Publisert: 06.08.2024
Det skal skje ved å konkretisere og forankre sektorens behov for tjenester for å understøtte sikkerhetsarbeidet.
Rapporten Styrking av digital robusthet i kommunal sektor (heretter kalt Rapporten) slår fast at trygg digitalisering er en forutsetning for at kommunene skal kunne levere tjenester til alle innbyggere i Norge, både nå og i fremtiden. Med trygg digitalisering menes alle de grep som må tas for å oppnå en digital robusthet der utvikling, innføring, drift og forvaltning, og utfasing av digitale løsninger gjøres på en måte som sikrer motstandsdyktighet mot hendelser og digitale angrep, og dermed sikrer tjenestenes kontinuitet og kvalitet.
Felles sikkerhetskrav til sektoren
Rapporten inneholder 16 tiltak. Tiltak 7 omhandler utarbeidelsen av anbefalte felles sikkerhetskrav som bør sammenstilles og tilgjengeliggjøres til hele sektoren.
For at kommunal sektor skal lykkes med tjenesteutsetting, gode teknologiske anskaffelser, og oppfølgning av sin egen driftsorganisasjon er det viktig at det stilles riktige og gode krav. På grunn av innvirkningen som teknologien har på organisasjonen og det mulighetsrom og sårbarheten som den representerer, er det fra kommunal sektor etterlyst en felles tilnærming til anskaffelses- og forvaltningsperspektivet gjennom å ha spesifikke og operative anbefalte sikkerhetskrav for å kunne digitalisere trygt.
Tiltak 7 vil kunne ha innvirkning i positiv retning på digitalisering i kommunal sektor ved at:
- Leverandørene vet hvilke krav som gjelder innen informasjonssikkerhet, digital beredskap og personvern. Dermed kan de også lettere implementere kravene inn i sine systemer allerede fra utviklingsfasen. Dette i sum vil gjøre kommunal sektor mer robust ved at systemene blir mer robuste i tillegg til en forutsigbarhet for leverandørene.
- Kommunal sektor effektiviserer tidskrevende arbeid. Det er tidskrevende å utarbeide sikkerhetskrav i forbindelse med anskaffelse og forvaltning. Ofte er systemene som anskaffes i kommunal sektor de samme, men kommunen gjør jobben hver for seg. Det vil være svært tidsbesparende for kommunale sektor å ha «ferdige» anbefalte sikkerhetskrav som kommune kan legge til grunn ved anskaffelser og forvaltning og ikke «finne opp hjulet på nytt hver gang».
- Felles anbefalte sikkerhetskrav vil redusere risiko for anskaffelser av sårbare system. Mange anskaffer systemer som ikke er tilstrekkelige robuste, eller har en lite tilfredsstillende forvaltning. Dette fører igjen til kommune blir unødvendig sårbare.
- I den grad kravene legges til grunn ved anskaffelser, kan forskjeller mellom kommuner begrenses når det gjelder ivaretakelse av informasjonssikkerhet, digital beredskap og personvern.
KS har i samarbeid med kommunal sektor utarbeidet første utkast til felles anbefalte sikkerhetskrav for kommunal sektor.
Fra kommunal sektor har kommuner/IKS bidratt
Asker, Fredrikstad, Vågan, Beiarn, Kristiansand, Hammerfest, Horten, Stjørdal, Bergen og Ålesund, samt ROR-IKT, IKOMM og Region Nordhordland IKS.
Prosjektet har også hatt dialog med (NSM), (DigDir), Helsedirektorat, DFØ og Datatilsynet i prosessen med å utvikle anbefalte felles sikkerhetskrav i kommunal sektor.
Prosjektet har hatt to leveranser:
- Leveranse 1: Anbefalte sikkerhetskrav for anskaffelse og forvaltning
- Leveranse 2: Anbefalte sikkerhetskrav til kommunen og dets driftsorganisasjon
Ressurser
- Introduksjonsvideoer
- Anbefalte sikkerhetskrav for anskaffelse og forvaltning med veiledning
- Anbefalte sikkerhetskrav til kommunen og dets driftsorganisasjon med veiledning
I forbindelse med utvikling av «rammeverket for trygg digitalisering» vil vi videreutvikle ovennevnte veiledninger og metodeverk for anskaffelser og oppfølgning av egen driftsorganisasjon.
