Tips for risiko- og sårbarhetsanalyser

Tipsene kan brukes som grunnlag for arbeidet med helse- og omsorgsberedskap i kommunen

1. Innledning

Kommunen skal ha beredskapsplaner for håndtering av alle typer uønskede hendelser, kriser, katastrofer og krig. Slike beredskapsplaner skal blant annet bygge på risiko- og sårbarhetsanalyser (ROS-analyser).

Formålet med denne gjennomgangen er å gi støtte og tips til deg som skal organisere og lede arbeid med ROS-analyser innenfor et tjeneste- eller virksomhetsområde i kommunen.

Dette er kun ment som et frivillig hjelpemiddel – til dere som er godt i gang, til dere som trenger hjelp til å starte og for å gjøre ROS-tenkningen til en konstruktiv og god vane.

2. Hva handler risiko- og sårbarhetsanalyser om?

Risiko- og sårbarhetsanalyser skal gi et kunnskapsbasert grunnlag for arbeidet med helse- og omsorgsberedskap.

  • Hva kan føre til at evnen til å levere tjenester blir redusert eller helt faller bort?
  • Hvilke uønskede hendelser (interne og eksterne) er vårt ansvarsområde sårbart for?
  • Hvordan kan vi forebygge uønskede hendelser?
  • Hvilke tiltak kan vi sette inn nå for å redusere konsekvensene av uønskede hendelser?

Forholdet til helhetlig kommune-ROS:

ROS-analyser skal gi et nødvendig kunnskapsgrunnlag for god beredskapsplanlegging for kommunen som helhet, den enkelte sektor/tjenesteområde, virksomhet og avdeling.

Selv om ROS-analyse innenfor helse- og omsorgsberedskapen og helhetlig ROS knyttet til kommunal beredskapsplikt har noe ulike formål, er det viktige koblinger mellom de to. Begge har kommunen som analyseområde, og begge handler om å sikre kommunens samlede beredskapsevne. Det må derfor være et viktig mål å få til en tydelig sammenheng i disse prosessene.

  • Noen scenarioer kan det være mest hensiktsmessig å vurdere samlet på tvers av sektorene/tjenesteområdene i kommunen.
  • For mange andre scenarioer i kommunens helhetlige ROS-analyse vil det handle om å bygge videre på disse, for å utdype hva det betyr for helse- og omsorgstjenestene.
  • Ut over dette kan det være behov for å supplere med spesifikke scenarioer for helsetjenesten.

For helse- og omsorgsberedskapen skal ROS-analysens viktigste formål uansett være å systematisere kunnskap om hvordan kommunen skal kunne oppfylle plikten til å yte nødvendig helse- og omsorgshjelp i kriser, ved katastrofer og i krig.

3. Hvordan gjennomføre ROS-analyser?

Steg 1: Forankre hos ledelsen

  • Sørg for forankring hos ledelsen i den virksomheten du skal vurdere. Kommunens ledelse og virksomhetsledere har ansvar for følgende:
    • kartlegging og vurdering av organisasjonens risiko og sårbarhet
    • beslutte hvor stor risiko kommunen skal akseptere
    • beslutte og sørge for at nødvendige risikoreduserende tiltak blir gjennomført

Steg 2: Sett tydelige mål og gjør fornuftige avgrensninger

  • Sørg for et tydelig mandat med klare mål og en god skriftlig beskrivelse av omfanget av arbeidet.
  • Lytt gjerne til gode kollegaer i egen eller andre kommuner som har erfaring med ROS-analyser, og forankre mandatet på ledernivå.
  • Gå i dialog med beredskapskoordinator eller beredskapsleder i kommunen for å være omforent om hva helse- og omsorgstjenestene bør planlegge for.
  • Definer analyseområdet:
    • organisatorisk - gjelder det for eksempel en enkelt institusjon?
    • geografisk - gjelder det for eksempel hele kommunen eller enkelte deler av kommunen?
    • tjenesteområde - gjelder det for eksempel legevakt eller eldreomsorg?
  • Analysen skal ta hensyn til at kommunen skal ivareta alle helse- og omsorgstjenester etter kapittel 3 i helse- og omsorgstjenesteloven. Dette fordrer gode kontinuitets- og beredskapsplaner bygd på blant annet vurderinger av risiko og sårbarheter.

Vær oppmerksom på behovet for å skjerme sensitiv og/eller skjermingsverdig informasjon. Se blant annet omtale i DSBs veileder for overordnet beredskapsplan, Nasjonal sikkerhetsmyndighet (NSM) sin håndbok i verdivurdering av informasjon, NSMs veileder i sikkerhetsgradert informasjon og NSMs veileder for ugradert skjermingsverdig informasjon og informasjonssystem.

Steg 3: Avklar deltakelse

  • De riktige nøkkelpersonene må være involvert. Sørg for å få med personer med kompetanse innenfor ansvarsområdet som skal gjennomgås.
  • Pass på at det er god deltakelse fra personell i utøvende tjenester i aktuelle helseenheter, og involver gjerne tillitsvalgte.
  • Kommuneoverlegen bør alltid være representert i kommunens risiko- og planarbeid.
  • Vurder alltid tverrfaglighet i arbeidet. I tillegg er «friske øyne» aldri dumt. Vurder også hvilke eksterne virksomheter som kan bidra med verdifull informasjon og vurderinger. For eksempel brukerorganisasjoner, frivillige organisasjoner eller private.
  • Hvis arbeidet skal gjennomføres parallelt innenfor ulike virksomhetsområder og avdelinger: Vurder å bruke en person som kan veilede, være pådriver og bidra til god koordinering underveis.

Steg 4: Velg metode

  • Det er ulike tilnærminger for å gjennomføre vurderinger av risiko og sårbarhet. Det er mulig å velge kvalitativ eller kvantitativ metode, eller å kombinere tilnærmingene.
  • Velg metode ut fra mål, behov og tilgang på data, og pass på at vurderingene tar utgangspunkt i og tilpasses virksomhetens art og omfang.
  • Det kan være at det legges føringer på overordnet nivå for hvilken metode det er ønskelig at sektorene bruker.
  • En tilnærming er å ta i bruk en risikomatrise. Her vurderer dere sannsynligheten og konsekvensen for hver enkelt hendelse på en skala og legger dem inn i et rutenett.
  • Dersom dere bruker risikomatrise:

Lag gjerne én matrise for hver konsekvenstype. Konsekvens for liv og helse er en naturlig del av ROS-analyser innenfor helse og omsorg. Konsekvens for evnen til å levere helse- og omsorgstjenester er et annet eksempel.

Få fram usikkerhet i vurderingene. Å beskrive usikkerheter er særlig viktig når dere vurderer hendelser med høyt konsekvenspotensiale.

Se også til relevante eksempler fra andre kommuner, og Helsedirektoratets kommende mal for risiko- og sårbarhetsanalyse for helse- og omsorgstjenestene for ytterligere inspirasjon. Husk på at dette er eksempler, og ikke fasit.

  • Merk: Her har vi valgt å illustrere ROS-analyse etter DSBs metodeveileder.

For noen behov kan verdi-, trussel-, og sårbarhetsanalyser være en mer relevant metode. Metoden er vanlig å bruke for å analysere villede uønskede handlinger som sabotasje og terror.

Steg 5: Identifiser og beskriv alvorlige hendelser som kan skje

  • Kommunen skal skaffe oversikt over hendelser som kan føre til ekstraordinære belastninger. Hendelser i kommunens helhetlige ROS-analyse bør vurderes med tanke på hvordan det påvirker helse- og omsorgsberedskapen.
  • Beskriv de tenkbare hendelsene så presist som mulig. Få med årsak til hendelsene.
  • Tenk bredt, og få med hele spennet av aktuelle hendelser. Dette innebærer også å vurdere mer alvorlige hendelser som kan inntreffe, som det dermed er hensiktsmessig å dimensjonere beredskapen for. Se gjerne til Helse- og omsorgsdepartementets (HODs) risiko- og sårbarhetsanalyse for helse- og omsorgssektoren

Eksempler på hendelser

Store ulykker og naturhendelser:

  • Storulykker med masseskade ved transport
  • Storbrann eller eksplosjon med masseskade
  • Brann i sykehjem, annen omsorgsinstitusjon eller omsorgsboliger
  • Ulykker med farlig gods
  • Storulykker i industrianlegg
  • CBRNE-hendelser – inkludert radioaktivt nedfall etter atomhendelser
  • Skipsforlis
  • Naturhendelser, slik som storflom og kvikkleireskred
  • Bygningskollaps

Langvarige kriser, slik som:

  • Epidemier, pandemier
  • Konflikt som påvirker forsyningssikkerheten

Kritiske hendelser som rammer viktige informasjonssystemer (IKT):

  • Personsensitiv informasjon på avveie
  • Utpressing med trussel om å låse eller stjele informasjon
  • Tjenestenektangrep
  • Kryptering som gjør informasjon utilgjengelig
  • Teknisk feil/nedetid eller sabotasje mot databaser eller systemer
  • Hacking, inkludert omfattende og målrettet cyberangrep
  • Kompromittering av informasjon

Svikt i viktige forutsetninger for effektiv drift og beredskap:

  • Personellmangel (kapasitet, kompetanse)
  • Langvarig forsyningssvikt på utstyr, legemidler og/eller medisinske produkter
  • Teknisk svikt eller havari
  • Avbrudd i vannforsyning, strømforsyning eller mobil- og internett
  • Utilgjengelige lokaler
  • Oversvømmelser, svikt i teknisk utstyr og maskiner o.l.

Evne til å gjennomføre beredskapstiltak, slik som:

  • Evakuering, eller drift av tjenester fra alternative lokaler
  • Omdisponering av personell, eller flytting av pasienter
  • Mottak av pasienter fra sykehus

Tilsiktede handlinger:

  • Innbrudd, hærverk, bombetrussel o.l.
  • Trusler/vold mot egne ansatte
  • Pågående livstruende vold, PLIVO
  • Utro tjener/innsideproblematikk

Samtidige hendelser:

  • En kombinasjon av flere hendelser

  • Pass på å velge temaer, og beskrive scenarioer og konsekvenser, ut fra lokale forhold.
  • Kartleggingen bør bygge på relevant dokumentasjon, erfaringer og gode diskusjoner. Analysene bør bygge på best mulig tilgjengelig historisk og nåtidig informasjon, i tillegg til forventninger til framtida.
  • Kommunens helhetlige risiko- og sårbarhetsanalyse og risiko- og sårbarhetsanalyse for fylket (fylkes-ROS) er også viktige underlag.
  • I tillegg bør dere se til oversikten bakerst med oversikt over lover, forskrifter og noen utvalgte kunnskapskilder.

Steg 6: Vurder risiko og sårbarhet for de ulike hendelsene

  • Analyser hendelsene dere identifiserte i steg 5. Bruk metoden dere valgte i steg 4.
  • Begynn gjerne med de hendelsene dere umiddelbart tenker er mest sannsynlige og/eller har størst konsekvenser.
  • Start med å vurdere hvor sannsynlig det er at hendelsen skjer. Bruk tilgjengelig historiske data, lokalkunnskap og ekspertvurderinger, og sjekk om dere kan hente noe fra tidligere risikoarbeid.
  • Ta hensyn til tiltak som er etablert for å unngå uønskede hendelser.
  • Vurder hvordan helse- og omsorgstjenester blir berørt av den uønskede hendelsen, og hvor sårbare tjenestene er for hendelsen. Sårbarheten vurderer dere ut fra evnen til å yte helse- og omsorgstjenester ved ekstraordinære belastninger. Dersom hendelsen kan føre til svikt i en eller flere funksjoner må dere beskrive dette. Dere trenger også å vurdere kommunens evne til å håndtere hendelsen og til å opprettholde og gjenoppta sin virksomhet etter at hendelsen har inntruffet. Her er det innen helse og omsorg naturlig å ta med minimum disse forholdene, fra Helse- og omsorgsdepartementets (HODs) nasjonale analyse av risiko og sårbarhet, fordi de påvirker evnen til krisehåndtering:
    • tilgang til personell
    • evne til prioritering
    • tilgang til informasjon og kunnskap
    • evne til å håndtere avhengigheter
  • Få frem det som er unikt for helse- og omsorgssektoren, inkludert av digitale avhengigheter.
  • Konsekvensene kan dere for eksempel systematisere i forhold til ulike kritiske funksjoner for helse- og omsorgssektoren: helsetjenester, omsorgstjenester, folkehelse og atomberedskap.
  • Styrbarheten sier noe om i hvilken grad kommunen kan kontrollere risikoen ved en gitt hendelse, for eksempel hvor lett det er å sette i verk tiltak som reduserer sannsynligheten for at hendelsen skjer, eller hvor enkelt det er å sette inn tiltak for å redusere konsekvenser av hendelsen.
  • En ROS-analyse av ekstraordinære hendelser vil preges av usikkerhet, både når det gjelder sannsynlighet og konsekvenser. Sett ord på usikkerheten.
  • For å systematisere det dere kommer fram til, anbefaler vi at dere bruker ett analyseskjema for hver enkelt hendelse dere vurderer. Når alle hendelser er vurdert kan dere lage en overordnet oversikt, for eksempel i en listevisning eller i en risikomatrise.

Steg 7: Foreslå tiltak for å redusere risiko

  • Etter at dere har vurdert risiko for ulike hendelser, trenger dere å vurdere både forebyggende tiltak og tiltak for å begrense og håndtere konsekvenser.
  • Beredskapsplanene skal ta hensyn til alle hendelser som kan ramme tjenestene, selv om det er lite sannsynlig at de skjer.

 Forebyggende tiltak:

  • Spørsmål dere kan stille for å få opp liste med forebyggende tiltak:
    1. Hva kan vi gjøre for å forebygge uønskede hendelser?
    2. Hva kan vi gjøre for å forhindre at en hendelse utvikler seg til å bli en alvorlig påkjenning for helse- og omsorgstjenesten?

Tiltak for å redusere konsekvenser:

  • Spørsmål dere kan stille for å få opp en liste med tiltak for å redusere konsekvenser:
    1. Hva kan vi gjøre for å begrense konsekvenser av hendelsen?
    2. Hva kan vi gjøre for få kontroll over hendelsen og raskest mulig komme tilbake til en normalsituasjon?
    3. Hvem trenger vi å samhandle med? Helseforetak, nabokommuner, leverandører, skoler og barnehager, frivillige organisasjoner, IKT-ressurser, vannverk, energiselskap, politiet, Forsvaret, andre?
    4. Har vi samordnet beredskapsplanene våre godt nok med samarbeidspartnerne? Hvordan sørger vi for eksempel for rask etterforsyning av smittevernutstyr ved ekstraordinære behov? Har vi tenkt igjennom om avtalene våre er gode nok om flere virksomheter har behov for å trekke på de samme ressursene samtidig?
    5. Hvilke alternative løsninger kan vi sette i verk?
    6. Hvor kan vi hente hjelp? Har vi avtaler som gir oss tilgang på ressurser når vi trenger det? For eksempel avtaler med helseforetak? Senger kan være en knapp faktor, hvem har ansvaret for å skaffe dette tilveie?
    7. Har vi trent og øvd på samhandling?

4. Hva gjør vi etter gjennomført ROS-analyse?

Etter risikovurderingen har dere en liste med forebyggende og skadereduserende tiltak.

Settes opp som sjekkliste:

  • Sett opp en prioritert liste med forebyggende tiltak.
  • Sett opp en handlingsplan med tidfestede tiltak og fordeling av ansvar for oppfølging.
  • Sørg for behandling og godkjenning i ledelsen.
  • Gjennomfør tiltakene som besluttes.

Husk! ROS-analyser er grunnlag for beredskapsplanverk, rollekort og tiltakskort ved kriser.

Gå gjennom beredskapsplaner og still følgende spørsmål:

  • Er beredskapen godt nok dimensjonert i forhold til risikobildet?
  • Bør vi gjøre endringer i beredskapsplanen som følge av den nye ROS-analysen?
  • Bør vi legge større vekt på enkelte scenarioer i beredskapsplanverket?
  • Bør vi lage egne tiltakskort for bestemte hendelser?
  • Bør vi bygge opp mer kapasitet og kompetanse, trene og øve på noen bestemte hendelser?
  • Er det noe vi bør samarbeid med andre kommuner om? Noe vi bør inngå avtaler med andre om?

Vurder fortløpende om det er alvorlige risikoer eller sårbarheter dere bør informere ledelsen om så snart som mulig. Vurder gjerne behov og tiltak som kan redusere sårbarheter og styrke motstandskraft og beredskap på tvers av risikoområdene.

  • Eksempel 1: Flere hendelser vil for eksempel kunne medføre behov for å opprette evakuerings- og pårørendesenter. Det vil normalt kreve ressurser fra helsesektoren.
  • Eksempel 2: Både strømbrudd og bortfall av digitale informasjonssystemer som følge av cyberangrep eller teknisk svikt vil medføre behov for manuelle rutiner og over tid kreve ekstra ressurser.
  • Eksempel 3: Både en pandemi og krig kan føre til behov for å mobilisere ressurser som til daglig ikke arbeider som helsepersonell til helse- og omsorgsoppgaver i kommunen. 

5. Når bør vi gjennomføre og oppdatere ROS-analyser?

Å vurdere risiko er ikke noe du gjør én gang og blir ferdig med.

Når kommunen har oppdatert den helhetlige ROS-analysen, bør også mer spesifikke analyser innen helse- og omsorgstjenestene gås igjennom – om dette ikke gjøres parallelt.

Det er ellers normalt, og å anbefale, at dere går igjennom ROS-analyser for helse- og omsorgstjenestene etter uønskede hendelser, ved endringer i trusselbildet, ved organisatoriske endringer eller om det gis nye krav eller føringer før virksomheten.

Bruk også erfaringer etter øvelser til å vurdere om ROS-analyser, planer eller tiltakskort bør endres.

6. Vegviser til lover, forskrifter og kunnskapskilder

Ytterligere råd og tips for å gjennomføre ROS-analyser finnes bl.a. her:

Omtaler prioriterte risikoområder, slik som sammensatte trusler og krig, digital sikkerhet, forsyningssikkerhet, pandemi og smittsomme sykdommer, trygg vannforsyning og atomhendelser som truer liv og helse.

Påpeker også utfordringen med klimaendringer og ekstremvær, risiko for samtidige hendelser og det helt uventede.

Omtaler videre gjennomgående indre sårbarheter for sektoren, slik som tilgang til personell, evne til prioritering, tilgang til informasjon og kunnskap, og evne til å håndtere avhengigheter.

Denne analysen fremhever også avhengigheter og knytninger mellom de ytre risikofaktorene og de indre sårbarhetene.

Først publisert: 18.06.2026 Siste faglige endring: 18.06.2026 Se tidligere versjoner