Granskning av krisberedskap och krishantering

Innehållsförteckning

Sammanfattning

Deloitte AB har av de förtroendevalda revisorerna i Skara kommun fått uppdraget att genomföra en granskning avseende Skara kommuns krisberedskap.

Revisionsfråga

Har kommunstyrelsen säkerställt att det finns en tillräcklig krisberedskap i enlighet med lagstiftning och myndigheters riktlinjer?

Svar på revisionsfråga

Vår sammanfattande bedömning är att Skara kommun till stor del säkerställt att det finns en tillräcklig krisberedskap i enlighet med lagstiftning och myndigheters riktlinjer.

Iakttagelser

• Vår sammanfattade bedömning är att kommunstyrelsen i stort har en ändamålsenlig organisation för kris- och katastrofberedskap. Dock är det otydligt när en sådan allvarlig händelse ska anses ha inträffat som medför att krisledningsnämnden behöver inkallas. Dvs. när inträffar en kris motsvarande röd nivå i kristrappan?
• Det finns samverkan med andra aktörer men samverkan med de kommunala bolagen, Göliska IT och V6 bedöms behöva utvecklas för att bättre svara mot de hot som finns i vår omvärld.
• Det finns behov av att uppdatera/ta fram ett antal styrande dokument inom krisberedskap och informations/IT-säkerhet. Detta för att tydliggöra kommunstyrelsens viljeinriktning för dessa områden.
• Kommunen bör öka inslaget av utbildnings- och övningsinsatser för att stärka beredskapen inför kommande kriser.
• Kommunen hart.ex. inte involverat IT, kommunala bolag och kommunalförbund i den nuvarande risk- och sårbarhetsanalysen för 2019-2022.
• Det förefaller vara oklart vilken mängd reservlager och reservdelar som kommunen har i dagsläget. Det förefaller heller inte finnas några beslutade nivåer kring detta.

Rekommendationer

Vi rekommenderar kommunstyrelsen följande:

• att säkerställa ett tydligare perspektiv gentemot kommunens samarbetspartners (Göliska IT, kommunala bolag och V6). Arbetet med samhällsstörningar och extraordinära händelser samt informationssäkerhet behöver präglas av god samordning, tydliga ansvarsförhållanden och god uppföljning på alla nivåer och ledder.
• att överväga om det behövs förtydligande för när en incident anses vara på röd nivå i kristrappan.
• att uppdatera/ta fram styrande dokument inom krisberedskap samt informations­ och IT-säkerhet.
• att öka inslaget av utbildnings- och övningsinsatser för att stärka beredskapen inför kommande kriser.
• att inkludera fler områden i den nya RSA:n för 2023-2026, däribland IT, kommunalägda bolag, kommunalförbund samt övriga för kommunen väsentliga områden. KSBU har 2023-09-13 fattat beslut om RSA:n för 2023-2026.
• att överväga riktlinjer för rekommenderade nivåer för försörjning av vatten, el, reservdelar, förnödenheter m.m.
• att utföra en inventering kring nivå och behov vad gäller el, vatten, reservdelar m.m. i en krissituation.

1. Inledning

Bakgrund

Revisorerna i Skara kommun har utifrån sin risk- och väsentlighetsanalys beslutat granska krisberedskapen inom Skara kommun. Med kris menar vi allvarliga händelser som påverkar kommunens förmåga att fungera som normalt. Dvs. inte vardagliga incidenter utan kriser med stor potentiell påverkan på kommunens verksamhet och kommuninvånarna. Alla kommuner ska ha en risk- och sårbarhetsanalys enligt MSB:s riktlinjer på plats. Denna ska uppdateras minst en gång per mandatperiod samt rapporteras till länsstyrelsen senast den 31 oktober under det första kalenderåret efter ordinarie val till kommunfullmäktige.

Dagens samhälle är utvecklat men därmed också sårbart. Elförsörjning liksom tillgång till reservdelar, utrustning och förnödenheter såsom vatten behövs för de flesta verksamheter. Om dessa inte skulle finnas tillgängliga under en tid kommer kommunens verksamhet att påverkas i hög grad. En genomgripande kris kommer kräva inte bara kommunala insatser utan även samverkan med andra aktörer, som bolag, övriga kommuner, föreningar m.m.

För att kunna hantera en allvarlig kris krävs en god planering och krisberedskap inom kommunens organisation.

Med anledning av detta har de förtroendevalda revisorerna funnit det angeläget att granska kommunstyrelsens beredskap inför och vid allvarligare kriser eller katastrofer.

Syfte och avgränsning

Granskningens syfte är bedöma om kommunstyrelsen har en god övergripande krisberedskap.

Revisionsfråga

Har kommunstyrelsen säkerställt att det finns en tillräcklig krisberedskap i enlighet med lagstiftning och myndigheters riktlinjer?

Underliggande frågeställningar

• Har kommunen en ändamålsenlig organisation för kris- och katastrofberedskap?
• Har det upprättats ändamålsenliga rutiner, policys och dokument avseende krisberedskap, så som krisberedskapsplan?
• Arbetar Skara kommun systematiskt med krisberedskap genom utbildnings- och övningsinsatser?
• Genomför kommunen risk- och sårbarhetsanalyser i enlighet med MSB:s riktlinjer?
• Vilka händelser har hittills utlöst krisberedskapen?
• Hur agerar kommunstyrelsen för att tillse att det finns tillgång till nödvändiga reservdelar, utrustning samt förnödenheter i händelse av en kris?
• Hur agerar kommunen för att i möjligaste mån säkra att el och vatten finns att tillgå för kommunens verksamheter?

Metod och granskningsinriktning

Granskningen har genomförts genom dokumentstudier samt genom intervjuer med följande befattningshavare:

• Kommundirektör
• Kommunstyrelsens presidium
• Digitaliseringschef
• Säkerhetssamordnare
• Informationssäkerhetssamordnare
• Samordnare POSOM

Granskningen har delats in i följande sju faser:

• Planering av intervjuer.

• Samla fakta/underlag genom intervjuer och dokumentgranskning,.
• Genomgång, sammanstalln.ing och analys av insaml t materi,al. Vid behov komplettering med mer material.
• Framtagning,av viktiga iakttagelser och rekommendationer samt svar på revisionsfråga.
• Rapportskrivning sakavstamning.
• Presentation av granskning till revisorer.
• Godkänd rapport skickas till berörda,nämnder & revisorer.

Revisionskriterier

I denna,granskning utgörs revisionskf'iteliema huvudsakligen av kommunalla,gen,,.interna riktlinjer, policys och beslut.

Kvalitetssäkring

Kvalitets.säkring har skett genom Deloittes interna,kvalitetssäkringssystem. Rapporten har även kvalitetssäkrats av de intervjuade personerna.

2. Granskningsresultat

Utifrån genomförda intervjuer och granskat material har en övergripande beskrivning av kommunstyrelsens krisberedskap gjorts nedan. De iakttagelser som framkommit till följd av intervjuer och dokumentstudier redogörs under den rubrik som ansetts mest lämplig.

2.1 Har kommunen en ändamålsenlig organisation för kris- och katastrofberedskap?

Kris- och katastrofberedskapsorganisationen i Skara kommun är beskriven i handlingsplan för samhällsstörningar och extraordinära händelser samt i policy för samhällsstörningar och extraordinära händelser. Policy för samhällsstörningar och extraordinära händelser fastställs av kommunfullmäktige varje mandatperiod. Handlingsplan för samhällsstörningar och extraordinära händelser fastställs av kommundirektören, denna plan skall revideras årligen. Av planen framgår att med en extraordinär händelse avses en sådan händelse som avviker från det normala, innebär en allvarlig störning eller en överhängande risk för en allvarlig störning i viktiga samhällsfunktioner och kräver skyndsamma insatser av kommunen (detta enligt LEH-lagen 2006:544).

Handlingsplanen beskriver roller och ansvar för politiken och förvaltningarna utifrån en kristrappa. Röd nivå (kritisk påverkan) i kristrappan innebär att krisledningsnämnden, dvs. den politiska nivån behöver träda in. Vilket anses vara när situationen kräver snabba, övergripande politiska beslut och direktiv. Planen beskriver också vilka uppgifter olika funktioner inom kommunen har vid en samhällsstörning eller extraordinär händelse. I policyn för samhällsstörningar och extraordinära händelser fastställs övergripande organisation och ansvarsfördelning för arbetet. Kommunfullmäktige fastställer policy för krisberedskap. Kommundirektören har ett övergripande ansvar för krisberedskapen inom kommunen och leder kommunens krisledningsgrupp. Säkerhetssamordnaren har på kommundirektörens uppdrag ansvar för samordning och planering av planer, övning, utbildning och extern samverkan. Respektive nämnd/bolag fastställer planering inom eget ansvarsområde. Förvaltningschefer ansvarar för att inom respektive verksamhet tillse att det finns en övad och utbildad organisation och planering för att hantera samhällsstörningar och extraordinära händelser.

Krisledningsnämnden har ett eget reglemente som senast reviderades av kommunfullmäktige 2020-03-26 där arbetsformer, ledningens övergripande arbetsuppgifter och ansvar beskrivs. Det framgår att det är krisledningsnämnden som vid en extraordinär händelse ska informera kommunfullmäktige om vilka åtgärder som vidtas. I reglementet förtydligas det även att krisledningsnämnden stöds av en krisledningsgrupp som upprättas och leds av kommundirektören enligt särskild krisledningsplan. Krisledningsgruppen sammansätts av förvaltnings- och bolagschefer samt de funktioner och kompetenser som bedöms nödvändiga med hänsyn till den extraordinära händelsen. I Skara kommuns handlingsplan fastställs krisledningsgruppens uppdrag.

För stora delar av det förebyggande arbetet men även för insatser vid kriser och extraordinära händelser svarar förvaltningen för Samhällsskydd Mellersta Skaraborg (SMS). Denna förvaltning/nämnd är gemensam för Falköping, Götene, Skara och Tidaholm. SMS beskriver sitt uppdrag som att arbeta för ökad säkerhet i medlemskommunerna. Vid allvarliga krishändelser arbetar SMS tillsammans med andra samhällsfunktioner för att ge stöd och hjälp till dem som bor och vistas i kommunerna. Inom SMS finns bl.a. säkerhetssamordnare och informationssäkerhetssamordnare. lnformationssäkerhetssamordnare på SMS arbetar däremot inte mot Skara Kommun. Skara kommuns informationssäkerhetssamordnare är anställd på kommunledningsförvaltningen i Skara. Kontakten mellan SMS och kommunledningen inkl. kommunstyrelsen beskrivs som väl fungerande.

Vad gäller informationssäkerhet så är kommunalförbundet Göliska IT kommunens leverantör av IT-tjänster. Samverkansorganet V6 har en gemensam funktion i form av informationssäkerhetssamordnare, denna funktion är placerad på Göliska IT men är för närvarande vakant. Det finns ett avtal där Göliska IT och kommunens uppgifter och ansvar regleras. I avtalet kan man läsa att; "förbundet är primär leverantör av IT-tjänster och stöd för kommunernas digita/iseringsarbete". Av intervjuer noteras det att kommunen håller på att förändra förbundsordningen för Göliska IT. De pågår ett arbete med att separera IT-drift och digitalisering och utveckling. Vidare noteras det att det finns en styrgrupp för informationssäkerhet som är en kommun övergripande grupp som leds av informationssäkerhetssamordnare i Skara. Som utgångspunkt ingår kanslichef, GDPR­ samordnare, säkerhetssamordnare, digitaliseringschef och arkivarie i gruppen. För ytterligare information om Skara kommuns organisation för informationssäkerhet se följande granskning: "Granskning av informationssäkerhef'.

Bedömning och kommentarer

Vår bedömning är att Skara kommun till viss del har en ändamålsenlig organisation för kris­ och katastrofberedskap.

Vår bedömning baseras på nedanstående iakttagelser och slutsatser:

Vår bedömning är att organisation, struktur, roller och ansvar till viss del är tydligt formulerat. Bedömningen grundar sig primärt i att samspelet mellan kommunen och dess samarbetsparter (Göliska IT, kommunala bolag och V6) kan utvecklas och förtydligas i de av kommunen upprättade styrdokument för samhällsstörningar och extraordinära händelser samt informationssäkerhet. Aven om V6 inte främst är avsedda att hantera frågor relaterat till krisberedskap så är dess verksamhet trots detta viktig för att kommunens arbete med krisberedskap ska fungera på ett så bra sätt som möjligt. Med utgångspunkt i de ovan nämnda rekommenderas kommunstyrelsen att tydliggöra ansvarsförhållanden gentemot kommunens samarbetspartners (Göliska IT, kommunala bolag och V6) så att det finns en sammanhållen bild över de förhållanden och aktörer som påverkar det förebyggande arbetet med samhällsstörningar och extraordinära händelser samt informationssäkerheten i Skara kommun.

Av utförda intervjuer kan det noteras att ansvars- och arbetsfördelningen mellan samarbetspartners och kommunen uppfattas som otydlig. För att förhindra att frågor och åtgärder faller mellan stolarna och ev. orsakar väsentliga konsekvenser bör fördelningen av frågorna förtydligas. Samarbetena kan ge Skara kommun värdefulla verktyg men behöver samordnas tydligare så att partnerna verkar mot samma mål och inte motverkar varandra. I dagsläget är det oklart hur dessa samarbeten påverkar informationssäkerhetens status och arbetet med samhällsstörningar och extraordinära händelser samt hur alla samarbeten påverkar helheten. Dvs. drar alla samarbeten åt samma håll i samma fråga? Med utgångspunkt i det ovan nämnda rekommenderas kommunstyrelsen att säkerställa ett tydligare ägarperspektiv gentemot kommunens samarbetspartners (tex. Göliska IT, kommunala bolag och V6). Arbetet med samhällsstörningar och extraordinära händelser samt informationssäkerhet behöver som alla frågor präglas av god samordning, tydliga ansvarsförhållanden och god uppföljning.

Av granskningen noteras det att krisledningsnämnden inte har sammanträtt under mandatperioden. Vid en övergripande analys kan det noteras att det är något oklart när en sådan allvarlig händelse ska anses ha inträffat som medför att krisledningsnämnden behöver inkallas. Dvs. när inträffar en kris motsvarande röd nivå i kristrappan. Med utgångspunkt i det ovan nämnda rekommenderar vi kommunstyrelsen att överväga om det behövs förtydligande för när en incident anses vara på röd nivå i kristrappan.

2.2 Har det upprättats ändamålsenliga rutiner, policys och dokument avseende krisberedskap, så som krisberedskapsplan?

Under genomförda intervjuer framkommer att riktlinjer och rutiner för krisberedskap och i synnerhet riktlinjer och rutiner för informationssäkerhet befinner sig i en utvecklingsfas. Vid revisionens genomförande saknades beslutad kontinuitetsplan, komplett informationsklassning, återstartsplan, riktlinje för riskanalys kopplat till informationssäkerhet, rutin för incidentrapportering m.m.

I vår genomgång av kommunens dokumentation och handlingar har vi identifierat och tagit del av sex övergripande styrdokument som har bäring på kommunens hantering av samhällsstörningar och extraordinära händelser samt informationssäkerhet:

• Handlingsplan och policy för samhällsstörningar och extraordinära händelser
• Riktlinjer för informationssäkerhet - organisation och roller
• Policy för informationssäkerhet
• Reglemente för krisledningsnämnden
• Kriskommunikationsplan
• Handlingsplan POSOM

I Handlingsplan och policy för samhällsstörningar och extraordinära händelser beskrivs kommunens övergripande viljeinriktningar och prioriteringar för kommunens arbete inom risk- och krishantering. Aktuell handlingsplan och policy ger vägledning och ramar för att åstadkomma gemensam inriktning och samordning av kommunens verksamheter och resurser vid och inför samhällsstörningar och extraordinära händelser.

Reglementet för krisledningsnämnden förtydligar nämndens uppgifter och befogenheter. Det framgår att det är krisledningsnämnden som vid en extraordinär händelse ska informera kommunfullmäktige om vilka åtgärder som vidtas. I reglementet förtydligas det även att krisledningsnämnden stöds av en krisledningsgrupp som upprättas och leds av kommundirektören enligt särskild krisledningsplan.

I riktlinjer för informationssäkerhet förtydligas organisation och roller för arbetet med informationssäkerhet. lnformationssäkerhetspolicyn utgör kommunens viljeinriktning för att hantera kommunens information på ett systematiskt och informationssäkert sätt. Kommunens informationssäkerhetspolicy omfattar all information som kommunens verksamheter äger och hanterar. Syftet med policyn och riktlinjerna är att säkerställa att kommunens informationstillgångar skyddas utifrån sitt skyddsvärde, oavsett om informationen hanteras manuellt eller digitalt.

Kriskommunikationsplanen beskriver hur kommunens kommunikationsarbete ska bedrivas vid kris, större händelser och vid extraordinära händelser, det vill säga en händelse eller situation som gör att vardagen skakas om och kommunens informationsarbete bör bedrivas i andra former.

Handlingsplan POSOM ingår som en del i kommunens övergripande krisarbete. Begreppet POSOM betyder Psykiskt Och Socialt Omhändertagande. Med POSOM avses det psykiska och sociala omhändertagandet av drabbade människor vid stora olyckor och andra kriser. Hanteringen av POSOM grundar sig i lagen (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap samt förordningen (2006:637) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap.

Bedömning och kommentarer

Vår samlade bedömning är att kommunstyrelsen till viss del upprättat ändamålsenliga rutiner, policy och dokument avseende krisberedskap.

Vår bedömning baseras på nedanstående iakttagelser och slutsatser:

Kommunen har ett antal styrdokument som behöver uppdateras. Därtill noteras att ett stort antal dokument på informationssäkerhets/IT-området är under framtagande men att de ännu inte är beslutade. Givetvis är den faktiska säkerheten inte alltid beroende av en policy eller ett styrdokument. Men det blir lättare för verksamheten att veta vad kommunstyrelsens viljeinriktning är om det finns beslutade dokument. Beslutade och uppdaterade dokument signalerar också att frågorna anses viktiga. Det blir också lättare för förvaltningarna och anställda att veta vad som gäller samt också lättare följa upp status på krisberedskap, informationssäkerhet och IT-säkerhet. Med utgångspunkt i det ovan nämnda rekommenderar vi kommunstyrelsen att uppdatera styrande dokument inom krisberedskap samt informations- och IT-säkerhet. Detta i syfte att kunna få god information om status på kommunens beredskap och skydd mot allvarliga händelser. För att detta ska kunna fungera behövs styrande dokument för att peka ut vägen framåt. Liksom väl strukturerade arbetsprocesser.

2.3 Arbetar Skara kommun systematiskt med krisberedskap genom utbildnings- och övningsinsatser?

Enligt uppgifter vid intervJutillfällena erbjuds inte någon särskild utbildning inom krisberedskap vid nyanställning av personal då ämnet inte omfattas av introduktionsprogrammet. Rekryterande chef är ansvarig för att erbjuda utbildning inom krisberedskap men det finns dock ingen funktion som säkerställer att alla nyanställda erbjudits detta.

Krisberedskap har länge varit ett viktigt område för Skara kommun. Dock har situationen med en global pandemi, lågkonjunktur samt oroligheterna i Ukraina medfört att utbildning och övningar inom krisberedskapens område har fått eftersatts under de senaste åren. Kommunen har ställts inför en exceptionellt hög arbetsbelastning och har behövt omprioritera sina resurser för att hantera dessa akuta kriser. Trots dessa utmaningar är alla inom kommunen eniga om vikten av kontinuerlig utbildning och övning inom krisberedskap. Denna insikt bygger på förståelsen att förberedelser och övningar inte bara ger verktyg för att hantera kriser, utan även stärker organisationens generella kapacitet att hantera oförutsedda händelser. Med denna bakgrund har kommunens säkerhetssamordnare, inför den kommande mandatperioden, aktivt tagit initiativ att stärka kommunens krisberedskap. Flertalet utbildningstillfällen har planerats in, vilka kommer att täcka centrala aspekter av krisberedskap, från strategisk planering till praktiska insatser. Syftet är att både nyckelpersoner och tjänstemän ska få den kunskap och träning de behöver för att agera effektivt i krislägen.

Vid utförda intervjuer framkom det att de övningar som arrangerats och där vissa ledamöter haft möjlighet att delta, har mottagits mycket positivt. Deltagarna beskrev dessa tillfällen som mycket givande och framhöll deras betydelse för att förbättra kompetens och samarbete inom kommunen. Det är uppenbart att övningar och interaktiva sessioner blir alltmer viktiga för att säkerställa en effektiv och sammanhängande arbetsprocess inom kommunen. Den positiva responsen från deltagarna antyder att detta initiativ kan spela en viktig roll i formandet av en mer dynamisk och responsiv kommunal organisation i framtiden.

Bedömning och kommentarer

Vår samlade bedömning är att Skara kommun inte i tillräcklig utsträckning arbetar systematiskt med krisberedskap genom utbildnings- och övningsinsatser.

Vår bedömning baseras på nedanstående iakttagelser och slutsatser:

Vår bedömning baseras på att alla vi intervjuat uttrycker vikten av att delta i övningar då det ger värdefulla insikter i krishantering. Under de senaste åren har världen konfronterats med en rad utmanande situationer: lågkonjunktur, krig i Ukraina samt en global pandemi. I ljuset av dessa utmaningar har vikten av en robust krisberedskap blivit tydligare än någonsin. En central komponent i arbetet med krisberedskap är regelbundna övningar och utbildningstillfällen. På grund av en global pandemi samt nuvarande lågkonjunktur minskade tillgången till utbildnings- och övningstillfällen i Skara kommun. Med utgångspunkt i de ovan nämnda rekommenderar vi kommunstyrelsen att öka inslaget av utbildnings- och övningsinsatser för att stärka beredskapen inför kommande kriser. För att effektivt kunna svara på och hantera framtida kriser krävs det att kommunens tjänstemän och nyckelpersoner är välutbildade och regelbundet övar på olika scenarier.

2.4 Genomför kommunen risk- och sårbarhetsanalyser i enlighet med MSB:s riktlinjer?

Likt andra kommuner ska Skara kommun upprätta en risk- och sårbarhetsanalys (RSA) i enlighet med MBS:s riktlinjer. Arbetet styrs av lagen (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och vid höjd beredskap (LEH). En ny RSA ska tas fram för varje mandatperiod, den RSA vi tagit del av är för 2019- 2022. I denna RSA har inte områdena IT, telefoni eller tillagningskök tagits med. De delarna sågs som stöd- och servicefunktion till de direkt samhällsviktiga verksamheterna. Samhällsbyggnad, miljö- och hälsoskydd, bibliotek, grundskolans årskurs 7-9, gymnasieskola, kultur och fritid, näringslivsutveckling och bostadsbolag ansågs i det sammanhanget inte som samhällsviktiga och togs heller inte med i RSA för 2019-2022. RSA:n analyserade endast direkt kritiska beroenden. De kommunala bolagen upprättar egna RSA, vi har inte kunnat observera att det sker samarbete kring RSA mellan bolagen och kommunen. Dock nämns el och fjärrväm,e som kritiska beroenden för verksamheten. RSA:n identifierar kommunens geografiska ansvarsområde och samverkan med berörda aktörer samt vilka krishanteringsåtgärder som behöver vidtas.

Till den nya versionen av RSA 2023-2026 önskar SMS utöka analysen till att omfatta fler områden, bland annat IT och offentliga måltider. Vi anser att då IT-system och IT­ infrastruktur i dagens samhälle är grundläggande för att kommunens verksamhet ska kunna fungera och personalen utföra sitt arbete bör den ingå i en RSA. Vid intervjuerna har vi bl.a. efterfrågat bedömningar av hur väl kommunen skulle kunna fungera utan tillgång till IT. Svaren har varierat men alla är eniga om att IT-system och IT-infrastrukturen är väsentliga för en väl fungerande verksamhet. Av utförda intervjuer uppmärksammas det att kommunen kommer fortsätta med den kontinuitetsanpassade riskanalysen som har fokus på konsekvenserna för verksamheterna. Utöver det tidigare nämnda identifieras sju prioriteringsområden i RSA 2023-2026: energiförsörjning, dricksvattenförsörjning, personal, infom,ation och kommunikation, livsmedelsförsörjning, transport och fordon samt skydd av civilbefolkningen.

Vid länsstyrelsens årliga uppföljningsbesök bedömde de att Skara kommun uppfyller kraven enligt LEH, Lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap. Vidare noterar länsstyrelsen att kommunen har genomfört förebyggande och förberedande åtgärder som stärkt kommunens föm,åga att hantera samhällsstörningar. Kommunen samverkar och samarbetar inom Samhällsskydd mellersta Skaraborg (SMS) samt med lokala och regionala aktörer, inklusive övriga kommuner i Skaraborgsregionen. Länsstyrelsen rekommenderade dock kommunen följande:

• I kommande version av krisledningsplanen tydliggöra gällande vilka arbetsuppgifter centrala krisledningsorganisationen ska kunna hantera och överväga om en tydligare stabsorganisation behövs för stöd till kommundirektören, förvaltningsledningen och krisledningsnämnden.
• I kommande arbete med risk- och sårbarhetsanalys även involvera de kommunala bolagen och kommunalförbunden där kommunen ingår samt andra aktörer i kommunen som bedriver samhällsviktig verksamhet.
• överväga om det i något av styrdokumenten för de kommunala bolagen ska förtydligas gällande deras ansvar kopplat till LEH.
• överväga att skapa en delegation som omfattar kommunens möjligheter att agera enligt LEH 4 kap.

Vi uppfattar detta som att kommunen får ett gott betyg men att det fortsatt finns utvecklingspotential.

Bedömning och kommentarer

Vår sammanfattade bedömning är att Skara kommun till viss del genomför risk- och sårbarhetsanalyser i enlighet med MSB:s riktlinjer.

Vår bedömning baseras på nedanstående iakttagelser och slutsatser:

Vår bedömning baseras på att Skara kommun genomför RSA enligt MBS:s föreskrifter. RSA:n bedöms vara väl strukturerad och genomtänkt. Dock var en del områden, t.ex. IT undantagna från förra mandatperiodens RSA. Området kommer enligt uppgift att inkluderas i den nya RSA:n vilket vi anser positivt. Detta då IT-system och IT-infrastruktur är näm,ast grundläggande för verksamhetens bedrivande inom många områden. Utöver det tidigare nämnda uppmärksammas vikten av att i kommande arbete med risk- och sårbarhetsanalys även involvera de kommunala bolagen och kommunalförbunden där kommunen ingår samt även involvera andra aktörer i kommunen som bedriver samhällsviktig verksamhet. Med utgångspunkt i det ovan nämnda rekommenderas kommunstyrelsen att inkludera fler områden i den nya RSA:n för 2023-2026, däribland IT, kommunalägda bolag, kommunalförbund samt övriga väsentliga områden.

2.5 Vilka händelser har hittills utlöst krisberedskap?

Utifrån intervjuer så anges det att krisledningsnämnden inte har aktiverats de senaste åren förutom under ett s.k. testtillfälle den 19 januari 2022. Detta då det inte bedömts ha funnits anledning sammankalla den då kommunstyrelsen ansett sig kunna hanterat.ex. pandemin inom ramen för befintlig organisation. Då kommunstyrelsen och krisledningsnämnden är i stort samma personer är formen för styrning kanske mindre intressant. Men vi noterar att det röda steget i kristrappan inte är väl definierat när det anses inträffa vilket kan göra bedömningsgrunderna mindre tydliga.

Det har inträffat allvarliga situationer somt.ex. pandemin, Ukraina-krigets konsekvenser m. m som Skara kommun har behövt hantera. Säkerhetssamordnarnas bedömning är att beredskapen är god och att inträffade incidenter har hanterats på ett tillfredsställande sätt. Ett intressant perspektiv som flera har framfört är att pandemin i sig kan ses som en "krisövning" i realtid. Även om pandemin har medfört omfattande utmaningar, har den också gett kommunen möjlighet att testa och finslipa sina krisresponsmekanismer under pågående förhållanden.

I takt med den digitala utvecklingen ökar också riskerna kring informationssäkerhet och IT- säkerhet för organisationer över hela världen. Incidenter rörande dessa ämnen är inte ovanliga, och kan ha omfattande konsekvenser för en organisation, dess anställda och dess kunder. Det är av vikt att kunskapen om informationssäkerhet hålls på en god nivå. Detta för att undvika att ge upphov till större problem längre fram. Det är i detta sammanhang som det blir tydligt att hantering av informationssäkerhet inte bara handlar om att ha rätt tekniska lösningar på plats, utan också om att säkerställa att personalen är medveten om och förstår dessa risker. Ett systematiskt förebyggande arbete bör säkerställas avseende informationssäkerheten.

Bedömning och kommentarer

Vi noterar att det inte funnits några händelser de senaste åren som bedömts vara av digniteten röd nivå i ledningsplan för samhällsstörningar och extraordinära händelser. Krisledningsnämnden har därmed inte sammankallats.

Vi rekommenderar kommunstyrelsen att överväga tydliggöra när röd nivå anses vara uppnådd.

2.6 Hur agerar kommunen för att tillse att det finns tillgång till nödvändiga reservdelar, el, vatten samt förnödenheter i händelse av en kris?

Elförsörjning är en omdiskuterad fråga i kommunen inte minst med anledning av den el-kris som ibland diskuteras i samhället. För alla verksamheter som kommuner ålagts att svara för ingår att i alla situationer säkerställa verksamhetens funktionalitet. I detta ingår att förebygga sådana risker och sårbarheter som är kända, vilket i många fall kan vara att säkerställa tillgången till reservkraft. Inom ramen för ovan redogjorda bestämmelser kan alltså indirekta krav på skyddsåtgärder i form av reservkraft uppställas på alla verksamheter där så bedöms nödvändigt. Av utförda intervjuer kan det noteras att det inte finns någon policy eller handlingsplan för hantering av reservkraft. Det finns ingen nertecknad prioritering av vilka verksamheter som bör få el, däremot finns det ett dokument för styrel och vilka verksamheter som ska få el vid ett eventuellt bortfall. Vidare uppmärksammas det av utförda intervjuer att mängden tillgänglig reservkraft inom kommunens verksamheter är oklar.

Kommuner har en stor roll i Sveriges krisberedskap och i totalförsvar. En robust och hållbar försörjningsförmåga av säker mat och säkert dricksvatten rustar oss för att stå emot samhällsstörningar och en situation med höjd beredskap. Kommuner fyller en viktig funktion genom att se över och stärka robustheten för bland annat försörjningskedjorna för mat och dricksvatten. I Skara kommun sker dricksvattenförsörjningen primärt via det kommunala förbundet Skaraborgsvatten. Av utförda intervjuer kan det noteras att det inte finns någon policy eller handlingsplan för hantering av livsmedelsreserv eller vattenreserv. De respondenter som har intervjuats från Skara kommun har vidare inte kunnat ge en klar bild av mängden tillgänglig vattenreserv. I samband med Covid fick kommunen däremot noteringar om brist på beredskapslager av diverse förnödenheter som krävs för att invånare ska klara sig. Detta har väckt ögonen för sakfrågan ytterligare hos personalen.

Av utförda intervjuer kan det noteras att man inom omsorgen har ett stort lager sedan pandemin (sjukvårdsutrustning, munskydd/visir och västar). Vad gäller lagerhållning av reservdelar till fordon så kan det av utförda intervjuer noteras att lagernivån är oklar.

Bedömning och kommentarer

Vår sammanfattade bedamning är att kommunen inte i tillräcklig utsträckning har säkerställt reservtillgång till el, vatten. förnödenheter och reservdelar.

Vår bedömning baseras på nedanstående iakttagelser och slutsatser:

Vid en övergripande analys kan det konstateras att det i Skara kommun inte finns upprättade rikUinje.r som tydliggör rekommenderad tillgång,till el, vatten, förnödenheter och reservdelar. Vi uppmanar kommunen att se Over de krav och behov som finns inom kommunen,for resel'Vtingång av el, vatten, resel'Vdelar och förnödenheter. Vidare rekommenderar vi kommunstyrelsen att utföra en inventering vad g1äller nivå på ti.llg,ång till el, vatten, reservdelar m.m. Det förefaller finnas viss oklarhet kring vad som finns att tillgå i dagsläget