Kako zmanjšamo tveganja na področju kritične infrastrukture s povečanjem varnostne kulture zaposlenih

Nedavna motnja pri oskrbi z zdravili v Ljubljani je dokazala, da tveganja in škodni dogodki niso le teorija, ali nekaj, kar se dogaja samo drugim. Kakor tudi nastala več milijonska finančna škoda in »neizmerljiva škoda pri ugledu družbe in zaupanju kupcev«.

Vendar poleg dotične poznamo številne druge dejavnosti, kjer imajo lahko škodni dogodki še dosti večje in težje popravljive posledice, vključno s človeškimi žrtvami.

Kaj je kritična infrastruktura?

Gre za »tiste zmogljivosti, ki so ključnega pomena za državo in bi prekinitev njihovega delovanja ali njihovo uničenje pomembno vplivalo in imelo resne posledice za nacionalno varnost, gospodarstvo, in druge ključne družbene funkcije ter zdravje, varnost, zaščito in blaginjo ljudi«, in jih imenujemo kritična infrastruktura.

Na podlagi Zakona o kritični infrastrukturi (= ZKI; Ur.l. RS, št. 75/17) je Vlada dne 26.7.2018 sprejela sklep, s katerim je določila kriterije za ugotavljanje kritične infrastrukture Republike Slovenije in njihovih mejnih vrednosti ter prioritete delovanja posameznih sektorjev.

Po omenjenem sklepu so sektorji kritične infrastrukture:

energetika (oskrba z električno energijo, naftnimi derivati in zemeljskim plinom),
promet (železniški, pristaniški, zračni),
prehrana (oskrba z osnovnimi prehranskimi proizvodi),
oskrba s pitno vodo,
zdravstvo (osnovne zdravstvene storitve in zdravstvena oskrba),
finance (preskrba z gotovino, delovanje proračuna, plačilni promet),
varovanje okolja (onesnaženje, radioaktivna kontaminacija),
elektronska informacijska in komunikacijska omrežja in sistemi.

Vsak sektor ima svojega nosilca, ki so ministrstva in Banka Slovenije.

Lastniki in upravljavci kritične infrastrukture so gospodarske družbe, državni organi, zavodi in Banka Slovenije, ki so tudi odgovorni za njeno delovanje in zaščito.

Na podlagi Zakona imajo upravljavci tri ključne odgovornosti.

Izdelati morajo dokumente načrtovanja zaščite kritične infrastrukture. To so ocena tveganja in ukrepi za zaščito kritične infrastrukture, za katere morajo pridobiti soglasje nosilca sektorja kritične infrastrukture.

Izvajati morajo ukrepe za zaščito kritične infrastrukture, ki so stalni in dodatni. Stalni ukrepi se izvajajo v vseh razmerah. Dodatni pa ob povečani ogroženosti, izrednem dogodku, krizi, ali če stalni ukrepi ne zadoščajo.

Tretja pomembna odgovornost upravljavcev pa je obveščanje in poročanje. Obveščanje je namenjeno predvsem seznanitvi nosilca sektorja s prekinitvijo delovanja kritične infrastrukture in izvedenimi ukrepi za zaščito. Poročanje pa je letno poročilo, ki ga upravljavci posredujejo nosilcu sektorja do konca februarja za preteklo leto.

Ocenjevanje tveganj kritične infrastrukture

Na podlagi Zakona je Ministrstvo za obrambo dne 29.1.2019 sprejelo Navodilo za ocenjevanje tveganj za delovanje kritične infrastrukture Republike Slovenije.

Ocena tveganj mora vsebovati: 

– strokovne usmeritve pristojnega nosilca sektorja kritične infrastrukture, torej ministrstev in Banke Slovenije,
– opis stanja kritične infrastrukture v razmerah rednega delovanja,
– seznam identificiranih virov tveganj za delovanje kritične infrastrukture,
– opisno analizo in ovrednotenje virov tveganj za delovanje kritične infrastrukture.

Ključni del ocene tveganj je identifikacija virov tveganj in njihova analiza, v kateri upravljavec opredeli:

– verjetnost uresničitve vira tveganj,
– resnost potencialne škode, nastale zaradi uresničitve vira tveganj,
– potencialne vplive uresničitve vira tveganj na poslovne procese,
– druge dejavnike.

Navodilo prav tako določa, da »lahko upravljavci pri izdelavi ocene tveganj uporabijo veljavne standarde na področju obvladovanja tveganj in metode za ocenjevanje tveganj ter upoštevajo obstoječe ocene ogroženosti in tveganj za opravljanje dejavnosti kritične infrastrukture«.

Zaščita kritične infrastrukture iz predpisov v prakso

Preden nadaljujemo naj povem, da sem se z varnostjo oseb in premoženja ukvarjal več kot petindvajset let. In pri tem sodeloval z večino upravljavcev kritične infrastrukture ter nekaterimi nosilci sektorjev.

Zadnje leto pa se s sodelavci iz podjetja SBR ukvarjam tudi s področjem upravljanja tveganj.

Zato si upam trditi, da o tem nekaj vem.

Izkušnje kažejo, da pri nas upravljanja tveganj ne jemljemo dovolj resno in mu posvečamo (pre)malo pozornosti. Kar je razumljivo, saj na tem področju (še) nimamo razvite poslovne kulture in primernega strokovnega znanja.

Običajno je omejeno na varovanje, ki se izvaja z organizacijskimi in tehničnimi ukrepi in varnostnimi službami ter v zadnjem obdobju na informacijsko varnost.

S tveganji se večinoma ukvarjajo zgolj posamezniki, kot so vodje varnosti ali vodje upravljanja tveganj (ang. Risk Manager), ki pa nimajo dovolj vpliva pri vodilih za resnejše ukrepe. Pogosto je del področja kakovosti ali kontrolinga, kjer je zgolj ena od administrativnih dejavnosti.

Vendar to ni dovolj, saj je upravljanje tveganj dosti širši pojem od varovanja ali spremljanja podatkov. Kakor tudi za zaščito kritične infrastruktur ne zadošča, da se s tem ukvarjajo samo posamezniki.

Pri upravljanju tveganj velja pravilo, da se načrtovanje začne od zgoraj navzdol, izvajanje načrtovanih ukrepov pa od spodaj navzgor.

Zato resnično zmanjšanje tveganj dosežemo, ko postane del varnostne kulture vseh zaposlenih, ki jo upoštevamo vedno in povsod.

Na podlagi Zakona in drugih predpisov bodo v podjetjih in organizacijah, ki so upravljavci kritične infrastrukture, sicer izpolnili svoje formalne obveznosti, vse drugo pa bo najbrž večinoma ostalo po starem.

Ker, kot rečeno, za celovito upravljanje tveganj niti nimamo ustreznega znanja in izkušenj.

Če torej želite o celovitih pristopih k ocenjevanju in upravljanju tveganj ter prehodu iz načrtovanja v prakso, izvedeti več informacij, nam po želji sporočite in se lahko pogovorimo.

PS: Če imate glede upravljanja tveganj vprašanje, potrebujete pomoč, ali želite sporočiti svoje mnenje, mi lahko pišete na naslov [email protected].

***

Stopite v kontakt z našo ekipo, če želite ustrezno upravljati vaša tveganja.

Za več informacij o upravljanju tveganj spremljajte naš LinkedIn & Twitter račun. Lahko pa se vključite tudi v debato v LinkedIn skupini ERM – KORPORATIVNO UPRAVLJANJE TVEGANJ.