1.1 Offentlig og privat forvaltning af sikkerhed
I kølvandet på terrorangrebene i USA og i England har opmærksomheden på verdensplan i stigende omfang været rettet mod etablering af et robust kriseberedskab. Angrebene synliggjorde afgørende svagheder i katastrofeberedskabet i flere vestlige lande.
Igennem de senere år har nationale og regionale undersøgelser og forskning konstateret sårbarheder i nationale kritiske infrastrukturer, samt påvist kritiske sammenhænge mellem forskellige netværk, eksempelvis telekommunikation og energiforsyning, som rækker på tværs af landegrænser. Både nationalt og regionalt er der indenfor den seneste årrække udviklet forskellige forvaltningsmodeller til imødegåelse af trusler mod sårbarheder i den kritiske infrastruktur. Dette arbejde er imidlertid i stadig udvikling både ud fra teoretiske, strategiske og pragmatiske perspektiver.
Indledningsvis antyder en gennemgang af litteraturen omkring forbedringer i kriseberedskabet, at der kan udledes generelle overordnede principper, såsom udpegning af de enkelte sektorer indenfor den kritiske infrastruktur og erkendelse af behovet for implementering af netværksbaserede forvaltningsstrategier, der nødvendiggør inddragelse af både offentlige og private aktører i beslutningsprocessen omkring udvikling af effektive og økonomisk rentable løsninger.
Privat forretningsvirksomhed indebærer naturligt et element af kalkuleret risiko, mens offentlig virksomhed undgår risici; erhvervsvirksomhed tilstræber profit og udbytte til aktionærer, som er let at måle, mens offentlige institutioner søger at tilgodese bredere mere politisk betonede målsætninger. Offentlige og private aktører forvalter risici på forskelligt grundlag. Risikostyring i offentlige institutioner og private virksomheder er generelt motiveret udfra forskellige holdninger og målsætninger. Private virksomheder forvalter sikkerhed ud fra en ’risiko-baseret’ mentalitet, mens offentlige aktører forvalter sikkerhed i overensstemmelse med en ’lovfæstet’ mentalitet, der følger et tydeligt defineret bestemmelseskompleks. Til trods for disse fundamentale modsætninger mellem offentlige og private aktører fordrer globalisering en fælles udveksling af metoder indenfor krise- og risikostyring, samt placering af ansvar.
Globalisering og de heraf affødte udfordringer for statslig og privat forvaltning af sikkerhed indebærer et ideologisk opgør med den traditionelle danske opfattelse af statsforvaltningens monopol på ansvar for sikkerhed i samfundet. Inddragelse af private aktører i kriseberedskabet medfører en omfordeling af ansvaret for sikkerhed. Internationale tendenser viser, at private aktører i stigende grad overtager rollen som garant for sikkerhed. En rolle, der hidtil udelukkende har været pålagt staten i den westfalske opfattelse af statsforvaltning. Den eksplosive udvikling af private sikkerhedsfirmaer i USA og England er et udtryk for dette skred i rolle- og ansvarsfordelingen, eller pluralisme, indenfor forvaltning af sikkerhed. Klare afgrænsninger mellem offentlig og privat ansvarlighed udviskes.
Pluralisme medfører, at private aktører, der driver virksomhed i sektorer indenfor den kritiske nationale infrastruktur, tildeles et øget medansvar for etablering af et robust kriseberedskab og en effektiv krisehåndtering. Virksomhedens ansvar for sikkerhed rækker udover virksomhedens egne rammer og indeholder krav til virksomhedens kompetencer indenfor forvaltning af sikkerhed i en bredere social ramme. Pluralisering tildeler virksomheden et socialt ansvar for tilvejebringelse af sikkerhed. Den overordnede debat fokuserer i høj grad på ansvarsfordelingen mellem offentlige og private aktører og flere kilder påpeger, at den øgede ansvarstildeling til private aktører skaber nye udfordringer, ikke mindst i afgrænsningen af statens forvaltningsansvar holdt op imod private virksomheders ansvar.
Fremkomsten af netværksbaseret offentlig-privat forvaltning af sikkerhed er en manifestation af denne pluralisering af forvaltningsansvaret. Formering af netværksbaseret forvaltning af sikkerhed defineres som kontinuerligt foranderlige, mere eller mindre midlertidige processer med skiftende alliancer mellem forskellige aktører. Forvaltning af sikkerhed opstår i ’knudepunkter’, hvor ejerskab og ansvar for sikkerhed fordeles i overensstemmelse med særegne sociale, politiske og kulturelle normopfattelser.
Generelt forvaltes kriseberedskab forskelligt i enkelte lande. Private virksomheders rolle og ansvar udmøntes i særegne nationale retningslinjer og standarder, som kan være grundfæstet i national lovgivning eller andre forvaltningsprocesser. Virksomheder er i stigende omfang engageret på tværs af nationale grænser, enten direkte eller indirekte gennem partnerskaber eller underleverandører. Den enkelte virksomheds overordnede metodikker for kriseberedskab og risikostyring skal derfor opfylde lovgivningsmæssige krav fra forskellige nationale regelsæt. Derudover har virksomheden et medansvar for ansvarlig forvaltning af sikkerhed hos samarbejdspartnere og underleverandører.
Internationale tendenser viser, at virksomheders forståelse og implementering af sikkerhed set i en ramme af socialt ansvar i højere grad påvirker konkurrenceevnen, især indenfor erhverv, der indgår i den kritiske infrastruktur.
Virksomhedens robusthed, sociale ansvarlighed og pålidelighed i produkt levering er i højere grad afgørende overfor fastholdelse af den eksisterende kundekreds, samt ved udvidelse af markedsandele på det globale marked. Virksomhedens sikkerhedsmæssige robusthed og kvaliteten af den eksterne koordination med nationalt og regionalt kriseberedskab er blevet en afgørende forretningsmæssig faktor.
Disse forhold afføder et behov for ændring af private virksomheders opfattelse af sikkerhedsorganisationens rolle, funktion, struktur og organisatoriske indplacering i virksomhedens beslutningsprocesser. Sikkerhedsorganisationen i private virksomheder, der eksisterer i et globalt marked, er ikke længere en uproduktiv omkostningstung klods om benet. Transformation af virksomhedens sikkerhedsorganisation er betinget af både markedsøkonomiske, ledelsesmæssige og sociale faktorer i det globale landskab.
Denne konceptuelle ramme danner baggrund for den efterfølgende diskussion. Det følgende vil belyse de mest markante tendenser indenfor beredskabsområdet på globalt og regionalt niveau. Med dette udgangspunkt foretages en gennemgang af nationale amerikanske strategier, sammenholdt med danske nationale tiltag. Formålet er at skitsere en ramme for anbefalinger til en fortsat udvikling af sikkerhedsstrategier i forskellige organisationer.
Målet er at skabe det fornødne teoretiske grundlag for praktiske konkrete anbefalinger til iværksættelse af en proces, der positionerer virksomhedens sikkerhedsorganisation som en værdi skabende faktor.
1.2 Det globale risiko-landskab og nye udfordringer
Set i et globalt perspektiv er det internationale landskab inde i en forandring. Udviklingstendenser indenfor markedsøkonomi og teknologi sætter individet, erhverv, organisationer og nationer i stand til at kommunikere og skabe nye muligheder uden hensyn til fysiske afstande. Denne udvikling er udtryk for en positiv forandring, idet globalisering befordrer velstand og tryghed gennem udveksling og forståelse.
Økonomi og samfund er i stigende grad afhængig af velfungerende national og global kommunikation. IT-sektoren er et af de kritiske områder i den globale infrastruktur, hvor risikoen for driftsforstyrrelser skal forvaltes henover et bredt spektrum af aktører. Denne risiko kan spredes udover flere forskellige systemer og platforme med det formål at opnå større robusthed, men en sådan spredning kan føre til øget kompleksitet og afhængighed. Eksempelvis tilbyder adgang til internettet nye muligheder for hurtig og pålidelig udveksling af informationer. Internettet er en transnational, hurtigt voksende og løst forvaltet realitet, men repræsenterer også både mål og midler for kriminel virksomhed. Strengere forvaltning af internettet med henblik på begrænsning af kriminel aktivitet ville også medføre begrænsninger for legitime brugere. Globalisering medfører således nye dilemmaer indenfor krisehåndtering og –beredskab.
Globalisering skaber nye udfordringer. Komplekse, uforudsigelige og vedvarende globale forandringer medfører nye trusler og risici. Det internationale risiko-landskab er kontinuerligt i forandring. Globalisering har et dynamisk aspekt og de vedvarende forandringer i det globale risiko-landskab kræver øget forståelse og overvågning af de skiftende trusler, risici, sårbarheder og udfordringer.
Den årlige Global Risk Report fra World Economic Forum (WEF) er baseret på en vurdering af risici fra 160 lande og er et fremtrædende redskab i monitering af forandringerne i det internationale risiko-landskab. Den løbende vurdering af risici på verdensplan omfatter i alt 36 forskellige risikofaktorer, som er inddelt i fem overordnede risikoområder: Økonomi, geopolitik, miljø, sociologi og teknologi.
WEF introducerer i 2009 for første gang data svindel/tyveri som en teknologisk risiko-faktor i det globale risiko-landskab. WEF erkender hermed vigtigheden af IT-sektorens centrale rolle i den globale økonomi. WEF vurderer at der er mellem 5-10% sandsynlighed for et angreb mod den globale IT-sektor og påregner, at et sådant angreb vil kunne forårsage direkte økonomiske tab i størrelsesordenen 5 – 10 milliarder US dollar. Det må imidlertid anslås, at de indirekte omkostninger forbundet med tab eller driftsforstyrrelser indenfor IT-sektoren vil være langt højere grundet indbyrdes afhængighed til andre økonomiske eller tekniske sektorer indenfor infrastrukturen. Herudover skal denne vurdering af sårbarhed og sandsynlighed i IT-sektoren betragtes som en udgangsværdi, idet risikoen for driftsforstyrrelser som følge af sabotage eller politisk motiverede angreb på IT-sektoren må formodes at stige indenfor den nærmeste fremtid. I 2010 vil WEF være i stand til at etablere et sammenligningsgrundlag indenfor IT-sektoren. Det må forventes, at det global trusselbillede på IT-området øges markant, da politisk og/eller religiøst iinspireret terrorisme, organiseret transnational berigelseskriminalitet, herunder såkaldt ’White Collar’ kriminalitet i stigende grad udpeger kritisk højteknologisk infrastruktur som middel eller mål, der aftvinger spektakulære resultater eller stort økonomisk udbytte med et minimum af risiko for gerningsmændene.
Risikostyring og – håndtering indenfor den globale IT-sektor kan ikke udelukkende fokusere på trusler, der er specifikt rettet mod denne del af den globale infrastruktur. Sammenhæng til andre sektorer, der udgør forskellige sæt af risici, såsom eksempelvis økonomiske eller geopolitiske risikofaktorer, udgør en afgørende kompleksitet i det globale risiko-landskab.
Globalisering og de deraf affødte komplekse risici skal forvaltes i tid og rum. Planlægning for imødegåelse af katastrofer og trusler skal forstås som en proces henover tid. Langsigtet planlægning er nødvendig med henblik på at begrænse konsekvenserne af hændelser. Den komplekse indbyrdes afhængighed mellem de forskellige sektorer i infrastrukturen og sammenhænge til øvrige risikofaktorer bevirker, at nye tiltag er påkrævet i offentlig og privat forvaltning af risici.
Sammenfattende er nøgleordene for imødegåelse af udfordringerne i det globale risiko-landskab langsigtet procesorienteret forvaltning af risici i netværksbaserede løsningsmodeller, hvor både offentlige og private aktører aktivt tager et fælles ansvar.
Flere internationale observatører konkluderer, at overordnet monitering af det globale risiko-landskab nødvendigvis må forankres i nationale og regionale beredskabstiltag. WEF har siden 2007 anbefalet, at de enkelte lande udpeger en ’Country Risk Officer’, som fungerer som det centrale nationale organ for koordination af risikostyring og krisehåndtering. Denne konklusion opfølges af andre internationale organisationer og fora, såsom Global Risk Forum Davos (GRF Davos) og United Nations International Strategy for Disaster Reduction (UNISDR).
Som minimum må det forventes, at virksomheder, som opererer indenfor sektorer, der er udpeget som kritisk infrastruktur, holder sig konstant opdateret med hensyn til den globale udvikling, herunder moniterer eller deltager i internationale fora. Det er op til den enkelte virksomhed, hvorvidt virksomheden udpeger denne rolle særskilt og hvorledes denne funktion indplaceres i organisationen, men det bør overvejes, hvorvidt dette kan ske i en udvidelse af sikkerhedsorganisationens rolle. På regionalt plan må det imidlertid forudses at det indenfor den nærmeste fremtid bliver et krav, at virksomheder indenfor den kritiske infrastruktur udpeger ressourcepersoner og efterlever minimumskrav til virksomhedens sikkerhedsplanlægning.
1.3 EU programmet for beskyttelse af kritisk infrastruktur
EU’s program for beskyttelse af kritisk infrastruktur, ’European Programme for Critical Infrastructure’ (EPCIP) tager udgangspunkt i organisationens strategier til forebyggelse, beredskab og imødegåelse af terror-angreb mod europæisk kritisk infrastruktur.
I 2007 etablerede EU-kommissionen det fælles europæiske program ’Prevention, Preparedness and Consequence Management of Terrorism and other Security Related Risks’ (CIPS), der i perioden 2007-2013 er tildelt et budget på omkring 140 millioner Euro. Programmets mål er at yde økonomisk støtte til forbedring af kriseberedskabet i medlemslandene.
EU’s ministerråd udgav i 2008 direktivet for EPCIP. Indledningsvis fokuserer direktivet på retningslinjer for indkredsning af den europæiske kritiske infrastruktur. I EU sammenhæng defineres kritisk infrastruktur, som infrastruktur, som mindst to EU-lande er kritisk afhængige af. Som udgangspunkt er de enkelte medlemslande pålagt at identificere kritisk infrastruktur og opstille retningslinjer for beskyttelse af denne infrastruktur ud fra minimumskrav opstillet i EPCIP-direktivet.
Direktivet foreskriver fire trin til udpegning af europæisk kritisk infrastruktur. Indledningsvis udpeges sektorspecifikke kriterier til udpegning af kritisk infrastruktur, herefter foretages en vurdering af, hvorvidt infrastrukturen er nationalt kritisk og hvorvidt et driftssvigt har betydning for andre medlemslande. Endelig foretages en vurdering af konsekvenserne såfremt infrastrukturen svigter.
I den indledende treårige periode koncentreres indsatsen omkring udpegning af kritisk infrastruktur indenfor transport- og energisektoren. Efter den indledende treårige periode vil EU-kommissionen tage stilling til, hvilke andre sektorer, som skal inddrages.
I Danmark er det Transportministeriet og Klima- og Energiministeriet, herunder Energistyrelsen, som først inddrages i gennemførelsen af en vurdering af den danske infrastruktur i henhold til EPCIP. Andre sektorer i infrastrukturen kan blive inddraget i denne vurdering, såfremt det skønnes, at energi og transport har betydning for andre sektorer. Beredskabsstyrelsen er udpeget som overordnet koordinerende myndighed for indsamling af erfaringer med EPCIP. I Danmark oprettes en koordinationsgruppe for kritisk infrastruktur med deltagelse af de myndigheder, der er direkte berørt af EPCIP direktivet. Det forventes at denne koordinationsgruppe kan udvides efter behov.
I en sammenligning mellem EU medlemslandenes nationale kriseberedskab må EPCIP vurderes som en definition af ’laveste fællesnævner’. Eksempelvis er det engelske, franske og tyske beredskab langt mere udviklet i sammenligning med nye østeuropæiske medlemslande, hvor omstillingen af kompetencerne i den nationale statsforvaltning stadig er inde i en udviklingsproces, der fordrer tilførsel af store ressourcer. Endvidere lægger EPCIP-direktivet meget tyngde på statsforvaltning af kriseberedskabet, hvorved kravene til private virksomheders ansvar for forvaltning af kriseberedskab ikke er klart formuleret. Offentligt-privat samarbejde er delegeret til det nationale niveau.
EPCIP-direktivet nedprioriterer IT-sektoren set i forhold til energi- og transportområdet. Det må dog forventes, at IT-sektoren tages til dagsorden i den efterfølgende periode og således reflektere den øgede opmærksomhed IT-sektoren har fået på globalt plan. EU har imidlertid udgivet en række direktiver for standardisering af IT-sektoren. Herudover må det forventes, at eventuelle driftsforstyrrelser og –svigt i energisektoren vil have afgørende indflydelse på IT-sektoren og hermed fordre at IT-sektoren inddrages i beredskabsplanlægningen.
EPCIP-direktivet foreskriver, at private virksomheder, der opererer indenfor den kritiske infrastruktur, skal opfylde visse minimumskrav til deres sikkerhedsplanlægning, samt skal udpege en kontaktperson, Security Liaison Officer, til koordination med myndighederne.
Sammenfattende bør danske virksomheder forberede på denne baggrund, at indgå i samarbejdsfora, der behandler emner relateret til den nationale kritiske infrastruktur. Herudover bør virksomheden forberede udpegning af en Security Liaison Officer funktion, samt dokumentere, at virksomheden overholder minimumskravene til sikkerhedsplanlægningen. Iværksættelse af nærværende trusselvurdering er et godt fundament i denne proces.
1.4 Den amerikanske model
Den amerikanske IT-sektor håndterer dagligt transaktioner med en værdi på omkring 3 trillioner dollars. Sektoren er en kritisk del af den nationale infrastruktur og er indbyrdes afhængig af andre sektorer indenfor national sikkerhed, økonomi, føderal og statslig forvaltning, energi, kommunikation og sundhed.
Det nationale amerikanske kriseberedskab har været underkastet en gennemgribende proces siden 1997, hvor en igangsættende rapport udfærdiget af en kommission under præsidentembedet, blotlagde risici mod den kritiske infrastruktur. I 2001 fremkom Executive Order 13231, der prioriterede indsats til afværgelse af cyber-angreb og dermed øgede bevillingerne til sikring af føderale kommunikationsnetværk.
Angrebene den 11. september 2001 accelererede indsatsen omkring det nationale kriseberedskab og medførte blandt andet en sammenlægning af de føderale beredskabsstyrelser og efterretningsorganer under Department of Homeland Security. Angrebene medførte også en betydelig forøgelse af bevillinger og ressourcer til området. Denne sammenlægning, samt strategiske målsætninger for oprettelsen af Department of Homeland Security blev lovfæstet i the Homeland Security Act i 2002. I 2003 udgav præsidenten National Strategy to Secure Cyberspace, der fastlægger fem nationale prioriteter for beskyttelse af IT og telekommunikationssystemer mod ødelæggende angreb og udgør en integreret del af bestræbelserne på at beskytte den nationale kritiske infrastruktur.
I 2003 iværksatte præsidentens direktiv 7 (HSPD-7) en proces til udpegning, prioritering og koordination af beskyttende foranstaltninger for kritisk infrastruktur og nøgleressourcer (Critical Infrastructure and Key Ressources, CR/KR). Direktivet identificerer 18 sektorer i den kritiske infrastruktur, herunder IT- og telekommunikation. HSPD-7 pålagde endvidere Department of Homeland Security at udarbejde en overordnet plan for beskyttelse af den nationale infrastruktur (National Infrastructure Protection Plan, NIPP). Den nationale plan udkom første gang i 2006, men er udkommet i en revideret udgave i 2009. Den overordnede nationale planlægning understøttes af supplerende bestemmelser (Sector Specific Plan, SSP). Sektorspecifikke styrelser (Sector Specific Agency, SSA) er ansvarlige for koordination af udarbejdelsen af disse planer, der udvikles i sektorspecifikke koordinationsfora.
Herudover understøttes den nationale planlægning af en national reaktionsplan (National Response Framework, NRP) og et nationalt system for krisehåndtering (National Incident Management System, NIMS). Begge underbyggende systemer er under ansvar af den føderale beredskabsstyrelse (Federal Emergency Management Agency, FEMA).
Det amerikanske nationale beredskab forvaltes igennem et komplekst netværk af offentlige og private samarbejdspartnere, der er organiseret i sektorspecifikke styrelser og koordinationsgrupper. Sektorinddeling er således det bærende princip. Herudover er der oprettet forvaltningsorganer, som samordner planer og tiltag på tværs af de enkelte sektorer, hvor man har konstateret indbyrdes afhængighed. Den overordnede nationale plan binder netværket sammen og definerer roller, opgaver og ansvar i de enkelte led. Den amerikanske forvaltningsmodel er således netværksbaseret og udnytter en bred forvaltningsstrategi, hvor kompetencer er samlet i ’knudepunkter’, som er sammensat af aktører på føderale, regionale, statslige og lokale niveauer.
Forvaltningen af det amerikanske nationale beredskab er forankret i organer indenfor den offentlige forvaltning, men inddrager i høj grad private virksomheder i processen. HSPD-7 tager udgangspunkt i en forvaltningsproces, hvor private virksomheder tildeles et afgørende medansvar. Offentlig-privat samarbejde er omdrejningspunkt i planlægningsprocessen og betragtes som en grundlæggende forudsætning for risikostyring og den kontinuerlige evalueringsproces. Dette forhold afspejler naturligt den grad af privatisering eller pluralisme, som kommer til udtryk i det amerikanske samfund, hvor mange serviceydelser indenfor den kritiske infrastruktur udbydes af private virksomheder i langt højere grad end i det danske samfund.
Indenfor den amerikanske IT-sektor er Department of Homeland Security udpeget som den overordnede sektorspecifikke beredskabsstyrelse (SSA). Beredskabsplanlægning i IT-sektoren forvaltes gennem to sektorspecifikke koordinationsgrupper. I 2005 etableredes IT Government Coordinating Council (IT GCC), som består af repræsentanter fra forskellige offentlige instanser. Rådets opgave er primært at etablere IT-specifik beredskabsplanlægning indenfor den offentlige administration og koordinere sammenhænge mellem IT-sektoren og andre sektorer i infrastrukturen. I 2006 blev IT-sektorens hovedorgan etableret. IT Sector Coordinating Council (SCC) er en selvejende institution, som består af private aktører, virksomheder og brancheorganisationer, samt IT Information Sharing and Analysis Center (IT-ISAC). Dette koordinationsforum gør det muligt for private virksomheder og operatører at koordinere og diskutere sektor-specifikke strategier, aktiviteter og emner på tværs af offentlige og private institutioner. IT-ISACs opgave er at lede arbejdet i koordinationsgruppen, samt levere analyser og vidensformidling omkring trusler, sårbarheder og hændelser indenfor sektoren.
Med udgangspunkt i offentligt-privat samarbejde erkender den overordnede forvaltning, at private aktører naturligt gennemfører risikostyring indenfor egen virksomhed og besidder afgørende kernekompetencer på området. Den nationale plan forudsætter, at private aktører anvender en bred vifte af standarder, metoder og værktøjer i deres interne risikostyringsprocesser. Den amerikanske IT-sektor anvender eksempelvis COBIT, ISO/IEC, ITIL, NIST og OCTAVE. Herudover har mange virksomheder udpeget nøglefunktioner for risikostyring, der enten er placeret centralt i organisationen eller delegeret henover de operative led. Den nationale forvaltningsstrategi sigter derfor mod at etablere en samlet sektorspecifik risikoprofil, der tilgodeser et dynamisk forhold mellem de individuelle risikostyringsmodeller og overordnede grundlæggende kriterier for trussel- og sårbarhedsvurderinger, samt konsekvensberegninger. Denne fremgangsmåde anerkender de divergerende målsætninger i offentlig og privat risikohåndtering, blotlægger den eksisterende samlede kapacitet og konstaterer behov for udvikling og tilførsel af forbedringer.
Sammenfattende må det konstateres, at etableringen af den amerikanske nationale beredskabsplan er et resultat af særdeles omfattende offentlige økonomiske og ressourcemæssige investeringer. Motivationen for så omfattende investeringer må tilskrives det politiske klima, der opstod efter terrorangrebene i 2001 og yderligere blev forstærket i en reaktion på de omfattende ødelæggelser efter orkanen ’Katrina’ i 2005.
Den nationale beredskabsplan er forankret i en forvaltningsmodel, der opfatter offentligt-privat samarbejde som en grundlæggende forudsætning, hvilket ansporer en netværksbaseret risikostyringsmetodik.
Såvel de økonomiske investeringer og den valgte forvaltningsmodel står i skarp kontrast til den igangværende planlægning regionalt og nationalt i EU.
1.5 Den danske nationale model
Sammenholdt med de udarbejdede overordnede amerikanske krisestyringsplaner og planerne for de enkelte sektorer i den kritiske infrastruktur må det forventes, at der stadig skal gennemføres en omfattende arbejdsproces før endelige detaljerede planer for det danske nationale beredskab er på plads. Især sammenhængen til det regionale niveau, såvel nordisk som europæisk, er i et indledende stadie.
Den danske og europæiske forvaltningsmodel er i modsætning til den amerikanske strategi præget af manglende samarbejde på tværs af offentlige og private aktører. Beredskabsstyrelsen har påpeget dette forhold siden den nationale sårbarhedsudredning fra 2004. Den Nationale Sårbarhedsrapport fra 2007 understreger erkendelsen af dette dilemma. Offentligt-privat samarbejde er endvidere et tema i en udredning fra det norske Justits- og politidepartement, der udkom i 2006. Den overordnede forvaltning af det danske beredskab har hidtil været fokuseret på placering og fordeling af ansvar i den offentlige forvaltning og fremgangsmåden bærer stærkt præg af en offentlig ’lovfæstet forvaltningsmentalitet’, hvilket ikke hidtil i fornødent omfang har inddraget private aktører. Imidlertid er offentlig-privat samarbejde blevet et af tre fokusområder for den videre udvikling af det nationale beredskab i sårbarhedsrapporten fra 2008. Beredskabsstyrelsen har herved erkendt, at et bredere og bedre koordineret samarbejde mellem private aktører og den offentlige forvaltning er påkrævet. Beredskabsstyrelsen vurderer at udenlandske erfaringer på området kan overføres på danske forhold. Med udgangspunkt i den amerikanske forvaltning af kriseberedskab bør disse offentlige-private koordinationsfora placeres indenfor de enkelte sektorer i den kritiske infrastruktur i lighed med førnævnte Sector Specific Council. Det er imidlertid vigtigt, at den offentlige forvaltning stadig opretter styringsorganer, der kan formidle koordination på tværs af de enkelte sektorer med forbillede i de amerikanske sektorspecifikke Government Coordinating Council.
Sektoransvar er det bærende princip i det danske kriseberedskab. Med udgangspunkt i beredskabslovens kapitel 5 (§§ 24-28) pålægges de enkelte ministerier et ansvar for planlægning, opretholdelse og videreførelse af samfundsfunktioner indenfor deres ressortområde. Loven pålægger Forsvarsministeriet et overordnet planlægnings- og koordinationsansvar for konkretisering af beredskabslovens brede overordnede formulering af sektoransvaret overfor de øvrige ministerier og styrelser. Forsvarsministeriet har uddelegeret dette ansvar til Beredskabsstyrelsen. Der er en grundlæggende mangel på forståelse for, hvilke konkrete opgaver sektoransvaret pålægger de enkelte ressortmyndigheder. Beredskabsstyrelsen har derfor formuleret seks principper for ’god praksis’, der blandt andet omfatter krav om etablering af risikostyring, overvågning af risikobilledet, samarbejde med Forsvaret og udpegning af kritiske funktioner. Herudover indeholder Beredskabsstyrelsens anbefalinger til ressortmyndighederne en prioritering af tre fokusområder, herunder udbygning af myndighedernes fælles forståelse af sektoransvaret, bedre overblik over sammenhænge i de overordnede ansvarsforhold, samt det allerede nævnte samarbejde mellem offentlige og private aktører.
Generelt udtrykker Beredskabsstyrelsens seneste tiltag en udviklingstendens, der på sigt forventes i højere grad at stille det danske beredskab på linje med grundprincipperne i det amerikanske beredskab. Den primære forudsætning for fremskridt er kompetenceudvikling indenfor krisehåndtering og risikostyring ved de enkelte ressortmyndigheder indenfor sektoransvaret. Oprettelsen af en Master of Disaster Management uddannelse ved Københavns Universitet er en positiv, men langsigtet løsning. I USA og England har universiteterne de sidste tyve år udviklet uddannelser og bedrevet forskning på emner indenfor krise- og risikostyring, sikkerhed og kriminologi. Herudover er risikostyring en integreret del af private virksomheders ’intellektuelle aktiver’, hvilket er motivationen for prioritering af offentlig-privat samarbejde i den amerikanske beredskabsplanlægning. I Danmark bør det videre udviklingsarbejde af krise- og risikohåndtering gøre gavn af eksisterende kompetencer i det private erhvervsliv.
I den danske IT-sektor har IT- og Telestyrelsen det overordnede sektoransvar. Styrelsen er særdeles aktiv på beredskabsområdet og deltager i en bred vifte af internationale fora, blandt andet FN, EU, NATO, ITU og ETSI. På nationalt plan koordinerer styrelsen beredskabet med andre offentlige myndigheder og indgår i NOST. Styrelsen fremlagde på beredskabskonferencen i 2005 en overordnet strategi for sektorberedskabet. Strategien går i hovedpunkter ud på at opstille minimumskrav til udbydere om robusthed gennem beredskabsplanlægning; styrkelse af det operative samarbejde på tværs af aktører i sektoren og en styrkelse af dialog og gensidig rådgivning. Styrelsen lægger i strategien vægt på risikostyringsprocesser, der gennem samarbejde og formulering af overordnede kvalitetskrav fremmer en beredskabsplanlægning, som danner rammen for en robust infrastruktur. Denne overordnede strategi udmøntes i IT- og Telestyrelsens bekendtgørelse nr. 575 af 18. juni 2009 om beredskab for elektroniske kommunikationsnet og –tjenester, samt bekendtgørelse nr. 619 ligeledes af 18. juni 2009 om planlægning og gennemførelse af beredskab for elektroniske kommunikationsnet og -tjenester. Bekendtgørelserne er det juridiske grundlag for minimumskrav om robust risikostyring og kriseberedskab hos udbydere af IT – og teletjenester indenfor den kritiske infrastruktur. Specielt bekendtgørelse nr. 619 opstiller en række krav til udbydere, definerer deres ansvar og fastslår IT- og Telestyrelsens tilsynspligt. De enkelte udbydere omfattet af denne bekendtgørelse står hermed overfor en stor opgave, hvad enten virksomheden skal revidere allerede eksisterende beredskabsplaner, gennemføre justering af utilstrækkelige planer eller skal formulere nye planer.
IT- og Telestyrelsen nedsatte i 2007 et beredskabsforum for aktører i sektoren, BERIT, der i en dialog mellem myndigheder og private aktører søger at styrke beredskabet indenfor sektoren. Et nyt kommissorium for dette samarbejde forventes at blive etableret i august 2009. BERIT forventes at blive et afgørende værktøj i justeringen af de lovmæssige krav til beredskabet i virksomheder, som opererer indenfor den kritiske infrastruktur i IT-sektoren.
Sammenfattende er sektoransvaret det bærende princip i det danske beredskab. Generelt må beredskabslovens bredt formulerede krav til ressortmyndigheder og mulige manglende kompetencer og/eller ressourcer forventes at skabe uligheder i udarbejdelsen af beredskabsplaner henover både i tid og rum. Herudover kan kvalitet i udmøntningen af ansvaret være svingende imellem de enkelte sektorer. Dette kan skyldes manglende overordnet ledelse og tildeling af nødvendige kompetencer og ressourcer. Under denne udviklingsproces må det samlede danske beredskab vurderes som værende ligeså stærk som det svageste led. Herudover må det forventes, at den nuværende mangel på overordnede styringsredskaber for offentlig-privat samarbejde kun vil tilvejebringes henover tid. Selvom den danske forvaltningsmodel generelt betragtet er meget top-tung med hovedansvaret pålagt den offentlige forvaltning, kan der specielt på IT-området spores begyndende ansvarstildeling på private aktører. Dette øger kravene til private aktørers kompetencer indenfor beredskabsplanlægning, sårbarhedsvurdering, afprøvning og tværgående koordination.
1.6 Sammenfatning og konklusion
Politisk motivation til investeringer i udbygningen af dansk og europæisk kriseberedskab kan være hæmmet af, at der i Europa ikke er forekommet angreb eller naturkatastrofer i samme omfang, som det er set i USA. Udbygningen af det danske og europæiske kriseberedskab opfattes således ikke at være presserende i samme grad, idet trusselbilledet umiddelbart vurderes at være væsentligt forskellige. Politisk motivation og en vurdering af sandsynligheden for angreb har afgørende indflydelse på prioritering og tilknytning af økonomiske ressourcer. På europæisk plan er de enkelte medlemslandes suverænitet i nationale sikkerhedsspørgsmål en grundlæggende årsag til, at fælles beredskabsplanlægning hæmmes i højere grad end i USA, hvor føderale myndigheder har større muligheder for at iværksætte centraliseret forvaltning af beredskabet.
I en sammenligning mellem den danske og den amerikanske nationale forvaltningsmodeller er sektoransvaret et markant fælles træk. Sektoransvaret er som et bærende princip en forvaltningsmetodik, som afgrænser en ellers meget kompleks opgave i overkommelige segmenter, hvor ansvaret er uddelegeret i den eksisterende offentlige forvaltningsstruktur.
Udover klare forskelle mellem skala og ressourcetildeling, ligger den mest markante divergeres i prioriteringen af offentlig-privat samarbejde. Den danske forvaltningsmodel er præget af præcise snitflader og afgrænsninger mellem offentligt og privat ansvar, som bevarer statens monopol på forvaltning af sikkerhed. Den amerikanske model tager udgangspunkt i det offentlig-private samarbejde i en netværksbaseret forvaltning på tværs af forskellige aktører med statsforvaltningen i en overordnet koordinerende og befordrende rolle. Sektoransvaret som et bærende princip kan betragtes som et grundlæggende styringsredskab og en forudsætningsskabende faktor i det offentlige-private samarbejde.
Den danske IT-sektor har erkendt dette grundlæggende forhold. De nyligt udgivne retningslinjer for ansvars- og opgavefordeling mellem private og offentlige aktører i denne kritiske sektor af den danske infrastruktur kræver en øget indsats på tværs af de generelle afgrænsninger. Selvom der fortsat ligger et stort arbejde forude kan det konkluderes, at forvaltning af sikkerhed i den danske IT-sektor med tid vil kunne være på linje med internationale teoretiske og pragmatiske tendenser.
Igennem de senere år har nationale og regionale undersøgelser og forskning konstateret sårbarheder i nationale kritiske infrastrukturer, samt påvist kritiske sammenhænge mellem forskellige netværk, eksempelvis telekommunikation og energiforsyning, som rækker på tværs af landegrænser. Både nationalt og regionalt er der indenfor den seneste årrække udviklet forskellige forvaltningsmodeller til imødegåelse af trusler mod sårbarheder i den kritiske infrastruktur. Dette arbejde er imidlertid i stadig udvikling både ud fra teoretiske, strategiske og pragmatiske perspektiver.
Indledningsvis antyder en gennemgang af litteraturen omkring forbedringer i kriseberedskabet, at der kan udledes generelle overordnede principper, såsom udpegning af de enkelte sektorer indenfor den kritiske infrastruktur og erkendelse af behovet for implementering af netværksbaserede forvaltningsstrategier, der nødvendiggør inddragelse af både offentlige og private aktører i beslutningsprocessen omkring udvikling af effektive og økonomisk rentable løsninger.
Privat forretningsvirksomhed indebærer naturligt et element af kalkuleret risiko, mens offentlig virksomhed undgår risici; erhvervsvirksomhed tilstræber profit og udbytte til aktionærer, som er let at måle, mens offentlige institutioner søger at tilgodese bredere mere politisk betonede målsætninger. Offentlige og private aktører forvalter risici på forskelligt grundlag. Risikostyring i offentlige institutioner og private virksomheder er generelt motiveret udfra forskellige holdninger og målsætninger. Private virksomheder forvalter sikkerhed ud fra en ’risiko-baseret’ mentalitet, mens offentlige aktører forvalter sikkerhed i overensstemmelse med en ’lovfæstet’ mentalitet, der følger et tydeligt defineret bestemmelseskompleks. Til trods for disse fundamentale modsætninger mellem offentlige og private aktører fordrer globalisering en fælles udveksling af metoder indenfor krise- og risikostyring, samt placering af ansvar.
Globalisering og de heraf affødte udfordringer for statslig og privat forvaltning af sikkerhed indebærer et ideologisk opgør med den traditionelle danske opfattelse af statsforvaltningens monopol på ansvar for sikkerhed i samfundet. Inddragelse af private aktører i kriseberedskabet medfører en omfordeling af ansvaret for sikkerhed. Internationale tendenser viser, at private aktører i stigende grad overtager rollen som garant for sikkerhed. En rolle, der hidtil udelukkende har været pålagt staten i den westfalske opfattelse af statsforvaltning. Den eksplosive udvikling af private sikkerhedsfirmaer i USA og England er et udtryk for dette skred i rolle- og ansvarsfordelingen, eller pluralisme, indenfor forvaltning af sikkerhed. Klare afgrænsninger mellem offentlig og privat ansvarlighed udviskes.
Pluralisme medfører, at private aktører, der driver virksomhed i sektorer indenfor den kritiske nationale infrastruktur, tildeles et øget medansvar for etablering af et robust kriseberedskab og en effektiv krisehåndtering. Virksomhedens ansvar for sikkerhed rækker udover virksomhedens egne rammer og indeholder krav til virksomhedens kompetencer indenfor forvaltning af sikkerhed i en bredere social ramme. Pluralisering tildeler virksomheden et socialt ansvar for tilvejebringelse af sikkerhed. Den overordnede debat fokuserer i høj grad på ansvarsfordelingen mellem offentlige og private aktører og flere kilder påpeger, at den øgede ansvarstildeling til private aktører skaber nye udfordringer, ikke mindst i afgrænsningen af statens forvaltningsansvar holdt op imod private virksomheders ansvar.
Fremkomsten af netværksbaseret offentlig-privat forvaltning af sikkerhed er en manifestation af denne pluralisering af forvaltningsansvaret. Formering af netværksbaseret forvaltning af sikkerhed defineres som kontinuerligt foranderlige, mere eller mindre midlertidige processer med skiftende alliancer mellem forskellige aktører. Forvaltning af sikkerhed opstår i ’knudepunkter’, hvor ejerskab og ansvar for sikkerhed fordeles i overensstemmelse med særegne sociale, politiske og kulturelle normopfattelser.
Generelt forvaltes kriseberedskab forskelligt i enkelte lande. Private virksomheders rolle og ansvar udmøntes i særegne nationale retningslinjer og standarder, som kan være grundfæstet i national lovgivning eller andre forvaltningsprocesser. Virksomheder er i stigende omfang engageret på tværs af nationale grænser, enten direkte eller indirekte gennem partnerskaber eller underleverandører. Den enkelte virksomheds overordnede metodikker for kriseberedskab og risikostyring skal derfor opfylde lovgivningsmæssige krav fra forskellige nationale regelsæt. Derudover har virksomheden et medansvar for ansvarlig forvaltning af sikkerhed hos samarbejdspartnere og underleverandører.
Internationale tendenser viser, at virksomheders forståelse og implementering af sikkerhed set i en ramme af socialt ansvar i højere grad påvirker konkurrenceevnen, især indenfor erhverv, der indgår i den kritiske infrastruktur.
Virksomhedens robusthed, sociale ansvarlighed og pålidelighed i produkt levering er i højere grad afgørende overfor fastholdelse af den eksisterende kundekreds, samt ved udvidelse af markedsandele på det globale marked. Virksomhedens sikkerhedsmæssige robusthed og kvaliteten af den eksterne koordination med nationalt og regionalt kriseberedskab er blevet en afgørende forretningsmæssig faktor.
Disse forhold afføder et behov for ændring af private virksomheders opfattelse af sikkerhedsorganisationens rolle, funktion, struktur og organisatoriske indplacering i virksomhedens beslutningsprocesser. Sikkerhedsorganisationen i private virksomheder, der eksisterer i et globalt marked, er ikke længere en uproduktiv omkostningstung klods om benet. Transformation af virksomhedens sikkerhedsorganisation er betinget af både markedsøkonomiske, ledelsesmæssige og sociale faktorer i det globale landskab.
Denne konceptuelle ramme danner baggrund for den efterfølgende diskussion. Det følgende vil belyse de mest markante tendenser indenfor beredskabsområdet på globalt og regionalt niveau. Med dette udgangspunkt foretages en gennemgang af nationale amerikanske strategier, sammenholdt med danske nationale tiltag. Formålet er at skitsere en ramme for anbefalinger til en fortsat udvikling af sikkerhedsstrategier i forskellige organisationer.
Målet er at skabe det fornødne teoretiske grundlag for praktiske konkrete anbefalinger til iværksættelse af en proces, der positionerer virksomhedens sikkerhedsorganisation som en værdi skabende faktor.
1.2 Det globale risiko-landskab og nye udfordringer
Set i et globalt perspektiv er det internationale landskab inde i en forandring. Udviklingstendenser indenfor markedsøkonomi og teknologi sætter individet, erhverv, organisationer og nationer i stand til at kommunikere og skabe nye muligheder uden hensyn til fysiske afstande. Denne udvikling er udtryk for en positiv forandring, idet globalisering befordrer velstand og tryghed gennem udveksling og forståelse.
Økonomi og samfund er i stigende grad afhængig af velfungerende national og global kommunikation. IT-sektoren er et af de kritiske områder i den globale infrastruktur, hvor risikoen for driftsforstyrrelser skal forvaltes henover et bredt spektrum af aktører. Denne risiko kan spredes udover flere forskellige systemer og platforme med det formål at opnå større robusthed, men en sådan spredning kan føre til øget kompleksitet og afhængighed. Eksempelvis tilbyder adgang til internettet nye muligheder for hurtig og pålidelig udveksling af informationer. Internettet er en transnational, hurtigt voksende og løst forvaltet realitet, men repræsenterer også både mål og midler for kriminel virksomhed. Strengere forvaltning af internettet med henblik på begrænsning af kriminel aktivitet ville også medføre begrænsninger for legitime brugere. Globalisering medfører således nye dilemmaer indenfor krisehåndtering og –beredskab.
Globalisering skaber nye udfordringer. Komplekse, uforudsigelige og vedvarende globale forandringer medfører nye trusler og risici. Det internationale risiko-landskab er kontinuerligt i forandring. Globalisering har et dynamisk aspekt og de vedvarende forandringer i det globale risiko-landskab kræver øget forståelse og overvågning af de skiftende trusler, risici, sårbarheder og udfordringer.
Den årlige Global Risk Report fra World Economic Forum (WEF) er baseret på en vurdering af risici fra 160 lande og er et fremtrædende redskab i monitering af forandringerne i det internationale risiko-landskab. Den løbende vurdering af risici på verdensplan omfatter i alt 36 forskellige risikofaktorer, som er inddelt i fem overordnede risikoområder: Økonomi, geopolitik, miljø, sociologi og teknologi.
WEF introducerer i 2009 for første gang data svindel/tyveri som en teknologisk risiko-faktor i det globale risiko-landskab. WEF erkender hermed vigtigheden af IT-sektorens centrale rolle i den globale økonomi. WEF vurderer at der er mellem 5-10% sandsynlighed for et angreb mod den globale IT-sektor og påregner, at et sådant angreb vil kunne forårsage direkte økonomiske tab i størrelsesordenen 5 – 10 milliarder US dollar. Det må imidlertid anslås, at de indirekte omkostninger forbundet med tab eller driftsforstyrrelser indenfor IT-sektoren vil være langt højere grundet indbyrdes afhængighed til andre økonomiske eller tekniske sektorer indenfor infrastrukturen. Herudover skal denne vurdering af sårbarhed og sandsynlighed i IT-sektoren betragtes som en udgangsværdi, idet risikoen for driftsforstyrrelser som følge af sabotage eller politisk motiverede angreb på IT-sektoren må formodes at stige indenfor den nærmeste fremtid. I 2010 vil WEF være i stand til at etablere et sammenligningsgrundlag indenfor IT-sektoren. Det må forventes, at det global trusselbillede på IT-området øges markant, da politisk og/eller religiøst iinspireret terrorisme, organiseret transnational berigelseskriminalitet, herunder såkaldt ’White Collar’ kriminalitet i stigende grad udpeger kritisk højteknologisk infrastruktur som middel eller mål, der aftvinger spektakulære resultater eller stort økonomisk udbytte med et minimum af risiko for gerningsmændene.
Risikostyring og – håndtering indenfor den globale IT-sektor kan ikke udelukkende fokusere på trusler, der er specifikt rettet mod denne del af den globale infrastruktur. Sammenhæng til andre sektorer, der udgør forskellige sæt af risici, såsom eksempelvis økonomiske eller geopolitiske risikofaktorer, udgør en afgørende kompleksitet i det globale risiko-landskab.
Globalisering og de deraf affødte komplekse risici skal forvaltes i tid og rum. Planlægning for imødegåelse af katastrofer og trusler skal forstås som en proces henover tid. Langsigtet planlægning er nødvendig med henblik på at begrænse konsekvenserne af hændelser. Den komplekse indbyrdes afhængighed mellem de forskellige sektorer i infrastrukturen og sammenhænge til øvrige risikofaktorer bevirker, at nye tiltag er påkrævet i offentlig og privat forvaltning af risici.
Sammenfattende er nøgleordene for imødegåelse af udfordringerne i det globale risiko-landskab langsigtet procesorienteret forvaltning af risici i netværksbaserede løsningsmodeller, hvor både offentlige og private aktører aktivt tager et fælles ansvar.
Flere internationale observatører konkluderer, at overordnet monitering af det globale risiko-landskab nødvendigvis må forankres i nationale og regionale beredskabstiltag. WEF har siden 2007 anbefalet, at de enkelte lande udpeger en ’Country Risk Officer’, som fungerer som det centrale nationale organ for koordination af risikostyring og krisehåndtering. Denne konklusion opfølges af andre internationale organisationer og fora, såsom Global Risk Forum Davos (GRF Davos) og United Nations International Strategy for Disaster Reduction (UNISDR).
Som minimum må det forventes, at virksomheder, som opererer indenfor sektorer, der er udpeget som kritisk infrastruktur, holder sig konstant opdateret med hensyn til den globale udvikling, herunder moniterer eller deltager i internationale fora. Det er op til den enkelte virksomhed, hvorvidt virksomheden udpeger denne rolle særskilt og hvorledes denne funktion indplaceres i organisationen, men det bør overvejes, hvorvidt dette kan ske i en udvidelse af sikkerhedsorganisationens rolle. På regionalt plan må det imidlertid forudses at det indenfor den nærmeste fremtid bliver et krav, at virksomheder indenfor den kritiske infrastruktur udpeger ressourcepersoner og efterlever minimumskrav til virksomhedens sikkerhedsplanlægning.
1.3 EU programmet for beskyttelse af kritisk infrastruktur
EU’s program for beskyttelse af kritisk infrastruktur, ’European Programme for Critical Infrastructure’ (EPCIP) tager udgangspunkt i organisationens strategier til forebyggelse, beredskab og imødegåelse af terror-angreb mod europæisk kritisk infrastruktur.
I 2007 etablerede EU-kommissionen det fælles europæiske program ’Prevention, Preparedness and Consequence Management of Terrorism and other Security Related Risks’ (CIPS), der i perioden 2007-2013 er tildelt et budget på omkring 140 millioner Euro. Programmets mål er at yde økonomisk støtte til forbedring af kriseberedskabet i medlemslandene.
EU’s ministerråd udgav i 2008 direktivet for EPCIP. Indledningsvis fokuserer direktivet på retningslinjer for indkredsning af den europæiske kritiske infrastruktur. I EU sammenhæng defineres kritisk infrastruktur, som infrastruktur, som mindst to EU-lande er kritisk afhængige af. Som udgangspunkt er de enkelte medlemslande pålagt at identificere kritisk infrastruktur og opstille retningslinjer for beskyttelse af denne infrastruktur ud fra minimumskrav opstillet i EPCIP-direktivet.
Direktivet foreskriver fire trin til udpegning af europæisk kritisk infrastruktur. Indledningsvis udpeges sektorspecifikke kriterier til udpegning af kritisk infrastruktur, herefter foretages en vurdering af, hvorvidt infrastrukturen er nationalt kritisk og hvorvidt et driftssvigt har betydning for andre medlemslande. Endelig foretages en vurdering af konsekvenserne såfremt infrastrukturen svigter.
I den indledende treårige periode koncentreres indsatsen omkring udpegning af kritisk infrastruktur indenfor transport- og energisektoren. Efter den indledende treårige periode vil EU-kommissionen tage stilling til, hvilke andre sektorer, som skal inddrages.
I Danmark er det Transportministeriet og Klima- og Energiministeriet, herunder Energistyrelsen, som først inddrages i gennemførelsen af en vurdering af den danske infrastruktur i henhold til EPCIP. Andre sektorer i infrastrukturen kan blive inddraget i denne vurdering, såfremt det skønnes, at energi og transport har betydning for andre sektorer. Beredskabsstyrelsen er udpeget som overordnet koordinerende myndighed for indsamling af erfaringer med EPCIP. I Danmark oprettes en koordinationsgruppe for kritisk infrastruktur med deltagelse af de myndigheder, der er direkte berørt af EPCIP direktivet. Det forventes at denne koordinationsgruppe kan udvides efter behov.
I en sammenligning mellem EU medlemslandenes nationale kriseberedskab må EPCIP vurderes som en definition af ’laveste fællesnævner’. Eksempelvis er det engelske, franske og tyske beredskab langt mere udviklet i sammenligning med nye østeuropæiske medlemslande, hvor omstillingen af kompetencerne i den nationale statsforvaltning stadig er inde i en udviklingsproces, der fordrer tilførsel af store ressourcer. Endvidere lægger EPCIP-direktivet meget tyngde på statsforvaltning af kriseberedskabet, hvorved kravene til private virksomheders ansvar for forvaltning af kriseberedskab ikke er klart formuleret. Offentligt-privat samarbejde er delegeret til det nationale niveau.
EPCIP-direktivet nedprioriterer IT-sektoren set i forhold til energi- og transportområdet. Det må dog forventes, at IT-sektoren tages til dagsorden i den efterfølgende periode og således reflektere den øgede opmærksomhed IT-sektoren har fået på globalt plan. EU har imidlertid udgivet en række direktiver for standardisering af IT-sektoren. Herudover må det forventes, at eventuelle driftsforstyrrelser og –svigt i energisektoren vil have afgørende indflydelse på IT-sektoren og hermed fordre at IT-sektoren inddrages i beredskabsplanlægningen.
EPCIP-direktivet foreskriver, at private virksomheder, der opererer indenfor den kritiske infrastruktur, skal opfylde visse minimumskrav til deres sikkerhedsplanlægning, samt skal udpege en kontaktperson, Security Liaison Officer, til koordination med myndighederne.
Sammenfattende bør danske virksomheder forberede på denne baggrund, at indgå i samarbejdsfora, der behandler emner relateret til den nationale kritiske infrastruktur. Herudover bør virksomheden forberede udpegning af en Security Liaison Officer funktion, samt dokumentere, at virksomheden overholder minimumskravene til sikkerhedsplanlægningen. Iværksættelse af nærværende trusselvurdering er et godt fundament i denne proces.
1.4 Den amerikanske model
Den amerikanske IT-sektor håndterer dagligt transaktioner med en værdi på omkring 3 trillioner dollars. Sektoren er en kritisk del af den nationale infrastruktur og er indbyrdes afhængig af andre sektorer indenfor national sikkerhed, økonomi, føderal og statslig forvaltning, energi, kommunikation og sundhed.
Det nationale amerikanske kriseberedskab har været underkastet en gennemgribende proces siden 1997, hvor en igangsættende rapport udfærdiget af en kommission under præsidentembedet, blotlagde risici mod den kritiske infrastruktur. I 2001 fremkom Executive Order 13231, der prioriterede indsats til afværgelse af cyber-angreb og dermed øgede bevillingerne til sikring af føderale kommunikationsnetværk.
Angrebene den 11. september 2001 accelererede indsatsen omkring det nationale kriseberedskab og medførte blandt andet en sammenlægning af de føderale beredskabsstyrelser og efterretningsorganer under Department of Homeland Security. Angrebene medførte også en betydelig forøgelse af bevillinger og ressourcer til området. Denne sammenlægning, samt strategiske målsætninger for oprettelsen af Department of Homeland Security blev lovfæstet i the Homeland Security Act i 2002. I 2003 udgav præsidenten National Strategy to Secure Cyberspace, der fastlægger fem nationale prioriteter for beskyttelse af IT og telekommunikationssystemer mod ødelæggende angreb og udgør en integreret del af bestræbelserne på at beskytte den nationale kritiske infrastruktur.
I 2003 iværksatte præsidentens direktiv 7 (HSPD-7) en proces til udpegning, prioritering og koordination af beskyttende foranstaltninger for kritisk infrastruktur og nøgleressourcer (Critical Infrastructure and Key Ressources, CR/KR). Direktivet identificerer 18 sektorer i den kritiske infrastruktur, herunder IT- og telekommunikation. HSPD-7 pålagde endvidere Department of Homeland Security at udarbejde en overordnet plan for beskyttelse af den nationale infrastruktur (National Infrastructure Protection Plan, NIPP). Den nationale plan udkom første gang i 2006, men er udkommet i en revideret udgave i 2009. Den overordnede nationale planlægning understøttes af supplerende bestemmelser (Sector Specific Plan, SSP). Sektorspecifikke styrelser (Sector Specific Agency, SSA) er ansvarlige for koordination af udarbejdelsen af disse planer, der udvikles i sektorspecifikke koordinationsfora.
Herudover understøttes den nationale planlægning af en national reaktionsplan (National Response Framework, NRP) og et nationalt system for krisehåndtering (National Incident Management System, NIMS). Begge underbyggende systemer er under ansvar af den føderale beredskabsstyrelse (Federal Emergency Management Agency, FEMA).
Det amerikanske nationale beredskab forvaltes igennem et komplekst netværk af offentlige og private samarbejdspartnere, der er organiseret i sektorspecifikke styrelser og koordinationsgrupper. Sektorinddeling er således det bærende princip. Herudover er der oprettet forvaltningsorganer, som samordner planer og tiltag på tværs af de enkelte sektorer, hvor man har konstateret indbyrdes afhængighed. Den overordnede nationale plan binder netværket sammen og definerer roller, opgaver og ansvar i de enkelte led. Den amerikanske forvaltningsmodel er således netværksbaseret og udnytter en bred forvaltningsstrategi, hvor kompetencer er samlet i ’knudepunkter’, som er sammensat af aktører på føderale, regionale, statslige og lokale niveauer.
Forvaltningen af det amerikanske nationale beredskab er forankret i organer indenfor den offentlige forvaltning, men inddrager i høj grad private virksomheder i processen. HSPD-7 tager udgangspunkt i en forvaltningsproces, hvor private virksomheder tildeles et afgørende medansvar. Offentlig-privat samarbejde er omdrejningspunkt i planlægningsprocessen og betragtes som en grundlæggende forudsætning for risikostyring og den kontinuerlige evalueringsproces. Dette forhold afspejler naturligt den grad af privatisering eller pluralisme, som kommer til udtryk i det amerikanske samfund, hvor mange serviceydelser indenfor den kritiske infrastruktur udbydes af private virksomheder i langt højere grad end i det danske samfund.
Indenfor den amerikanske IT-sektor er Department of Homeland Security udpeget som den overordnede sektorspecifikke beredskabsstyrelse (SSA). Beredskabsplanlægning i IT-sektoren forvaltes gennem to sektorspecifikke koordinationsgrupper. I 2005 etableredes IT Government Coordinating Council (IT GCC), som består af repræsentanter fra forskellige offentlige instanser. Rådets opgave er primært at etablere IT-specifik beredskabsplanlægning indenfor den offentlige administration og koordinere sammenhænge mellem IT-sektoren og andre sektorer i infrastrukturen. I 2006 blev IT-sektorens hovedorgan etableret. IT Sector Coordinating Council (SCC) er en selvejende institution, som består af private aktører, virksomheder og brancheorganisationer, samt IT Information Sharing and Analysis Center (IT-ISAC). Dette koordinationsforum gør det muligt for private virksomheder og operatører at koordinere og diskutere sektor-specifikke strategier, aktiviteter og emner på tværs af offentlige og private institutioner. IT-ISACs opgave er at lede arbejdet i koordinationsgruppen, samt levere analyser og vidensformidling omkring trusler, sårbarheder og hændelser indenfor sektoren.
Med udgangspunkt i offentligt-privat samarbejde erkender den overordnede forvaltning, at private aktører naturligt gennemfører risikostyring indenfor egen virksomhed og besidder afgørende kernekompetencer på området. Den nationale plan forudsætter, at private aktører anvender en bred vifte af standarder, metoder og værktøjer i deres interne risikostyringsprocesser. Den amerikanske IT-sektor anvender eksempelvis COBIT, ISO/IEC, ITIL, NIST og OCTAVE. Herudover har mange virksomheder udpeget nøglefunktioner for risikostyring, der enten er placeret centralt i organisationen eller delegeret henover de operative led. Den nationale forvaltningsstrategi sigter derfor mod at etablere en samlet sektorspecifik risikoprofil, der tilgodeser et dynamisk forhold mellem de individuelle risikostyringsmodeller og overordnede grundlæggende kriterier for trussel- og sårbarhedsvurderinger, samt konsekvensberegninger. Denne fremgangsmåde anerkender de divergerende målsætninger i offentlig og privat risikohåndtering, blotlægger den eksisterende samlede kapacitet og konstaterer behov for udvikling og tilførsel af forbedringer.
Sammenfattende må det konstateres, at etableringen af den amerikanske nationale beredskabsplan er et resultat af særdeles omfattende offentlige økonomiske og ressourcemæssige investeringer. Motivationen for så omfattende investeringer må tilskrives det politiske klima, der opstod efter terrorangrebene i 2001 og yderligere blev forstærket i en reaktion på de omfattende ødelæggelser efter orkanen ’Katrina’ i 2005.
Den nationale beredskabsplan er forankret i en forvaltningsmodel, der opfatter offentligt-privat samarbejde som en grundlæggende forudsætning, hvilket ansporer en netværksbaseret risikostyringsmetodik.
Såvel de økonomiske investeringer og den valgte forvaltningsmodel står i skarp kontrast til den igangværende planlægning regionalt og nationalt i EU.
1.5 Den danske nationale model
Sammenholdt med de udarbejdede overordnede amerikanske krisestyringsplaner og planerne for de enkelte sektorer i den kritiske infrastruktur må det forventes, at der stadig skal gennemføres en omfattende arbejdsproces før endelige detaljerede planer for det danske nationale beredskab er på plads. Især sammenhængen til det regionale niveau, såvel nordisk som europæisk, er i et indledende stadie.
Den danske og europæiske forvaltningsmodel er i modsætning til den amerikanske strategi præget af manglende samarbejde på tværs af offentlige og private aktører. Beredskabsstyrelsen har påpeget dette forhold siden den nationale sårbarhedsudredning fra 2004. Den Nationale Sårbarhedsrapport fra 2007 understreger erkendelsen af dette dilemma. Offentligt-privat samarbejde er endvidere et tema i en udredning fra det norske Justits- og politidepartement, der udkom i 2006. Den overordnede forvaltning af det danske beredskab har hidtil været fokuseret på placering og fordeling af ansvar i den offentlige forvaltning og fremgangsmåden bærer stærkt præg af en offentlig ’lovfæstet forvaltningsmentalitet’, hvilket ikke hidtil i fornødent omfang har inddraget private aktører. Imidlertid er offentlig-privat samarbejde blevet et af tre fokusområder for den videre udvikling af det nationale beredskab i sårbarhedsrapporten fra 2008. Beredskabsstyrelsen har herved erkendt, at et bredere og bedre koordineret samarbejde mellem private aktører og den offentlige forvaltning er påkrævet. Beredskabsstyrelsen vurderer at udenlandske erfaringer på området kan overføres på danske forhold. Med udgangspunkt i den amerikanske forvaltning af kriseberedskab bør disse offentlige-private koordinationsfora placeres indenfor de enkelte sektorer i den kritiske infrastruktur i lighed med førnævnte Sector Specific Council. Det er imidlertid vigtigt, at den offentlige forvaltning stadig opretter styringsorganer, der kan formidle koordination på tværs af de enkelte sektorer med forbillede i de amerikanske sektorspecifikke Government Coordinating Council.
Sektoransvar er det bærende princip i det danske kriseberedskab. Med udgangspunkt i beredskabslovens kapitel 5 (§§ 24-28) pålægges de enkelte ministerier et ansvar for planlægning, opretholdelse og videreførelse af samfundsfunktioner indenfor deres ressortområde. Loven pålægger Forsvarsministeriet et overordnet planlægnings- og koordinationsansvar for konkretisering af beredskabslovens brede overordnede formulering af sektoransvaret overfor de øvrige ministerier og styrelser. Forsvarsministeriet har uddelegeret dette ansvar til Beredskabsstyrelsen. Der er en grundlæggende mangel på forståelse for, hvilke konkrete opgaver sektoransvaret pålægger de enkelte ressortmyndigheder. Beredskabsstyrelsen har derfor formuleret seks principper for ’god praksis’, der blandt andet omfatter krav om etablering af risikostyring, overvågning af risikobilledet, samarbejde med Forsvaret og udpegning af kritiske funktioner. Herudover indeholder Beredskabsstyrelsens anbefalinger til ressortmyndighederne en prioritering af tre fokusområder, herunder udbygning af myndighedernes fælles forståelse af sektoransvaret, bedre overblik over sammenhænge i de overordnede ansvarsforhold, samt det allerede nævnte samarbejde mellem offentlige og private aktører.
Generelt udtrykker Beredskabsstyrelsens seneste tiltag en udviklingstendens, der på sigt forventes i højere grad at stille det danske beredskab på linje med grundprincipperne i det amerikanske beredskab. Den primære forudsætning for fremskridt er kompetenceudvikling indenfor krisehåndtering og risikostyring ved de enkelte ressortmyndigheder indenfor sektoransvaret. Oprettelsen af en Master of Disaster Management uddannelse ved Københavns Universitet er en positiv, men langsigtet løsning. I USA og England har universiteterne de sidste tyve år udviklet uddannelser og bedrevet forskning på emner indenfor krise- og risikostyring, sikkerhed og kriminologi. Herudover er risikostyring en integreret del af private virksomheders ’intellektuelle aktiver’, hvilket er motivationen for prioritering af offentlig-privat samarbejde i den amerikanske beredskabsplanlægning. I Danmark bør det videre udviklingsarbejde af krise- og risikohåndtering gøre gavn af eksisterende kompetencer i det private erhvervsliv.
I den danske IT-sektor har IT- og Telestyrelsen det overordnede sektoransvar. Styrelsen er særdeles aktiv på beredskabsområdet og deltager i en bred vifte af internationale fora, blandt andet FN, EU, NATO, ITU og ETSI. På nationalt plan koordinerer styrelsen beredskabet med andre offentlige myndigheder og indgår i NOST. Styrelsen fremlagde på beredskabskonferencen i 2005 en overordnet strategi for sektorberedskabet. Strategien går i hovedpunkter ud på at opstille minimumskrav til udbydere om robusthed gennem beredskabsplanlægning; styrkelse af det operative samarbejde på tværs af aktører i sektoren og en styrkelse af dialog og gensidig rådgivning. Styrelsen lægger i strategien vægt på risikostyringsprocesser, der gennem samarbejde og formulering af overordnede kvalitetskrav fremmer en beredskabsplanlægning, som danner rammen for en robust infrastruktur. Denne overordnede strategi udmøntes i IT- og Telestyrelsens bekendtgørelse nr. 575 af 18. juni 2009 om beredskab for elektroniske kommunikationsnet og –tjenester, samt bekendtgørelse nr. 619 ligeledes af 18. juni 2009 om planlægning og gennemførelse af beredskab for elektroniske kommunikationsnet og -tjenester. Bekendtgørelserne er det juridiske grundlag for minimumskrav om robust risikostyring og kriseberedskab hos udbydere af IT – og teletjenester indenfor den kritiske infrastruktur. Specielt bekendtgørelse nr. 619 opstiller en række krav til udbydere, definerer deres ansvar og fastslår IT- og Telestyrelsens tilsynspligt. De enkelte udbydere omfattet af denne bekendtgørelse står hermed overfor en stor opgave, hvad enten virksomheden skal revidere allerede eksisterende beredskabsplaner, gennemføre justering af utilstrækkelige planer eller skal formulere nye planer.
IT- og Telestyrelsen nedsatte i 2007 et beredskabsforum for aktører i sektoren, BERIT, der i en dialog mellem myndigheder og private aktører søger at styrke beredskabet indenfor sektoren. Et nyt kommissorium for dette samarbejde forventes at blive etableret i august 2009. BERIT forventes at blive et afgørende værktøj i justeringen af de lovmæssige krav til beredskabet i virksomheder, som opererer indenfor den kritiske infrastruktur i IT-sektoren.
Sammenfattende er sektoransvaret det bærende princip i det danske beredskab. Generelt må beredskabslovens bredt formulerede krav til ressortmyndigheder og mulige manglende kompetencer og/eller ressourcer forventes at skabe uligheder i udarbejdelsen af beredskabsplaner henover både i tid og rum. Herudover kan kvalitet i udmøntningen af ansvaret være svingende imellem de enkelte sektorer. Dette kan skyldes manglende overordnet ledelse og tildeling af nødvendige kompetencer og ressourcer. Under denne udviklingsproces må det samlede danske beredskab vurderes som værende ligeså stærk som det svageste led. Herudover må det forventes, at den nuværende mangel på overordnede styringsredskaber for offentlig-privat samarbejde kun vil tilvejebringes henover tid. Selvom den danske forvaltningsmodel generelt betragtet er meget top-tung med hovedansvaret pålagt den offentlige forvaltning, kan der specielt på IT-området spores begyndende ansvarstildeling på private aktører. Dette øger kravene til private aktørers kompetencer indenfor beredskabsplanlægning, sårbarhedsvurdering, afprøvning og tværgående koordination.
1.6 Sammenfatning og konklusion
Politisk motivation til investeringer i udbygningen af dansk og europæisk kriseberedskab kan være hæmmet af, at der i Europa ikke er forekommet angreb eller naturkatastrofer i samme omfang, som det er set i USA. Udbygningen af det danske og europæiske kriseberedskab opfattes således ikke at være presserende i samme grad, idet trusselbilledet umiddelbart vurderes at være væsentligt forskellige. Politisk motivation og en vurdering af sandsynligheden for angreb har afgørende indflydelse på prioritering og tilknytning af økonomiske ressourcer. På europæisk plan er de enkelte medlemslandes suverænitet i nationale sikkerhedsspørgsmål en grundlæggende årsag til, at fælles beredskabsplanlægning hæmmes i højere grad end i USA, hvor føderale myndigheder har større muligheder for at iværksætte centraliseret forvaltning af beredskabet.
I en sammenligning mellem den danske og den amerikanske nationale forvaltningsmodeller er sektoransvaret et markant fælles træk. Sektoransvaret er som et bærende princip en forvaltningsmetodik, som afgrænser en ellers meget kompleks opgave i overkommelige segmenter, hvor ansvaret er uddelegeret i den eksisterende offentlige forvaltningsstruktur.
Udover klare forskelle mellem skala og ressourcetildeling, ligger den mest markante divergeres i prioriteringen af offentlig-privat samarbejde. Den danske forvaltningsmodel er præget af præcise snitflader og afgrænsninger mellem offentligt og privat ansvar, som bevarer statens monopol på forvaltning af sikkerhed. Den amerikanske model tager udgangspunkt i det offentlig-private samarbejde i en netværksbaseret forvaltning på tværs af forskellige aktører med statsforvaltningen i en overordnet koordinerende og befordrende rolle. Sektoransvaret som et bærende princip kan betragtes som et grundlæggende styringsredskab og en forudsætningsskabende faktor i det offentlige-private samarbejde.
Den danske IT-sektor har erkendt dette grundlæggende forhold. De nyligt udgivne retningslinjer for ansvars- og opgavefordeling mellem private og offentlige aktører i denne kritiske sektor af den danske infrastruktur kræver en øget indsats på tværs af de generelle afgrænsninger. Selvom der fortsat ligger et stort arbejde forude kan det konkluderes, at forvaltning af sikkerhed i den danske IT-sektor med tid vil kunne være på linje med internationale teoretiske og pragmatiske tendenser.
Referencer:
[1] Johnston, L. and Shearing, C. (2003) Governing Security: Explorations in Policing and Justice. London: Routledge.
[1] World Economic Forum (WEF) (2005) Global Risks 2005, World Economic Forum, Geneva.
[1] Loader, I. and Sparks, R. (2006) ‘Contemporary Landscapes of Crime, Order and Control: Governance, Risk, and Globalization’. In Maguire, M., Morgan, R. and Reiner, R. (eds.) The Oxford Handbook of Criminology, 4th Edition, Oxford University Press.
[1] Johnston, L. (2006), ‘Transnational Security Governance’ in J. Wood and B. Dupont (eds.), Democracy, Society and the Governance of Security, Cambridge: University Press
[1] Kytle, B. and Ruggie, J. G. (2005) ‘Corporate Social Responsibility as Risk Management, A model for Multinationals’, Harvard University Working paper No. 4, March 2005. Cambridge, MA: Corporate Social Responsibility Institute, John F. Kennedy School of Government.
[1] Manning, P.K. (2006) ‘Two Case Studies of American Anti-Terrorism, in Wood, J. and Dupont, B. (eds.) Democracy, Society and the Governance of Security. Cambridge: Cambridge University Press.
[1] Wood, J. (2006) ‘Research and Innovation in the Field of Security: A Nodal Governance View’, in Wood, J. and Dupont, B. (eds.) Democracy, Society and the Governance of Security. Cambridge: Cambridge University Press.
[1] Economic Forum (WEF) (2009) Global Risks 2009. Geneva: Global Risk Network, WEF. http://www.weforum.org/pdf/globalrisk/2009.pdf
[1] http://www.grforum.org/pages_new.php/Global-Platform-for-Disaster-Reduction/659/1/236/648/
[1]http://www.unisdr.org/
[1] http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2007:058:0001:0006:EN:PDF
[1] http://ec.europa.eu/justice_home/funding/cips/funding_cips_en.htm
[1] Universal Service Directive (2002/22/EC); Authorization Directive (2002/20/EC); E Privacy Directive (2002/58/EC), Council Framework Decision 2005/222/JHA of 24 February 2005; Regulation (EC) No 460/2004 of 10 March 2004.
[1] EPCIP-directive article 5 and 6.
[1] Federal Reserve Board, ’Telling the Fed’s Story through Money in Motion’, www.phil.frb.org/publicaffairs/pubs/ar03telling.pdf
[1] Critical Foundations: Protecting America’s Infrastructures (1997), http://www.iwar.org.uk/cip/resources/pccip/intro.pdf
[1] Executive Order 13231, Critical Infrastructure Protection in the Information Age, October 2001.
http://www.ncs.gov/library/policy_docs/eo_13231.pdf
[1] http://www.dhs.gov/xlibrary/assets/hr_5005_enr.pdf
[1] http://www.dhs.gov/xlibrary/assets/National_Cyberspace_Strategy.pdf
[1] Homeland Security Presidential Directive – 7 (HSPD-7) (2003), http://www.fas.org/irp/offdocs/nspd/hspd-7.html
[1] National Infrastructure Protection Plan (2009), http://www.dhs.gov/xlibrary/assets/NIPP_Plan.pdf
[1] National Incident Management System (2008), http://www.fema.gov/pdf/emergency/nims/NIMS_core.pdf
[1] Beredskabsstyrelsen (2004) , National Sårbarhedsudredning, http://www.brs.dk/dokumentarkiv/rapport/Beredskabsplanl%C3%A6gning%20og%20tv%C3%A6rg%C3%A5ende%20koordination.pdf
[1] Beredskabstyrelse (2007), National Sårbarhedsrapport 2007, http://www.brs.dk/folder/NSR2007/National%20Saarbarhedsrapport%202007.pdf
[1] NOU (2006), Når sikkerheten er viktigst, http://www.regjeringen.no/Rpub/NOU/20062006/006/PDFS/NOU200620060006000DDDPDFS.pdf
[1] Beredskabsstyrelsen (2008), National Sårbarhedsrapport 2008, http://www.brs.dk/folder/NSR2008final.pdf
[1]Dalton, D.R. (2003) Rethinking Corporate Security in the Post 9/11 Era, New York: Butterworth-Heinemann
[1] https://www.retsinformation.dk/Forms/R0710.aspx?id=125536
[1] https://www.retsinformation.dk/Forms/R0710.aspx?id=125538
[1] World Economic Forum (WEF) (2005) Global Risks 2005, World Economic Forum, Geneva.
[1] Loader, I. and Sparks, R. (2006) ‘Contemporary Landscapes of Crime, Order and Control: Governance, Risk, and Globalization’. In Maguire, M., Morgan, R. and Reiner, R. (eds.) The Oxford Handbook of Criminology, 4th Edition, Oxford University Press.
[1] Johnston, L. (2006), ‘Transnational Security Governance’ in J. Wood and B. Dupont (eds.), Democracy, Society and the Governance of Security, Cambridge: University Press
[1] Kytle, B. and Ruggie, J. G. (2005) ‘Corporate Social Responsibility as Risk Management, A model for Multinationals’, Harvard University Working paper No. 4, March 2005. Cambridge, MA: Corporate Social Responsibility Institute, John F. Kennedy School of Government.
[1] Manning, P.K. (2006) ‘Two Case Studies of American Anti-Terrorism, in Wood, J. and Dupont, B. (eds.) Democracy, Society and the Governance of Security. Cambridge: Cambridge University Press.
[1] Wood, J. (2006) ‘Research and Innovation in the Field of Security: A Nodal Governance View’, in Wood, J. and Dupont, B. (eds.) Democracy, Society and the Governance of Security. Cambridge: Cambridge University Press.
[1] Economic Forum (WEF) (2009) Global Risks 2009. Geneva: Global Risk Network, WEF. http://www.weforum.org/pdf/globalrisk/2009.pdf
[1] http://www.grforum.org/pages_new.php/Global-Platform-for-Disaster-Reduction/659/1/236/648/
[1]http://www.unisdr.org/
[1] http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2007:058:0001:0006:EN:PDF
[1] http://ec.europa.eu/justice_home/funding/cips/funding_cips_en.htm
[1] Universal Service Directive (2002/22/EC); Authorization Directive (2002/20/EC); E Privacy Directive (2002/58/EC), Council Framework Decision 2005/222/JHA of 24 February 2005; Regulation (EC) No 460/2004 of 10 March 2004.
[1] EPCIP-directive article 5 and 6.
[1] Federal Reserve Board, ’Telling the Fed’s Story through Money in Motion’, www.phil.frb.org/publicaffairs/pubs/ar03telling.pdf
[1] Critical Foundations: Protecting America’s Infrastructures (1997), http://www.iwar.org.uk/cip/resources/pccip/intro.pdf
[1] Executive Order 13231, Critical Infrastructure Protection in the Information Age, October 2001.
http://www.ncs.gov/library/policy_docs/eo_13231.pdf
[1] http://www.dhs.gov/xlibrary/assets/hr_5005_enr.pdf
[1] http://www.dhs.gov/xlibrary/assets/National_Cyberspace_Strategy.pdf
[1] Homeland Security Presidential Directive – 7 (HSPD-7) (2003), http://www.fas.org/irp/offdocs/nspd/hspd-7.html
[1] National Infrastructure Protection Plan (2009), http://www.dhs.gov/xlibrary/assets/NIPP_Plan.pdf
[1] National Incident Management System (2008), http://www.fema.gov/pdf/emergency/nims/NIMS_core.pdf
[1] Beredskabsstyrelsen (2004) , National Sårbarhedsudredning, http://www.brs.dk/dokumentarkiv/rapport/Beredskabsplanl%C3%A6gning%20og%20tv%C3%A6rg%C3%A5ende%20koordination.pdf
[1] Beredskabstyrelse (2007), National Sårbarhedsrapport 2007, http://www.brs.dk/folder/NSR2007/National%20Saarbarhedsrapport%202007.pdf
[1] NOU (2006), Når sikkerheten er viktigst, http://www.regjeringen.no/Rpub/NOU/20062006/006/PDFS/NOU200620060006000DDDPDFS.pdf
[1] Beredskabsstyrelsen (2008), National Sårbarhedsrapport 2008, http://www.brs.dk/folder/NSR2008final.pdf
[1]Dalton, D.R. (2003) Rethinking Corporate Security in the Post 9/11 Era, New York: Butterworth-Heinemann
[1] https://www.retsinformation.dk/Forms/R0710.aspx?id=125536
[1] https://www.retsinformation.dk/Forms/R0710.aspx?id=125538
