Evaluering av DSS` innsats 22. juli 2011
Transcription
Evaluering av DSS` innsats 22. juli 2011
www.pwc.no Evaluering av DSS' innsats 22. juli 2011 Rapport til Departementenes servicesenter (DSS) 18. november 2013 Evaluering av DSS' innsats 22. juli 2011 Innholdsfortegnelse Forord............................................................................................................................................................................ 3 Sammendrag ................................................................................................................................................................. 4 Bakgrunn og formål 4 Hovedfunn og vurderinger 4 Anbefalinger 5 1 Innledning ............................................................................................................................................................... 6 1.1 Mandat 6 1.2 Evalueringsmodell 6 1.3 Undersøkelsesdesign 6 1.4 Evalueringskriterier 7 2 Bakgrunn ................................................................................................................................................................10 2.1 Organiseringen av DSS 10 2.2 Terroranslaget 22. juli 2011 11 3 DSS' beredskapssituasjon 22. juli 2011 – observasjoner og vurderinger............................................................ 12 3.1 Roller og ansvar 12 3.2 Mål, strategi og økonomi 15 3.3 Risiko- og sårbarhetsanalyser 18 3.4 Beredskapsplanverk og -organisasjon 20 3.5 Bemanning og kompetanse 22 3.6 Utstyr og materiell 24 4 DSS' håndtering 22. juli 2011 – observasjoner og vurderinger .......................................................................... 26 4.1 Kapasitet og ledelse 26 4.2 Rolleforståelse, samordning og koordinering 30 4.3 Informasjonsstrategi, media- og publikumshåndtering 32 4.4Planverk 33 4.5 Helse, miljø og sikkerhet 34 5 Læringspunkter og anbefalte tiltak ...................................................................................................................... 37 5.1 Beredskapssituasjonen 22. juli 2011 37 5.2 Håndteringen 22. juli 2011 40 Vedlegg 1 - Evalueringskriterier ................................................................................................................................ 42 Vedlegg 2 - Referanse- og litteraturliste.................................................................................................................... 46 PwC Side 2 av 48 Evaluering av DSS' innsats 22. juli 2011 Forord Denne rapporten er resultatet av en evaluering PricewaterhouseCoopers (PwC) har utført for Departementenes servicesenter (DSS). Evalueringen har vært todelt. PwC har både evaluert grunnlaget for DSS' evne til å håndtere krisen som oppsto 22. juli 2011, og den faktiske håndteringen av angrepet. Prosjektleder har vært Mats Ruge Holte. Teamet har bestått av Erik Arvnes, Hege Gabrielsen og Elisabeth Taraldsen Hyllseth. Roger Mortensen har vært ansvarlig partner i PwC. Oppdraget ble gjennomført i perioden mai til november 2013. Underveis i prosjektet har vi hatt god kontakt med DSS. Arnfrid Arthur har vært vår primære kontaktperson, og har bidratt med å skaffe til veie nødvendig data, koordinere intervjuene og i den generelle prosjektdialogen underveis. Vi vil også rette en takk til alle informantene som har stilt opp i intervjuer og bidratt med nyttig informasjon. PwC vil understreke at vurderinger, konklusjoner og anbefalinger i rapporten står fullt og helt for PwCs regning. Vi takker DSS for et spennende oppdrag og god samhandling underveis i prosjektet. Roger Mortensen Ansvarlig partner PwC PwC Side 3 av 48 Evaluering av DSS' innsats 22. juli 2011 Sammendrag Bakgrunn og formål Terroranslaget mot regjeringskvartalet 22. juli 2011 krevde en samlet og koordinert respons. DSS hadde en sentral rolle i vakt og sikringsarbeidet, og leverte tjenester til departementsfelleskapet som var kritiske for den samlede håndteringen. DSS ønsker å trekke lærdom av hendelsen 22. juli og har gitt PwC i oppdrag å evaluere 1) grunnlaget for DSS' evne til å håndtere krisen og 2) den faktiske håndteringen. Evalueringen skal danne grunnlag for forbedring og videreutvikling av sikkerhets- og beredskapsarbeidet i DSS. Målsettingen er at organisasjonen skal stå bedre rustet til å forebygge og håndtere uønskede hendelser i fremtiden. PwC har lagt til grunn en anerkjent og utprøvd evalueringsmetodikk. Både beredskapssituasjonen og håndteringen er evaluert ut fra definerte evalueringskriterier, og vi skiller tydelig mellom observasjoner og PwCs vurderinger. Evalueringskriteriene utgjør referansepunktet og det normative grunnlaget for å vurdere måloppnåelse innenfor undersøkelsesområdene. PwC har kun sett på sikkerhets- og beredskapsarbeidet utført før og under krisehåndteringen, og det kan derfor ikke utelukkes at læringspunkter som fremkommer i denne rapporten er implementert. Hovedfunn og vurderinger Erfaring viser at systematisk og kontinuerlig fokus på sikkerhet og beredskap i det daglige bidrar til god håndtering når krisen treffer. DSS' beredskapssituasjon før 22. juli og håndteringen av angrepet henger dermed tett sammen. Gjennomgangen av sikkerhets- og beredskapsarbeidet har vist at DSS hadde en del utfordringer før 22. juli. DSS opplevde at rolle- og ansvarsfordeling innenfor sikkerhet og beredskap var uklar i hele styringskjeden, både mellom FAD og departementsfellesskapet, internt i FAD, mellom FAD og DSS, og internt i DSS. DSS hadde også begrenset myndighet i utøvelse av sine oppgaver – man hadde bl.a. ikke myndighet til å fjerne ulovlig parkerte biler osv. Dette vanskeliggjorde arbeid med vakt og sikring av regjeringskvartalet Evalueringen har vist at DSS før 22. juli hadde utviklet et system for risikostyring der det bl.a. ble stilt krav om årlige risiko- og sårbarhetsanalyser, utvikling og gjennomgang av beredskapsplanverk, gjennomføring av diskusjons- og drilløvelser osv. DSS hadde også utarbeidet beredskapsplaner på flere nivåer. Før 22. juli var det imidlertid en manglende sammenheng mellom det DSS sa de skulle gjøre, og det som faktisk ble gjort. Ledelsen i DSS var kjent med denne utfordringen, men uten at dette ble fulgt opp tilstrekkelig. Det var mange grunner til at DSS hadde en mangelfull oppfølging av sikkerhets- og beredskapsarbeidet. I tillegg til interne utfordringer, bl.a. knyttet til organiseringen, ble DSS i liten grad styrt eller målt på sikkerhet og beredskap. Evalueringen har vist at Fornyings og administrasjonsdepartementet (FAD) primært var opptatt av service, økonomi og etter hvert IKT-sikkerhet. Sikkerhet og beredskap hadde en begrenset plass i etatsstyringsdialogen. Departementene anså DSS først og fremst som en serviceenhet – ikke som en vakt- og sikringsenhet. Med utgangspunkt i beredskapssituasjonen før 22. juli er det evalueringens hovedinntrykk at DSS, ut fra de faktiske forutsetningene, håndterte krisen tilfredsstillende. Dette kan imidlertid i liten grad tilskrives systematisk arbeid i forkant av hendelsen. Under krisen lyktes DSS med å opprettholde kontinuiteten i sine tjenesteleveranser. De ansatte i DSS gjorde også en meget god innsats – en innsats ut over det man kan forvente i en slik situasjon. En rekke personer i DSS bidro sterkt til å begrense konsekvensene av angrepet. PwC Side 4 av 48 Evaluering av DSS' innsats 22. juli 2011 Anbefalinger Erfaring viser at systematisk og kontinuerlig fokus på sikkerhet og beredskap i det daglige bidrar til god håndtering når krisen inntreffer. Læringsmomentene knyttet til beredskapssituasjonen og håndteringen må derfor sees i sammenheng. Basert på gjennomgangen av beredskapssituasjonen 22. juli anbefaler PwC at DSS videreutvikler sitt arbeid på følgende områder: - Relasjon til departementsfelleskapet og andre Styringsdialogen med FAD Intern risikostyring Beredskapsplanverk og -organisasjon Sikkerhetskultur Når det gjelder håndteringen av angrepet 22. juli og den påfølgende krisehåndteringen anbefaler PwC at DSS videreutvikler sitt arbeid på følgende områder: - Stabsmetodikk Varsling og mobilisering Kommunikasjon, intern samordning og koordinering For nærmere omtale av innholdet i læringsmomentene og tiltakene, se denne rapportens kapittel 5. PwC Side 5 av 48 Evaluering av DSS' innsats 22. juli 2011 1 Innledning 1.1 Mandat DSS har en sentral rolle i vakt og sikring av regjeringskvartalet, og var sterkt involvert i krisehåndteringen ved terroranslaget 22. juli 2011. En ansatt i DSS ble offer for terroranslaget. Evalueringen av DSS har vært todelt. PwC har både evaluert grunnlaget for DSS sin evne til å håndtere krisen som oppsto den 22. juli 2011, og den faktiske håndteringen av terrorangrepet. Evalueringen har hatt som mål å avdekke styrker og svakheter både ved DSS' beredskap i forkant av hendelsen, og ved håndteringen den aktuelle dagen og påfølgende dager. Evalueringen skal bidra til læring og videreutvikling av krise- og beredskapsapparatet i DSS, herunder om det er eksterne relasjoner mellom DSS og andre aktører som har betydning for dette arbeidet. Dette skal sikre at DSS står bedre rustet til å håndtere alvorlige, omfattende og komplekse hendelser i fremtiden. 1.2 Evalueringsmodell Evalueringen er todelt, der den første delen tar for seg beredskapssituasjonen 22. juli 2011 og den andre håndteringen 22. juli og de påfølgende dagene. Under følger en presentasjon av overordnet evalueringsmodell og hovedundersøkelsesområdene. Figur 1 Overordnet evalueringsmodell Hovedundersøkelsesområdene (se Figur 1) er kartlagt og vurdert i henhold til definerte evalueringskriterier, og på bakgrunn av dette er det beskrevet læringsmomenter som vil bidra til å videreutvikle krise- og beredskapsapparatet i DSS. Læringsmomentene danner grunnlag for tiltak som kan implementeres i prosedyrer, planverk mv. 1.3 Undersøkelsesdesign Evaluering i økonomiregelverkets forstand er ”[…] en systematisk datainnsamling, analyse og vurdering av en planlagt, pågående eller avsluttet aktivitet, en virksomhet, et virkemiddel eller en sektor”.1 Analysene og vurderingene i denne evalueringen bygger på et omfattende datamateriale. Ved å benytte ulike metoder for å innhente data sikrer vi et robust datagrunnlag og mer nøyaktige vurderinger. 1 Fremkommer på hjemmesiden til Direktoratet for økonomistyring (DFØ). Kilde: http://www.dfo.no/no/Styring/Evalueringer/ PwC Side 6 av 48 Evaluering av DSS' innsats 22. juli 2011 1.4 Evalueringskriterier Evalueringskriteriene utgjør referansepunktet og det normative grunnlaget for å vurdere måloppnåelse innenfor hovedundersøkelsesområdene. Det viktigste skillet går mellom kvalitative kriterier og kvantitative kriterier. Kvantitative kriterier har den fordelen at de ofte er enkle å forstå. Kvalitative evalueringskriterier kan oppleves som mindre presise, men gir også et bredere grunnlag for å si noe om innholdet i en tjeneste er som forutsatt. Kriteriene som hovedundersøkelsesområdene i denne evalueringen skal vurderes opp mot er i hovedsak kvalitative. Hvert hovedundersøkelsesområde evalueres mot gitte kriterier som tar utgangspunkt i 1) det eksisterende normative grunnlaget slik det forelå 22. juli 2011, og 2) beste praksis på området. For en mer detaljert gjennomgang av innholdet i evalueringskriterier innenfor hovedundersøkelsesområdene, se Vedlegg 1 - Evalueringskriterier. Nedenfor gjengis kildene til kriteriene i korte trekk. Kilder for kriteriene til beredskapssituasjonen 22. juli 2011 er: - Roller og Ansvar: Sikkerhetsloven stadfester de overordnede ansvarsforholdene for sikkerhet og objektsikkerhet i regjeringskvartalet, og utgjør det overordnete kriteriet. Økonomireglementets kapittel 1 og 2 regulerer departementets styring av virksomheter og virksomhetens interne styring, og operasjonaliserer det overordnete regelverket. - Mål, strategi og økonomi: Ifølge reglement for økonomistyring i staten § 1 skal midler som er tildelt over statsbudsjettet brukes i samsvar med Stortingets vedtak og forutsetninger. Regelverket har som formål å sikre at mål og resultatkrav oppnås, og at statlige midler brukes effektivt. FAD har det overordnede ansvaret for at de grunnleggende styringsprinsippene i økonomireglementet § 4 jf. kapittel 1 og 2 i bestemmelsene og økonomistyring i staten følges. - Risiko- og sårbarhetsanalyser: Økonomireglementets generelle krav om at alle virksomheter skal etablere intern kontroll (jf. kapittel 2.4) vil utgjøre det overordnete kriteriet her. I tillegg er det tatt utgangspunkt i generelle retningslinjer og veiledere fra Direktoratet for samfunnssikkerhet og beredskap (DSB) for utarbeidelse og implementering av risiko- og sårbarhetsanalyser,2 samt DSS' egen veileder "Risiko- og sårbarhetsanalyse (ROS) revisjon 05.05.2008" og beredskaps- og krisehåndteringsplan (Nivå 1) som sier at enhver leder skal innenfor eget ansvarsområde gjennomføre risiko- og sårbarhetsanalyse. - Beredskapsplanverk og organisasjon: DSB har definert kriterier for planverk og organisering, blant annet at de tar utgangspunkt i gjennomførte risiko- og sårbarhetsanalyser, har tydelig beskrivelse av ansvar og funksjoner, inneholder oppdaterte varslingslister osv.3 Denne vil sammen med DSS' egen beredskaps- og krisehåndteringsplan nivå 1 utgjøre hovedkilden til kriteriene for analysen av dette underområdet. - Bemanning og kompetanse: DSB har definert kriterier for bemanning og kompetanse, blant annet at man har en bemanning som kan dekke definerte arbeidsoppgaver, at det er etablert et system for opplæring av alle med en rolle i krisehåndteringen, at det gjennomføres regelmessig øvelser osv. 4 I DSS hadde Sikkerhetstjenesteavdelingen (SAV) definerte kompetansekrav gjennom "Konsept for stilingskompetanse og autorisasjon" (2010). - Utstyr og materiell: Dette hovedområdet vil se på ressurs og utstyrssituasjonen mht. sambandsløsninger, verneutstyr, kameraovervåkning, vaktsentral, IKT løsninger, kommunikasjonsutstyr, lokaler mv. Nasjonal sikkerhetsmyndighet (NSM), Politidirektoratet (POD) og Politiets sikkerhetstjeneste (PST) har utarbeidet en veileder der relevante tiltak for terrorsikring presenteres. Tiltak skal ta utgangspunkt i gjennomførte risiko- og sårbarhetsanalyser og eksisterende grunnsikring, og menneskelige, teknologiske og organisatoriske tiltak skal samlet bidra til en balanserte sikring av objektet. 5 Kilder for kriteriene til håndteringen 22. juli 2011 er: - Kapasitet og ledelse: DSS hadde skissert krav til kapasitet og ledelse i eget krisehåndterings- og beredskapsplanverket. Det er i tillegg tatt utgangspunkt i beste praksis, blant annet fra Evaluering av Se blant annet DSBs "Veiledning til forskrift om kommunal beredskapsplikt" (2012) Se blant annet DSBs "Departementenes systematiske samfunnssikkerhets- og beredskapsarbeid – Veileder" (2007). 4 Ibid. 5 Se NSM, POD og PSTs "En veiledning - Sikkerhets- og beredskapstiltak mot terrorhandlinger" (2010) 2 3 PwC Side 7 av 48 Evaluering av DSS' innsats 22. juli 2011 politiets innsats 22. juli (2012). Det er fokus på å identifisere erfaringer fra ledelsen av DSS' krisehåndtering 22. juli og vurdere om det var kapasitet, kompetanse og ressurser til å gjennomføre denne tilfredsstillende. - Planverk: Dette hovedområdet har fokus på å identifisere om håndteringen ble gjennomført med utgangspunkt i eksisterende planverk, både overordnet planverk slik det fremkommer i DSS' krisehåndterings- og beredskapsplanverk, og i avdelingenes nivå 2-planer. Kvaliteten på krisehåndteringsog beredskapsplanverket blir vurdert i evalueringen av beredskapssituasjonen. - Rolleforståelse, samordning og koordinering: DSS hadde skissert krav til rolleforståelse, samordning og koordinering i eget krisehåndterings- og beredskapsplanverk på nivå 1. Disse kravene vil utgjøre kriteriene og danne et utgangspunkt for å identifisere erfaringer knyttet til kommunikasjon, informasjonstilgang, samhandling og forståelse av rolle, ansvar og oppgaver. Det er i tillegg tatt utgangspunkt i beste praksis, blant annet fra Evaluering av politiets innsats 22. juli (2012). - Informasjonsstrategi, media- og publikumshåndtering: Også under dette undersøkelsesområdet finner vi kriteriene i DSS' krisehåndterings- og beredskapsplanverk (nivå 1) og i "Krisekommunikasjonsstabens beredskapsplan" (nivå 2). Beste praksis slik det blant annet fremkommer i Evaluering av politiets innsats 22. juli (2012) vil også danne en referanseramme her. - Planverk, helse, miljø og sikkerhet: For evaluering av planverkets rolle under krisen 22. juli vil DSS' utarbeide planverk representere det viktigste kriteriet. For helse, miljø og sikkerhet vil DSS egne planer, gjengitt i DSS' Omsorgsplan (nivå 2) og evaluering av politiets innsats utgjøre hovedkriterier. 1.4.1 Analysebevis Analysebevis er informasjon av ulik art som må foreligge for å svare på undersøkelsens problemstillinger slik de følger av evalueringens formål. I denne evalueringen har hovedvekten ligget på kvalitative data da evalueringen er utført som en dybdeanalyse av spesifikke forhold. Sentrale bevis er synspunkter og meninger fra informanter på de ulike hovedundersøkelsesområdene, samt informasjon framkommet i styringsdokumentasjon og annen dokumentasjon. 1.4.2 Metode for gjennomføring For å besvare hovedundersøkelsesområder har følgende datainnsamlingsmetoder blitt benyttet: - Dokumentanalyser: PwC har gjennomgått og analysert bl.a. St. prp. 1, tildelingsbrev fra FAD, virksomhetsplaner, beredskapsplaner, tertialrapportering og referater fra etatsstyringsdialogen fra 20082011, veiledere og prosedyrer, logger, møtereferater, tidligere evalueringsrapporter mv. - Intervjuer: Det er gjennomført semistrukturerte intervjuer og gruppeintervjuer av totalt 22 personer fra DSS og fra FAD. Vi har intervjuet representanter fra alle avdelinger i DSS inkludert stabsfunksjonene SIBE og HR samt representanter fra tidligere ledelse. I SAV intervjuet vi representanter fra alle enheter utenom Bedriftshelsetjenesten. I tillegg er tidligere leder av DSS og interimsdirektør DSS samt tjenestemannsorganisasjonene intervjuet. I FAD intervjuet vi representanter fra sikringsenheten og etatsstyringsenheten. Når vi omtaler ledelsen i DSS er det den daværende ledelsen, dvs. før 22. juli 2011, det henvises til. Et viktig metodisk prinsipp som er lagt til grunn for PwCs arbeid er kildetriangulering. Det innebærer at dokumenter er brukt til å bekrefte eller avkrefte funnene fra intervjuene. Evalueringen har også gjort det motsatte; bekreftet eller avkreftet funn fra dokumentasjonsanalysen gjennom intervju. En viktig presisering er at vi også har brukt mangel på dokumentasjon som bekreftelse eller avkreftelse av funn fra intervjuene. Det er viktig å presisere at det er tatt hensyn til anonymiteten til informantene, noe som betyr at evalueringen ikke går detaljert inn på hvilke aktører som har svart hva. I den grad det er mulig og hensiktsmessig skiller vi på ledelsesnivå og ansattnivå i DSS. Det er skrevet referater fra intervjuene som informantene har fått tilsendt i ettertid for å verifisere innholdet i intervjuene. PwC Side 8 av 48 Evaluering av DSS' innsats 22. juli 2011 PwC har også hått tilgang til informasjon fra tidligere gjennomført intern evaluering i form av en spørreundersøkelse.6 Innhentet dokumentasjon er arkivert i elektronisk arkiv. Til analyse av dokumenter og informasjon, samt visualisering, er det i stor grad benyttet dataverktøyene Excel, i2 Analyst’s Notebook og MaxQda. 1.4.3 Kvalitetssikring Det er gjennomført fortløpende kvalitetssikring av mottatt dokumentasjon, og DSS har kvalitetssikret rapporten før oversendelse. DSS har imidlertid ikke lagt noen begrensninger på gjennomføringen av evalueringen. Det er i den sammenheng viktig å presisere at PwC har foretatt selvstendige og uavhengige vurderinger. 1.4.4 Avgrensning PwCs undersøkelser bygger utelukkende på og er begrenset til mandatet. Rapporten er utarbeidet med grunnlag i de opplysninger og den dokumentasjon som har vært gjort tilgjengelig. Vi fraskriver oss ethvert ansvar for mulige feil eller utelatelser som følge av at vi har mottatt uriktige, ufullstendige eller uverifiserbare opplysninger eller dokumentasjon. Rapporten er skrevet for oppdragsgiver. PwC kan ikke gjøres ansvarlig overfor eventuell tredjepart. 6 DSS' interne evaluering "Kartlegging og evaluering av situasjonen i DSS etter bombeangrepet på Regjeringskvartalet 22. juli 2011" (2012) PwC Side 9 av 48 Evaluering av DSS' innsats 22. juli 2011 2 Bakgrunn 2.1 Organiseringen av DSS DSS er et administrativt serviceorgan som den 22. juli 2011 var underlagt FAD. DSS leverer et bredt spekter av fellestjenester til departementene og Statsministerens kontor (SMK). DSS' oppdrag og resultatmål ble bl.a. gitt i St.prp. nr. 1 og tildelingsbrevet fra FAD. I følge tildelingsbrev for 2011 skulle DSS tilby departementene et bredt spekter av fellestjenester innenfor tre hovedområder: 7 - Fysiske arbeidsomgivelser: Omfattet bl.a. konferanse- og møteromstjenester, post- og budtjenester, distribusjon og lager av regjeringens dokumenter, renhold og miljø, resepsjons-, vakt- og sikringstjenester, kantinedrift, flyttetjenester og bedriftshelsetjeneste. - Administrativ tilrettelegging: Omfattet bl.a. lønns- og regnskapstjenester, skanning, sentralbordtjenester, grafisk rådgivning, bokproduksjon og trykketjenester, bibliotek og opplæring, innkjøpstjenester og miljørådgivning. - Digitale arbeidsomgivelser: Omfattet bl.a. drift av felles data- og telefoninettverk med tilhørende brannmurer og sikkerhetsinstallasjoner, e-post, elektronisk skrivebord og elektronisk saksbehandlingssystem for de 13 departementene på felles plattform, drift av ulike departementsspesifikke systemer, regjeringen.no og intranett i departementene, samt fjernaksessløsninger og kabel-TV. Den 22. juli 2011 var DSS organisert i fem tjenesteytende avdelinger; Fellestjenesteavdelingen (FTA), Informasjons- og kommunikasjonsteknologiavdelingen (IKT), Informasjonsforvaltningsavdelingen (IFA), Sikkerhetstjenesteavdelingen (SAV) og Kontortjenesteavdelingen (KTA). I tillegg hadde DSS to stabsavdelinger; Stabsavdelingen for Human Resources (HR) og Stabsavdeling for styring, analyse og strategi (SAS), og en stabsenhet; Enhet for sikkerhet og beredskap (SIBE). SAV, som var DSS' leverandør av vakt og sikringstjenester til departementene, bestod av Teknisk sikring (SIK), Resepsjonstjenesten (RES), Vakttjenesten (VAKT) og Bedriftshelsetjenesten (BHT). HR og SAS ble opprettet desember 2010. Den tidligere Virksomhets- og økonomienheten (VØK) og Markedsenheten (MAR) ble en del av SAS, mens Personal- og organisasjonsenheten (PERS) ble omgjort til HR. SIBE ble opprettet som en stabsfunksjon på samme tidspunkt, og ble egen enhet i mai 2011. Figur 2 DSS' organiseringen 22. juli 2011 7 Statsbudsjett 2011 – Tildelingsbrev fra FAD, referanse 201003458-/ITE PwC Side 10 av 48 Evaluering av DSS' innsats 22. juli 2011 2.2 Terroranslaget 22. juli 2011 Nedenfor følger en beskrivelse av angrepet på regjeringskvartalet 22. juli 2011. Denne hendelsen er i detalj beskrevet i en rekke dokumenter, blant annet flere offentlige utredninger og evalueringer. 8 I dette kapitelet vil det kun bli foretatt en overordnet gjennomgang av hendelsen, skadeomfanget og håndteringen i den første fasen. En mer detaljert beskrivelse av DSS' håndtering følger senere i rapporten. Figur 3 Tidslinje for hendelsen 22. juli 2011 22. juli 2011 klokken 15:15 svingte en varebil med en 950 kilos kunstgjødselbombe inn Grubbegata fra Grensen og kjørte mot Einar Gerhardsens plass. Det var ingen sperringer som hindret varebilen i å kjøre inn foran høyblokka. Bombebilen ble parkert klokken 15:17 tett inntil inngangspartiet. Det var DSS-ansatte på jobb i resepsjonen, som lå lokalisert rett innenfor inngangspartiet, og på vaktsentralen, som lå to etasjer under bakken og omtrent 20 meter til siden for der bombebilen ble parkert. Klokken 15:20 ringte resepsjonisten til vaktsentralen og fortalte at det stod en feilparkert varebil ved inngangspartiet. Det var ikke uvanlig at det sto feilparkerte biler utenfor inngangen til høyblokka og i følge Rapport fra 22. juli-kommisjonen antok vaktsentralen at det dreide seg om nok en feilparkert bud- eller vekterbil. Vaktsentralen begynte arbeidet med å spole tilbake på overvåkningskameraene. Klokken 15:25 eksploderte bilbomben. Åtte mennesker ble drept momentant, ni mennesker ble alvorlig skadet og rundt 200 personer ble fysisk skadet. En av de drepte var en DSS resepsjonist. Flere DSS-ansatte var blant de skadede. Mange ble også påført andre typer skader og fikk til dels omfattende psykiske ettervirkninger. Klokken 15:27 meldte vaktsentralen til Oslo politidistrikt at det var eksplodert en bombe i regjeringskvartalet. Første politibil ankom regjeringskvartalet klokken 15:28. Klokken 15:32 kontaktet vaktsentralen Oslo politiet og forklarte at en person i vekterlignende uniform forlot varebilen rett før eksplosjonen. Klokken 15:50 informerte vakttjenesten politiet om at de hadde videobilder av dette. Eksplosjonen førte til at store og sentrale deler av regjeringskvartalet ble ødelagt. Det brøt ut brann i R4. Ingen av regjeringsbygningene raste sammen, men vinduer ble knust i hele området. Et stort område i Oslo sentrum ble sperret av. Politiet anså sperringene rundt regjeringskvartalet som effektive klokken 15:55. Evakueringen av de til dels sønderknuste kontorene begynte omgående. Hjelpemannskapene fra nødetatene var raskt på plass. Mange var skadet og delvis innesperret, og måtte ha hjelp ut fra den sterkt skadede bygningsmassen. DSS gjennomførte klokken 17:05 første møte i sentral kriseledelse i lokalene til Høyesterett. Utredninger og rapporter som har dannet bakgrunn for dette kapitelet er bl.a. "NOU 2012:14 Rapport fra 22. juli kommisjonen" (2012), "22. juli 2011 – Evaluering av politiets innstas" (2012) og DSS' interne evaluering "Kartlegging og evaluering av situasjonen i DSS etter bombeangrepet på Regjeringskvartalet 22. juli 2011" (2012). 8 PwC Side 11 av 48 Evaluering av DSS' innsats 22. juli 2011 3 DSS' beredskapssituasjon 22. juli 2011 – observasjoner og vurderinger Tidslinjen under viser et utdrag av sentrale dokumenter, hendelser og organisatoriske endringer før 22. juli 2011 som er viktig for å forstå rammene og forutsetningene til for DSS. Figur 4 Tidslinje beredskapssituasjonen De enkelte punktene i tidslinjen vil bli nærmere beskrevet i kapitlet som følger. 3.1 Roller og ansvar På området sikkerhet og beredskap hadde DSS begrenset gjennomslagskraft overfor departementene FAD gav ikke DSS nødvendig drahjelp overfor departementene på dette området DSS hadde ikke begrenset politimyndighet, og hadde derfor også begrenset handlingsrom Det var manglende sikkerhetskultur i departementene DSS opplevde uklar ansvarsfordeling mellom etatsstyringsenheten og sikringsenheten i FAD Ansatte i DSS opplevde grensedragningen mellom sikkerhetsansvarlig/SIBE og SAV som uklar Observasjoner Rapporten fra 22. juli kommisjonen viser til at ansvaret for objektsikring i regjeringskvartalet i tiden før 22. juli 2011 var delt mellom flere departementer.9 Det enkelte departement hadde ansvar for egen intern sikkerhet. Som eier av bygningene var FAD ansvarlig for sikkerheten til både bygningsmassen og fellesarealene. Dette innebar sikring av bygningene mot skader, inntrenging, terror og annen sikkerhetstruende virksomhet. 10 FAD hadde ansvar for adgangskontroll, kameraovervåking og stenging av gater. På regjeringskonferanse i 2006 ble det bestemt at FAD skulle være koordinerende og styrende instans for departementsfellesskapet på sikkerhet. 11 Det konkrete ansvaret ble i stor grad utøvd av FADs sikringsenhet og underliggende etater, deriblant DSS som NOU 2012:14 Rapport fra 22. juli kommisjonen (2012) Se St.prp. 1 (2006-2007) og Sikkerhetsloven slik den lød frem til lovendringen 01. jan 2011 11 NOU 2012:14 Rapport fra 22. juli kommisjonen (2012) s. 417 samt referat fra intervjuet av Christian Fredrik Horst foretatt av 22. juli kommisjonen 08.02.12 9 10 PwC Side 12 av 48 Evaluering av DSS' innsats 22. juli 2011 var ansvarlig for leveranse av vakt- og sikkerhetstjenester. DSS hadde imidlertid ikke politimyndighet. Grenselinjen mot politiet var avklart med Justisdepartementet 12, og ble oppfattet som tydelig av både ledelsen og de ansatte i DSS. 22. juli kommisjonen slår fast at vakttjenesten ikke hadde myndighet til å bortvise feilparkerte biler med makt, med mindre straffelovens nødretts- og nødvergebestemmelser kom til anvendelse. Intervjuene har avdekket at representanter fra vakttjenesten ønsket utvidet hjemmel til å fjerne uønskete gjenstander, eksempelvis gjennom en begrenset politimyndighet. Dette var det imidlertid ikke støtte for i DSS' daværende ledelse. Det opplyses i flere av intervjuene, både med ledelse og ansatte i DSS, at rolle- og ansvarsfordelingen på sikkerhets- og beredskapsfeltet ble oppfattet var uklar på flere nivåer før 22. juli 2011: - FAD, DSS og departementsfellesskapet Sikringsenheten og etatsstyringsenheten i FAD Sikkerhetsansvarlig/SIBE og SAV i DSS Flere av informantene i DSS oppgir at ansvarsdelingen mellom FAD og de øvrige departementene var uklar, og at dette skapte utfordringer for DSS. DSS skulle være premissleverandør på sikkerhet og beredskap, men de opplevde å ha manglende gjennomslagskraft overfor departementsfellesskapet. Det fremgår videre av intervjuene at både daværende ledelse og ansatte i DSS mente at FAD ikke gav DSS nødvendig støtte og drahjelp. Dette ble oppfattet å være et resultat av at FAD heller ikke hadde gjennomslagskraft på feltet. Flere av informantene trekker fram at noe av forklaringen lå i at departementene først og fremst så på DSS som en serviceenhet og ikke en sikkerhetsenhet. Dette underbygges av dokumentasjon fra styringsdialogen i perioden 2008-2011, hvor sikkerhet og beredskap ikke stod høyt på dagsorden.13 Flere i DSS har videre påpekt at dette kan forklares ut fra at det generelt var en manglende bevissthet rundt ansvarsdelingen mellom FAD og de andre departementene på sikkerhets- og beredskapsfeltet, og at dette også kunne tilskrives mangelfull sikkerhetskultur generelt i departementene. Rapporten fra 22. juli kommisjonen underbygger denne observasjonen.14 Blant annet går det fram av kommisjonens spørreundersøkelse at bevisstheten rundt betydningen av sikkerhet var lav blant et flertall av respondentene. Intervjuene med FAD viser derimot at departementet ikke deler oppfatningen om uklar rollefordeling og manglende støtte til DSS. De mener at FAD både hadde gjennomslagskraft og gav sin støtte til DSS på dette feltet. At FAD og DSS oppfattet dette ulikt kan ikke bekreftes av øvrige dokumentkilder. Vi observerer imidlertid at sikkerhet og beredskap generelt gis mindre vekt i prioriteringene enn andre områder som økonomi og generell tjenesteyting samt IKT-sikkerhet. Dette fremgår i samtlige St. Prp. 1 og tildelingsbrev i årene fra 2008 til 2011. I FAD hadde både sikringsenheten og etatsstyringsenheten en rolle i etatsstyringen av DSS. Det oppgis i intervjuene, og kan bekreftes av øvrig dokumentasjon, at etatsstyringsenheten hadde den formelle styringsretten overfor DSS. Sikringsenheten i FAD hadde kompetanse på sikkerhet og beredskap og ga nødvendig innspill på dette feltet. Når det var relevant, innhentet etatsstyringsenheten synspunkter på måloppnåelse og budsjettspørsmål fra sikringsenheten. I intervju med FAD ble det understreket at etatsstyringsenheten var avhengig av innspillene fra sikringsenheten. Det ble også opplyst i intervju at en del av informasjonen knyttet til sikkerhet og beredskap var begrenset og derfor ikke tilgjengelig for etatsstyringsenheten. I intervjuene med DSS' oppgir daværende ledelse og ansatte, inklusiv de tillitsvalgte, at det var uklar ansvarsfordeling mellom etatsstyringsenheten og sikringsenheten. Det fremgår av flere av intervjuene at det var frustrasjon i DSS' direktørgruppe knyttet til denne rollefordelingen, og at de opplevde at dette førte til et styringsvakuum som var utfordrende for DSS. De oppfattet at sikringsenheten ofte hadde direkte dialog med DSS uavhengig av etatsstyringsenheten, og at dette førte til misforståelser og behov for avklaringsrunder på grunn av dobbeltkommunikasjon. Både daværende ledelse og ansatte i DSS mener at DSS ved flere anledninger kommuniserte dette til FAD. 12 Referanse til denne prosessen gjenfinnes i notatet "Lov om vaktvirksomhet – høringskommentar" (ukjent publiseringsdato), der det vises til brev fra Justisdepartementet av 05.11.03. vedrørende sikkerhetsvaktenes myndighetsområde i Regjeringskvartalet. 13 Referat fra etatsstyringsmøtene og tertialrapportering fra 2008 - 2011 14 Ibid. s. 422 PwC Side 13 av 48 Evaluering av DSS' innsats 22. juli 2011 FAD oppgir at de oppfattet fordelingen av roller og ansvar mellom etatsstyringsenheten og sikringsenheten som avklart og tydelig kommunisert til ledelsen i DSS. I gjennomgangen av referater fra etatsstyringsmøter og rapportering i perioden 2008-2011 er det ikke avdekket noe som tyder på at DSS om at de opplevde organiseringen i FAD som utfordrende. Imidlertid går det fram av intervjuene med både etatsstyringsenheten i FAD og DSS at deler av arbeidet i sikringsenheten var gradert. Det betydde at de som arbeidet med etatsstyringen ikke alltid hadde tilgang på fullstendig informasjon til enhver tid. Intervjuede i DSS viser i den forbindelse også til manglende føringer fra FAD på sikkerhet og beredskapsområdet. FAD ved sikringsenheten var ansvarlig for sikringsprosjektet. Dette var et prosjekt iverksatt for å bedre sikkerheten i regjeringskvartalet, og la dermed også føringer for DSS' arbeid. Medarbeidere fra SAV hadde en rolle i selve prosjektgjennomføringen. SAV hadde også ansvaret for å følge opp flere av tiltakene i sikringsprosjektet, men uten at medarbeiderne i SAV fikk innblikk i de overordnede analyser som lå til grunn for prosjektet. Flere av de ansatte i DSS påpekte i intervjuene at prosjektet hadde en styringsstruktur som gjorde at DSS ikke fikk innsikt eller innflytelse. 22. juli kommisjonen påpeker i sin rapport at sikringsprosjektet ikke fikk en styringsform i tråd med det som var forutsatt i føringene fra regjeringen, noe de mente var uhensiktsmessig.15 Intervjuene har avdekket at de ansatte i DSS opplevde at det var uklar rolle og ansvarsdeling også internt i DSS, mellom SAV og sikkerhetsleder/SIBE. Sikkerhetsleder/SIBE var ansvarlig for intern sikkerhet i DSS, mens SAV var ansvarlig for DSS' leveranse av vakt- og sikringstjenester til departementene. Flere opplevde det som vanskelig å skille det interne og eksterne ansvaret for sikkerhet og beredskap, bl.a. hvem som skulle være faglig premissleverandør i DSS. Dette ble i følge intervjuene gjentatte ganger løftet opp til ledelsen, men uten at dette førte fram. Våre dokumentanalyser har imidlertid ikke avdekket en slik dialog. Vurdering Observasjonene fra intervjuene og dokumentanalysene viser at DSS opplevde at rolle og ansvarsfordeling var uklar i hele styringskjeden, mellom FAD og departementsfellesskapet, internt i FAD, mellom FAD og DSS og internt i DSS. Analysen har samtidig avdekket at FAD mente ansvars- og rollefordelingen mellom dem og DSS var klar for begge parter. Etter vår vurdering medførte den opplevde uklarheten i rolle og ansvarsfordelingen at det ble vanskeligere for DSS å ivareta det sikkerhets- og beredskapsansvaret de hadde for regjeringskvartalet. Manglende sikkerhetskultur i departementsfellesskapet og manglende støtte fra FAD på sikkerhets- og beredskapsfeltet, førte til vanskelige rammebetingelser for DSS og særlig for SAV. DSS opplevde at det var utfordrende å ivareta ansvaret for sikkerheten i regjeringskvartalet, herunder å gjennomføre nødvendige tiltak. Et eksempel er at DSS ikke hadde begrenset politimyndighet. I kombinasjon med den uklare ansvarsfordelingen mellom FAD og øvrige departementer oppstod en usikkerhet i oppgaveutførelsen til DSS. Etter PwCs vurdering førte dette til at DSS ble passivisert og ikke tok en proaktiv rolle på sikkerhets- og beredskapsfeltet. DSS opplevde også uklarhet i rolledelingen mellom etatsstyringsenheten og sikringsenheten i FAD, noe som skapte et styringsvakuum og forsterket usikkerheten i DSS. I følge økonomireglementet bør det være et samspill mellom departement og underliggende etat. Departementet har et styringsansvar nedover og utover i etatene, mens underliggende etater har ansvar for å informere og dokumentere vesentlige utfordringer i styringsdialogen og oppgaveutførelsen. Det er vanskelig å bringe på det rene i hvilken grad DSS klarte å formidle utfordringen de opplevde med uklarheter i ansvars- og rollefordeling. PwC mener uansett at måten arbeidet var organisert på ikke var optimal. PwCs erfaring er at når styringsansvaret deles mellom to enheter som ikke er tett integrert i det daglige, stiller dette høye krav til tett og koordinert dialog. Med tanke på at deler av informasjonen også var begrenset og derfor utilgjengelig for etatsstyringsenheten, er det mye som derfor taler for at dette ikke la til rette for en åpen og helhetlig styringsdialog. Det er etter PwCs syn derfor gode grunner til at DSS opplevde ansvarsfordelingen som uforutsigbar og uheldig. At det ikke kan spores tydeligere signaler fra FAD på sikkerhetsområdet i styringsdialogen mener PwC styrker DSS' tolkning av situasjonen. Til tross for dette mener PwC at når DSS opplevde dette som så stor utfordring burde de ha adressert denne utfordringen tydeligere overfor FAD, og sikret seg at FAD forsto hvordan DSS opplevde situasjonen. 15 Ibid. s. 442 PwC Side 14 av 48 Evaluering av DSS' innsats 22. juli 2011 Etter PwCs vurdering ble uklarhetene knyttet til ansvar og roller forsterket av den interne organiseringen i DSS. Den uklare grensedragningen mellom sikkerhetsleder/SIBE og SAV, samtidig som ledelsen i DSS ikke i tilstrekkelig grad prioriterte innsats på fagfeltet sikkerhet og beredskap, bidro til ytterligere usikkerhet og passivisering av egne ansatte. Her må daværende ledelsen i DSS påta seg sin del av ansvaret. 3.2 Mål, strategi og økonomi DSS opplevde et manglende fokus på sikkerhet og beredskap i etatsstyringsdialogen Ansatte i DSS opplevde at sikkerhet og beredskap ikke var prioritert av daværende ledelse i DSS Det var mangel på helhetlig styring av sikkerhet- og beredskapsområdet fra DSS sin ledelse Det var begrenset politisk interesse for sikkerhet og beredskap Departementene så på DSS som en serviceenhet – ikke en sikrings- og sikkerhetsenhet. De ansatte i DSS hadde liten kjennskap til styrende dokumenter I 2010-2011 endret fokuset i styringsdialogen seg noe, og sikkerhet og beredskap fikk mer sentral plass FAD mente det var samsvar mellom tildelte midler og målsetningene på sikkerhet- og beredskapsområdet, mens DSS opplevde en ressursmangel Observasjoner Det opplyses i flere av intervjuene med både daværende ledelse og de ansatte i DSS at sikkerhet og beredskap ikke stod sentralt i etatsstyringsdialogen med FAD i tiden før 22. juli. Intervjuene og dokumentanalysen viser at service, økonomi og etter hvert IKT-sikkerhet sto i fokus.16 Flere av de som ble intervjuet, særlig i DSS, har forklart at dette blant annet kan forstås ut fra generell manglende politisk interesse for sikkerhet og beredskap. Flere av informantene mente også at i den grad det ble fokusert på sikkerhet og beredskap var det DSS som var pådriver og ikke FAD. Prosessene rundt vaktsentralen ble blant annet brukt til å eksemplifisere dette. Flere av de ansatte og de tillitsvalgte har opplyst i intervjuene at også daværende ledelse i DSS ikke hadde tilstrekkelig fokus på sikkerhet og beredskap. Det ble påpekt at i den grad sikkerhet og beredskap ble diskutert var dette primært knyttet til IKT-sikkerhet. Dette skjedde fra 2010 grunnet kritikk fra NSM og Riksrevisjonen. Flere av informantene trekker i den sammenheng frem at IKT-sikkerhet ble "altoppslukende" for ledelsen DSS. Dette medførte imidlertid ikke at det øvrige sikkerhetsarbeidet i DSS fikk tilsvarende økt fokus. Flere informanter i DSS forklarer dette ut fra at øverste ledelse i DSS var mer opptatt av å begrense kritikken fra blant annet departementene og Riksrevisjonen, enn å rette fokus mot sikkerhet og beredskap. I intervjuene pekte også flere av de ansatte og særlig de tillitsvalgte i DSS på at det var mangel på helhetlig sikkerhetsstyring, svak forankring av prosesser knyttet til sikkerhet og beredskap samt at de ansatte i liten grad ble involvert. De forklarte hvordan de opplevde mangel på føringer og styringssignaler også fra ledelsen i DSS og at disse ikke var konsistente. Det ble vist til at særlig for SAV ble denne utfordringen forsterket ved at det kom ulike og dels avvikende føringer fra henholdsvis etatsstyringsenheten og sikringsenheten i FAD. Flere av de ansatte forklarte også i intervju at det var aktivitetsplanene som virket styrende i praksis. En analyse av virksomhetsplanene og aktivitetsplanene i perioden 2008-2011 samt strategien for perioden 2008- 2010 avdekker at sikkerhet og beredskapsområdet ikke ble adressert på en helhetlig måte. Brukertilfredshet og løpende tjenesteleveranser var i fokus. I den grad sikkerhet og beredskap trekkes fram er det fokus på enkelt tiltak. Det gis ikke en nærmere begrunnelse for det enkelte tiltak, og det mangler en kobling fra overordnede styringsdokumenter som St.prp og tildelingsbrev.17 Eneste unntaket er IKT-sikkerhet, som er trukket fram særlig i styringsdokumentene fra 2009 og 2010. En analyse av samtlige St.prp. 1 og tildelingsbrevene fra FAD i perioden 2008-2010 viser at utvikling i tjenestene, økonomistyring og etter hvert IKT-sikkerhet var hovedtemaene i styringsdokumentasjonen, og at sikkerhets- og beredskapsspørsmål enten ikke ble nevnt eller kun ble gitt en perifer plass. 16 17 Jf. referater fra etatsstyringsmøtene og tertialrapportering i perioden 2008- 2011 Virksomhetsplaner og aktivitetsplaner i perioden 2008 – 2011, samt DSS' strategi for perioden 2008-2010 PwC Side 15 av 48 Evaluering av DSS' innsats 22. juli 2011 Intervjuene har videre avdekket at det var liten kjennskap til styrende dokumenter blant de ansatte i DSS. Direktørgruppen hadde kjennskap til innholdet i tildelingsbrev, virksomhetsplan, og hvordan disse hang sammen med avdelingenes aktivitetsplaner. Bortsett fra i direktørgruppen blir det opplyst i intervjuene at det var det liten kjennskap til styringsdokumenter utover aktivitetsplanene. I intervjuene har det fremkommet at en del av dokumentasjonen ikke var tilgjengelig eller kun i begrenset grad, og at dette bl.a. var tilfelle for enkelte av beredskapsplanene. Samtidig fremgår det av intervjuene med både ledelsen og de ansatte i DSS at sikkerhets- og beredskapsprioriteringer som DSS anså som viktige, ble formidlet til FAD. DSS opplevde imidlertid ikke å få gehør i disse tilfellene. Særlig gjaldt dette prosessene rundt vaktsentralen. Prosessen tok nærmere seks år før bevilgning ble vedtatt. Bl.a. i satsningsforslag for 2007 og 2009 blir vaktsentralen fremmet. I 2009 skrev DSS i notat til FAD at: "Det vurderes å foreligge betydelig risiko knyttet til vaktsentralens evne til å håndtere stressede situasjoner dersom tilsiktede anslag gjennomføres mot de objekter vakttjenesten er gitt i oppdrag å sikre. Dersom flere alvorlige anslag eller uforutsette hendelser inntreffer samtidig er det betydelig risiko for at dagens vakttjeneste kun i begrenset utstrekning vil kunne håndtere det på en tilfredsstillende måte." 18 En analyse av styringsdokumentene fra perioden 2008- 2011 bekrefter det vedvarende fokuset på behovet for ny vaktsentral, men det er lite omtale av utfordringer innen sikkerhet og beredskap mer generelt. Tvert imot observerer vi at DSS ved flere anledninger melder tilbake til FAD at risikoen ved sikkerhetssituasjonen generelt i regjeringskvartalet vurderes som lav, som for eksempel i tertialrapportering 2 for 2010:19 "Risikoen knyttet til sikkerheten i regjeringskvartalet vurderes som lav. Dette er primært knyttet til faren for driftsavvik for tekniske løsninger og støttesystemer som vakttjenesten støtter seg til, og de nødstrømsløsninger som er forutsatt å sikre driftsstabilitet ved eventuelle bortfall av hovedstrøm." 20 Dette til tross for at risikoen knyttet til den eksisterende vaktsentralen er en gjentagende bekymring hos DSS, og i samme rapportering vurderes som middels høy. Det som derimot blir fremhevet som en utfordring er pågangen for bistand til byggevakt hos departementene, og at denne er tidvis større enn hva avdelingen er i stand til å dekke. Når det gjelder prosessen rundt vaktsentralen blir det i intervjuene med FAD pekt på at DSS generelt manglet utrederkompetanse, noe de mente medførte at behovene ikke ble godt nok dokumentert og at dette var hovedårsaken til at prosessene rundt ny vaktsentral trakk ut i tid. FAD forklarer i intervjuene at de opplevde at det tidvis var vanskelig å få innblikk i utfordringene og behovene til DSS. I følge FAD var det en generell utfordring i styringsdialogen at behovene til DSS ble formidlet usystematisk og utenfor budsjettsyklusen. FAD gav derfor DSS føringer om å forsterke sin analyse- og utrederkompetanse, noe som underbygges av styringsdokumentasjonen.21 I løpet av 2010 og i begynnelsen av 2011 endret fokuset i styringsdialogen seg noe, og sikkerhet og beredskap fikk en mer sentral plass.22 FAD gir i 2010 DSS føring om å videreutvikle innholdet i planverket ”Egenbeskyttelse mot terror”; adgangsbestemmelser skulle oppdateres og harmonisere i forhold til gjeldende trusselvurdering osv. DSS begynte samtidig å utarbeide og implementere tiltakskort for ulike scenarier og SAV fremsendte halvårsrapport om sikkerhetstilstanden.23 I tildelingsbrevet fra FAD i 2011 ble sikkerhet for første gang nevnt som ett hovedmål: "Sikkerheten i departementsfellesskapet gjelder fysisk sikring, og under vakt og sikring presiseres det at DSS skal levere vakt- og sikringstjenester i Regjeringskvartalet og at sikringstjenestene skal være forankret i etablert sikringsplan og fastsatt sikringsnivå. Ved økt trussel skal iverksatte tiltak være i henhold til etablert plan for egenbeskyttelse".24 Det ble videre i tildelingsbrevet slått fast at rapportering og evaluering av sikkerhetsnivået skulle skje to ganger om året og at planverket "Egenbeskyttelse mot terror" skulle oppdateres og videreutvikles. Når det gjelder budsjettsituasjonen oppgav FAD i intervjuene at det var samsvar mellom tildelte midler, og målsetninger satt på sikkerhets- og beredskapsområdet. I flere av intervjuene med både daværende ledelse og Notat fra DSS til FAD 28092009: Risikobildet i DSS. "Det vises til at det er fremmet satsningsforslag for påbegynnelse av totalrenovering i 2010. Foreligger enda ikke tilsagn om og når økonomiske midler for ny vaktsentral vil bli bevilget." 19 Tertialrapportering 2 2010 (22092013) 20 Tertialrapportering 2010 21 Tildelingsbrev fra 2008 til og med 2011, samt referat fra etatsstyringsmøtene 22 Jf. Tildelingsbrev, VP, tertialrapportering og referat fra etatsstyringsdialogen i 2011. 23 2. tertialrapportering 2010 24 Tildelingsbrev 2011 18 PwC Side 16 av 48 Evaluering av DSS' innsats 22. juli 2011 de ansatte i DSS blir det imidlertid pekt på at ressurssituasjonen tidvis opplevdes som begrensende. Det oppgis i intervjuene at særlig i vakttjenesten i SAV opplevde de at det var utfordrende å oppfylle målene på sikkerhet og beredskapsområdet innenfor budsjett. Dette forklares bl.a. med økt etterspørsel etter byggevakter. At de opplevde ressurssituasjonen som begrensende i SAV underbygges bl.a. av et internt notat fra SAV om hvordan varslede nedskjæringer i organisasjonen skulle løses. 25 Dokumentanalysen avdekker at DSS ved flere anledninger informerte FAD om et mer generelt behov for økning av drifts- og investeringsbudsjettet. 26 Disse behovene var bl.a. knyttet til prosessen rundt vaktsentralen og innenfor IKT-sikkerhet. Gjennomgangen av dokumentasjonen fra styringsdialogen har imidlertid ikke vist at DSS systematisk adresserte budsjettsituasjonen knyttet til sikkerhets- og beredskap som en grunnleggende utfordring. Vurdering FAD hadde det overordnede ansvaret for at DSS gjennomførte sin aktivitet i tråd med Stortingets vedtak og forutsetninger, operasjonalisert gjennom fastsatte mål og prioriteringer. DSS på sin side hadde ansvar for å planlegge virksomheten slik at mål og resultatkrav ble oppnådd innenfor gitte budsjettmessige rammer. FAD og DSS hadde dermed et delt ansvar i styrings- og rapporteringskjeden. Etter vår vurdering fikk sikkerhet og beredskap som satsningsområde for liten oppmerksomhet både i FAD og hos daværende ledelse i DSS i tiden før 22. juli. Dette forklarer trolig hvorfor det i liten grad kan spores styring og prioriteringer på dette feltet fra FAD, og i rapporteringen fra DSS til FAD. Utenom prosessene rundt ny vaktsentral, er det lite omtale av prioriteringer innenfor sikkerhets- og beredskapsområdet. Det er etter vårt syn uheldig at man ikke adresserte dette området mer helhetlig og systematisk gjennom hele styrings- og rapporteringskjeden. Dette er en viktig forutsetning for at de ansatte skulle kunne ivareta sitt ansvar og sørge for at det overordnete målet om ivaretakelse av sikkerheten i regjeringskvartalet ble oppfylt. At sikkerhetsområdet ikke stod mer sentralt som overordnet tema i styringsdialogen fra DSS's side synes noe underlig ettersom vi gjennom intervjuene får et klart inntrykk av at dette var etterlyst i organisasjonen. En forklaring er imidlertid at daværende ledelsen i DSS ikke ga nok oppmerksomhet til sikkerhetsområdet, og dermed ble kommunikasjonen med departementet omkring dette temaet begrenset. Ett unntak er vaktsentralen. PwC mener denne prosessen tok for lang tid gitt viktigheten av en slik sentral for å ivareta det overordnete målet om sikkerhet i regjeringskvartalet. Selv om både intervjuene og dokumentanalysen underbygger at FAD mente DSS manglet tilstrekkelig utrederkompetanse, og at dette burde kunne forklare den lange beslutningsprosessen, mener PwC at dette tok urimelig lang tid med tanke på hvor sentral vaktsentralen var. Etter PwCs syn er det mye som taler for at manglende sikkerhetskultur og manglende politisk interesse for sikkerhet er en vel så relevant forklaring på den lange beslutningsprosessen. Totalt sett mener PwC at dette skapte usikre rammer for DSS' arbeid på sikkerhet og beredskap, og særlig for de som arbeidet med sikkerhet til daglig. De ble ikke motivert til å gjøre en innsats på området. 22. juli kommisjonen slo i sin rapport fast at det er naturlig å stille høye krav til grunnsikring av regjeringskvartalet ettersom det er av vesentlig betydning for samfunnssikkerheten generelt, og regjeringen spesielt. FAD og DSS hadde fått ansvar for å følge dette tett opp. Våre analyser viser at ivaretakelse av sikkerheten i regjeringskvartalet i liten grad synes å ha vært et tema i styringsdialogen mellom FAD og DSS. Vi mener at FAD og DSS hadde et delt ansvar for å få sikkerhet og beredskap høyt på dagsorden og må adresseres av begge parter. I den grad DSS opplevde å ikke få gehør for sine prioriteringer burde DSS hadde gått dypere inn i dialogen med FAD og forsøkt å få på det rene hva utfordringene mer konkret bestod i. Analysen har avdekket ulike syn på budsjettsituasjonen for DSS før 22. juli. PwC har ikke foretatt en egen analyse av budsjettsituasjonen, men vår vurdering er at dersom DSS opplevde dette som en grunnleggende utfordring sett opp mot det overordnete målet om sikkerhet i regjeringskvartalet, burde dette vært tydeligere og mer systematisk adressert overfor FAD. Internt notat fra SAV til VØK, "Budsjett 2010 - Muligheter og konsekvenser ved redusert tildeling", 30.04.2009 Se DSS-dokumentene DSS’ økonomiske rammebetingelser (2007), DSS’ arbeid med flerårig investeringsplan - samt investeringsbehov de nærmeste årene (2007) og Statsbudsjettet 2009 - tilleggsbevilgninger og omprioriteringer våren 2009 (2009) 25 26 PwC Side 17 av 48 Evaluering av DSS' innsats 22. juli 2011 3.3 Risiko- og sårbarhetsanalyser Risiko- og sårbarhetsanalyser (ROS) var ikke et sentralt verktøy i risikostyringen i DSS DSS gjennomførte ikke ROS som foreskrevet i eget planverket Beredskaps- og krisehåndteringsplanen tok ikke utgangspunkt i gjennomført ROS Enkelte analyser ble gjennomført og godkjent etter 2008, men da som svar på eksterne pålegg. Det var en forventning om at andre myndigheter skulle kommunisere endringer i trusselbildet til DSS Observasjoner DSS etablerte i 2008 en felles prosess og metode for gjennomføring av risiko- og sårbarhetsanalyser (ROSanalyser).27 I følge denne skulle ROS-analysene til DSS gjennomføres årlig i 2. kvartal. Prioriterte tiltak som kom frem i analysen skulle beskrives og overføres til virksomhetsplan og budsjett. Arbeidet skulle organiseres og utføres av en arbeidsgruppe med nødvendig kjennskap til analyseobjektet (tjenesten) og hvordan sikkerhetog beredskap var ivaretatt. I følge DSS’ beredskaps- og krisehåndteringsplan (nivå 1) skulle enhver leder, innenfor eget ansvarsområde, også gjennomføre egne risiko- og sårbarhetsanalyser. Sikkerhetsleder i DSS/SIBE var ansvarlig for å etablere det metodiske rammeverket for gjennomføring av slike analyser. DSS’ beredskaps- og krisehåndteringsplan (nivå 1) tok utgangspunkt i 15 identifiserte hendelser. Disse var inndelt i følgende kategorier: liv og helse, sikkerhetstruende hendelser og driftshendelser. Sikkerhetstruende hendelser omfattet bl.a. "terroranslag eller sabotasje direkte mot anlegg i Regjeringskvartalet", "terrorangrep i Oslo-området" og "biologisk/kjemisk terror". I følge nivå 1-planen var alle hendelsene utledet fra gjennomførte risiko- og sårbarhetsanalyser, i planen referert til som sikkerhets- og beredskapsorientert analyse. Hendelsene skulle følges opp både i nivå 1-planen og i de avdelingsvise krisehåndteringsplanene. Dokumentasjonsgjennomgangen har ikke vist at det ble gjennomført en overordnet risiko- og sårbarhetsanalyse for DSS som utgangspunkt for valg av krisehendelser. I intervjuene har det fremkommet at hendelsene derimot tok utgangspunkt i krisekommunikasjonsplanen (2007), og at heller ikke denne tok utgangspunkt i en gjennomført risiko- og sårbarhetsanalyse. I notat fra DSS til FAD, "Risikobildet i DSS", refererer DSS til tildelingsbrev der FAD "føreset at verksemda gjer faste risikovurderingar av alle viktige styringsprosessar. Vesentlege endringar i riskobiletet må meddelast til departementet i den etablerte styringsdialogen, i etatsstyringsmøte, tertialrapportar eller resultatrapportar. Større endringar i risikobiletet, som inneber problem med å oppnå måla, skal rapporterast til departementet omgåande".28 I notat gjennomgår DSS risiko innenfor følgende tjenesteområder; Regjeringen.no, teknisk sikring (nødstrøm), tilrettelegging for produksjon av St. prp. 1 (fagprp/Budmod), elektronisk skrivebord, IKT-sikkerhet for Depnett/U, IKT-sikkerhet (strøm, teknisk redaksjon), B-kontor, vakttjenesten og for styring av servicenivå (felles investeringsbudsjett). I følge intervju med ledelsen i DSS var også terrorangrep en trussel som lå til grunn for DSS' satsningsforslag, men dette fremkommer ikke i de risiko- og sårbarhetsanalyser som PwC har gjennomgått. Intervjuene har avdekket at de ansatte i liten grad var kjent med at DSS gjennomførte risiko- og sårbarhetsanalyser som foreskrevet i den publiserte veilederen. De kjente heller ikke til at det forelå en slik veileder. Det var det opp til avdelingsdirektørene om de ville gjennomføre og følge opp risiko- og sårbarhetsanalysene, og mange valgte å nedprioritere ROS-arbeidet. Ledelsen og direktør har opplyst at de ikke prioriterte dette arbeidet og erkjenner at ROS-analyser fikk begrenset oppmerksomhet. Det går frem av intervjuene at ledelsen ikke oppfattet at det var et pålegg fra FAD om å gjennomføre ROS-analyser på sikkerhets- og beredskapsfeltet. Notatet til FAD viser at DSS på enkelte områder jobbet slik veilederen foreskrev, men flere av de intervjuede uttrykker at på tross av dette var ikke ROS-analyser et sentralt verktøy for risikostyring i DSS. Det var store 27 DSS' veileder "Risiko- og sårbarhetsanalyse (ROS)", revisjon 05. mai 2008 fra DSS til FAD, "Risikobildet i DSS", datert 28. september 2008 28 Notat PwC Side 18 av 48 Evaluering av DSS' innsats 22. juli 2011 mangler både på systematikk og dokumentasjon i dette arbeidet. Både intervjuene og dokumentasjonen viser at, i den grad det ble gjennomført risiko- og sårbarhetsanalyser, ble disse primært gjennomført før 2008. Flere av disse var graderte og lite tilgjengelige, og de ansatte i DSS var i svært liten grad kjent med det arbeidet som ble gjort. I følge "Rapport om sikkerhetstilstanden i Departementenes servicesenter", oversendt FAD 15. mai 2011, ble en overordnet ROS-analyse for DSS gjennomført høsten 2008. Det ble tatt sikte på en oppgradering av ROS-analysen 2. halvår 2011. Fra 2008 og fremover ble det gjennomført enkeltstående risiko- og sårbarhetsanalyser, primært knyttet til informasjonssikkerhet og driftskontinuitet. Riksrevisjonen gjennomførte tilsyn av informasjonssikkerheten i DSS i revisjonsåret 2009, og påpekte i sin rapport, fremlagt i 2010, at det manglet en helhetlig risikovurdering av IKT-avdelingen. ROS-analysene gjennomført etter 2008 var i stor grad svar på eksterne påpekninger, eksempelvis fra Riksrevisjonen. DSS hadde, ifølge de intervjuede, ikke fokus på terrorhandlinger av det omfanget man stod overfor 22. juli 2011. I følge informantene i DSS' ledelse var det en forventning om at andre myndigheter skulle oppdage mulige trusler og kommuniseres truslene til DSS, men ledelsen erkjenner samtidig at dette synspunktet trolig ikke var godt nok kommunisert til eksterne myndigheter. I rapporten "Regjeringens sikkerhet", overlevert SMK i 2004, ble det foretatt en slik omfattende, ekstern risiko- og sårbarhetsvurdering for regjeringskvartalet.29 Denne viste at sikkerhetstilstanden i regjeringskvartalet var uakseptabel, en konklusjon SMK, JD, POD og FAD stilte seg bak.30 I arbeidet med denne rapporten ble det bl.a. gjennomført simulering av bombe plassert utenfor høyblokken i regjeringskvartalet. Denne viste at et slikt bombeanslag ville gi store materielle skader og ha omfattende konsekvenser for liv og helse. Rapporten "Regjeringens sikkerhet" anbefalte implementering av en rekke forbyggende og skadereduserende tiltak, både av teknisk og organisatorisk art. Flere av tiltakene ville ha direkte konsekvens for DSS' sin virksomhet. Som nevnt tidligere har det ikke fremkommet informasjon som indikerer at DSS formelt ble informert om innholdet i rapporten; at sikkerhetstilstanden i Regjeringskvartalet var vurdert å være uakseptabel og at det ble vurdert å være behov for å styrke sikkerhetsarbeidet. I den grad innholdet i rapporten var kjent av ledelsen i DSS var dette kun som resultat av samtaler mellom personer i FAD og DSS. Det er ikke funnet spor i styringsdialogen som indikerer at FAD fulgte opp DSS særskilt i forhold til funnene i rapporten "Regjeringens sikkerhet". Vurdering FAD påla DSS å utarbeide og rapportere basert på risiko og sårbarhet. DSS hadde også utviklet en veileder for utarbeidelse av ROS-analyser. I denne var det krav om at alle avdelinger skulle utarbeide slike analyser innenfor egne ansvarsområder. Etter PwCs oppfatning stilte ikke ledelsen i DSS tilstrekkelig krav om oppfølging av veilederen, noe som gjorde at arbeidet med risiko- og sårbarhetsanalyser ikke ble gjennomført som foreskrevet. Det var en grunnleggende svakhet ved DSS' risikostyring at ROS-analyser ikke ble utarbeidet regelmessig. ROSanalysene ble ikke gjennomført innenfor alle DSS' ansvarsområder og de ble ikke oppdatert iht. krav i veileder. Analysene ble heller ikke kommunisert til personer og aktører som hadde behov for denne kunnskapen. Etter PwCs vurdering var det mangler både når det gjaldt prosess, systematikk og dokumentasjon. Risiko- og sårbarhetsanalysene ble i stor grad en papirøvelse og aldri en sentral del av virksomhetens risikostyring. Dette gjorde også at sikkerhets- og beredskapsarbeidet ble lite kostnads- og formålseffektivt. FAD var kjent med at sikkerhetstilstanden i regjeringskvartalet var uakseptabel, men i følge PwCs vurdering ble ikke dette kommunisert tydelig nok til DSS. DSS manglet derfor en viktig brikke som kunne bidratt til en bedre forståelse av risiko. I praksis betydde dette at DSS ikke hadde tilstrekkelig oversikt over eget trusselbilde. Eventuelle ROS-analyser DSS hadde gjennomført ville uansett ha blitt mangelfulle. Rapporten "Regjeringens sikkerhet" var hovedrapporten i et prosjekt der målsettingen var å bedre sikkerheten i hele regjeringskvartalet og øvrige departementer, og gi en totalanalyse og en plan for regjeringens sikkerhet under ulike trusselscenarioer. SMK tok initiativet i 2002 og gav oppdraget til POD. I hovedrapporten "Regjeringens sikkerhet", overlevert SMK i juni 2004, ble foreslått tiltak sammenstilt. 30 NOU 2012:14 Rapport fra 22. juli kommisjonen (2012): Kapitel 18.4 29 PwC Side 19 av 48 Evaluering av DSS' innsats 22. juli 2011 3.4 Beredskapsplanverk og -organisasjon DSS hadde planverk på tre nivåer: - Nivå 1: Planverk utviklet, men i varierende grad kjent. Det var ikke oppdatert - Nivå 2: Planverk i varierende grad utviklet, kjent og oppdatert - Nivå 3: Tiltakskort utviklet, i varierende grad kjent og manglet systematikk for oppdatering Generelt var beredskapsplanverket i DSS i liten grad forankret i organisasjonen Observasjoner I følge DSS’ beredskaps- og krisehåndteringsplan var sikkerhets- og beredskapsplanlegging et lederansvar. I følge dette planverket skulle DSS ha: Beredskaps- og krisehåndteringsplaner som ble oppdatert årlig Delplaner for avdelingsnivå som ble oppdatert årlig Planverk som tok utgangspunkt i en oppdatert risiko- og sårbarhetsanalyse Funksjonene i kriseledelsen skulle være tydelig definert, og personellet ha kompetanse om disse Ansatte skulle vært involvert i utarbeidelse av planverket DSS hadde også en definert sikkerhetslederolle som skulle følge opp arbeidet med planverk, og fra 1. desember 2010 ble det etablert en egen sikkerhetsstab (SIBE). DSS skulle før 22. juli 2011 ha beredskapsplanverk på 3 nivåer. Nivå 1: Overordnet beredskaps- og krisehåndteringsplan for DSS Nivå 2: Avdelingsvise beredskaps- og krisehåndteringsplaner Nivå 3: Tiltakskort Sikkerhetsleder/SIBE var ansvarlig for beredskapsplanverket på nivå 1, mens avdelingsdirektørene var ansvarlig for å sikre at det var slikt planverk på nivå 2 og tiltakskort på nivå 3. Det har fremkommet uklarheter i intervjuene når det gjaldt hvilke rolle sikkerhetsleder/SIBE hadde når det gjaldt kvalitetssikring av planverk på nivå 2. DSS hadde en etablert beredskaps- og krisehåndteringsplan på nivå 1. I følge planen var formålet med denne å: Klargjøre DSS’ ansvar og oppgaver ved kriser Fastlegge grunnlaget for den driftsberedskap som skal bygges inn i virksomheten Være en operativ krisehåndteringsplan for DSS’ kriseledelse (direktørkollegiet) DSS' beredskaps- og krisehåndteringsplan skulle ta utgangspunkt i en sikkerhets- og beredskapsorientert analyse for å avdekke trussel, sårbarhet, mottiltak og verdi. Varslingslister skulle jevnlig oppdateres av sikkerhetsansvarlig/SIBE. DSS’ beredskaps- og krisehåndteringsplan skulle revideres ved behov og minst en gang per år. Intervjuene har avdekket at dette ikke ble gjort. Riksrevisjonen gjennomførte tilsyn av informasjonssikkerheten i DSS for revisjonsåret 2009, og konstaterte i sin rapport, fremlagt i 2010, at DSS hadde ufullstendige katastrofe- og beredskapsplaner. Planen som gjaldt 22. juli var godkjent 21. april 2009, og var sist oppdatert 11. februar 2011. Denne siste oppdateringen var ikke en full revisjon slik planverket foreskrev. Det går fram av intervjuene at det var planlagt å foreta en slik revisjon våren 2011, men at dette arbeidet ble utsatt av personellmessige årsaker. Beredskapsplanen på nivå 1 var derfor ikke oppdatert iht. egne krav 22. juli 2011. Når det gjelder kjennskap til planverket var ledelsen kjent med at planverk på nivå 1 eksisterte, men de var i varierende grad kjent med innholdet i dette. Lenger ned i organisasjonen var det liten eller ingen kjennskap til denne delen av planverket. Ledelsen i DSS hadde ikke signalisert en forventning om at ansatte i DSS skulle ha kompetanse om eller innsikt i planverket på nivå 1, dette på tross av at det i planverket eksplisitt står at alle ansatte i DSS bør ha satt seg inn kapitelet der DSS’ rammene for beredskaps- og krisehåndtering beskrives. Med grunnlag i beredskaps- og krisehåndteringsplan på nivå 1 skulle alle avdelingene utarbeide og etablere beredskapsplaner på nivå 2. I følge intervjuene var beslutningen om utarbeidelse av nivå 2-planer tatt av direktør DSS og forankret i ledergruppen. Avdelingsdirektørene hadde ansvar for nivå 2-planverket. Mal for PwC Side 20 av 48 Evaluering av DSS' innsats 22. juli 2011 utarbeidelse av nivå 2-planen var etablert av sikkerhetsleder/SIBE, og var inntatt i beredskaps- og krisehåndteringsplanen på nivå 1. Det ble stilt krav om nivå 2-planene skulle ta høyde for hendelser beskrevet i nivå 1-planen, inkludert terroranslag eller sabotasje direkte mot anlegg i regjeringskvartalet. Dokumentgjennomgangen og intervjuene har avdekket at avdelingene i DSS i varierende grad hadde avdelingsvise beredskaps- og krisehåndteringsplaner. Gjennomgangen har vist at enkelte avdelinger, bl.a. IFA, FTA, IKT og HR hadde slike planer, men at disse ikke var oppdatert siden 2009. SAV hadde utkast til nivå 2plan fra 2009 som var godkjent i SAVs ledergruppe, men som ikke var implementert. De andre avdelingene hadde ikke godkjente planer. Alle planene på nivå 2 skulle oppdateres årlig, men dette ble ikke gjort. I følge intervjuene ble manglende oppdatering av nivå 2-planer påpekt overfor avdelingsledelsen i flere avdelinger gjentatte ganger. Det er ikke funnet dokumentasjon som underbygger at dette ble gjort. Våren 2009 gikk det ut en bestilling til avdelingene om å gjennomgå og oppdatere sin nivå 2-planer. Flere avdelinger valgte imidlertid å ikke prioritere dette, uten at det fikk konsekvenser for avdelingene eller avdelingsledelsen. Høsten 2010 ble det signalisert i ledermøtet at det skulle rapporteres på status på nivå 2planene, og det ble gitt en frist for å oppdatere planen. Dette ble ikke gjort, noe som ifølge informantene delvis skyldes at arbeidet ikke ble prioritert, og delvis at enkelte avdelinger avventet sentrale retningslinjer fra sikkerhetslederen/SIBE. I dokumentasjonsgjennomgangen har det ikke fremkommet at sikkerhetsleder/SIBE etterlyste slike nivå 2-planene fra avdelingene. I intervjuene har det fremkommet at det var varierende kunnskap om nivå 2-planene i avdelingene. I den grad det var kompetanse om disse var det i stor grad fordi man hadde vært med på å utvikle disse. Personer i DSS ledelse har i intervjuene påpekt at de ikke så det som nødvendig at medarbeiderne hadde kjennskap til nivå 1og nivå 2-planene, og at det først var på nivå 3 at medarbeiderne hadde behov for kunnskap. Dette på tross av det i nivå 1-planverket eksplisitt fremkommer at det var ønskelig at alle ansatte hadde kompetanse om deler av denne planen. I følge dokumenthierarkiet skulle DSS ha planverket på nivå 3 i form av tiltakskort som inneholdt konkrete sjekklister eller handlingsplaner for ulike typer av hendelser. DSS hadde til sammen over 40 tiltakskort. 31 Utvalget av hendelser som man utarbeidet tiltakskort for var basert på generelle erfaringer, erfaringer fra Hawkeye-øvelser, forslag fra ansatte og ledere og ulike trusselvurderinger. Ingen av disse inneholdt tiltak ved et omfattende terrorangrep, til tross for at terror og bombeanslag var et av scenarioene som ble behandlet i nivå 1planen. SAV hadde ikke en godkjent nivå 2-plan, men hadde et stort antall tiltakskort på nivå 3. Disse var utviklet i perioden 2009-2011 og foreskrev handlingsmønster ved utvalgte sikkerhetstruende hendelser, både villede og andre. I dokumentanalysen og i intervjuene har det ikke fremkommet informasjon om hva som var utgangspunktet for valg av uønskede hendelser det ble laget tiltakskort for. Det har ikke blitt gjenfunnet en helhetlig risiko- og sårbarhetsanalyse som disse tok utgangspunkt i. Ifølge "Operativ instruks for sikkerhetstjenesteavdelingen", datert 01. mars 2011, skulle samtlige tiltakskort til en hver tid finnes tilgjengelig for anvendelse fra operatørplass på vaktsentralen. Enkelte tiltakskort skulle utplasseres i resepsjoner, varemottak, eller annet tjenestested ut fra en vurdering av relevans og tjenstlige behov. Vakt hadde ikke et tiltakskort som adresserte sprengstoff i bil, men det fantes et generelt tiltakskort for håndtering av sprengstoff. I intervjuene har det fremkommet at kompetansen om tiltakskortene var varierende, og at hendelser i stor grad ble håndtert basert på erfaring uavhengig av hva de forskjellige tiltakskortene foreskrev. Enkelte har uttrykt at det var en "tiltakskortjungel" der nye tiltakort kom til uten at gamle ble fjernet, noe som skapte en uoversiktlig situasjon for personellet i SAV. Vurdering Etter PwCs vurdering hadde DSS en tilfredsstillende beredskapsplan på nivå 1, men denne ble ikke tilstrekkelig revidert. De oppdateringene som var gjennomført etter 2009 tilfredsstilte ikke kravene DSS selv stilte, bl.a. at den skulle ta utgangspunkt i oppdaterte risikoanalyser og at den skulle revideres årlig. 31 Status 28. juli 2011, dvs. kun noen dager etter angrepet. PwC Side 21 av 48 Evaluering av DSS' innsats 22. juli 2011 Det har fremkommet at ledelsen i DSS var kjent med svakheter i arbeidet med beredskapsplanverket. I intervjuene har det også fremkommet at en rekke personer hadde kommunisert dette til ledelsen. Frem til 2010 valgte imidlertid ledelsen å ikke avsette og prioriterer ressurser til å revidere planverk. PwC vurderer at dette også delvis var et resultat av at FAD ikke målte DSS på sikkerhets- og beredskapsarbeidet, noe som bidro til at dette ikke ble prioritert av ledelsen i DSS. Ledelsen i DSS var kjent med at det var et planverk på nivå 1, men PwC mener at de i for liten grad hadde satt seg inn i dette. De var i liten grad kjent med ansvaret de var pålagt i en krisesituasjon. Avdelingslederne var innforstått med eget ansvar når det gjaldt å utvikle beredskapsplaner på nivå 2, men flere avdelinger hadde på tross av dette ikke oppdaterte og godkjente planer. Enkelte avdelinger valgte å utsette dette arbeidet og prioritere andre oppgaver, noe som ble signalisert til ledelsen i DSS uten at dette fikk konsekvenser. Generelt sett synes det å ha vært en oppfatning i ledelsen i DSS at krisehåndteringsplanverket ikke var viktig. Betydningen av å planlegge for kriser og inkludere resten av organisasjonen i dette arbeidet ble etter PwCs vurdering ikke gitt tilstrekkelig oppmerksomhet. PwC mener at det var generelt et manglende systemfokus, og at man i liten grad så sammenhengen mellom bl.a. risiko- og sårbarhetsanalyser, beredskapsplanverk, kurs, trening og opplæring osv. Samlet førte dette til at DSS' helhetlige risikostyring ble mangelfull. 3.5 Bemanning og kompetanse DSS hadde ikke definert minimumsbemanning på vakt og sikring Ansatte i DSS opplevde ressurssituasjonen som en utfordring, særlig i SAV SAV hadde kompetanseutfordringer: - SAV hadde utarbeidet kompetanseplan, men denne ble ikke fulgt opp - SAV hadde ikke tilstrekkelig midler til å øve, og dette ble heller ikke prioritert av ledelsen Øvelse for DSS ble ikke gjennomført slik eget planverk foreskrev Observasjoner Dokumentasjonsgjennomgangen og intervjuene har vist at DSS, 22. juli 2011 hadde, ikke hadde definert hva som ble regnet som en forsvarlig minstebemanning for sikkerhets- og beredskapstjenester – dette gjaldt også for vakttjenesten og resepsjonstjenesten i SAV. Det var heller ikke utviklet en oversikt over hvilket personell som til enhver tid måtte være tilgjengelig for å kunne dekke funksjonene beskrevet i beredskapsplanverket. I intervjuene, særlig med personell i SAV, har det fremkommet at det i avdelingen ble opplevd å være ressursmangel i forhold til oppgavene de skulle fylle. Dette gjaldt særlig for vakttjenesten, som til tider opplevde at de ikke hadde nok ressurser til å ivareta løpende oppgaver. Dokumentasjonsgjennomgangen har vist at vaktressursene i stor grad var låst til faste oppdrag og oppgaver, og at det var lite eller ingen redundans. I intervjuene har kommet frem at det gjentatte ganger ble argumentert for at det var behov for mer personell for å fylle oppgavene på en tilfredsstillende måte, men at ansatte opplevde at ledelsen i DSS hadde større fokus på økonomi og budsjettbalanse, enn på at vakt og sikringstjenesten skulle være forsvarlig bemannet. Det er funnet dokumentasjon som viser at SAV internt argumenterte for å skjerme bl.a. vakttjenesten fra økonomiske kutt. 32 Det er ikke funnet dokumentasjon på at dette behovet ble fremmet til FAD i etatsstyringen. I flere intervjuer har det kommet til uttrykk at DSS ikke klarte å synliggjøre sine bemanningsbehov overfor FAD. Det ble vurdert å være vanskelig å få gehør for behovet for flere ressurser til vakt og sikring, og ledelsen valgte derfor å ikke fremme dette i etatsstyringsdialogen. SAV opplevde tvert i mot et budsjettmessig press på dette området, og at det måtte argumenteres for å beholde eksisterende stillinger. De gangene det ble fremmet forslag om styrking av vaktholdet ble det i intervjuene opplyst at man i liten grad gehør for dette i FAD. I 2011 ble det oppnådd aksept for heving av årsverksramme med finansiering av nye sikkerhetsvakter som skulle dekke nye funksjoner/oppgaver for SAV, men dette var i liten grad realisert da terroren rammet 22. juli 2011. På tross av at ansatte i SAV opplevde bemanningsutfordringer, særlig i vakttjenesten, har informanter som ikke tilhørte SAV opplyst at de opplevde at vakttjenesten ble prioritert og fikk tilført ressurser ved behov. 32 Internt notat fra SAV til VØK, "Budsjett 2010 - Muligheter og konsekvenser ved redusert tildeling", 30.04.2009 PwC Side 22 av 48 Evaluering av DSS' innsats 22. juli 2011 Bemanningen i SAV før 22. juli var i store trekk som følger: Vakttjenesten: 67 faste og ca. 30 reserver/vikarer Teknisk sikring: 9 ansatte Resepsjonstjenesten: 35 faste og ca. 20 reserver/vikarer Bedriftshelsetjenesten: 7 ansatte I tillegg var det en mindre stabsfunksjon i SAV bestående av en rådgiver, som primært bistod med økonomi- og administrativ støtte. Vakttjenesten i DSS var organisert i seks vaktlag som arbeidet døgnturnus, der alle lagene hadde en ”påhengsuke” hver sjette uke som skulle brukes til faglig påfyll og trening/øving. På grunn av økt arbeidspress ble imidlertid denne ”påhengsuken” ofte benyttet til å dekke opp for sykefravær, byggevakt og andre ekstraordinære oppgaver, og det ble derfor i liten grad tid til faglig påfyll og trening/øving. Dette synspunktet deles av alle de intervjuede, både i DSS' ledelse og blant ansatte. Dokumentasjonsgjennomgangen har også vist at det i begrenset grad ble trenet og øvet. I følge intervjuene ble det av økonomiske og praktiske årsaker ikke åpnet for å trene på skarpe situasjoner. Dette underbygges imidlertid ikke av skriftlig dokumentasjon. SAV fikk etter hvert tydelige kompetansekrav til eget personell gjennom notatet "Konsept for stillingskompetanse og autorisasjon", vedtatt av SAV ledergruppe 13. januar 2010. I intervjuene har det imidlertid kommet frem at personellet i SAV i liten grad var kjent med kravene i dokumentet. Den pålagte opplæring synes ikke å ha blitt gjennomført. Øvelser ble definert som et sentralt kompetansebyggende tiltak, og det ble i beredskaps- og krisehåndteringsplanen for DSS presentert fire øvelsesformer som alle skulle gjennomgås årlig eller hyppigere. Disse øvelsesformene var orienterings-/diskusjonsøvelse, papirøvelse, drilløvelse og funksjonell-/ gjennoppbyggingsøvelse. I tillegg var det samvirkeøvelser med andre myndigheter og politiet der FAD hadde regien. I følge eget planverk skulle DSS ha en samlet øvingsplan, samtidig som avdelingenes øvelser og øvingsintervall skulle defineres i nivå 2-planene. DSS både gjennomførte og deltok på øvelser, både brannøvelser, stabsøvelser og spilløvelser, inkludert nasjonale øvelser, men majoriteten av disse ble gjennomført før 2008. I intervjuene har det fremkommet at det før 2010 også ble gjennomført en pandemiøvelse, men det har ikke blitt funnet dokumentasjon knyttet til dette, herunder hvilke læringspunkter som ble utledet og hvordan disse ble fulgt opp. Øvelsene ble ikke gjennomført kvartalsvis, slik beredskaps- og krisehåndteringsplanen anbefaler. Det har heller ikke blitt funnet en helhetlig øvingsplan for DSS. De intervjuede i DSS har trukket frem at beredskaps- og krisehåndteringsplanverket på alle nivåer skulle vært mer øvet før 22. juli. I følge intervjuene var det ikke blitt gjennomført stabsøvelse med kriseledelsen siden 2007. Intervjuene har avdekket en generell oppfatning av at øvelser ikke ble prioritert i SAV. SAV hadde fokus på øvelser, men disse var primært innrettet mot å avdekke svakheter i organisasjonens evne til håndteringen av mindre hendelser. Øvelsesserien Hawkeye ble gjennomført årlig. Disse øvelsene er dokumentert og evaluert. I følge de intervjuede ble disse øvelsene primært brukt til å avdekke kjente svakheter. Nye og ukjente svakheter ble ikke avdekket. Dokumentasjonen synes i noen grad å underbygge dette. Mange i SAV var heller ikke involvert i disse øvelsene. I intervju har det fremkommet at mange i SAV, inkludert i vakttjenesten og i resepsjonstjenesten, ikke hadde øvet. Vurdering Gjennomgang av bemanning og kompetanse har vist at DSS opplevde at det var utfordringer både når det gjaldt bemanning, særlig i deler av SAV, og kompetanse til å ivareta sitt ansvar som sikkerhets og beredskapsansvarlig i regjeringskvartalet. Dokumentasjonsgjennomgangen og intervjuene har vist at verken DSS eller SAV hadde definert hvilke funksjoner som måtte være tilgjengelig for å sikre en god krisehåndtering. Det var heller ikke definert en minimumsbemanning for vakttjenesten som skulle sikre nødvendig robusthet og evne til å operere også ved uforutsette hendelser. Det gikk mye ressurser til byggevakt, uten at dette ble kompensert. Det har i intervjuene fremkommet at bemanningsoppsettet i vakttjenesten i beste fall dekket en normalsituasjon, men at denne ikke var i stand til å håndtere ekstraordinære situasjoner. PwC Side 23 av 48 Evaluering av DSS' innsats 22. juli 2011 SAV hadde utarbeidet en intern kompetanseplan for eget personell, men denne ble ikke fulgt opp. Medarbeiderne opplevde ikke at de hadde tilfredsstillende opplæring eller var øvet tilstrekkelig. DSS gjennomførte ikke øvelser slik eget planverk foreskrev, og det var ikke utviklet et overordnet øvingsplan for virksomheten. Det ble ikke gjennomført stabsøvelser i tilstrekkelig grad. Det er PwCs vurdering at øvelser ikke var en prioritert aktivitet, noe som medførte at ansatte i DSS heller ikke fikk nødvendig trening i krisehåndtering. DSS hadde i beredskaps- og krisehåndteringsplanverket beskrevet en overordnet risikostyringsmetodikk som kunne bidratt til å avdekke utfordringene knyttet til bemanning og kompetanse, blant annet gjennom øvelser og evalueringer. Denne risikostyringsmetodikken ble imidlertid ikke fulgt, og svakheter når det gjaldt bemanning og kompetanse ble derfor ikke avdekket. 3.6 Utstyr og materiell Det tekniske utstyret til DSS var delvis mangefullt Vaktsentralen var utdatert, og DSS argumenterte for ny vaktsentral hvert år i perioden 2007-2011, men fikk ikke gjennomslag i FAD Det har blitt trukket frem at manglende analysekapasitet i DSS gjorde det vanskelig å synliggjøre utstyrs- og materiellbehov Det var ulik oppfatning om DSS-ansattes behov for personlig verneutstyr Observasjoner DSS hadde ansvar for et vidt spekter av utstyr og materiell på sikkerhets- og beredskapsområdet, både teknologiske løsninger, fysisk sikring av bygninger, verneutstyr for eget personell osv. En sentral utfordring for DSS før 22. juli 2011 var vaktsentralen i regjeringskvartalet. Denne var bygget i 1996, og store deler av de teknologiske løsningene var ikke oppdatert. Vaktsentralen hadde også underkapasitet for å kunne håndtere større hendelser, blant annet ved at det kun var to operatørposisjoner. Som nevnt tidligere har intervjuene avdekket at DSS over lengre tid hadde signalisert at vaktsentralen var teknologisk utdatert, at den hadde begrenset kapasitet og dermed var uegnet til å håndtere større hendelser. Behovet for en redundant løsning i form av en alternativ vaktsentral hadde også blitt signalisert til ledelsen i DSS, og fra ledelsen i DSS til FAD. Før 22. juli 2011 hadde DSS over flere år arbeidet med å utvikle en plan for en ny vaktsentral. Et prosjektforslag ble fremlagt for bevilgende myndigheter i 2007, men dette fikk ikke gjennomslag. DSS fortsatte å argumentere for ny vaktsentral hvert år frem til 2011. Dokumentasjonen viser at argumentasjonen og underlagsdokumentasjonen ble ytterligere underbygget hver gang. Dette ble også adressert til FAD gjentatte ganger, blant annet i tertialrapporteringen. I intervjuene har det kommet frem at FAD anså forslaget fra DSS om ny vaktsentral som utilfredsstillende begrunnet, og flere av de intervjuede i FAD og i DSS trakk frem at dette kan skyldes at det var en manglende analysekapasitet i DSS. I følge DSS kom det imidlertid aldri tilbakemelding fra FAD om at disse satsningsforslagene var mangelfulle og det kom heller ikke en begrunnelse på hvorfor forslagene ikke oppnådde bevilgning. Generelt har flere av de intervjuede, både i FAD og i DSS, uttrykt at det var vanskelig å få gehør i politisk ledelse for prioriteringer knyttet til sikkerhet og beredskap før 22. juli 2011. I Prp. 1 for 2011 lå det inne bevilgning til vaktsentralen. Det lå ikke i planene at det skulle bygges en ny vaktsentral, men at den gamle skulle modernisere og at det skulle etableres en reserve. DSS hadde allerede før dette startet et arbeid med å bygge opp en tredje operatørposisjon, finansiert over DSS' driftsbudsjett. DSS startet dette arbeidet i 2010, og den tredje operatørposisjonen stod ferdig en uke før 22. juli 2011. Når det gjelder personlig verneutstyr og annet sikringsutstyr har det kommet frem at medarbeiderne særlig i vakttjenesten ved gjentatte anledninger fremmet ønske om bedre utstyr, men at de opplevde at ledelsen i liten grad var lydhør overfor deres ønsker. Dette gjaldt blant annet personlig verneutstyr, førstehjelpsutstyr, tilgang PwC Side 24 av 48 Evaluering av DSS' innsats 22. juli 2011 på og opplæring i bruk av røykdykkerutstyr, samband osv. I følge intervjuene med ansatte i vakttjenesten fikk disse beskjed om at det ikke var tilgjengelige ressurser. Flere har også uttrykt at de ble oppfattet som vanskelige når de meldte fra om behov, og at tjenesteveien ikke fungerte i slike spørsmål. I intervjuene med ledelsen i DSS har det kommet frem forskjellige syn på behovet for personlig verneutstyr til medarbeiderne i vakttjenesten. Enkelte har argumentert for at dette var tilfredsstillende ut fra oppgavene de skulle dekke. Andre har argumentert med at de så behovet, men at grunnet knappe ressurser kunne dette ikke prioriteres. Intervjuene har avdekket et sterkt fokus i ledelsen i DSS på at vakttjenesten skulle fremstå i størst mulig grad som en sivil tjeneste, og at utstyret og bekledningen måtte være i samsvar med dette. Vurdering Intervjuene har vist at det var en bred enighet i DSS om at vaktsentralen var forledet og hadde lav kapasitet. Det eksisterte heller ikke en redundant løsning i form av en alternativ vaktsentral. Fra FAD har det blitt hevdet at en hovedgrunn til at det tok lang tid å få igangsatt prosessen med oppgradering skyldes at DSS ikke evnet å argumentere tilfredsstillende for behovet, noe som bl.a. ble vurdert å henge sammen med manglende utrederkompetanse i DSS. Etter PwCs vurdering er det vanskelig å se at vaktsentralprosjektet var så dårlig utredet at dette kan være hovedgrunnen til at prosjektet ikke ble prioritert. Gitt vaktsentralens sentrale rolle er det overraskende at det skulle gå nesten seks år med utredning før det kom bevilgning til å fornye denne. PwC mener at grunnen til at det tok lang tid å komme i gang med oppgraderingen av vaktsentralen trolig vel så mye var en funksjon av at dette område hadde lite politisk fokus og at DSS sitt operative ansvar innenfor sikkerhet og beredskap ikke ble prioritert I evalueringen har det også kommet frem at det var ulike oppfatninger av om vakttjenesten skulle ha en operativ rolle og hvilke behov for personlig utstyr de hadde. Gjennomgående synes ledelsen i DSS å ha vektlagt vakttjenesten som sivil servicetjeneste med begrensede operative behov. Fokuset på vakttjenestens som en sivil servicetjeneste materialiserte seg også i lite opplæring og oppfølging av kompetansekrav. Konsekvensen var at DSS ikke hadde materiell og utstyr tilpasset håndtering av større kriser. Det er PwCs vurdering at det burde vært foretatt en intern klargjøring i DSS av hvilken rolle vakttjenesten skulle ha. Det er PwCs vurdering at det lave fokuset på operative behov også reflekterer forståelsen av hvilke rolle DSS skulle fylle: DSS ble av departementene, inkludert av FAD, sett på som en tjenesteprodusent som skulle sikre at departementene hadde tilgang på en del basistjenester. Det var liten forståelse for at DSS skulle stille krav og implementere tiltak som kompliserte hverdagen til de departementsansatte, eksempelvis gjennom sikkerhetskrav. Denne manglende forståelsen for DSS' rolle innenfor sikkerhet og beredskap betydde at det var vanskelig å få gjennomslag for operative behov – dette ble sett på som ansvaret til politiet og andre. PwC Side 25 av 48 Evaluering av DSS' innsats 22. juli 2011 4 DSS' håndtering 22. juli 2011 – observasjoner og vurderinger Under følger tidslinje som beskriver hendelser i DSS' håndtering 22. juli 2011 og dagen etter. Denne omfatter et utvalg sentrale hendelser far DSS' håndtering. Figur 5 Tidslinje for håndteringen Flertallet av punktene i tidslinjen vil bli nærmere omtalt i kapitlet som følger. 4.1 Kapasitet og ledelse DSS håndterte krisen som oppsto 22. juli tilfredsstillende ut fra de faktiske forutsetningene DSS klarte å opprettholde kontinuiteten i tjenesteleveransene til departementsfelleskapet Krisestabsarbeidet i DSS var varierende under krisen: - Nivå 1: Det ble etablert krisestab, men denne tok ikke utgangspunkt i planverket - Nivå 2: Enkelte avdelinger satt krisestab. SAV satt ikke slik stab Kriseledelsen mobiliserte i begrenset grad, noe som førte til stor belastning på enkeltpersoner Observasjoner 22. juli 2011 var det ferietid og generelt lav bemanning i DSS. DSS hadde ingen bakvaktordning eller annen form for beredskap for innkalling av ekstra personell ved kriser, verken på avdelings- eller seksjonsledernivå. Da bomben eksploderte oppholdt det seg 65 DSS ansatte i regjeringskvartalet. Lederkapasiteten blant de som var til stede bestod av en avdelingsdirektør og en seksjonsleder fra SAV. I SAV var det til sammen 30 ansatte på jobb da bomben eksploderte, herunder 12 fra vakttjenesten. Tabellene under viser ressurssituasjonen før eksplosjonen og anslagsvis hvordan DSS ressurssatte seg 22. juli og frem til søndag 24. juli. PwC Side 26 av 48 Evaluering av DSS' innsats 22. juli 2011 # Vanlige ansatte # ansatte på jobb # Faste i kriseledelsen på jobb 302 105 65 49 110 45 4 Fredag 22/7 før kl. 15.26 Fredag 22/7 Fredag 22/7 Lørdag 23/7 nøyaktig kl. etter kl. 15.26 og søndag 15.26 24/7 5 Fredag 22/7 Lørdag 23/7 og etter kl. 15.26 søndag 24/7 Figur 6 Ansatte på jobb i DSS 22. juli 201133 Umiddelbart etter eksplosjonen ble flere i ledelsen i DSS oppringt av personell og ledere som var til stede, og fikk opplysninger om at det hadde gått av en bombe. Direktør i DSS valgte å dra til regjeringskvartalet og etablerte en krisestab med utgangspunkt i tilgjengelig personell. Det var ikke mulig å etablere krisestab i det forhåndsplanlagte møterommet i Møllergata 19 eller på alternativt møterom i Y-blokken. Det første møtet i DSS' kriseledelse ble avholdt i Høyesterett klokken 17:10 hvor 7 personer deltok inkludert en person fra FAD.34 Møtereferatet viser at agenda på møtet var: Status eget personell, innkalling av ressurser inklusiv helsetjenesten og koordinering av arbeidet mot politiet. Klokken 17:45 måtte kriseledelsen av sikkerhetshensyn forlate Høyesterett, og denne etablerte seg da på PHotels i Grensen 19. Hotellet ble møtested for staben hele den første uken. Første møte på P-Hotels ble avholdt klokken 19:05-21:00. 17 personer deltok på dette møtet. Disse var fra DSS, Statsbygg og FAD, inkludert statsråden og departementsråden.35 Agenda for møtet var status eget personell og vurdering av skadeomfang. I følge møtereferatet var prioriterte arbeidsoppgaver vakthold og kontinuitet i tjenesteleveransene, inkludert drifting av IKT-løsningene DSS forvaltet. To personer ble satt i beredskap over natten. Lørdag 23. juli klokken 08-09:00 ble det avholdt et formøte med seks representanter fra DSS. 36 Dette ble fulgt opp med et mer omfattende møte klokke 09-13:00 der 28 personer fra DSS, FAD og Statsbygg deltok.37 I referat fra krisestab blir begge disse møtene omtalt som "Krisestab DSS". Første møtet gikk gjennom status personell, diverse tekniske spørsmål, sikring av regjeringskvartalet og helsetilbud til ansatte. Andre møte gikk gjennom status personell, skadeomfang og fysisk sikring, og status fagavdelingene DSS. Det blir besluttet å avholde informasjonsmøte for DSS' personell mandag 25. juli. Krisestab DSS avholdt nytt møte klokken 17-18:00, da med åtte personer fra DSS.38 DSS' kriseledelse fortsatte å operere med en slik møtestruktur utover i uken, dvs. to møter daglig, og med deltagelse etter mal av sist møte, men med løpende utskifting etter behov. I intervjuene har det fremkommet at i etableringen av krisestaben 22. juli ikke tok utgangspunkt i DSS sin beredskaps- og krisehåndteringsplan på nivå 1. Staben ble sammensatt av personell som var tilgjengelig på det aktuelle tidspunktet. Krisestaben 23. juli ble heller ikke satt med utgangspunkt i dette planverket, men hadde fokus på bred deltagelse fra DSS og andre aktører. I følge intervjuene ble dette gjort for å sikre informasjonsflyt både på tvers i DSS, mot FAD og mot Statsbygg. 33 Det er noe usikkerhet knyttet til antall ansatte som var til stede forut for og etter hendelsen. Ut i fra kildematerialet kan vi imidlertid slå fast at 49 ansatte har innrapportert overtid den 22. juli etter eksplosjonen. I tillegg kommer 12 vaktmannskaper på ordinær kveldsvakt. På lørdagen og søndagen har 110 unike personer innrapportert overtid. 34 Deltagere på møtet var i følge referatet direktør DSS, SAV, SAV/Vakt, SAV/Res, SAS, SIBE og en person fra FAD. 7 personer deltok i følge referatet. 35 Eksterne deltagere på møtet var i følge referatet FAD og Statsbygg, Fra DSS var følgende avdelinger og enheter representert: HR, SAS, IKT, SAV, SIBE. 17 personer deltok i følge referatet. 36 Deltagere på stabsmøtet var i følge referatet direktør DSS, SAV, HR, SIBE og SAS. 7 personer deltok. 37 Eksterne deltagere på stabsmøtet var i følge referatet FAD og Statsbygg. Fra DSS deltok følgende avdelinger og enheter: Direktør DSS, HR, SAV, IKT, IFA, SAS, SIBE og FTA. 28 personer deltok i følge referatet. 38 Deltagere på stabsmøtet var i følge referatet direktør DSS, SIBE, SAV, IKT, IFA, KTA og SAS. 8 personer deltok i følge referatet. PwC Side 27 av 48 Evaluering av DSS' innsats 22. juli 2011 I intervjuene har fremkommet forskjellige syn på DSS' organisering og ledelse av krisehåndteringen. DSS' kriseledelse hadde tydelig fokus på delegering og individuelt handlingsrom, og mange har uttrykt at dette gav positiv uttelling. Mye arbeid ble utført parallelt uten at det oppstod forsinkelser. Det har imidlertid også blitt gitt uttrykk for at kriseledelsen var for stor, at rollene var uklare og at dette skapte en uoversiktlig situasjon uten overordnet styring. Nedover i organisasjonen er det fremkommet frustrasjon over manglende ledelse og styringssignaler. Dokumentasjonsgjennomgangen har vist at det ikke ble utarbeidet ansattoversikter i den første fasen av håndteringen. På operativt nivå, særlig i vakttjenesten, har intervjuene avdekket et behov for ekstra bemanning. Personell fra vakttjenesten har uttrykt at dette ikke ble fulgt opp av ledelsen, og at flere jobbet kontinuerlig ut over rammene satt av bedriftshelsetjenesten. Sikkerheten ble også opplevd som utilfredsstillende for personellet i vakttjenesten, eksemplifisert gjennom vedvarende usikkerhet om Høyblokken ville rase. De ansatte opplevde ikke at denne problemstillingen hadde tilstrekkelig fokus i kriseledelsen. Vaktsentralen spilte en sentral rolle i håndteringen. De to operatørene som var på jobb fortsatte å betjene sentralen også etter at bomben eksploderte, til tross for store ødeleggelser. Vaktsentralen var døgnbemannet til og med 26. juli, da den ble den flyttet til Y-blokken. Både intervjuene og logger indikerer at ledelsen fokuserte på å håndtere krisen med den kapasiteten som var tilgjengelig, dvs. de som var på jobb og de som meldte seg frivillig. Ledelsen ønsket ikke en omfattende mobilisering, og ansattoversikter viser at DSS ikke mobiliserte i særlig grad. Det ble heller ikke innført turnus eller rulleringsordning, noe flere av de intervjuede mener førte til en uakseptabel stor slitasje på enkeltpersoner. Direktør DSS beordret sentrale personene i kriseledelsen på ferie, også kort tid etter 22.juli. I følge flere av de intervjuende i krisestaben var utgangspunktet for beslutningen en forståelse av at det ville ta måneder før DSS nærmet seg en normaltilstand, og at det var viktig å ha uthvilte lederressurser tilgjengelig utover høsten. Flere informanter har stilt seg kritiske til at bl.a. at enkelte avdelings- og seksjonsledere dro på ferie i den første krisehåndteringsfasen og at flere ikke ble beordret hjem fra ferie. I intervjuene har det fremkommet at dette gav en uheldig signaleffekt. I følge intervjuene var direktøren oppmerksom på ansatte ville reagere negativt på at ledere tok ferie, og informerte derfor om dette på allmøter som ble avholdt. Alle informantendene har opplyst at kontinuitet i tjenesteleveransene var et gjennomgående fokus for kriseledelsen i DSS, og de uttrykker stor tilfredshet med at DSS i stor grad klarte å levere tjenestene. I følge de intervjuede skyldes dette ekstraordinær innsats fra de ansatte i DSS. Denne vurderingen støttes også av eksterne vurderinger, blant 22. juli kommisjonen rapport der DSS' personell vurderes å ha gjort en stor innsats 39 i det løpende krisehåndteringsarbeidet. I tillegg til en den overordnede krisestab skisseres det i DSS' beredskaps- krisehåndteringsplan at avdelingene og enkelt stabsfunksjoner skal opprette nivå 2-staber ved kriser. Under følger en gjennomgang av utvalgte avdelinger og funksjoner og deres krisehåndteringsarbeid knytte til kapasitet og ledelse. HR hadde identifisert eksplosjon i regjeringskvartalet som en hendelse de tok høyde for i sin nivå 2-plan.40 Ved slike hendelser skulle HR skaffe oversikt og følge opp eget personale og pårørende. HR skulle også utøve sekretariatsfunksjon for kriseledelsen og krisekommunikasjonsstaben, samt sørge for at dokumenter i arkivet blir sikret og tilgjengeliggjort for kriseledelsen ved behov. Intervjuene har avdekket at HR tidlig skaffet oversikt over ansatte i egen stab. HR utøvet ikke sekretariatsfunksjonen for krisestaben, noe som kunne forventes ut fra retningslinjene. Krisekommunikasjonstaben ble heller ikke satt den første tiden. Møtereferater, hendelseslogger og intervjuer viser at ledelsen av HR den første helgen ble ivaretatt av flere personer, og det har blitt uttrykt at dette var en utfordring. Flere informantene har opplyst at HR gjorde stor innsats med begrensede ressurser, men at HR ikke hadde kapasitet til å håndtere alle sine ansvarsoppgaver. Flere informanter mener dette skapte uakseptabel merbelastning på enkeltpersoner. 39 40 Ibid., kapitel 18 Nivå 2 PERS – driftsberedskap og krisehåndtering datert 9.12.2009 PwC Side 28 av 48 Evaluering av DSS' innsats 22. juli 2011 IKT etablerte nivå 2-stab hjemme hos avdelingsdirektøren klokken 17:00 den 22. juli, og orienterte DSS kriseledelse om dette. Krisestab hadde tre medarbeidere, og det ble i tillegg sendt to medarbeidere til regjeringskvartalet for å bistå sentral kriseledelse. Flere teknikere ble satt i beredskap. I følge intervjuene fikk IKT tidlig oversikt over egne ansatte, men skriftlig dokumentasjon på dette er ikke funnet. IKT brukte fjernaksessløsningen for å skaffe oversikt over eget utstyr og undersøke om systemene var i drift. Dokumenter, ansattlister, ferielister og planverk ble lastet ned. Det ble sendt ut melding til DSS om at fjernaksess løsningen var operativ, men samtidig ble DSS oppfordret om å ta ut nødvendige dokumenter fordi systemet var usikkert. IKT evnet å opprettholde kontinuitet i sine tjenesteleveranser. FTA ble ikke varslet eller mobilisert av kriseledelsen, og deltok følgelig ikke i kriseledelsen 22. juli. Avdelingens satt nivå 2-krisestab 24. juli. I intervju er det pekt på at de interne varslingsrutinene i FTA fungerte selv om varslingslistene ikke ble fulgt. Ansatte ble mobilisert etter behov og ressursene ble vurdert som tilstrekkelig på avdelingsnivå. Dokumentasjonen og intervjuene viser at FTA tidlig oversikt over egne ansatte.41 FTA prioriterte kontinuitet i posttjenesten, kantine og renholdstjenester, og evnet å holde dette operativt. Renholdstjenestene ble levert og brukersenteret, kantinetjenesten og skanning kom raskt i drift. Posttjenesten var i funksjon fra mandagen 24. juli. IFAs ledelse ble varslet av egne ansatte kort tid etter eksplosjonen. Avdelingen hadde et nivå 2-planverk, men dette ble ikke brukt. Det er allikevel påpekt på at kunnskapen om planverk satt i organisasjonen da flere hadde vært involvert i utarbeidelse av dette. IFA etablerte egen nivå 2-stab 23. juli. Dokumentasjonen og intervjuene viser at IFA tidlig fikk oversikt over egne ansatte. IFA prioriterte, i rekkefølge, informasjon til egne ansatte, regjeringen.no, sentralbordet og produksjon av materiale til statsbudsjettet, og evnet å opprettholde disse tjenestene på et tilfredsstillende nivå. SAV ble meget hardt rammet av angrepet, og store deler av organisasjonen deltok aktivt i den operative krisehåndteringen 22. juli og uken etter. En av de omkomne var tilknyttet SAVs resepsjonstjeneste. I følge nivå 2-planen, som ikke var godkjent 22. juli, skulle SAV sette krisestab ved større hendelser. SAV valgte å ikke sette stab. Dette er i intervjuer med ledelsen i SAV begrunnet med at de var representert i sentral krisestab og at vaktsentralen dekket de mer operative behovene. Informanter har pekt på at dette var uheldig da avstanden fra sentral kriseledelse til operativt personell ble for lang. SAVs arbeid med å skaffe oversikt over eget personell ble i følge intervjuer delegert i flere ledd, men man klarte tidlig å etablere slik oversikt. De ansatte i SAV arbeidet under et voldsomt press, og befant seg i sentrum av hendelsen. Av intervjuene får vi et tydelig bilde av at SAVs medarbeidere måtte yte maksimalt, men samtidig opplevde at ressursene ikke strakk til i forhold til oppgavene. I intervjuene har det blitt beskrevet at de som var i vaktsentralen arbeidet under veldig vanskelig omstendigheter. Denne lå to etasjer under bakken, om lag 20 meter til siden for stedet der bomben hadde gått av. Vurderinger Hendelsen 22. juli var ekstraordinær og utfordrende både når det gjaldt kapasitet og ledelse. DSS satt krisestab på nivå 1 for å sikre ledelse, beslutningsstøtte og effektiv koordinering av ressursene. En sentral rolle for kriseledelsen i DSS var å koordinere, allokere ressurser og bidra med informasjon på tvers av avdelingene. Avdelingene skulle, i følge planverket, sikre kontinuitet i egne tjenester. 42 Intervjuene og dokumentasjonsgjennomgangen har vist at det ble etablert overordnet krisestab for DSS, og at IFA, FTA, IKT og HR satt staber i løpet av første helgen. SAV valgte å ikke sette krisestab. Våre observasjoner tegner et bilde av at DSS presterte godt på to kritiske områder: Den enkelte ansatte gjorde en formidabel innsats og bidro med livreddende innsats, og DSS sikret kontinuitet i tjenesteleveransene. Likevel mener PwC at krisestaben sviktet på en del sentrale områder. Det var manglende systematikk og notoritet i arbeidet, noe som gjorde at det ikke var en felles situasjonsforståelse i organisasjonen. Sentrale aktører i krisestaben hadde for stor arbeidsbelastning, uten at avbøtende tiltak ble implementert, og det var heller ikke tilstrekkelig fokus på sikkerheten og belastningen på eget operativt personell. 41 42 DSS (2011) Oppsummering lørdag 23. juli. DSS' beredskaps- og krisehåndteringsplan (nivå 1) PwC Side 29 av 48 Evaluering av DSS' innsats 22. juli 2011 Etter PwCs vurdering mobiliserte ikke kriseledelsen tilstrekkelig med ledelseskapasitet, støtteressurser eller operative ressurser. Tanken var å spare ressursene slik at man kunne jobbe i eksisterende struktur over tid. Dette førte imidlertid til at belastningen på tilgjengelige mannskaper ble for stor. En utfordring for kriseledelsen var at det ikke eksisterte planer for å styrke bemanning, verken på stabs- eller operativt nivå. Videre burde SAV ha etablert egen krisestab slik planverket foreskriver. Alternativt kunne man sikret tettere interaksjon med de operative mannskapene for å sikre nødvendig informasjonsflyt, slik planverket foreskriver. SAVs ledelse utførte oppgaver som skulle ha blitt ivaretatt av andre funksjoner, samtidig som sikkerheten og belastningen på egne ansatte ikke ble fulgt tilstrekkelig opp. PwC mener at etablering av nivå 2-stab, i tråd med retningslinjer og planverket, trolig kunne bidratt positivt og sikret tettere interaksjon. 4.2 Rolleforståelse, samordning og koordinering DSS etablerte en bred og sammensatt kriseledelse Ulike oppfatninger i DSS om informasjonsflyten fra kriseledelsen og ut i organisasjonen fungerte - Kommunikasjon og samordning mellom kriseledelsen og FAD fungerte tilfredsstillende - Personell i SAV har opplevde mangelfull kommunikasjon og koordinering fra kriseledelsen Observasjoner På DSS' første kriseledermøte deltok sju personer, og denne tok utgangspunkt i tilgjengelig personell. I følge stabsreferatene ble antall deltakere etter hvert utvidet, og hadde på det meste 27 deltagere den første helgen. Kriseledelsen i DSS har i intervjuer forklart at det var et uttalt mål å ha en bred deltagelse på møtene – dette for å sikre god informasjonsflyt. Alle de intervjuede oppfattet direktøren i DSS som øverste kriseleder. De intervjuede i direktørkollegiet opplevde generelt sett at roller og ansvarsforholdene i krisestaben var klare, og at disse tok utgangspunkt i de daglige arbeidsoppgavene. Informanter som deltok i kriseledelsen, men som ikke hadde en fast funksjon i DSS' ledelse, samt intervjuede som ikke var en del av kriseledelsen, etterlyste derimot tydeligere føringer, mer styringsinformasjon og bedre koordinering. Det er fremkommet ulike oppfatninger om informasjonsflyten fra kriseledelsen og ut i organisasjonen fungerte. I en spørreundersøkelse gjennomført av DSS opplyser alle informantene at de var kjent med at kriseledelsen var etablert, men at dette ikke ble kommunisert raskt og tydelig til alle ansatte. 43 Basert på møtereferatene er det vanskelig å få oversikt over hvem som var ansvarlig for å følge opp de enkelte tiltak som ble bestemt i krisestaben. I følge de som satt i kriseledelsen var dette uklart også under selve krisehåndteringen. Møtereferatene viser at ulike funksjoner tok tak i oppgaver som i utgangspunktet skulle ivaretas av andre, eksempelvis loggføring og etablering av et helsetilbud. Sikkerhetsleder fungerte som rådgiver for kriseledelsen. I intervjuer er det opplyst at mange tiltak ble spilt inn fra sikkerhetsleder og at dette var en viktig funksjon på bakgrunn av vedkommende sin kjennskap til planverket. I intervjuer er det pekt på at SAV fikk en sentral plass i kriseledelsen, og at det også ble avholdt egne møter mellom kriseleder og SAV. Informanter fra SAV har opplyst at sentraliseringen av egen ledelse på P-Hotels skapte for stor avstand til linjeorganisasjonen. På ledernivå er det opplyst at det var løpende dialog med seksjonsledere, og at disse skulle fungere som bindeledd mot operativt nivå. Samtidig har intervjuede i Vakttjenesten uttalt at det var svært liten dialog med avdelingsledelsen særlig de første 36 timene. Intervjuene har avdekket at ledelsen ikke oppfattet det slik da, men at det i ettertid er erkjent at dialogen burde vært tettere. Når det gjelder samarbeidet med FAD har informantene opplyst at kommunikasjon og samordning fungerte tilfredsstillende. Informanter fra både FAD og DSS har pekt på fordelen ved å være samlokalisert. Møtereferatene viser at FAD tok med seg styringsinformasjonen inn i kriseledelsen, og ut igjen til departementsfelleskapet. Det ble blant annet meldt inn behov fra departementene knyttet til regjeringen.no, Spørreundersøkelse ifm. DSS' interne evaluering "Kartlegging og evaluering av situasjonen i DSS etter bombeangrepet på Regjeringskvartalet 22. juli 2011" (2012) 43 PwC Side 30 av 48 Evaluering av DSS' innsats 22. juli 2011 relokalisering av departementene og viktigheten av å opprettholde IKT-tjenester. DSS på sin side meldte inn behov for kontakt med IKT-koordinatorene, informasjonssjefer og helsetjenesten. I intervjuer er det opplyst at det ble gjennomført daglige møter mellom leder for sikringsenheten i FAD og kriseleder i DSS. FAD har pekt på god fremdrift i første fase i arbeidet med å sikre regjeringskvartalet og samarbeidet om å finne midlertidige lokaler. Møtereferatene viser at Statsbygg deltok på enkelte av møtene i kriseledelsen. Det fremgår bl.a. at Statsbygg rapporterte på den fysiske tilstanden i regjeringskvartalet og at Statsbygg utarbeidet en liste over ledige lokaler i Oslo som dannet grunnlag for en behovskartlegging. FAD har på generelt grunnlag gitt uttrykk for at kriseledelsen i DSS fungerte godt og at det var god kommunikasjon. Enkelte informanter i DSS, som inngikk i kriseledelsen, har pekt på at FADs tilstedeværelse styrket arbeidet med å sikre kontinuiteten i tjenesteleveransene, men at dette fokuset medførte at kriseledelsen i mindre grad fulgte med på interne forhold, herunder ivaretakelse av ansatte i DSS. Når det gjelder samhandling og koordinering med politiet så er det i intervjuet opplyst at det var primært SAV som skulle ha denne dialogen. Dette bekreftes i DSS' beredskaps- og krisehåndteringsplan. Informantene i kriseledelsen og i SAV før øvrig har uttrykt at det var vanskelig å få tilgang på informasjon fra politiet. Disse har også gitt uttrykk for frustrasjon over at politiet i liten grad innhentet og nyttiggjorde seg av den kunnskapen DSS hadde. Intervjuene med operativt personell i vakttjenesten viste at disse opplevde at det var uklart hvem som faktisk ivaretok sikringen av regjeringskvartalet, at det var krevende å få tilgang til skadestedet og innpass på politiets møter. Vurderinger Hendelsen 22. juli berørte hele DSS og krevde en koordinert og samlet innsats. I denne krisen var det ikke en avdeling som ble rammet – det var hele DSS. I følge DSS' eget planverket var det viktig med tydelige fordeling av roller i kriseledelsen.44 Dette ble ikke gjort. Det var til tider et stort antall deltakere i kriseledelsen, med tilstedeværelse fra øverste politisk ledelse til lavere nivå i DSS. Dette vurderes å ha vært et godt tiltak for å spre informasjon, men medførte samtidig en stor utfordring med tanke på rolleforståelse, samordning og koordinering av tiltak i egen organisasjon. Funksjoner ble ikke tydelig fordelt i krisestaben, noe som skapte uklarheter med tanke på ansvar for oppfølging. Samordningen mellom SAV og HR var viktig etter 22. juli. Basert på intervjuer og referater tok SAVs ledelse en aktiv rolle og utførte oppgaver som HR i utgangspunktet skulle ivareta. Samtidig er det vår oppfatning at HR hadde begrenset kapasitet som følge av svak mobilisering i akuttfasen, noe som gjorde det vanskelig for disse å håndtere hele spennet av oppgaver de var ansvarlig for. I kritiske situasjoner skal avdelingsdirektørene, eventuelt de som er utpekt til å fungere for denne, lede arbeidet i egen avdeling. SAV etablerte ikke egen krisestab, og ledelsen hadde opphold på P-Hotels. Dette skapte utfordringer knyttet til kommunikasjon og samhandling med egne ansatte. PwCs vurdering er at ledelsen i SAV ikke klarte å holde egen organisasjon oppdatert om hvordan situasjonen ble håndtert. Mangelen på vertikal interaksjon i SAV ble oppfattet som en utfordring av ansatte i vakttjenesten. Basert på intervjuene er det PwCs vurdering at kommunikasjonsflyten fungerte best i de avdelingene som etablerte egen krisestab eller avholdt interne møter løpende. Når det gjelder samarbeidet med FAD viser våre observasjoner at kommunikasjon og samordning fungerte tilfredsstillende, noe som vurderes å være en funksjon av at FAD satt i krisestaben i en tidlig fase. Samarbeidet og informasjonsflyten mellom politiet og DSS var derimot ikke like god. Denne interaksjonen var i liten grad formalisert og øvet. 44 DSS' beredskaps- og krisehåndteringsplanverk (nivå 1) PwC Side 31 av 48 Evaluering av DSS' innsats 22. juli 2011 4.3 Informasjonsstrategi, media- og publikumshåndtering Krisekommunikasjonsstab ble ikke etablert slik planverket foreskriver DSS som organisasjon manglet kompetanse på mediehåndtering DSS hadde en begrenset mediehåndteringsrolle under krisen. Samlokalisering av krisestab FAD og DSS sikret god informasjonsflyt til departementsfelleskapet Observasjoner Intervjuene har avdekket at kriseledelsen besluttet ikke å mobilisere ressurser til ekstern krisekommunikasjon eller til å drive medieovervåkning, slik det var lagt opp til i planverket. Vurderingen som lå til grunn var at det var viktigere med godt omdømme overfor egne kunder, dvs. departementsfellesskapet, enn å fremstå godt utad. Møtereferater og logger viser videre at DSS i liten grad diskuterte ekstern krisekommunikasjon den første uken av håndteringen. DSS opplevde heller ikke noe stort medietrykk den første tiden. I intervjuer er det opplyst at ansatte i DSS ble bedt om å være varsomme og ikke svare på spørsmål fra media. Det kom etter hvert spørsmål fra pressen til enkeltpersoner nedover i organisasjonen, som noen av de ansatte måtte besvare. I den forbindelse har enkelte informanter opplyst at DSS burde hatt en tydeligere informasjonsstrategi for å møte slike situasjoner. Det er også trukket frem at DSS som organisasjon manglet kompetanse på mediehåndtering. Intervjuer har avdekket at det relativt tidlig ble spilt inn behov for å ha en informasjonsansvarlig i DSS. Dette ansvaret ble tildelt en person fra IFA 24. juli. Denne knyttet så til seg to ressurser. Deres informasjonsansvar var primært rettet mot departementsfellesskapet, ikke media. I følge referatene og intervju ble det etablert et krisekommunikasjonsapparat i tråd med planverket etter ca. en uke. Når det gjelder informasjon til kundene, det vil primært si departementsfellesskapet, har informantene opplyst at det var systematikk i informasjonen som ble videreformidlet. FAD deltok i de krisestabsmøtene den første helgen, og tok blant annet opp at det kom til å bli stilt spørsmål om årsaken til at arbeidet med stenging av Grubbegata ikke var kommet lenger. I følge intervjuene bidro FADs deltagelse i krisestaben den første helgen til god informasjonsflyt overfor departementene. DSS fikk et stort publiseringspress mot regjeringen.no, spesielt knyttet til opprettelsen av kondolanseprotokoll, men klarte å opprettholde driften. IFA var ansvarlig for regjeringen.no, og i intervjuene har det blitt opplyst at krisehåndteringen fulgte de samme rutinene som ved andre typer driftsavbrudd. IFA hadde dermed velprøvde prosedyrer man iverksatte. Intervjuer og møtereferater viser at det ble satt inn tiltak for å opprettholde sentralbordtjenestene, og at sentralbordet var operativt fra mandagen. Når det gjelder intern kommunikasjon viser møtereferatet at informasjon til egne ansatte ble prioritert lavere enn regjeringen.no i tidlig fase, og flere informanter har trukket frem at DSS med fordel kunne har formidlet mer informasjon internt i løpet av de første dagene. Dette ble tatt opp i kriseledelsen og kriseledelsen besluttet derfor å invitere til allmøte på mandagen. Spørreundersøkelsen fra DSS' interne evaluering, viser at flesteparten av informantene fikk informasjon om allmøte på forhånd gjennom egen ledelse eller kollegaer.45 Vurdering Det er PwCs vurdering at samlokalisering av krisestaben til FAD og DSS den første helgen bidro til god informasjonsflyt til departementsfellesskapet og til at kontinuiteten i departementenes tjenester ble opprettholdt. Samtidig gjorde denne samlokaliseringen at fokuset på den interne kommunikasjon i DSS ble noe svekket. Dette ble forsterket bl.a. av at SAV ikke satt nivå 2-stab. Enkelte deler av organisasjonen erfarte at de som en konsekvens av dette ikke fikk tilstrekkelig informasjon fra sentral kriseledelse. DSS utarbeidet ikke en samlet informasjonsstrategi den første uken. For å innhente informasjon og sikre formidling slik planverket foreskrev, mener PwC at DSS burde ha mobilisert krisekommunikasjonstaben, Spørreundersøkelse ifm DSS' interne evaluering "Kartlegging og evaluering av situasjonen i DSS etter bombeangrepet på Regjeringskvartalet 22. juli 2011" (2012) 45 PwC Side 32 av 48 Evaluering av DSS' innsats 22. juli 2011 eventuelt andre ressurser, raskere. Med enkelte unntak er imidlertid PwCs inntrykk at DSS klarte å formidle relevant og god informasjon til egne ansatte. Evalueringen har vist at departementene var svært fornøyde med at regjeringen.no og sentralbordtjenestene fungerte. Slik PwC ser det er det ingen tvil om kriseledelsens tydelige prioritering av dette bidro til å sikre kontinuiteten i tjenesteleveransene. 4.4 Planverk Beredskaps- og krisehåndteringsplan var tilgjengelig, men det tok tid før ledelsen fikk tilgang Krisestabene på nivå 1 og 2 forholdt seg i begrenset grad til planverket, men utførte de sentrale oppgavene Varslingslister ble ikke benyttet Kriseledelsen hadde ikke tilgang til krisestøtteverktøy Observasjoner I følge DSS' beredskaps- og krisehåndteringsplan, slik den forelå 22. juli 2011, skulle kriseledelsen i DSS bestå av direktørkollegiet, eventuelt de som fungerte i stillingen. Direktør DSS skulle være leder og sikre at det ble avholdt statusmøter, allokere ressurser på tvers av organisasjonen, utarbeide strategi for håndteringen, følge opp kontinuitet i tjenestene, rapportere status til FAD og til andre samvirkeaktører. Kommunikasjonsansvarlig og direktør HR skulle inngå i kriseledelsen. I følge planverket skal krisekommunikasjonsstaben ha ansvar for å understøtte ledelsen med ekstern kommunikasjon og medieovervåkning, mens direktør HR skal ha ansvar for å planlegge og yte omsorg for ansatte og pårørende. HR skal i tillegg ivareta arkiv og postmottak, samt være sekretariat for kriseledelsen og krisekommunikasjonstaben. Beredskaps- og krisehåndteringsplan inneholdt flere sjekklister, og en av disse beskrev hva kriseledelsen skulle gjøre ved terror- eller sabotasjeanslag mot regjeringskvartalet. I følge sjekklisten skulle krisestaben iverksette informasjonstiltak, kartlegge berørte og lage interessentoversikt, iverksette anbefalte tiltak i Sivilt beskyttelsessystem (SBS), koordinerte samarbeidet mot politi og FAD, iverksette tiltak for gjenoppbygging av tjenesteleveransene, etablere kontaktpunkt for pårørende og sikre at personell ble fulgt opp av bedriftshelsetjenesten. Hele DSS' beredskaps- og krisehåndteringsplan var tilgjengelig på DSS' intranett 22. juli. Kriseledelsen fikk tilgang til planen ca. klokken 20:00. I intervjuene er det blitt argumentert for at tiltakene i beredskaps- og krisehåndteringsplanen var uegnet. Andre informanter har opplyst at nivå 1-planen ble gjennomlest av kriseledelsen på kvelden 22. juli, og at de vurderte at alle tiltakene i planen var tatt hånd om. I intervjuene har det ikke fremkommet at sjekklisten for terror- og sabotasjeanslag i regjeringskvartalet ble brukt av kriseledelsen. De fleste i kriseledelsen var ikke kjent med at en slik sjekkliste eksisterte. Krisestaben implementerte en rekke av tiltakene i både nivå 1- og 3-planverket. Direktøren DSS var kriseleder, avdelingsdirektører, eventuelt de som fungerte, satt i staben, statusmøter ble avholdt og det var fokus på egne ansatte og kontinuitet i tjenesteleveransene. Gjennomgangen har imidlertid også avdekket betydelige avvik. Krisestaben ble sammensatt langt bredere enn planverket beskriver, og omfattet de første dagene også FAD og andre. Kommunikasjonsansvarlig ble ikke innkalt og denne funksjonen ble ikke fylt. Direktør HR, eventuelt den som fungerte, satt i krisestaben, men fylte bare i begrenset grad de oppgavene som var foreskrevet. Møtereferater, logger og intervjuene viser også at personell i DSS ikke ble varslet og mobilisert i henhold til planverket. I følge referatene var det aldri tema å iverksette SBS, og dette ble heller ikke initiert av andre. I følge nivå 1-planverket skal det ved terrorhendelser etableres krisestab i hver avdeling. Flere avdelinger satte stab på nivå 2, men intervjuene og dokumentasjonen har vist at heller ikke disse tok utgangspunkt i beredskaps- og krisehåndteringsplanene. Ingen av informantene har opplyst å ha brukt varslingslistene. Varslingen skjedde ved bruk av lagrede kontakter på mobiltelefon og ikke etter funksjon og prioritet slik det fremgikk av varslingslistene. Varslingslistene i nivå 1-planen var ikke oppdaterte.46 Det eksisterte et SMS46 Varslingslistene ble sist revidert april 2009 (vedlegg C i DSS' beredskaps- og krisehåndteringsplanverk (nivå 1)) PwC Side 33 av 48 Evaluering av DSS' innsats 22. juli 2011 varslingssystem for DSS IKT og IKT-koordinatorene i departementene, men ikke for DSS som sådan. Varslingslistene var tilgjengelige med fjernaksess, men det var kun IKT som tok i bruk denne løsningen. De intervjuede har gitt forskjellige begrunnelser for hvorfor planverket på nivå 1, 2 og 3 ikke ble fulgt. Enkelte har uttrykt at de ikke kjente til deler av planverk, mens andre uttrykt at planverket ikke var relevant for denne hendelsen. Når det gjelder tilgang på teknisk hjelpemidler for kriseledelsen i DSS var dette begrenset. De hadde ikke PC til disposisjon de første dagene, og det ble ikke benyttet krisestøtteverktøy slik som aksjonstavler, prioriteringsoversikter med tiltak og ansvar osv. i stabsarbeidet. De første dagene ble møtereferat ført for hånd. Disse inneholder i liten grad aksjonspunkter med prioriteringer, delegering og ansvar slik planverket foreskriver. Referatene ble ikke formidlet skriftlig. DSS kriseledelsen hadde ikke trent eller øvd sammen slik planverket krever. I følge planverket skal DSS bistå i evakuering av regjeringskvartalet, både av egne ansatte og av andre. Den kraftige eksplosjonen førte til at de som kunne det, evakuerte bygningene selv. Andre ble evakuert av kollegaer eller nødetatene. DSS bistod også i dette arbeidet. Ved evakuering var Youngstorget definert som oppmøteplass, men her etablerte nødetatene tidlig samlingsplass og sperringer. Dette gjorde Youngstorget lite egnet. Alternativt oppmøtested var ikke angitt i noe evakueringsplan.47 Det ble ikke gitt ordre om annet oppmøtested. I spørreundersøkelsen har over 90 % av informantene opplyst at de visste hvilke rømningsveier og oppsamlingspunkt som skulle benyttes ved evakuering fra egen arbeidsplass.48 Vurdering I intervjuene har informantene uttrykt at DSS' beredskaps- og krisehåndteringsplan ikke var til nytte under selve krisehåndteringen. Etter PwCs vurdering skyldes ikke dette selve innholdet i planen. For at en slikt planverk skal fungere i en krise må den bl.a. være oppdatert, ledelsen må ha satt seg inn i den, den må være forankret i organisasjonene og den må være øvet. Dette var ikke tilfelle for DSS, selv om planverket stilte krav om at dette skulle gjøres. Gjennomgående for DSS' håndtering var at denne ikke fulgte beredskaps- og krisehåndteringsplanene, verken på nivå 1, 2 eller 3. Varsling av kriseledelsen skjedde ikke etter funksjon og prioritet, kriseledelsen var ikke sammensatt slik planverket foreskrev og krisestaben utførte oppgaver som i planverk var tillagt avdelingsnivå. Til tross for at nivå 1 planverket ikke var kjent så ble flere av de forhåndsplanlagte tiltakene gjennomført i håndteringen, noe som er positivt og som viser at DSS' kriseledelsen hadde god gjennomføringsevne i en særdeles vanskelig situasjon. Det er imidlertid vår vurdering at kompetanse om og bruk av eksisterende planverk ville gitt gevinster for DSS i håndteringen. 4.5 Helse, miljø og sikkerhet Det var en bevissthet i kriseledelsen på ikke å slite ut ansatte Det ble ikke innført turnus eller rulleringsordning i kriseledelsen Oppfølging av sikkerheten til ansatte var ikke tilfredsstillende Operativt ansatte opplevede stor distanse til kriseledelsen Ledelsen gjennomførte en rekke tiltak for oppfølging av ansatte som ble sett på som positivt Observasjoner Intervjuene har vist at kriseledelsen var bevisst på at håndteringen kunne strekke ut i tid, og at det var viktig ikke å slite ut eget mannskap. Kriseledelsen valgte derfor å begrense innkallingen av ekstra personell. Deler av personellet ble tilbakekalt fra ferie, men ikke alle. Av den grunn ble også ledere beordret i planlagt ferie, også i første fase av krisehåndteringen. Det ble ikke innført turnus eller rulleringsordning i kriseledelsen, og enkelte DSS' beredskaps- og krisehåndteringsplanverk (nivå 1): Sjekkliste for evakuering ved brann, terrortrussel eller andre kriser hvor bygningene må forlates 48 DSS' interne evaluering "Kartlegging og evaluering av situasjonen i DSS etter bombeangrepet på Regjeringskvartalet 22. juli 2011" (2012) 47 PwC Side 34 av 48 Evaluering av DSS' innsats 22. juli 2011 informanter i kriseledelsen har opplyst at de var på jobb 24 timer i døgnet i de første dagene. Flere har pekt på at det i begrenset grad ble lagt til rette for omsorgstiltak for kriseledelsen, seksjonsledere og ledere på operativt nivå. Vakttjenesten har i intervjuene gitt uttrykk for at det i for liten grad ble lagt opp til rullering av operative mannskaper. Det har blitt pekt på at bedriftshelsetjenesten satte arbeidstidsbegrensning til seks timer, uten at dette ble kommunisert tydelig til vakttjenesten. I følge intervjuene jobbet enkelte til de ikke orket mer. I følge informantene i DSS' ledelse ble det gitt tilbud og iverksatt forpleiningstiltak, men i følge informantene i vakttjenesten nådde dette ikke ut. I følge referater fra krisestaben ble slik forpleining gitt til ansatte på P-Hotels på ettermiddagen lørdag 23. juli. Det er ikke funnet dokumentasjon på at andre ansatte, eksempelvis i vaktsentralen, fikk dette tilbudet. I intervjuene har det kommet frem at de som jobbet i vakttjenesten var usikker på egen sikkerhet, eksempelvis knyttet til om høyblokken kunne rase. Møtereferatene viser at Statsbygg inspiserte vaktsentralen natt til lørdag og redegjorde for den fysiske situasjonen på lørdagen. De orienterte også om skadeomfanget på de enkelte bygningene i regjeringskvartalet. Den 25. juli ble kriseledelsen orientert om at man kunne ta seg inn i bygningene, men kun for å hente det som absolutt var nødvendig. Informantene i vakttjenesten har pekt på at det ble gitt få signaler fra kriseledelsen om sikkerheten, og at slike vurderinger ikke ble tatt i forhold til situasjonen den enkelte befant seg i. I den første fasen ble området vurdert som farlig og det var uklart om det kunne komme flere anslag, men enkelte følte at kriseledelsen ikke tok dette inn over seg. Vakttjenesten opplevde generelt stor distanse til kriseledelsen. Andre informanter har trukket frem kriseledelsen hadde fokus på sikkerheten, men at risikobildet ble oppfattet ulikt hos den enkelte ansatte samt at ikke all informasjon nådde frem til de det gjaldt. Egenevalueringen til IKT samt intervjuene viser at det ikke ble gjort sikkerhetsmessige vurderinger før IKT tok seg inn i bygningsmassen for å iverksette kjøling. Det er i ettertid stilt spørsmål om dette var trygt. Flere informanter har trukket frem dette som eksempel på mangelen på sikkerhetsvurdering i krisehåndteringen. Et annet eksempel er at renholdere ble sendt inn i Finansdepartementet uten at det var foretatt risikovurdering. I intervjuene har kriseledelsen erkjent at dette ikke var tilfredsstillende. I følge møtereferatene fra kriseledelsen ble det åpnet opp for løpende innkjøp av nødvendig utstyr, og i følge intervjuene ble det åpnet for at ansatte selv kunne gå til slike anskaffelser. I intervju har flere i vakttjenesten pekt på at det var mangler på verneutstyr, og at det ble opplevd som frustrerende å jobbe i samme området som politiet og andre som hadde fullt verneutstyr når de selv ikke hadde dette tilgjengelig. Ansatte i vakttjenesten valgte da å gå til anskaffelse av det de mente var nødvendig verneutstyr, men opplevde å få kritikk for dette fra egen avdelingsledelse. HR var i følge eget nivå 2-planverk sentral når det gjelder oppfølging av ansatte i en krisesituasjon, men flere informanter har pekt på at HR ikke hadde tilstrekkelig kapasitet til å støtte ledelsen i akuttfasen. DSS etablerte et såkalt "åpent hus" på P-Hotels på lørdagen 23. juli. Flere informanter har opplyst at mange fra Resepsjonstjenesten og Vakttjenesten møtte opp. I tillegg viser møtereferater og intervjuer at kriseledelsen tilbakekalte personell i bedriftshelsetjenesten fra ferie, og at psykolog ankom P-Hotels før midnatt 22. juli. Entil-en samtaler med ansatte ble påbegynt natt til lørdag. I tillegg tilkalte kriseledelsen Forsvarets Sanitet (FSAN) som støtteressurs, og flere informanter har trukket frem dette som positivt. I følge kriseledelsens møtereferat var FSAN i gang med debrifing mandag 25. juli. Personell blant annet tilknyttet SAV har kritisert at tilbudet om debrief ikke var kommunisert godt nok ut i organisasjonen. I følge intervjuer med kriseledelsen så fikk man etter hvert involvert de ansatte i SAV som hadde deltatt i håndteringen, og gitt tilbud om debrifing, helsekontroll og individuell oppfølging av helsepersonell. Flere i ledelsen har pekt på at ansatte kan ha hatt overdrevne forventninger i forhold til ressursene som var tilgjengelig. Det ble avholdt to allmøter for DSS 25. juli og 01. august. Allmøtene ble ledet av direktør DSS. Informantene har opplyst at dette ble opplevd som svært positivt av de ansatte. Møtereferatene viser at de tillitsvalgte gav positiv tilbakemelding både på etableringen av "åpent hus" og allmøtene. Det ble avholdt minnestund fredag PwC Side 35 av 48 Evaluering av DSS' innsats 22. juli 2011 29. juli for ansatt som omkom. Spørreundersøkelsen fra DSS' interne evaluering etter 22. juli viser at flertallet av de ansatte var fornøyde med hvordan HMS-arbeidet ble tilrettelagt med "åpent hus" og allmøter, og hvordan DSS ivaretok egne ansatte over tid. 49 Vurdering Intervjuer og dokumentasjon viser at en rekke HMS-tiltak ble identifisert og gitt prioritet av kriseledelsen. Det er vår vurdering at HMS hadde et sterkt og konstant fokus i ledelsen. Grunnet manglende kommunikasjonsstrategi overfor egne ansatte klarte imidlertid ikke ledelsen å få formidlet dette til alle involverte. Også debrifing ble iverksatt tidlig, men kapasiteten stod ikke i forhold til behovet. Det er vår vurdering at oppfølgingen i akuttfasen fungerte best for de avdelingene som etablerte egen krisestab. Rulleringen av mannskapene fungerte ikke tilfredsstillende, spesielt ikke i kriseledelsen og blant vaktmannskapene. Dette synes heller ikke å ha vært prioritet i ledelsen. Slik situasjonen utviklet seg førte valget om ikke å mobilisere til en ujevn belastning på mannskapene. Sentrale aktører slet seg ut. Det at personell ble sendt på ferie hadde en del uheldige konsekvenser, og førte bl.a. til ekstra belastning for de som skulle fortsette håndteringsarbeidet. Belastningen ble forsterket av at ikke HR mobiliserte fullt ut, samt at bedriftshelsetjenesten i utgangspunktet hadde for lav bemanning i forhold til behovet. Etter vår vurdering fikk det operativt mannskapet lite styringsinformasjon fra ledelsen når det gjaldt bygningssikkerhet. Dette gjaldt særlig vakttjenesten. Sikkerhetsvurderingene ble i stor grad tatt av den enkelte som befant seg i situasjonen, noe som er utilfredsstillende. Kriseledelsen hadde et sterkt fokus på kontinuitet i tjenesteleveransene og delvis på HMS. Når det gjaldt løpende sikkerhetsvurderinger for eget personell sviktet det imidlertid. Dette ble trolig forsterket av at SAV ikke satt stab på nivå 2, noe som førte til mangelfull vertikal interaksjon. 49 DSS' interne evaluering "Kartlegging og evaluering av situasjonen i DSS etter bombeangrepet på Regjeringskvartalet 22. juli 2011" (2012) PwC Side 36 av 48 Evaluering av DSS' innsats 22. juli 2011 5 Læringspunkter og anbefalte tiltak Evalueringen skal bidra til å videreutvikle sikkerhets- og beredskapsarbeidet til DSS slik at organisasjonen står bedre rustet både til å forebygge og håndtere fremtidige uønskede hendelser. I dette kapitelet skisseres sentrale læringspunkter som har fremkommet i gjennomgangen av hovedundersøkelsesområdene. Basert på disse angis forslag til tiltak. Læringspunktene og tiltakene følger evalueringens hovedinndeling og er dermed knyttet til hhv. beredskapssituasjonen før 22. juli og til håndteringen av angrepet. Læringspunktene og tiltakene knyttet til beredskapssituasjonen og håndteringen henger tett sammen. Systematisk og kontinuerlig fokus på sikkerhets- og beredskapsarbeid i det daglige er en forutsetning for god håndtering når krisen inntreffer. Evalueringen gir et hovedinntrykk av at DSS, ut fra de faktiske forutsetningene, håndterte krisen 22. juli tilfredsstillende. Evalueringen har allikevel avdekket flere læringspunkter og tiltak som vil bidra til å forbedre DSS' sikkerhets- og beredskapssystem. I denne evalueringen har det vært fokus på system. Læringspunkter og tiltak er dermed på systemnivå. Evalueringen har hatt som mandat å se på beredskapssituasjonen og håndteringen 22. juli 2011 og de kommende dagene. Den har ikke sett på utviklingen av beredskapsarbeidet i DSS etter dette. Det kan derfor ikke utelukkes at DSS har implementert eller har planlagt implementert flere av de anbefalte tiltakene. 5.1 Beredskapssituasjonen 22. juli 2011 Før 22. juli hadde DSS gjennomført en rekke tiltak som samlet skulle bidra til å heve sikkerheten og beredskapen både internt i DSS og i regjeringskvartalet. DSS hadde bl.a. etablert et system for risikostyring som stilte krav om gjennomføring av risiko- og sårbarhetsanalyser, utvikling av beredskapsplaner, regelmessig gjennomføring av øvelser osv. En hovedutfordring i DSS var imidlertid at dette systemet ikke ble fulgt opp. Evalueringen har også vist at DSS sto overfor flere eksterne utfordringer, og at disse hadde implikasjoner for DSS' ansvaret for sikkerheten og beredskapen i regjeringskvartalet. Med utgangspunkt i evalueringen mener PwC at DSS kan trekke lærdom og bør videreutvikle sitt sikkerhets- og beredskapsarbeid på følgende områder: - Relasjon til departementsfelleskapet og andre Styringsdialogen med FAD Intern risikostyring Beredskapsplanverk Sikkerhetskultur Som analysen viser er disse områdene tett sammenkoblet og de anbefalte tiltakene må derfor ses i sammenheng. 5.1.1 Relasjon til departementene og andre Ansvaret for objektsikringen i regjeringskvartalet er delt mellom flere. I utøvelse av vakt- og sikringstjenesten må DSS derfor samarbeide med en rekke aktører, både fra departementsfelleskapet, inkludert FAD, og eksterne aktører, eksempelvis politiet. PwC Inngå dialog med FAD for å avklare ansvarsdeling mellom FAD/DSS og det øvrige departementsfelleskapet. Ansvarsdelingen for objektsikkerheten mellom flere er en utfordring, og DSS bør initiere en dialog med tilgrensende aktører for å tydeliggjøre ansvarsdelingen på dette feltet. Side 37 av 48 Evaluering av DSS' innsats 22. juli 2011 Fronte felles sikkerhetsinitiativ overfor departementsfellesskapet. DSS bør sammen med FAD innta en pådriverrolle overfor departementsfellesskapet når det gjelder å skape en forståelse for betydningen av forskjellige sikkerhets- og beredskapsinitiativ. Tydeliggjøre og avklare informasjonsforventninger mot politi og andre. DSS må gå i dialog med politi, NSM og andre relevante myndigheter for å få avklaring på hvilken type informasjon, bl.a. knyttet til utarbeidelse av risiko-, trussel- og sårbarhetsvurderinger, de selv må fremskaffe, og hva de kan forvente at andre aktører gir dem. Avklare av spørsmålet om begrenset politimyndighet i regjeringskvartalet. DSS bør gå i dialog med relevante myndigheter og diskutere behovet for styrket hjemmelsgrunnlag. Dette vil kunne bidra til å finne bedre og mer operative løsninger på vakttjenestens håndtering av usikre gjenstander, og vil bidra til å avklare vakttjenestens behov for verneutstyr osv. 5.1.2 Styringsdialogen med FAD Departementet har det overordnede ansvaret for å sikre at underliggende etat gjennomfører sin aktivitet i tråd med Stortingets vedtak og forutsetninger. Underliggende etat har ansvar for å planlegge virksomheten slik at mål og resultatkrav ble oppnådd innenfor gitte budsjettmessige rammer. FAD og DSS har et delt ansvar i styrings- og rapporteringskjeden og er begge ansvarlig for å kommunisere utfordringer gjennom den etablerte dialogen. Sikkerhet og beredskap må bli en integrert del av styringsdialogen. Dette feltet må få en sentral plass på linje med andre krav og føringer. Utfordringer på dette feltet må kommuniseres tydelig. DSS må ta ansvar for å informere FAD om utfordringer på sikkerhets- og beredskapsfeltet både av faglig og økonomisk karakter. Dette må gjøres på en systematisk måte gjennom styringsdialogen. De mest kritiske utfordringene må prioriteres og synliggjøres i henhold til dette. Dette vil legge til rette for bedre fagdiskusjon mellom DSS og FAD på dette feltet. DSS må gi tilbakemelding til FAD på opplevde utfordringer i styringsdialogen. Hvis DSS opplever at den interne organiseringen i FAD står i veien for en konstruktiv styringsdialog har de selv et ansvar for å kommunisere dette i styringsdialogen. I den forbindelse bør det foretas en klargjøring av ansvarsdeling i FAD, mellom sikringsenheten og etatsstyringsenheten. Det anbefales at ansvarlig for sikringsenheten møter jevnlig i etatsstyringsmøtene. 5.1.3 Intern risikostyring Å forstå egen risiko og implementere tiltak er sentrale komponenter i god risikostyring. Dersom DSS skal lykkes i sikkerhets- og beredskapsarbeidet må den utviklede systematikk etterleves og avvik følges opp. DSS må etterleve etablert system for risikostyring. Det må stilles krav om etterlevelse av etablert system, bl.a. gjennomføring av overordnede risiko- og sårbarhetsanalyser, regelmessig gjennomgang av krisehåndterings- og beredskapsplanverket, oppdatering av varslingslister, utvikling av øvingsplaner, gjennomføring og evaluering av øvelser osv. Planer og prosedyrer for risikostyringen må ivaretas av personer med kapasitet og kompetanse. Risikostyring er et ledelsesansvar, og direktør og avdelingsledere må gis et tydelig ansvar for dette. De er også ansvarlig for å sikre at bemyndiget personell har tilstrekkelig kapasitet og kompetanse. Det bør også vurderes etablert sikkerhetsansvarlig i avdelingene som skal følge opp det løpende arbeidet med sikkerhet og beredskap. Disse bør inngå i et sikkerhets- og beredskapsnettverk som har jevnlige møter. DSS må utarbeide virksomhetsovergripende risiko og sårbarhetsanalyse. Både ledelse og SIBE bør ta en mer aktiv rolle i å sikre at dette blir gjort og uakseptabel risiko følges opp med tiltak. Eksempler på slike tiltak er oppdatering av beredskapsplanverk, gjennomføring av øvelser, PwC Side 38 av 48 Evaluering av DSS' innsats 22. juli 2011 implementering av kompetansehevende tiltak osv. Samlet skal dette bidra til at nivå på beredskapen, også når det gjelder materiell og utstyr, er dimensjonert basert med utgangspunkt i identifisert risiko og sårbarhet. Alle avdelingene bør rapportere årlig til direktøren om status sikkerhet og beredskap. Det bør gjennomføres årlige møter der leder SIBE og avdelingsdirektørene deltar. I disse bør man gjennomgå delprosessene i sikkerhetsstyringen og rapportere på status. Det bør etablert et årshjul som denne rapporteringen avstemmes mot. Grensoppegangen mellom SAV og SIBE må i den forbindelse tydeliggjøres og kommuniseres til organisasjonen. DSS bør styrke sin analyse- og utrederkompetanse. En forutsetning for å lykkes med sitt sikkerhets- og beredskapsarbeidet er at det etableres et robust analysemiljø som bidrar til at ledelsen får et godt beslutningsgrunnlag. Dette vil også bidra til at DSS kommuniserer sine utfordringer til FAD på en hensiktsmessig måte. 5.1.4 Beredskapsplanverk og – organisasjon Beredskapsplanverket skal sikre et systematisk og helhetlig beredskapsarbeid som gir trygghet for at uønskede hendelser håndteres på best mulig måte. Sannsynligheten for å lykkes i en krisehåndtering øker hvis planverket er allment kjent, roller og ansvar er tydelig definert og planverket er øvet. Det må det være en tydelig fordeling av ansvar og roller i beredskapsplanverket. Det må fremgå tydelig hvilke funksjoner som skal dekkes i en kriseledelse, og det må være prosedyrer for mobilisering og rullering av disse. Alle ansatte må ha kjennskap til relevant planverk og kjenne sin egen rolle. Dette kan sikres bl.a. gjennom trening, kurs og opplæring. Dette må også evalueres bl.a. gjennom regelmessige stabsøvelser ol. Det må også sikres at planverket er tilgjengelig for alle ansatte. DSS må investere i trening og opplæring av personell. Dette gjelder både kompetansen til den enkelte ansatte innenfor sitt ansvarsområde, og i forhold til DSS' beredskaps- og krisehåndteringsplanverket. Dette inkluderer også gjennomføring av øvelser og evaluering. 5.1.5 Sikkerhetskultur Sikkerhetskultur er summen av de ansattes kunnskap, motivasjon, holdninger og atferd slik de kommer til uttrykk gjennom en virksomhets totale sikkerhetsatferd.50 Manglende sikkerhetskultur er ofte et resultat av individers eller organisasjoners manglende sikkerhetsbevissthet og sikkerhetsatferd, noe som både kan skyldes manglende kunnskap eller svake holdninger. 50 Sikkerhet og beredskap må bli en integrert del av organisasjonen. I DSS må sikkerhet og beredskap bli sett på som en sentral del av virksomheten, arbeidet må ha klare målsettinger, dedikerte personer bør jobbe med dette og disse må ha tilstrekkelig kapasitet og kompetanse. DSS bør i samarbeid med FAD jobbe systematisk med å etablere bedre sikkerhets og beredskapskultur i departementsfellesskapet og i DSS. God sikkerhetskultur bygges gjennom kontinuerlig bevisstgjøring, trening og motivasjon av de ansatte, eksempelvis gjennom informasjonskampanjer eller møteplasser der DSS forklarer hvorfor sikkerhetstiltak er viktig. En tydelig "tone at the top" er en forutsetning. Ledelsen må gjenta budskapet til de ansatte over tid Ansatte i DSS må inkluderes i risikostyringsprosessene. Dette gjelder både utviklingen av risiko- og sårbarhetsanalyser, beredskapsplanverk, gjennomføring av øvelser osv. Dette bidrar til å gi økt forståelse for risiko, kunnskap om virksomhetens rutiner for forbygging og håndtering, og til at feltet får en sentral plass i bevisstheten til de ansatte. NSM "Hva er sikkerhetskultur". Kilde: https://www.nsm.stat.no/Arbeidsomrader/Sikkerhetskultur PwC Side 39 av 48 Evaluering av DSS' innsats 22. juli 2011 5.2 Håndteringen 22. juli 2011 Evalueringen har vist at DSS evnet å sikre kontinuiteten i viktige tjenester til departementsfelleskapet etter 22. juli. Arbeidet med å opprettholde kontinuitet ble i stor grad ivaretatt av samme personell som jobber med dette i det daglige, noe som var en suksessfaktor. Enkeltpersoner stod frem og presterte over forventing i en meget vanskelig situasjon. Kriseledelsen hadde et tett samarbeidet med FAD, og dette hadde positiv effekt på informasjonsflyten. DSS arrangerte også "åpent hus" og tilbød debrifing til de ansatte, noe som ble godt mottatt i organisasjonen. Organiseringen av kriseledelsen skapte imidlertid også utfordringer for den interne samhandlingen. Kriseledelsen lyktes i enkelte tilfeller ikke med å formidle styringsinformasjon nedover i egen organisasjon, allokere ressurser etter behov og omsette identifiserte tiltak til handling. I SAV oppsto det et vakuum mellom egen ledelse og særlig vakttjenesten. PwC vurderer at sentrale læringsmomenter og oppfølgende tiltak i håndteringen kan knyttes til følgende områder: - Stabsmetodikk Varsling og mobilisering Kommunikasjon, intern samordning og koordinering De anbefalte tiltakene er tett koblet til "før-situasjonen" og må dermed ses i sammenheng med disse. 5.2.1 Stabsmetodikk Stabsmetodikken er beredskapsledelsens overordnede tilnærming til håndteringen av en krise. Målsettingen er å styre en hendelsesutvikling i en ønsket retning. Stabsmetodikken bidrar til å definere grunnlaget for å iverksette tiltak. Erfaring viser at sannsynligheten for å lykkes med krisehåndteringen er større hvis det er en klar systematikk i stabsarbeidet. Praktisere en proaktiv stabsmetodikk. Beste praksis viser at kriseledelse, også på strategisk nivå, bør praktisere en proaktiv beredskapsmetodikk. Dette er en potensialstyrt metodikk utviklet for å agere ut i fra en "worst case"-tenking. Sentralt i en slik metodikk er at ledelsen på et tidlig tidspunkt etablerer fokus på hendelsens utviklingspotensial. Metodikken påvirker terskelen for varsling og mobilisering av kapasitet. Trene og øve på stabsmetodikk, samhandling og kommunikasjon. DSS bør i større grad legge til rette for at trening og øvelser gir gevinster i det daglige arbeidet, eksempelvis for beslutningstaking, mediehåndtering, samhandling og kjennskap til hverandres ansvarsområder. DSS må sikre at etablert øvelsesprogram etterleves. Utarbeide et funksjonelt og operativt planverk. Planverket til DSS skilte ikke mellom strategisk og operativ del. Det bør utarbeide operative aksjonslister til hver funksjon som ivaretar den proaktive stabsmetodikken, samt trene opp faste funksjoner og stedfortredere i bruken av aksjonslistene. DSS bør vurdere å anskaffe et helhetlig krisestøtteverktøy og eventuelle tilleggsverktøy som gjør planverk og varslingslister tilgjengelig for ledelse og ansatte. Sørge for notoritet og eierskap til prioriterte oppgaver. DSS bør sikre at kriseledelse bruker fokusaksjonstavler og loggføring som ivaretar styring og koordinering. Dette vil også bidra sette fokus på prioriterte tiltak, samt klargjøre roller og ansvar. 5.2.2 Varsling og mobilisering Rask og effektiv mobilisering av sentrale funksjoner er ofte en forutsetning for å lykkes i krisehåndteringen. Det handler om å komme godt i gang for å lykkes på sikt. I den første fasen er det en rekke oppgaver som skal utføres, eksempelvis å utarbeide et felles situasjonsbilde, prioritere, allokere og samordne tiltak, samt skaffe PwC Side 40 av 48 Evaluering av DSS' innsats 22. juli 2011 oversikt over egne ansatte. I de fleste kriser vil det være utfordrende å ivareta krisehåndteringen med normal bemanning, og det er derfor viktig å skaffe oversikt over tilgjengelig personell og komme raskt i gang med rullering. Mobilisere tilstrekkelig kapasitet. For å sikre sterk mobiliseringsevne og riktig sammensetning av kriseledelsen bør det i planverket fremgå tydelig hvilke funksjoner som inngår i kriseledelsen, herunder hvem som har trening og opplæring, og hvordan innkallingen av disse skal skje. Dette gjelder også for mobilisering av operativt personell og andre sentrale funksjoner for å opprettholde kontinuiteten i tjenestene. Sørge for rullering og ivaretakelse av eget personell. DSS bør vurdere å etablere turnus og rullering i en tidlig fase av håndteringen for å hindre uakseptabel belastning på enkeltpersoner/funksjoner. Etablere rutiner for informasjonsformidling. For å forebygge potensielle traumer er det viktig å gi korrekt informasjon tidlig, at de ansatte opplevelsen trygghet og legge til rette for kontakt med pårørende og kollegaer. DSS bør videreutvikle eksisterende plan til en psykososial omsorgsplan i tett samarbeid med fagpersoner. Bedriftshelsetjenesten bør inkluderes i dette arbeidet. 5.2.3 Kommunikasjon, intern samordning og koordinering Krisesituasjoner preges ofte av stor usikkerhet og stiller store krav organisasjoner når det gjelder formidling av informasjon. Det er viktig å sikre at informasjon som formidles er relevant, oppdatert og situasjonstilpasset – og at den formidles raskt. En forutsetning for å lykkes med dette er at det i forkant er etablert prosedyrer for informasjonsformidling. Styrke egen krisekommunikasjon. DSS bør styrke egen mediekompetanse, utarbeide klare retningslinjer og sørge for at krisekommunikasjonsplanen i større grad ivaretar ekstern informasjonsstrategi og proaktive tiltak som kan bidra til å identifisere medievinklinger Innarbeide prosedyrer for intern informasjonsformidling. Slike prosedyrer må inneholde informasjon om hvilke informasjonsbærere som skal benyttes, hvilke funksjoner som er ansvarlig for gjennomføring og forlag til budskap. Det må utpekes personer i avdelingene som er som er ansvarlig for å holde oversikt over personell, deres funksjoner i kriseledelse og krisestab, og som sikrer at kontaktinformasjonen er oppdatert. PwC Side 41 av 48 Evaluering av DSS' innsats 22. juli 2011 Vedlegg 1 - Evalueringskriterier Beredskapssituasjonen 22. juli 2011 Roller og ansvar: Dette hovedområdet ser på fordeling av roller og ansvar slik det fremkommer i styringsdokumentasjon og planverk, og oppfatning av roller og ansvar i organisasjonen. Sikkerhetsloven stadfester de overordnede ansvarsforholdene for sikkerhet og objektsikkerhet i regjeringskvartalet, og vil være det overordnete kriteriet. Økonomireglementets kapittel 1 og 2 regulerer departementets styring av virksomheter og virksomhetens interne styring, og operasjonaliserer det overordnete regelverket. Evalueringskriterier som har blitt benyttet i gjennomgangen av dette hovedområdet er: - Ansvarsdeling på sikkerhets- og beredskapsfeltet mellom DSS og andre, inkludert mot FAD, departementsfelleskapet, politiet osv., og om dette var dokumenter og kjent av ledelsen og ansatte På sikkerhets- og beredskapsfeltet var det en tydelig ansvarfordeling internt i DSS, både mellom ledelsen og avdelingene, mellom avdelingene og mellom enheten. De ansatte i DSS hadde kunnskap om den interne ansvarsdelingen i DSS Mål, strategi og økonomi: Ifølge reglement for økonomistyring i staten § 1 skal midler som er tildelt over statsbudsjettet brukes i samsvar med Stortingets vedtak og forutsetninger. Regelverket har som formål å sikre at mål og resultatkrav oppnås, og at statlige midler brukes effektivt. FAD har det overordnede ansvaret for at de grunnleggende styringsprinsippene i økonomireglementet § 4 jf. kapittel 1 og 2 i bestemmelsene og økonomistyring i staten følges. Departementet har ansvar for å sikre at fastsatte mål og resultatkrav for de midlene som tildeles DSS oppnås, at ressursbruken er effektiv, og at virksomheten drives i samsvar med gjeldende lover og regler, blant annet krav til god forvaltningsskikk, habilitet og etisk atferd.51 DSS har på sin side ansvar for å informere om eventuelle hindre som gjør måloppnåelse vanskelig,52 og skal til enhver tid innrette sin virksomhet etter de forutsetninger og krav som defineres i Prop 1 S, tildelingsbrevet og øvrige dokumenter som virksomhetsplan og aktivitetsplaner for gjeldende år. Evalueringskriterier som har blitt benyttet i gjennomgangen av dette hovedområdet er: - FAD hadde etablert tydelige mål- og resultatkrav innenfor sikkerhet- og beredskap som DSS ble målt på DSS rapporterte årlig til FAD på måloppnåelse innenfor sikkerhet og beredskap, og eventuelle utfordringer ble kommunisert skriftlig til FAD Sikkerhet og beredskap var et tema i alle etatsstyringsmøtene mellom DSS og FAD DSS omsatte og operasjonaliserte i mål og resultatkrav på sikkerhet og beredskap gjennom virksomhetsplaner og aktivitetsplaner Risiko- og sårbarhetsanalyser: Dette hovedområdet ser på vurdering av risiko og sårbarhet sett opp mot krav og føringer. I Økonomireglementet stilles det et generelt krav om at alle virksomheter skal etablere intern kontroll (jf. kapittel 2.4), at denne skal være tilpasset risiko og vesentlighet, og at dette skal dokumenteres. I tillegg er det tatt utgangspunkt i generelle retningslinjer og veiledere fra DSB for utarbeidelse og implementering av risiko- og sårbarhetsanalyser.53 Evalueringskriterier som har blitt benyttet i gjennomgangen av dette hovedområdet er: - DSS hadde utarbeidet en virksomhetsovergripende risiko- og sårbarhetsanalyse DSS hadde en felles prosess og metode for utarbeidelse av risiko- og sårbarhetsanalyser Det forelå krav om oppdatering av risiko- og sårbarhetsanalysen som ble fulgt Reglement for økonomistyring i staten, Bestemmelser om økonomistyring i staten, Fastsatt 12. desember 2003 med endringer Ibid. 53 Se blant annet DSBs "Veiledning til forskrift om kommunal beredskapsplikt" (2012) 51 52 PwC Side 42 av 48 Evaluering av DSS' innsats 22. juli 2011 - Identifiserte risikoer ble fulgt opp og ansvarlig for dette var identifisert Beredskapsplanverk og -organisasjon: Dette hovedområdet ser på dimensjonering av beredskapsplanverket og i hvilken grad organisasjonen var tilpasset eksterne krav og føringer. DSB har definert kriterier for planverk og organisering, blant annet at de tar utgangspunkt i gjennomførte risiko- og sårbarhetsanalyser, har tydelig beskrivelse av ansvar og funksjoner, inneholder oppdaterte varslingslister osv.54 DSS har skissert kriterier for beredskapsplanverk og -organisering i egen beredskaps- og krisehåndteringsplan nivå 1. Evalueringskriterier som har blitt benyttet i gjennomgangen av dette hovedområdet er: - DSS hadde beredskaps- og krisehåndteringsplaner som ble oppdatert årlig DSS hadde delplaner for avdelingsnivå som ble oppdatert årlig Planverket tok utgangspunkt en oppdatert risiko- og sårbarhetsanalyse Funksjonene i kriseledelsen var tydelig definert, og personellet hadde kompetanse om disse Ansatte hadde vært involvert i utarbeidelse av planverket Bemanning og kompetanse: Dette hovedområde vil se på i hvilken grad DSS hadde en tilfredsstillende bemanning og om de hadde nødvendig kompetanse for å utøve sitt oppdrag. DSB har definert kriterier for bemanning og kompetanse, blant annet at man har en bemanning som kan dekke definerte arbeidsoppgaver, at det er etablert et system for opplæring av alle med en rolle i krisehåndteringen, at det gjennomføres regelmessig øvelser osv.55 I DSS hadde SAV definerte kompetansekrav gjennom "Konsept for stilingskompetanse og autorisasjon" (2010). Evalueringskriterier som har blitt benyttet i gjennomgangen av dette hovedområdet er: - DSS hadde tilstrekkelig bemanning til å gjennomføre pålagte arbeidsoppgaver Det var etablert et helhetlig opplæringsprogram for DSS DSS hadde en utviklet virksomhetsovergripende øvingsplan som ble revidert og oppdatert årlig DSS gjennomførte årlig flere typer øvelser, inkludert varslingsøvelser, stabsøvelser, spilløvelser og diskusjonsøvelser Utstyr og materiell: Dette hovedområdet vil se på ressurs og utstyrssituasjonen mht. sambandsløsninger, verneutstyr, kameraovervåkning, vaktsentral, IKT løsninger, kommunikasjonsutstyr, lokaler mv. NSM, POD og PST har utarbeidet en veileder der relevante tiltak for terrorsikring presenteres. Tiltak skal ta utgangspunkt i gjennomførte risiko- og sårbarhetsanalyser og eksisterende grunnsikring, og menneskelige, teknologiske og organisatoriske tiltak skal samlet bidra til en balanserte sikring av objektet.56 Evalueringskriterier som har blitt benyttet i gjennomgangen av dette hovedområdet er: - Anskaffelse av utstyr og materiell tok utgangspunkt i gjennomførte risiko- og sårbarhetsanalyser, og bidro til en balansert sikring av regjeringskvartalet DSS hadde oppdatert utsyr og materiell, og dette var egnet til å detektere, forsinke og reagere på uønskede ville handlinger Personellet i DSS hadde oppdatert sikrings- og verneutstyr Håndtering 22. juli 2011 Kapasitet og ledelse: Dette hovedområdet har fokus på å identifisere erfaringer fra ledelsen av DSS' krisehåndtering 22. juli og vurdere om det var kapasitet, kompetanse og ressurser til å gjennomføre denne tilfredsstillende. DSS hadde skissert krav til kapasitet og ledelse i eget krisehåndterings- og Se blant annet DSBs "Departementenes systematiske samfunnssikkerhets- og beredskapsarbeid – Veileder" (2007). Ibid. 56 Se NSM, POD og PSTs "En veiledning - Sikkerhets- og beredskapstiltak mot terrorhandlinger" (2010) 54 55 PwC Side 43 av 48 Evaluering av DSS' innsats 22. juli 2011 beredskapsplanverk. Det er i tillegg tatt utgangspunkt i beste praksis, blant annet fra Evaluering av politiets innsats 22. juli (2012). Evalueringskriterier som har blitt benyttet i gjennomgangen av dette hovedområdet er: - DSS hadde forhåndsutpekt personell til de ulike ledelses- og stabsfunksjoner Personellet som deltok i håndteringen hadde nødvendig kompetanse om planverk Det var effektiv utnyttelse av tilgjengelig personell og kompetanse Det var effektiv beredskapsledelse på de ulike nivåene, herunder god koordinering og hensiktsmessig utnyttelse av ressursene Tilgjengelige verktøy og metoder for loggføring, dokumentering og arkivering ble benyttet Det ble gjennomført rullering av personell som tok utgangspunkt i etablerte prosedyrer som bidro til å sikre robusthet og utholdenhet Planverk: Dette hovedområdet har fokus på å identifisere om håndteringen ble gjennomført med utgangspunkt i eksisterende planverk, både overordnet planverk slik det fremkommer i DSS' krisehåndteringsog beredskapsplanverk, og i avdelingenes nivå 2-planer. Kvaliteten på krisehåndterings- og beredskapsplanverket blir vurdert i evalueringen av beredskapssituasjonen. Evalueringskriterier som har blitt benyttet i gjennomgangen av dette hovedområdet er: - DSS tok utgangspunkt i organisasjonens beredskaps- og krisehåndteringsplanverk, både nivå 1, 2 og 3 Relevant planverk var tilgjengelig for både kriseledelsen og for alt operativt personell både før og under krisen Den sentrale krisestaben i DSS (nivå 1) dekket alle funksjonene beskrevet i planverket Personell ble varslet og mobilisert slik planverket foreskriver, og responstiden var tilfredsstillende Rolleforståelse, samordning og koordinering: Dette hovedområdet har fokus på å identifisere erfaringer knyttet til kommunikasjon, informasjonstilgang, samhandling og forståelse av rolle, ansvar og oppgaver. DSS hadde skissert krav til både rolleforståelse, samordning og koordinering i eget krisehåndteringsog beredskapsplanverk på nivå 1. Det er i tillegg tatt utgangspunkt i beste praksis, blant annet fra Evaluering av politiets innsats 22. juli (2012). Evalueringskriterier som har blitt benyttet i gjennomgangen av dette hovedområdet er: - Kriseledelsen og de som deltok i håndteringen hadde en klar forståelse av eget ansvarsområde Det var en tydelig forståelse i DSS av arbeidsdelingen mot andre aktører, inkludert mot FAD, andre departementer og mot nødetatene DSS' kriseledelse sine krav og forventninger til egne ansatte ble tydelig kommunisert under krisen Kriseledelsen jobbet frem et omforent situasjonsbilde, som ble løpende vedlikeholdt Informasjonsstrategi, media- og publikumshåndtering: Dette hovedområdet har fokus på å identifisere erfaringer knyttet til informasjonsvirksomhet og mediehåndtering, og vurderer blant annet om DSS hadde tilstrekkelig kapasitet og kompetanse og om det var tydelige rolle- og ansvarsavklaringer internt og eksternt. Kriteriene tar utgangspunkt i krav skissert i DSS krisehåndterings- og beredskapsplanverk (nivå 1) og i "Krisekommunikasjonsstabens beredskapsplan" (nivå 2). I tillegg er det også her tatt utgangspunkt i beste praksis slik det blant annet fremkommer i Evaluering av politiets innsats 22. juli (2012). Evalueringskriterier som har blitt benyttet i gjennomgangen av dette hovedområdet er: - PwC Kriseledelsens informasjonsstrategi var basert på DSS' planverk Kriseledelsen utvekslet løpende informasjon med samarbeidspartnere, inkludert FAD, andre departementer og med nødetatene Kriseledelsen hadde en mediestrategi som ble samordnet med andre aktører, inkludert FAD DSS hadde fokus på internkommunikasjon og evnet å holde egne ansatte oppdatert gjennom krisen Formidling av informasjon til pårørende ble håndtert tilfredsstillende Side 44 av 48 Evaluering av DSS' innsats 22. juli 2011 Helse, miljø og sikkerhet: Dette hovedområdet har fokus på å identifisere og evaluere rutiner for å sikre at personellets behov knyttet til helse, miljø og sikkerhet ble ivaretatt forsvarlig i krisehåndteringen. Også i kriser skal det tilrettelegges for å drive virksomheten på en slik måte at det ikke oppstår unødvendig skade på personell, miljø eller materiell. I utarbeidelse av kriterier er det utgangspunkt i beste praksis slik det blant annet fremkommer i Evaluering av politiets innsats 22. juli (2012). Evalueringskriterier som har blitt benyttet i gjennomgangen av dette hovedområdet er: - PwC Kriseledelsen i DSS etablerte prosedyrer for å sikre at personell på alle nivåer ikke ble overbelastet Alle ansatte fikk tilbud om debriefing så fort dette praktisk lot seg gjennomføre Det ble foretatt løpende identifisering og vurdering av risikoforhold, og dette ble kommunisert til personellet Side 45 av 48 Evaluering av DSS' innsats 22. juli 2011 Vedlegg 2 - Referanse- og litteraturliste DSB (2012) Veiledning til forskrift om kommunal beredskapsplikt DSB (2007) Departementenes systematiske samfunnssikkerhets- og beredskapsarbeid – Veileder DSS (2007) Driftsberedskap og beredskapsplanlegging i IFA (nivå 2) DSS (2007) DSS’ økonomiske rammebetingelser DSS (2007) DSS’ arbeid med flerårig investeringsplan - samt investeringsbehov de nærmeste årene DSS (2008-2011) Tildelingsbrev DSS (2008-2011) Virksomhetsplan DSS (2008-2011) Aktivitetsplaner DSS (2008-2011) Tertialrapportering DSS (2008-2011) Referat fra etatsstyringsmøtene DSS (2008-2010) Strategi DSS (2008) Krisekommunikasjonsstabens beredskapsplan (nivå 2) DSS (2008) Risiko- og sårbarhetsanalyse (ROS) - revisjon 05.05.2008 DSS (2009) FTA Driftsberedskap og krisehåndtering (nivå 2) DSS (2009) Nivå 2 PERS – driftsberedskap og krisehåndtering datert 9.12.2009 DSS (2009) Evalueringsrapport øvelse Hawkeye 06072009 DSS (2009) Når kommer pandemien_ Papirøvelse 2009 DSS (2009) Tiltakskort– Funn av mistenkelig gjenstand/eksplosiver DSS (2009) Mandat for forprosjekt ny vaktsentral DSS (2009) Rapport fra Forprosjekt ny vaktsentral DSS (2009) Notat fra DSS til FAD 28092009: Risikobildet i DSS DSS (2009) Statsbudsjettet 2009 - tilleggsbevilgninger og omprioriteringer våren 2009 DSS (2010) Halvårsrapport sikringstjenester 2010/01. Rapport fra DSS til FAD DSS (2010) Halvårsrapport sikringstjenester – annet halvår 2010. Rapport fra DSS til FAD DSS (2010) Dokumentasjon Hawkeye øvelse AV 2009-2010 DSS (2010) Evalueringsrapport øvelse Hawkeye 2010 12072010 DSS (2010) Redundant vaktsentral - epost utveksling 2010 DSS (2010) SAV - Konsept for stilingskompetanse og autorisasjon DSS (2010) Budsjett 2010 - Muligheter og konsekvenser ved redusert tildeling 30.04.2009 - Internt notat fra SAV til VØK PwC Side 46 av 48 Evaluering av DSS' innsats 22. juli 2011 DSS (2010) Vaktsentral i regjeringskvartalet - status og utfordringer - Notat DSS (2011) DSS Beredskaps- og krisehåndteringsplan (nivå 1) DSS (2011) Stabsreferat krisestab (22-24. juli 2011) DSS (2011) Rapport om sikkerhetstilstanden i Departementenes servicesenter- Oversendt FAD 15. mai 2011 DSS (2011) Tildelingsbrev fra FAD, referanse 201003458-/ITE DSS (2011) Operativ instruks for sikkerhetstjenesteavdelingen - datert 01. mars 2011 DSS (2011) Rapport om sikkerhetstilstanden i DSS pr mai 2011 DSS (2011) Oppsummering lørdag 23. juli DSS (2011) Oversikt over vaktstyrken pr 2207 kl 1526 DSS (2011) Perioderapporter WIN tid 22.7 – 24.7.2011 DSS (2011) Merarbeid/overtidsrapport 22.7 – 24.7.2011 DSS (2011) DSS dagrapporter WIN tid 22.7 – 24.7.2011 DSS (2011) DSS kriseledelse, møtereferater 22.7 – 24.7.2011 DSS (2011) DSS IFA og kriseledelse, møtereferater og logger, 22.7 – 27.7.2011 DSS (2011) IKT, hendelselogg etter 22. juli DSS (2011) Notat SMS informasjon i dagene etter 22. juli, datert 28.1.2012, for tidsrommet 22.7 – 4.8.2011 DSS (2011) IKT, krisehåndtering og erfaringer etter 22. juli, datert 20.3.2012 DSS (2011) Allmøte 08.08.2011 - Agenda (IKT) DSS (2011) Møtereferat informasjonsmøte med departementene 04. august 2011 DSS (2011) Møtereferat informasjonsmøte med IKT-koordinatorene 24.07.2011 DSS (2011-2012) Egenrapporter fra sikkerhetsvakter (SIK og VAKT) DSS (2013) Kartlegging og evaluering av situasjonen i DSS etter bombeangrepet på Regjeringskvartalet 22. juli 2011 (intern evaluering DSS) DSS (ukjent år) Høring av arbeidsgrupperapport - lov om vaktvirksomhet - vedlagt høring DSØ (2013) Evaluering (http://www.dfo.no/no/Styring/Evalueringer/) Finansdepartementet (2013) Reglement for økonomistyring i staten - Bestemmelser om økonomistyring i staten - Fastsatt 12. desember 2003 med endringer NOU 2012:14 Rapport fra 22. juli kommisjonen (2012) NSM, POD og PST (2010) En veiledning - Sikkerhets- og beredskapstiltak mot terrorhandlinger NSM (2013) Hva er sikkerhetskultur (https://www.nsm.stat.no/Arbeidsomrader/Sikkerhetskultur) POD (2012) Evaluering av politiets innsats 22. juli St.prp. nr. 1 (2008–2009): Budsjettforslag - Fornyings- og administrasjonsdepartementet St.prp. nr. 1 (2009–2010): Budsjettforslag - Fornyings- og administrasjonsdepartementet St.prp. nr. 1 (2010–2011): Budsjettforslag - Fornyings- og administrasjonsdepartementet PwC Side 47 av 48 Evaluering av DSS' innsats 22. juli 2011 © 2011 PwC. Med enerett. I dette dokumentet refererer "PwC" seg til PricewaterhouseCoopers AS, Advokatfirmaet PricewaterhouseCoopers AS og PricewaterhouseCoopers Skatterådgivere AS som alle er separate juridiske enheter, og uavhengige medlemsfirmaer i PricewaterhouseCoopers International Limited.