Vurdering av sårbarhet for havner og havneterminaler

Vurdering av sårbarhet for havner og havneterminaler Veiledning 21. februar 2012 Versjon 1.0

Innholdsfortegnelse Innledning... 3 Gjennomføring av sårbarhetsanalysen... 5 Definisjoner... 6 Trinn 1: Kartlegging av objekter, infrastruktur og operasjoner i området... 8 Trinn 2: Verdivurdering... 10 Trinn 3: Trusselanalyse... 12 Trinn 4: Sårbarhetsanalyse... 14 Trinn 5: Skissering av havnens grenser... 16 Trinn 6: Utarbeide tiltaksplan... 18 Appendiks 1... 20 Appendiks 2... 24 Appendiks 3... 25 Appendiks 4... 26 Appendiks 5... 29 Vurdering av veileder opp mot forskrift... 30 Referanser... 34 2

Innledning Denne veiledningen for sårbarhetsvurdering av havner og havneterminaler er utarbeidet i samsvar med forskrift 3. juli 2007 nr. 825 om sikring av havner og havneterminaler mot terrorhandlinger mv. (heretter havnesikringsforskriften), EU-direktiv 2005/65, SOLAS-konvensjonen kap. XI-2, EU-forordning 725/2004 og ISPS-koden. Dette er i utgangspunktet en veileder for havn, men metoden kan også benyttes for havneterminal i henhold til forordning 725/2004. Sårbarhetsanalysen inngår som ett av elementene i risikostyringen av havner og havneterminaler. Den skal ligge til grunn for implementering av velegnede sikringstiltak med den hensikt å forebygge og hindre terrorhandlinger og andre forsettlige ulovlige handlinger som kan skade havner, havneterminaler eller fartøy som anløper disse. Hovedfokus vil ligge på terrorisme, men eksempler på andre forsettlige ulovlige handlinger kan være sabotasje og spionasje. I tillegg skal sårbarhetsanalysen brukes som beslutningsgrunnlag til å fastsette havnens sikringsgrenser iht. EU-direktiv 2005/65 (heretter omtalt som havnens grenser). Sårbarhetsanalysen vil ligge til grunn for å avgjøre om en havneterminal skal regnes innenfor havnens grenser eller om havneterminalen bør defineres som en selvstendig havn eller et enterminalsanlegg. Formålet med sårbarhetsvurderingen er å identifisere og skissere hvilke havner og havneterminaler som finnes innenfor et tildelt geografisk land- og sjøområde, herunder identifisere sårbare objekt som må sikres. Dette gir grunnlag for definering av havnens sikringsmessige grenser. For havneterminaler som allerede er omfattet av ISPS-koden, skal det tas utgangspunkt i eksisterende sårbarhetsvurderinger når ny vurdering gjøres iht. denne veilederen. Sårbarhetsvurderingen for havner og havneterminaler skal omfatte følgende aktiviteter: Identifisering og evaluering av objekter, operasjoner og infrastruktur som det er viktig å beskytte. Identifisering av mulige trusler mot objekter, operasjoner og infrastruktur, med det formål å fastsette og prioritere sikringstiltak. Identifikasjon, utvelgelse og prioritering av sikringstiltak, og deres effektivitet i forhold til å redusere sårbarheten. Identifisering av svakheter, herunder menneskelige faktorer, i infrastruktur, organisasjon og rutiner. Trusselen mot norske havner, havneterminaler og fartøy som anløper disse kan variere med nasjonale og internasjonale forhold, samt lokale situasjoner som medfører økt trusselnivå. Sårbarhetsanalysen er i utgangspunktet utarbeidet basert på et trusselnivå hvor et minimum av relevante sikringstiltak implementeres. Dette nivået omtales i ISPS-koden som sikringsnivå 1. For å ivareta behovet for å kunne møte en økt trussel må fleksible sikringstiltak vurderes. 3

Metoden som presenteres i denne veilederen fokuserer på den gjensidige avhengigheten mellom verdier, trusler og sårbarheter som illustrert i Figur 1.1. Kritiske verdier som objekter, infrastruktur og operasjoner identifiseres, og behovet for beskyttelse vurderes opp mot ulike trusselaktører (gjerningsmenn) med ulike intensjoner og kapasiteter. Verdi Trussel Sårbarhetsvurderingen skal revideres og ajourføres regelmessig, og alltid når det foretas større endringer i havnen/ havneterminalen. Frekvens skal vurderes og angis i sårbarhetsvurderingen. Sårbarhet System for beskyttelse av sårbarhetsvurderingens innhold skal være i samsvar med havnesikringsforskriften 15. Det må vurderes hvilken gradering sårbarhetsvurderingen skal beskyttes i henhold til, hvem som skal ha adgang til sårbarhetsvurderingen og krav til personell med adgang. 4

Gjennomføring av sårbarhetsanalysen Sårbarhetsvurderingen er delt i seks trinn som vist i figur 1.2. I tillegg kommer forberedelsesarbeid og dokumentering, eksempelvis fra relevant sikkerhets-/sikringspersonell i havnen/havneterminalen. Arbeidet med sårbarhetsvurderingen bør utføres av en arbeidsgruppe. Avhengig av hvor i prosessen man er kan det være behov for en forskjellig sammensetning av arbeidsgruppen. Aktuelle deltakere kan være sikringsoffiser/pfso i havneterminal, havnesjef, terminalsjef, politi, toll, brukere (speditører, rederier osv.) og HMS-ansvarlig. Underveis i prosessen kan det være hensiktsmessig å være i kontakt med Fylkesmannens beredskapssjef og Kystverket. Havnesikringsmyndighet og RSO må kjenne innholdet i denne veilederen og være i stand til å lede og legge til rette for gjennomføringen. Figur 1.2: De seks trinnene i sårbarhetsvurderingen 1 2 3 4 5 Kartlegging av havneterminaler, objekter, infrastruktur og operasjoner i det geografisk tildelte land- og sjøområdet. Dette gjelder også for analyse av havneterminaler etter EU-forordning 725/2004. Vurdering og prioritering av objekter, infrastruktur og operasjoner og identifisering av kritiske verdier. Beskrivelse av relevante trusselaktører som kan true objekter, infrastruktur og operasjoner identifiserte som kritiske verdier i Trinn 2. Utarbeidelse av trusselscenarier og evaluering av eksisterende sikringstiltak, med den hensikt å vurdere sårbarheten til kritiske verdier. Fastsettelse av hvilke objekter, infrastruktur, og operasjoner som skal defineres innenfor havnens grenser. For sårbarhetsvurdering av havneterminaler etter EUforordning 725/2004 skal arbeidssteg for havneterminaler gjennomføres. 6 Utarbeide en plan for implementering av nye sikringstiltak. 5

Definisjoner Havn (Port): De områder ut over den enkelte terminal som må vurderes sikret på grunnlag av en konkret sårbarhetsvurdering. Dette omfatter tilknyttede sjø- og landområder som har anlegg og utstyr som nyttes til å betjene kommersiell sjøtransport (Havnesikringsforskriften 3 bokstav h). Et bestemt land- og vannområde som har grenser fastsatt av medlemsstaten der havnen ligger, og som inneholder anlegg og utstyr beregnet på tilrettelegging for kommersiell sjøtransport (EU-direktiv 2005/65 artikkel 3.1) Havnesikringsmyndighet: Et overordnet organ som er ansvarlig for at alle oppgaver og forpliktelser knyttet til havner som følger av havnesikringsforskriften overholdes. Havnesikringsmyndigheten er vanligvis eier eller operatør av havnen. Kystverkets regionkontorer kan fastsette hvem som er havnesikringsmyndighet for den enkelte havn. (Havnesikringsforskriften 6 bokstav b) Havnas sikringsplan (Port Security Plan PSP): Plan utviklet for å sikre bruk av relevante sikringstiltak til beskyttelse av havna, fartøy, last, personer, bagasje og forsyninger til fartøy (Havnesikringsforskriften 3 bokstav j). Havnas sårbarhetsvurdering (Port Security Assessment PSA): Vurdering med hensyn til sårbarhet for terrorhandlinger og andre forsettlige ulovlige handlinger mot en havn (Havnesikringsforskriften 3 bokstav k). Havneterminal (Port Facility). Havneterminalen omfatter det arealet hvor det foregår interaksjon mellom fartøy og havn, herunder også verft. Verft er kun unntatt dersom det er tale om nybygging eller ombygginger som tilsier at skipet må sertifiseres på nytt etter oppholdet. I tillegg omfattes ankringsplasser, venteplasser og lignende steder fra hvor det foretas anløp til havn (Havnesikringsforskriften 3 bokstav m). Havneterminalens sikringsplan (Port Facility Security Plan PFSP): Plan utviklet for å sikre bruk av relevante sikringstiltak til beskyttelse av havneterminalen, fartøy, last, personer, bagasje og forsyninger til fartøy (Havnesikringsforskriften 3 bokstav o). Havneterminalens sårbarhetsvurdering (Port Facility Security Assessment - PFSA): Vurdering med hensyn til sårbarhet for terroranslag mot en havneterminal (Havnesikringsforskriften 3 bokstav p). Høyrisikoområde: Områder hvor sårbarhetsanalysen har påpekt at risikoen for en gitt sikringsrelatert hendelse er særlig høy på grunn av en kombinasjon av sannsynlighet og konsekvens av hendelsen. Intensjon: Personers eller organisasjoners vilje og motivasjon til å realisere en trussel (NSM 2011). Kapasitet: De ressurser og den kompetanse som er nødvendig for å realisere en trussel (NSM 2011). 6

Objekt/analyseobjekt: Geografiske, tekniske, organisatoriske, miljømessige eller menneskelige faktorer som omfattes av risikovurderingen, herunder eksisterende forebyggende tiltak og beredskap. I veilederen er begrepet objekt brukt om de elementene i havna som kartlegges i henhold til Tabell 1.1. (eksempelvis havneterminal, kai, småbåthavn, molo etc.) Sabotasje: Tilsiktet ødeleggelse, lammelse eller driftsstopp av utstyr, materiell, anlegg eller aktivitet, eller tilsiktet uskadeliggjøring av personer, utført av eller for en fremmed stat, organisasjon eller gruppering (Sikkerhetsloven 3 nr. 4). Spionasje: Innsamling av informasjon ved hjelp av fordekte midler i etterretningsmessig hensikt (Sikkerhetsloven 3 nr. 3). Sikringsnivå 1: Det nivået hvor et minimum av relevante sikringstiltak skal opprettholdes til enhver tid (Havnesikringsforskriften 3 bokstav bb). Sikringsnivå 2: Det nivået hvor relevante tilleggstiltak for sikring skal opprettholdes for en viss tidsperiode på grunn av en midlertidig økt risiko for hendelser som kan true sikkerheten (Havnesikringsforskriften 3 bokstav cc). Sikringsnivå 3: Det nivået hvor ytterligere spesifikke sikringstiltak skal opprettholdes for en begrenset tidsperiode når en hendelse som kan true sikkerheten er umiddelbart forestående eller sannsynlig. (Havnesikringsforskriften 3 bokstav dd). Sårbarhet: Manglende evne hos et analyseobjekt til å motstå virkninger av en uønsket hendelse og til å gjenopprette sin opprinnelige tilstand eller funksjon etter hendelsen. Terrorhandlinger: ulovlig bruk av, eller trussel om bruk av, makt eller vold mot personer eller eiendom, i et forsøk på å legge press på landets myndigheter eller befolkning eller samfunnet for øvrig for å oppnå politiske, religiøse eller ideologiske mål (Sikkerhetsloven 3 nr. 5). Terrorisme: En ikke-statlig aktørs strategiske bruk av vold - eller trusler om vold - mot sivile eller ikkestridende med den hensikt å spre frykt, skaffe oppmerksomhet om en politisk sak og å påvirke også andre enn de direkte ofrene for anslaget. (Romarheim) 7

Trinn 1: Kartlegging av objekter, infrastruktur og operasjoner i området Kystverket tildeler land- og sjøområder til utvalgte havnesikringsmyndigheter. I dette trinnet er målet å kartlegge de objekter, infrastruktur og operasjoner som finnes innenfor det tildelte området, samt sammenhenger som eksisterer mellom havneterminaler og andre objekter innenfor området. For havneterminaler som allerede er omfattet av ISPS-koden, skal eksisterende sårbarhetsvurderinger vurderes opp mot denne veilederens føringer. Ved analyse av havneterminal iht. EU-forordning 725/2004 skal objekter, infrastruktur og operasjoner innenfor terminalen kartlegges. Formål Resultat Å kartlegge objekter, infrastruktur og deres tilhørende operasjoner innenfor det tildelte geografiske land- og sjøområdet, i tillegg til å identifisere sammenhenger mellom havneterminaler og andre objekter innenfor dette området. En kategorisering av objekter, infrastruktur og operasjoner innenfor det tildelte geografiske området. En beskrivelse av objekter og havneterminaler, og tidligere identifiserte trusler, eksisterende sikringstiltak og beredskapsplaner. En beskrivelse av sammenhengen mellom havneterminaler og andre objekter innenfor området. Anvendelse De kartlagte objekter, infrastruktur og operasjoner innenfor området vil i trinn 2 brukes til å identifisere kritiske verdier. Videre vil de danne grunnlaget for sårbarhetsanalysen i trinn 4 og skissering av havnens grenser i trinn 5. 8

ARBEIDSSTEG 1. Det tildelte geografiske land- og sjøområdet identifiseres, og relevante kart og skisser fremskaffes. 2. Eksisterende sårbarhetsanalyser og sikringsplaner for havneterminaler fremskaffes, samt andre relevante beredskapsplaner som gjelder for det tildelte området. 3. Havnerelaterte objekter, infrastruktur og operasjoner identifiseres og listes i Tabell 1.2, og kategoriseres i henhold til Tabell 1.1 (Appendiks 1). 4. Beskriv identifiserte objekter med grunnlag i innhentet informasjon. Dette gjøres ved hjelp av Tabell 1.3 (kategori A-C) og Tabell 1.4 (kategori D) i Appendiks 1. Objekter, infrastruktur og operasjoner som faller inn under kategoriene E-J beskrives i tilknytning til relevante havneterminaler og objekter i Tabell 1.3 og 1.4. Ved analyse av havneterminaler etter EUforordning 725 benyttes kun tabell 1.3. 5. Identifiserte objekter, infrastruktur og operasjoner skisseres i et kart. 6. Identifiser og dokumenter graden av sammenheng mellom terminalen og andre objekter innenfor området ved å se på hvilke fellesressurser de deler i havnen ved hjelp av Tabell 1.5 (Appendiks 1) og kommenter deretter resultatene. Ingen havneterminal kan ekskluderes fra havnen etter denne vurderingen alene. 9

Trinn 2: Verdivurdering Et angrep, utført av en trusselaktør, på de objekter, infrastruktur og operasjoner kartlagt i trinn 1, kan ha direkte og indirekte konsekvenser for eier og samfunn. I dette trinnet er formålet å skape en forståelse for hvilke objekter, infrastruktur og operasjoner som har høy verdi og derfor må beskyttes. Verdien vurderes ut fra de konsekvenser et angrep vil ha på materiell, operasjoner, helse, miljø, og omdømme, og rangeres deretter. En verdi som ligger over en bestemt terskelgrense betegnes som en kritisk verdi. Havneterminaler vil alltid sees på som kritiske objekter og skal uavhengig av vurdert verdi være med videre i analysen. Formål Resultat Anvendelse Å vurdere og rangere objekter, infrastruktur og operasjoner som er kartlagt i trinn 1, og tillegge disse en verdi. En rangert liste over verdien av objekter, infrastruktur og operasjoner, og identifikasjon av kritiske verdier. De kritiske verdiene benyttes som grunnlag for analyser i trinn 3 og 4. I trinn 3 brukes de kritiske verdiene til å vurdere trusselaktørens motivasjon til å ramme disse med tilsiktede handlinger. I trinn 4 vurderes eksisterende sikringsstiltak, og om disse er tilstrekkelige for å beskytte kritiske verdier. ARBEIDSSTEG 1. Med utgangspunkt i listen over de kartlagte objekter, infrastrukturer og operasjoner i trinn 1 vurderes verdien av disse ved hjelp av konsekvensmatrisen i Tabell 2.1 i Appendiks 2. Denne gir en oversikt over konsekvenser et angrep kan ha på: Materiell: Direktetap (verdier) knyttet til tap av objektet Operasjoner: Tap knyttet til nedetid i operasjonen Helse: Konsekvenser i form av skade (fysisk eller psykisk) på mennesket 10

Miljø: Konsekvenser i form av utslipp eller forurensing Omdømme: Konsekvenser i form av negativt omdømme eller rykte Her vurderes det verste utfallet et angrep kan ha, og eksisterende sikringstiltak tas derfor ikke hensyn til i dette trinnet. Konsekvensen defineres som liten, moderat, stor eller katastrofal med tilhørende verdier 1, 2, 3 og 4. Kroneverdier som representerer verditapet er lagt til for å bistå i vurderingen. 2. Alle objekter, infrastruktur og operasjoner som vurderes listes i Tabell 2.2 (Appendiks 2), og gis en totalscore. Denne beregnes ved å summere enkeltverdiene som er tilordnet ved hjelp av tabell 2.1. Den høyeste enkeltverdien settes i egen kolonne. Objekter, infrastruktur og operasjoner som er viktigst å beskytte bestemmes ved først å rangere etter høyest enkeltverdi og deretter etter høyest score. Dersom høyeste enkeltverdi er over verdien 2 betegnes denne som kritisk. Det bør imidlertid benyttes skjønn i vurderingen, særlig i de tilfeller der det er tvil om konsekvensene innenfor området helse. 11

Trinn 3: Trusselanalyse Norske havner, havneterminaler og fartøy som anløper disse skal beskyttes mot terrorhandlinger og andre forsettlige ulovlige handlinger, som eksempelvis sabotasje og spionasje. Hovedfokuset i denne analysen vil ligge på terrorisme, men havnesikringsmyndigheten/terminaleier og RSO må vurdere hvorvidt sabotasje og spionasje er aktuelle problemstillinger for havnen/havneterminalen. Formålet med trusselanalysen er å identifisere intensjonen og kapasiteten til trusselaktører som har en motivasjon til å ramme de kritiske verdiene so m er identifiserte i trinn 2. Formål Resultat Anvendelse Å identifisere og beskrive relevante trusselaktører som kan ramme kritiske verdier identifisert i trinn 2. Beskrivelse av mulige trusselaktørers intensjon og kapasitet. Trusselaktørenes mål og modus operandi danner grunnlaget for utarbeidelse av trusselscenarier i sårbarhetsanalysen i trinn 4. 12

ARBEIDSSTEG 1. Informasjon om trusselaktørene samles inn. Eksempler på informasjonskilder som kan benyttes er tidligere sårbarhetsvurderinger fra havneterminaler, lokalt politi, Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet (NSM). 2. Type trusselaktører som har en motivasjon til å ramme de kritiske verdiene identifiseres og bestemmes ut fra hvilke intensjoner aktørene har. Figur 3.1 illustrer fire ulike intensjoner en trusselaktør kan ha: Spionasje: Å samle inn sensitiv/verdifull informasjon Sabotasje: Å skade ved å påføre finansielt tap eller strukturell ødeleggelse Terrorisme: Å skape frykt og uro utover de som blir rammet direkte Tyveri: Å oppnå finansiell gevinst Figur 3.1: Trusselaktørens intensjon (Christiansen et al. 2011) Dette er en forenklet beskrivelse av mulige intensjoner en trusselaktør kan ha. For en mer utfyllende beskrivelse, henvises det til definisjoner. 3. Trusselaktørens intensjon og kapasitet beskrives ved hjelp av Tabell 3.1 i Appendiks 3. I denne tabellen illustreres trusselaktørens intensjoner og kapasiteter i tre nivåer (lav, medium og høy). Det nivået som sees som relevant og som man ønsker å beskytte seg mot velges. I Tabell 3.1 er terrorisme brukt som et eksempel, og liknende beskrivelser må utarbeides ved behov for å beskrive andre typer trusselaktører. 13

Trinn 4: Sårbarhetsanalyse I hvilken grad en eller flere trusselaktører vil være i stand til å gjennomføre angrep på kritiske verdier identifisert i trinn 2, vil avhenge av eksisterende sikringstiltak. I sårbarhetsanalysen vil disse vurderes opp mot trusselaktørene identifisert i trinn 3, og i hvilken grad sikringstiltakene er tilstrekkelige for å avskrekke, detektere, forsinke og forhindre trusselaktørene. I trinn 1 ble sammenhengen mellom havneterminaler, objekter, infrastruktur og operasjoner kartlagt. Disse sammenhengene analyseres videre i dette trinnet for å se hvordan interaksjonen mellom disse kan påvirke sårbarheten til den enkelte kritiske verdi. I tillegg må lokal erfaring om andre omliggende objekter og begivenheter tas i betraktning. Tilstedeværelse av cruiseskip, militære fartøyer eller nærliggende arrangementer vil kunne være eksempler på begivenheter som vil kunne påvirke sårbarheten. Formål Resultat Å vurdere sårbarheten til kritiske verdier. Dette inkluderer å evaluere eksisterende sikringstiltak, herunder både tekniske og organisatoriske. En matrise som illustrerer sårbarheten til analyserte objekter, infrastrukturer og operasjoner (kritiske verdier), utarbeidet med bakgrunn i gjennomgåtte scenarier. En oversikt over sammenhenger mellom objekter, infrastruktur og operasjoner, og andre omliggende objekter og begivenheter, som kan påvirke sårbarheten til den enkelte kritiske verdi. Anvendelse De identifiserte sammenhengene mellom objekter, infrastruktur og operasjoner, og andre omliggende objekter og begivenheter som vil ha en betydning for sårbarheten til en kritisk verdi, vil i trinn 5 benyttes til å definere havnens grenser. I trinn 6 vil sårbarhetsanalysen ligge til grunn for tiltaksplanleggingen. 14

ARBEIDSSTEG 1. Med utgangspunkt i kartet skissert i trinn 1, merkes de objekter, infrastruktur og operasjoner som i trinn 2 ble identifisert som kritiske, av i kartet. 2. Foruten de havnerelaterte objekter, infrastruktur og operasjoner som ble kartlagt i trinn 1, kan det være andre omliggende objekter og begivenheter som ikke er direkte relatert til havnen, som kan ha en betydning for sårbarheten til de kritiske verdiene. Et eksempel kan være et nærliggende konsertområde. Disse identifiseres og merkes av i kartet. 3. Med utgangspunkt i trinn 3 utarbeides trusselscenarier som beskriver hvordan en eller flere trusselaktører kan ramme kritiske verdier ved å omgå et enkelt eller et sett med sikringstiltak. I Appendiks 4 beskrives ni eksempler på handlinger som kan være aktuelle å beskytte seg mot. Når trusselscenarier utarbeides må sammenhenger mellom objekter, infrastruktur og operasjoner kartlagt i trinn 1 tas i betraktning, i tillegg til andre omliggende objekter og begivenheter identifisert i arbeidssteg 2 over. Kolonne 1: Objektets identitet. Det nummeret som objektet ble gitt i Tab 2.2. Kolonne 2: Kritiske verdi. Den høyeste enkeltverdien som vurderes for objektet i Tab. 2.2 Kolonne 3: Trusselscenariets nummer. Kolonne 4: Aktuelle trusselscenarier for objektet. Det kan være aktuelt å ha flere trusselscenarier for samme objekt. Det er her viktig å tenke på at trusselscenariene skal være reelle for det aktuelle objektet utover eksempler gitt i Appendix 4. Kolonne 5: Sikringsnivå. Her spesifiseres det hvilket sikringsnivå scenariet gjelder for. Kolonne 6: Omliggende objekter og områder. De omliggende objekter og områder som er vurdert som mulige faktorer som kan påvirke sårbarheten til en kritisk verdi ved gjennomføring av det aktuelle trusselscenariet. Kolonne 7: Eksisterende sikringstiltak. Eksisterende sikringstiltak innhentes fra objektbeskrivelsen i Tabell 1.3 (Appendiks 1). Kolonne 8: Nivå på eksisterende sikringstiltak. De eksisterende sikringstiltaks evner til å motstå angrepet beskrevet i et scenario vurderes, og settes til et nivå ved hjelp av Tabell 4.2 i Appendiks 4. Nivået beskrives som: liten, begrenset, god eller meget god. Kolonne 9: Konsekvens av scenariet. Konsekvensene av det aktuelle scenariet vurderes ved hjelp av konsekvensmatrisen i Tabell 2.1 i Appendiks 2. Høyeste enkeltverdi ( 1 4) angis. Kolonne 10: Sårbarhet. Sårbarheten (høy, medium, lav) angis ved hjelp av matrisen i Tabell 4.3. Objektets ID (kolonne 1) og trusselscenariets nummer (kolonne 3) angis i matrisen i ruten der effektivitet (kolonne 8) og konsekvens (kolonne 9) møtes. Eksempelvis vil en kritisk verdi med ID-nummer 1 vurdert i trusselscenario 2 føres som 1(2). Dette gjøres for alle scenarier som er gjennomgått. Den endelige matrisen vil gi en oversikt over sårbarheten til de kritiske verdiene, og svakheter ved eksisterende tekniske og organisatoriske sikringstiltak. Kolonne 11: Behov for nye tiltak. Nye sikringstiltak må utarbeides der sårbarheten ligger over det som defineres som et akseptabelt nivå og viderebehandles i Trinn 6 (Tabell 6.1). 15

Trinn 5: Skissering av havnens grenser For å utvikle en helhetlig sikringsplan for havnen er det viktig å definere havnens grenser. Grensene bestemmes på grunnlag av sammenhenger mellom objekter, infrastruktur og operasjoner, og hvordan disse påvirker den totale sårbarheten til havnen. Effektiv sikring av havnen kan oppnås ved å dele havnen i soner. En sone er et fysisk avgrenset område hvor det stilles entydige krav til adgang og opphold. En havns grenser trenger ikke nødvendigvis å følge eiendomsgrensene. Det er heller ikke krav til perimetersikring for havnas grenser, men sikringsplanen må beskrive nødvendige sikringstiltak i henhold til sårbarhetsvurderingen. For havneterminaler som vurderes etter forordning 725/2004 gjelder egne arbeidssteg for å sette sikringsgrenser. Formål Resultat Å fastsette hvilke objekter, infrastruktur og operasjoner som skal ligge innenfor havnens og havneterminalens grenser. Identifiserte havner og havneterminaler med tilhørende objekter, infrastruktur og operasjoner, samt soner skissert i et kart. Fastsettelse av om havneterminaler som faller utenfor havnens grenser bør defineres som egen havn. Anvendelse De skisserte grensene for havner og havneterminaler og tilhørende soner brukes som grunnlag for utarbeidelse av en tiltaksplan i trinn 6. ARBEIDSSTEG FOR A SETTE HAVNENS GRENSER 1. Havnens grenser identifiseres ved å ta utgangspunkt i Tabell 1.5 (Appendiks 1) og 4.1 (Appendiks 4). Dette gjøres ved å inkludere de objekter, infrastruktur og operasjoner som på grunnlag av identifiserte sammenhenger kan påvirke sårbarheten til havnen. 2. Der dette er hensiktsmessig, grupperes objekter, infrastruktur og operasjoner innenfor havnens grenser i soner basert på verdi, sårbarhet og nivå på tilgangskontroll. 16

3. Basert på graden av sammenheng (Tabell 1.5), verdien av havneterminalen (Tabell 2.2 i Appendiks 2) og sårbarhetsanalysen (Tabell 4.1) fastsettes det hvilke havneterminaler som bør ligge utenfor havnens grenser og om eksisterende terminalgrenser dekker hele området som må sikres. Hvis sårbarheten til terminalen påvirkes av omliggende områder må det vurderes om havneterminalen skal identifiseres som en egen havn. Enkeltstående havneterminaler med sårbare objekter som ikke har felles infrastruktur og operasjoner med andre havneterminaler kan godkjennes som egen havn. Dersom sårbarhetsvurderingen konkluderer med at havnas grenser er identisk med havneterminalenes grenser, vil EU-Direktivets artikkel 2.4 komme tilanvendelse og EUforordning 725/2004 vil ha forrang. Havneterminalen(e) vil da ikke betegnes som havn(er) etter EU-Direktivet, men fortsatt betegnes som havneterminal(er) iht. EU-forordning 7252004. Havneterminalens sikringsplan (PFSP) vil da være tilstrekkelig. 4. Havnens grenser skisseres i detaljerte kart som er benyttet under trinn 1 og 4 i analysen. Det presiseres at dette gjelder på land og i sjø. ARBEIDSSTEG FOR Å SETTE HAVNETERMINALENS SIKRINGSGRENSER, ETTER FORORDNING 725/2004. 1. Basert på verdivurdering i trinn 2, sårbarhetsvurderingen i trinn 4 og terminalens operasjonsmønster settes havneterminalens sikringsgrense og operasjonelle status. 2. Havneterminalens sikringsgrense (ISPS-område) skisseres i detaljert kart som er benyttet under trinn 1 og 4 i analysen. Det presiseres at dette gjelder på land og i sjø. 17

Trinn 6: Utarbeide tiltaksplan For å redusere de eventuelle sårbarhetene som identifiseres i trinn 4, må det utarbeides en tiltaksplan. Tiltaksplanen må sørge for at samspillet mellom tekniske og organisatoriske tiltak ivaretas. I tillegg må behovet for å kunne møte en økt trussel ivaretas gjennom planlegging av fleksible sikringstiltak, som tillater rask skalering til høyere sikringsnivå (sikringsnivå 2 og 3). Slike tiltak inkluderer for eksempel økt vakthold og fysiske barrierer. Formål Resultat Anvendelse Utarbeide en plan for implementering av nye sikringstiltak. En plan for implementering av nye sikringstiltak med prioriterte tiltak, kostnadsestimater og ansvar for utførelse. Sårbarhetsanalysen og tiltaksplanen som utarbeides benyttes som grunnlag for å utarbeide en sikringsplan for havn og havneterminal. ARBEIDSSTEG 1. På grunnlag av sårbarheter og svake eksisterende tiltak identifisert, vurderes det i trinn 4 behov for nye sikringstiltak. Forslag til nye sikringstiltak listes i tiltaksplanen i Tabell 6.1 i Appendiks 6. For å adressere konsistensen og helheten av sikringen må alle med eierinteresser, operatører og sikringsansvarlige involveres i denne prosessen. Områder som er viktige å fokusere på i utarbeidelsen av tiltaksplanen er følgende: a. Tiltak for å utarbeide en plan for hvordan prosedyrer og handlinger vil bli eskalert i omfang ved heving av sikringsnivået. b. Tiltak for å utarbeide rutiner for håndtering av velkjente sikringsproblemer, der blant annet spørsmål rundt nøytralisering av en trussel skal adresseres. c. Tiltak for å utarbeide klare ansvarslinjer ved iverksettelse av prosedyrer eller handlinger. d. Tiltakene som utarbeides må sees opp mot alle relevante beredskapsplaner som gjelder for havnen eller havneterminalen. e. Tiltaket som utarbeides må vise til hvilke kommunikasjonssystemer som kreves for å understøtte tiltaket. 18

f. Tiltak for å få på plass en oversikt over hvilken informasjon som kan være tilgjengelig for de ulike rollene. g. Tiltak for å identifisere hvilket havnepersonale som skal gjennomgå bakgrunnskontroll og/eller sikkerhetsklareres med bakgrunn i deres adgang til høyrisikoområder. Sikkerhetsklarering iht. sikkerhetsloven gjelder kun for offentlig havner og havneterminaler mens for private anlegg gjelder bakgrunnssjekk i form av f. eks. en politiattest. h. Tiltak for trening og øvelse i samsvar med havnesikringsforskriften 33. 2. Det anbefales at et kostnadsestimat for samtlige tiltak beregnes og føres inn i Tabell 6.1. 3. Tiltakene listet i tiltaksplanen (Tabell 6.1) prioriteres ved å vurdere tiltakenes evner til å redusere sårbarheten til havner og havneterminaler mot kostnadsestimatet. Hvem som har ansvaret for utførelsen av tiltakene legges til i Tabell 6.1. 19

Appendiks 1 Tabell 1.1: Oversikt over kategorier i en havn KATEGORI A1 A2 B C D E F G BESKRIVELSE Havneterminaler som er godkjent av Kystverket for å betjene skip i internasjonal fart iht. havnesikringsforskriften 2. Havneterminaler som betjener skip i internasjonal fart, men er ikke godkjent av Kystverket. Terminal for innenlands passasjertrafikk, herunder Hurtigruteterminaler, store havneterminaler for hurtigbåter, viktige fergeleier og kaier med regelmessig turisttrafikk. Kaier som kystfraktefartøyer og fiskefartøyer benytter til lossing/lasting og maritime verksteder som mottar samme type fartøyer for vedlikehold/reparasjon. Dette er kommersiell havnedrift, men kaiene er ikke egnet til fortøyning av større skip. Hurtigbåtkaier for lokal trafikk og fergeleier for lokale fergesamband tilhører også denne kategorien. Sjøområdet, inkludert ankringsplasser og innseilingen Kaiområde / småbåthavn som utelukkende benyttes av lystfartøyer eller sporadisk av småbåter i turisttrafikk eller av mindre fiskefartøyer Strandsone for bolig eller fritidshus med fortøyningsmulighet for mindre fartøyer og områder der det ikke er noe form for havneaktivitet. Herunder større utearealer egnet for å avholde arrangementer. Objekt eller område som er av betydning for sikring av havneaktivitet ved at: 1. det er nærliggende en ISPS-terminal eller annet objekt som krever sikring 2. last som skal om bord i ISPS-skip lagres eller behandles i området. H I J Offentlig Infrastruktur som er tilgjengelig for allmenheten som jernbane, veier, butikker og restauranter. Infrastruktur i havnen som molo og vann- og krafttilførsel. Havnerelaterte operasjoner Tabell 1.2: Kategorisering av objekter, infrastruktur og operasjoner ID OBJEKT / INFRASTRUKTUR / OPERASJON KATEGORI A B C D E F G H I J 20