5.1 Helseberedskapsloven
Lov om helsemessig og sosial beredskap har i nåværende form vært virksom siden 2001. Loven er en inngripende fullmaktslov for effektiv håndtering av store kriser og krig. Disse fullmaktene har aldri kommet til anvendelse. Loven hjemler også flere forskrifter, deriblant en forskrift om beredskapsplanlegging.
Helseberedskapsloven skal sammen med smittevernloven sikre tilstrekkelige og effektive beredskapsforberedelser, fullmakter og styringslinjer, slik at befolkningen i Norge får helsetjenester under kriser, katastrofer og væpnet konflikt. Helsedirektoratet vurderer at det er et betydelig revisjonsbehov for å sikre at loven vil være effektiv nok i alle aktuelle situasjoner. Et eksempel er at det globale og nasjonale trusselbildet har endret seg de siste årene.
Helsetjenesten har vist seg sårbar blant annet for IKT-angrep og for svikt i kritisk infrastruktur og redusert forsyningssikkerhet for legemidler. Behovet for planlegging, tydelig ansvarsfordeling og fullmakter til å kunne håndtere slike hendelser er etter vår vurdering ikke godt nok beskrevet i dagens lov. Vi viser for øvrig til vår leveranse 30.05.19 til departementet med helhetlig forslag til ny lovtekst og begrunnelser.
5.2 Samordning av tilsyn med beredskapslovgivning
I 2018 ga Helse- og omsorgsdepartementet Statens helsetilsyn i oppdrag å «ta initiativ til et nærmere samarbeide med Direktoratet for samfunnssikkerhet og beredskap om å legge til rette for å bedre fylkesmennenes samordning av tilsyn med beredskap i kommunene.» Statens helsetilsyn igangsatte i februar 2018 arbeidet med å lage en felles veileder for kommunal beredskap og helseberedskap. Utkastet til veilederen er utarbeidet av DSB og Statens helsetilsyn, i samarbeid med fylkesmennene i Agder og Innlandet. Fylkesmennene har gitt innspill til tema for tilsynet, gitt råd om praktisk gjennomføring og tilrettelegging av samarbeidet i embetene og gitt innspill til utkastet underveis. Helsedirektoratet har gitt innspill til tema og problemstillinger det kan føres tilsyn med.
Fylkesmannen skal undersøke om kommunen følger opp påviste risiko og sårbarheter ved å utarbeide mål, strategier, tiltak og prioriteringer for beredskapen, og om dette gjenfinnes i kommunens beredskapsplaner og oppfølgingsplan. Kommunen skal følge opp forhold som kan true kritiske samfunnsfunksjoner og utfordre kommunens evne til å yte helsehjelp. Fylkesmannen skal videre undersøke om kommunen har en forberedt kriseorganisasjon og kriseledelse, som er beredt å håndtere evt. hendelser som måtte oppstå. Fylkesmannen skal forvente at kommunen har forberedte tiltak for å beskytte befolkningen mot større uønskede hendelser, og at kommunen også ved uønskede hendelser kan opprettholde tilbud om helse- og omsorgstjenester.
Fylkesmennene i Agder og Innlandet gjennomfører pilottilsyn med bruk av veilederen fra mai 2019, og veilederen vil bli ferdigstilt i løpet av høsten 2019 slik at den kan tas i bruk av alle embeter.
Statens helsetilsyn har i 2019 arbeidet med å bygge opp kapasitet til å kunne føre tilsyn også med den digitale delen av tjenestene. Arbeidet fortsetter i 2020 og Helsetilsynet vil da kunne utføre konkrete tilsynsaktiviteter.
Konklusjon
Helsetilsynet og DSB utfører samordnede tilsyn med kommunenes beredskapsaktiviteter.
5.3 Sikkerhetsloven
Ny sikkerhetslov med underliggende forskrifter ble gjort gjeldende fra 1. januar 2019. Lovens formål er å forebygge, avdekke og motvirke sikkerhetstruende hendelser.
Alle virksomheter underlagt sikkerhetsloven må gjennomgå sin sikkerhetsorganisasjon og etablere styringssystemer som svarer til de nye kravene. Helsesektoren må ta sitt ansvar for å bygge robuste løsninger og sikre seg mot tilsiktede handlinger som kan skade nasjonale sikkerhetsinteresser.
Enkelte objekter, informasjonssystemer og infrastrukturer har en sentral plass i statens evne til å ivareta nasjonale sikkerhetsinteresser gjennom å bidra til å sikre opprettholdelse av såkalte grunnleggende nasjonale funksjoner. Helse- og omsorgsdepartementet har identifisert seks slike funksjoner. Et stort antall virksomheter innen helsesektoren har på bakgrunn av dette fått i oppdrag å gjennomføre skadevurderinger. På grunnlag av dette vil departementet fatte vedtak om klassifisering av skjermingsverdige verdier.
Helsedirektoratet forventer at arbeidene med skadevurderinger kan avdekke behov som ikke fullt ut er analysert i gjeldende overordnede risikovurderinger, og vil i tilfelle innarbeide dette i kommende revisjoner samt som grunnlag for å fremme andre nødvendige tiltak.
Helsedirektoratet anbefaler, uavhengig av dette, alle virksomheter om systematisk å gjennomføre verdi- og skadevurderinger av alle viktige objekter, informasjonssystemer og infrastrukturer. Vi anbefaler videre alle om å kartlegge og gjennomføre risikoreduserende tiltak for å sikre mest mulig robuste tjenesteleveranser i forhold til både utilsiktede hendelser og tilsiktede handlinger. Dette innebærer typisk en god kombinasjon av både menneskelige, organisatoriske og teknologiske tiltak.
Et av flere forhold som må vurderes i denne sammenhengen er sektorens avhengighet av IKT. Det er et stort behov for å intensivere arbeidet med å avdekke digitale sårbarheter og forsterke samfunnets digitale sikkerhet. Dette gjelder også innen helsesektoren. Et element i slike vurderinger er lange og komplekse verdikjeder. For helsesektoren er det svært viktig å skjerme at sensitive helsedata ikke kommer på avveie. Samtidig skal helsedata være tilgjengelig og virksomhetskritiske informasjonssystemer må kunne fungere til enhver tid. Ansvaret for at sensitive data beskyttes og at man er i stand til å levere viktige tjenester, tilligger den enkelte virksomhet, og ivaretakelse av dette krever kontinuerlig arbeid med verdi-, skade- og risikovurderinger.
Konklusjon
Helsedirektoratet anbefaler at følgende tiltak gjennomføres av alle virksomheter i sektoren underlagt sikkerhetsloven:
- Etablere overordnede mål og helhetlige styringssystemer for sikkerhet
- Etablere sikkerhetsorganisasjoner tilpasset ny sikkerhetslov
- Gjennomføre verdi- og skadevurderinger iht. ny sikkerhetslov
- Gjennomføre risikovurderinger i henhold til ny sikkerhetslov og klassifisering av skjermingsverdige verdier
- Videreutvikle sikkerhetskulturen innen sektoren
- Utnytte eksisterende kompetanse innen sektoren i arbeidet med informasjonssikkerhet og andre deler av forebyggende sikkerhet
- Innarbeide sikkerhetstruende hendelser i virksomhetenes beredskapsplaner og øvelser
Helsedirektoratet vil selv ta ansvar for følgende tiltak:
- Gjennomgå og oppdatere krav til varsling og rapportering av ekstraordinære hendelser innen helsesektoren
- Videreutvikle fagnettverket om forebyggende sikkerhet innen helsesektoren
- Vurdere en egen trusselanalyse av helsesektorens utsatthet for tilsiktede handlinger