande i en kris om avtal om detta sluts innan krisen inträder. Samhällsviktiga funktioner som t.ex. räddningstjänst, polis, bevaknings- och transportföretag bör sluta avtal med drivmedelsleverantör om leverans av drivmedel under kris. Även detta bör ske inom ramen för den privat-offentliga samverkan som syftar till ökad beredskap och säkerhet. Reservkraft Endast ett fåtal samhällsaktörer har reservkraft för att hålla sina verksamheter igång vid elavbrott. Räddningstjänsten och flertalet akutsjukhus kan i regel upprätthålla sina verksamheter i ett antal dygn med begränsad kapacitet. Vissa vattenverk har reservkraft för prioriterade funktioner. Vid större köpcentra finns i regel reservkraft för cirka 30 minuters drift för att kunna utrymma och stänga centret. Flertalet övriga samhällsverksamheter saknar helt eller delvis reservkraft. I många fall finns inte ens den begränsade reservkraft, som krävs för att kunna ställa av verksamheten i ordnade former. I den privat-offentliga samverkan bör behov av och tillgång till reservkraft analyseras. I analysen bör ingå att klara ut vilka funktioner inom de olika verksamheterna som absolut måste fungera vid elavbrott så att reservkraften kan dimensioneras på rätt sätt och att lämpliga åtgärder kan vidtas i anläggningarnas inre elnät. Möjligheter att samutnyttja reservkraft för flera närbelägna verksamheter bör undersökas. Genom samutnyttjande kan eventuellt kostnaderna för enskilda verksamhetsutövare sänkas. Funktionen i den anskaffade reservkraften måste ständigt kontrolleras. Särskilt viktigt är det att kontrollera funktionen hos reservkraft som ska startas automatiskt vid elavbrott. Det är av betydelse att detta görs på rätt sätt, det vill säga att man stänger av den yttre eltillförseln så att reservaggregatet får rätta signaler för start. Verksamheter som skaffar egen reservkraft måste därför säkerställa Handboken för kontinuitetsplanering i privat-offentlig samverkan 21

tillgång till rätt kompetens för att sköta reservaggregatet. Ett sätt att minska behovet av reservkraft vid enskilda verksamheter är att kommuner inom vilka det finns kraftvärmeverk anordnar dessa för start och drift i separat delsystem s.k. Ö-drift. Inom kommuner där fjärrvärmekapaciteten måste utökas kan det vara motiverat att överväga utbyggnad av kraftvärme istället för enbart värme och att redan från början bygga dessa kraftvärmeverk för Ö-drift. Arbetsgrupper för spridning av erfarenheter. Privat-offentlig samverkan är att likställa med ideell verksamhet. För att driva sådan verksamhet framåt krävs intresse och kunskap. Efterhand som kontinuitetsplaneringen utvecklas inom POS bör man därför utse en eller flera arbetsgrupper för att sprida kunskap om kontinuitetsplanering och erfarenheter från de olika verksamheter som ingår i samverkan. En viktig del i detta är att utbilda aktörer utanför POS i metoder för riskanalys och kontinuitetshantering. På detta sätt skapas mervärden av samarbetet genom att tidigare tveksamma aktörer kan väckas till intresse och ta aktiv del i samverkan. Kommunen bör känna ett särskilt ansvar för denna spridning av kunskap. 3.7 Kontinuitetsplaner 3.7.1 Syfte, innehåll och utformning Utgående från de kontinuitetslösningar man väljer tas kontinuitetsplaner fram för varje enhet inom respektive företag/organisation. Det bör finnas planer för varje verksamhet och en övergripande gemensam plan, som kommunen har ansvaret för. Syftet med kontinuitetsplaner är att dokumentera vad som skall göras före, under och efter extraordinära händelser. Planen innehåller alla de åtgärder som organisationen förberett för att kunna hantera kriser och bedriva prioriterad verksamhet, oavsett vad som hänt. Planen ska också visa vad som behöver göras under en återgångsfas för att kunna hantera allt extra arbete som krisen skapat. Även om en plan inte kan följas i minsta detalj ska den vara ett flexibelt verktyg som ledningen och verksamheten kan konsultera vid alla typer av kriser. I t.ex. en gemensam kontinuitetsplan för elbortfall bör man: Definiera vad som skall göras vid elbrist eller elbortfall Klargöra rutiner för kontakter Ha instruktioner för hur olika aktörer kan samverka och bistå varandra Ha kontakt- och checklistor Larm- och eskaleringsrutiner Instruktioner för alternativt genomförande, t.ex. reservkraft Etc. Utformningen av en kontinuitetsplan skiftar från organisation till organisation. Det finns dock ett antal punkter som av erfarenhet är viktiga att beakta när man tar fram planerna. Det viktigaste är att varje organisation utvecklar den plan som passar för deras mål och att allt som kan komma att bli aktuellt i ett krisläge dokumenteras. Planen ska innehålla hur man sammankallar krisledningen och vem som ersätter vem vid frånvaro. Planerna ska vara dokumenterade, utskrivna på papper och finnas tillgängliga, oavsett vad som händer. 22