Hur kan standarder användas för att utveckla en organisations kontinuitetshantering?

Den frågan fick jag från Myndigheten för samhällsskydd och beredskap (MSB) utifrån min roll som ordförande i arbetsgruppen Kontinuitetshantering och resiliens inom Svenska Institutet för Standarders (SIS) tekniska kommitté Samhällssäkerhet (SIS/TK 494). Detta för att presentera vid Mötesplats Kontinuitetshantering, en konferens arrangerad av MSB för alla som jobbar med kontinuitetshantering inom samhällsviktig verksamhet.

På grund av rådande omständigheter hölls konferensen digitalt och presentationen blev en förinspelad intervju som ni kan se nedan. I detta blogginlägg ger jag ytterligare information om nyheter i standarder kring kontinuitetshantering och hur de kan användas för att utveckla er förmåga att hantera avbrott och störningar.

Från konferensen Mötesplats Kontinuitetshantering, Myndigheten för samhällsskydd och beredskap.

Varför standardisering?

Behovet av standarder finns överallt omkring oss i samhället. Tänk hur det hade varit om eluttagen var olika i våra byggnader eller om olika märken på elbilar krävde olika sladdar? Det sistnämnda är faktiskt en verklighet idag och ett exempel på ett problem som det förvisso finns standarder för men som ännu inte har implementerats enhetligt av biltillverkarna. Standardisering är alltså gemensamma lösningar på återkommande problem som syftar till att skapa enhetlig och accepterad samsyn. Resultatet blir färre missförstånd och att man inte behöver uppfinna hjulet gång på gång. SIS har tagit fram en kort film som belyser några av alla de standarder som formar vårt samhälle. Hur utveckling av standarder går till beskrivs mer här.

SIS ett sekel av standarder

Standarder inom kontinuitetshantering

Inom kontinuitetshantering finns fem standarder:

  1. Ledningssystem för kontinuitetshantering (SS-EN ISO 22301)
    Detta är en internationell ledningssystemsstandard som innehåller de krav som organisationen behöver uppfylla för att certifiera sig mot denna standard. Denna standard ligger som en grund för de övriga standarderna inom kontinuitetshantering. Internationella ledningssystemsstandarder följer samma struktur eller kapitelindelning vilket förenklar integrering av flera ledningssystem. Den första versionen av denna standard kom ut 2012 och en reviderad version publicerades 2019. Denna är även översatt till svenska.
  2. Vägledning för implementering av ISO 22301 (SS-EN ISO 22313)
    Detta är en internationell vägledande standard som ger stöd vid implementering av Ledningssystem för kontinuitetshantering. Standarden förklarar syftet med kraven i ledningssystemsstandarden för att undvika missförstånd vid tolkning av kraven. Detta är ett bra komplement till 22301 för er som avser att certifiera er. Den första versionen av denna standard kom ut 2014 och en reviderad version publicerades 2020. Standarden är inte översatt till svenska.
  3. Vägledning till SS-EN 22301 (SS 22304)
    Detta är en svensk standard utvecklad av SIS/TK 494 som ger mer praktiska tips för hur man kan utveckla sin kontinuitetshantering och fungerar mer som en handbok. Denna standard ingår i SIS avtal med MSB och är därmed tillgänglig gratis för organisationer som bedriver samhällsviktig verksamhet. Mer information kring hur ni kan ta del av denna standard finns här. Den första versionen av denna standard kom ut 2014 och är under revision i skrivande stund. Vi räknar med att kunna publicera den nya versionen till sommaren nästa år.
  4. Vägledning för konsekvensanalys (SIS-ISO/TS 22317)
    Detta är en internationell teknisk specifikation som ger fördjupad vägledning för hur man genomför en konsekvensanalys. Jag brukar säga att konsekvensanalysen utgör hjärtat inom kontinuitetshantering eftersom det är här man identifierar sina prioriterade aktiviteter, vilka resurser som behövs för att utföra dem samt vilka beroenden som finns mellan olika aktiviteter och resurser. Det är utifrån konsekvensanalysen man sedan gör en riskbedömning samt utvecklar kontinuitetsstrategier och kontinuitetsplaner.
  5. Vägledning för kontinuitet i försörjningskedjan (SIS-ISO/TS 22318)
    Detta är en internationell teknisk specifikation som ger fördjupad vägledning kring hur man tillämpar kontinuitetshantering i relationen till sina leverantörer. Det spelar ingen roll hur duktiga ni själva är på kontinuitetshantering för era interna resurser om ni inte har koll på era leverantörer. I ett tidigare blogginlägg beskriver jag ett fall där vikten av goda relationer till leverantörer framgår tydligt.

Nyheter inom standarder för kontinuitetshantering

Första versionen av Ledningssystem för kontinuitetshantering kom alltså ut 2012. Samtidigt som denna utarbetades genomfördes en revision av strukturen för ledningssystem och ISO 22301 var den första standarden som följde den nya strukturen. Detta medförde en del barnsjukdomar vilka nu har åtgärdats i den nya versionen. En del tekniska krav som tidigare var utspridda i standarden har nu samlats där de hör hemma, under kapitel 8 Verksamhet, vilket tillsammans med en uppfräschning till ett mer modernt språk ökar läsförståelsen markant. Att samma struktur används för alla ledningssystem förenklar integreringen med andra ledningssystem som t.ex. Kvalitet (ISO 9001) och Miljö (ISO 14001). Översynen av strukturen har också medfört att ett nytt avsnitt (6.3) har lagts till med krav att planera för hur man håller sitt ledningssystem uppdaterat. Man har också lagt till en inledning om vad fördelarna med ett ledningssystem för kontinuitetshantering ger.

I samband med att vi nu återuppbygger vårt totalförsvar genomförde SIS ett antal workshops för att utreda behovet kring standardisering vid återuppbyggnad av totalförsvaret. Detta utmynnade i ett antal standardiseringsprojekt, dels en terminologistandard för totalförsvar samt en standard inom kontinuitetshantering som ger stöd kring de ändrade förutsättningar som uppstår vid ett regeringsbeslut att gå upp i höjd beredskap. Det sistnämnda kommer att införlivas i den reviderade versionen av den svenska vägledningen till SS-EN 22301. Exempel på ändrade förutsättningar vid höjd beredskap är förstås en eventuell väpnad konflikt men även att lagstiftning träder i kraft som exempelvis Förfogandelagen och Ransoneringslagen. Vidare kan krigsplacerad personal bli inkallad för tjänstgöring enligt Lag om totalförsvarsplikt. Dessa och många fler ändrade förutsättningar kommer att belysas i den nya versionen av SS 22304. Den kommer även att ges en ny titel där arbetsnamnet för närvarande är: Handbok för kontinuitetshantering enligt ISO 22301 och vi räknar med att kunna publicera den till sommaren 2021.

Fördelar med standarder för kontinuitetshantering

Standarderna hjälper er organisation att bygga en förmåga att hantera avbrott och störningar. Detta är huvudsyftet med kontinuitetshantering och följer man standarderna så följer man också internationell etablerad best practice. Standarderna ger även ett gemensamt språk vilket förenklar kommunikation både internt och externt så att alla förstår vad man menar när man säger en viss sak.

Certifiering enligt SS-ISO 22301 innebär en stämpel på att organisationen har en förmåga att bedriva sin verksamhet och leverera varor och/eller tjänster enligt en förutbestämd nivå även vid ett avbrott eller störning. Detta innebär en trygghet för såväl era kunder som er personal. Än så länge ställs sällan krav på certifiering enligt ISO 22301 i upphandlingar men personligen tror jag att det vore bra för Sveriges krisberedskap om fler ställde detta krav vid upphandling av kritiska resurser, en viktig fråga, inte minst för samhällsviktig verksamhet.

Vill man inte certifiera sig kan standarderna ändå användas, t.ex. som en checklista och som utgångspunkt för en gap-analys. Välj ut de punkter som är extra viktiga för just er verksamhet och fokusera på att förbättra dessa. Det finns gott om konsultstöd att anlita där vi själva har särskild erfarenhet av att tillämpa kontinuitetshantering vid genomförande av risk- och sårbarhetsanalys.

Vill ni ha hjälp att komma igång med er kontinuitetshantering eller vill du bidra till ett mer säkert och resilient samhälle och till utvecklingen av standarder inom risk-, kontinuitets- och krishantering? Tveka inte att kontakta mig!

Välj blogg och få våra viktigaste inlägg en gång i veckan direkt till din inkorg