Skriftlig spørsmål fra Kjersti Toppe (Sp) til helseministeren

Dokument nr. 15:902 (2017-2018)
Innlevert: 08.02.2018
Sendt: 08.02.2018
Besvart: 16.02.2018 av helseminister Bent Høie

Kjersti Toppe (Sp)

Spørsmål

Kjersti Toppe (Sp): Vil statsråden gjere greie for om departementet har bestemt at IKT-infrastruktur i helseføretaka blir lagt inn under Sikkerheitslova, eller om det skal vere opp til helseføretaka sjølv å vurdere dette?

Begrunnelse

Viser til helseministeren sitt svar til Stortinget 30. januar 2018 der han uttalar at helseføretaka er lagt inn under Sikkerheitslova, men utan at det kjem fram om IKT-infrastrukturen i helseføretaka dermed er lagt inn under lova.

Bent Høie (H)

Svar

Bent Høie: Helse- og omsorgsdepartementet har innenfor sin sektor ansvar for forebyggende sikkerhetstjeneste etter sikkerhetsloven. På grunnlag av erfaringer fra arbeidet knyttet til objektsikkerhetsforskriften i 2013-2014 og gjennomgang av gradert kommunikasjon i helse- og omsorgssektoren, gjennomførte departementet i 2014 en vurdering av sikkerhetslovens anvendelse for de regionale helseforetakene, helseforetakene og Norsk Helsenett SF. Nasjonal sikkerhetsmyndighet (NSM) bistod med råd og veiledning i denne vurderingen. Konklusjonen var at departementet anså at de regionale helseforetakene, helseforetakene og Norsk Helsenett SF er omfattet av sikkerhetsloven, jf. sikkerhetsloven § 2 første ledd. Dette innebar at virksomhetene nevnt over ble omfattet av sikkerhetsloven og tilhørende forskrifter, med ansvar for å iverksette og utøve forebyggende sikkerhetstjeneste fra desember 2014.
Helse- og omsorgsdepartementet har det overordnede ansvar for forebyggende sikkerhetstjeneste i sin sektor, jf. sikkerhetsloven § 4. Dette begrenser likevel ikke den enkeltes ansvar og plikter etter bestemmelsene i eller i medhold av denne loven. Videre har Helse- og omsorgsdepartementet ansvaret for å utpeke skjermingsverdige objekter innen sitt myndighetsområde, jf. sikkerhetsloven § 17.
Helseforetakene og de regionale helseforetakene plikter å utøve forebyggende sikkerhetstjeneste i henhold til bestemmelsene gitt i eller i medhold av sikkerhetsloven, jf. sikkerhetslovens § 5. Videre pålegger loven de som er objekteier en plikt til å foreslå hvilke objekter som er skjermingsverdige overfor departementet. Utvelgelse av skjermingsverdig objekt skal skje på grunnlag av en skadevurdering, hvor det innenfor lovens formål særlig tas hensyn til objektets:

a) betydning for sikkerhetspolitisk krisehåndtering og forsvar av riket,
b) betydning for kritiske funksjoner for det sivile samfunn,
c) symbolverdi, og
d) mulighet for å utgjøre en fare for miljøet eller befolkningens liv og helse.

Den nye sikkerhetsloven som skal behandles i Stortinget i februar i år har et utvidet virkeområde særlig knyttet til grunnleggende nasjonale funksjoner og de virksomheter som har vesentlig betydning for disse funksjonene. Virksomhetene skal sørge for et forsvarlig sikkerhetsnivå for skjermingsverdig informasjon, skjermingsverdige informasjonssystemer og skjermingsverdige objekter og infrastruktur når dette har betydning for nasjonale sikkerhetsinteresser, samfunnets grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhet. Virksomheter som har råderett over informasjon, informasjonssystemer, objekter eller kritisk infrastruktur av avgjørende betydning for understøttelsen av grunnleggende nasjonale funksjoner må gjennomføre nye risikovurderinger. Dette innebærer både verdi- og skadevurderinger for å avklare sikkerhetsnivå og behov for forebyggende sikkerhetstiltak.
Jeg har i foretaksmøte med de regionale helseforetakene i januar i år stilt krav om at de skal gjennomføre tiltak som gjør at de regionale helseforetakene og regionens helseforetak er klar for å implementere ny sikkerhetslov når den trer i kraft. Som ledd i dette arbeidet har departementet etablert et samarbeid med Nasjonal sikkerhetsmyndighet (NSM) hvor de regionale helseforetakene, Norsk Helsenett SF, Helsedirektoratet, Direktoratet for e-helse og Sykehusbygg HF deltar. Målsettingen er å gjennomføre vurderinger av om hele eller deler av deres informasjonssystemer, objekter eller kritisk infrastruktur kan ha avgjørende betydning for understøttelsen av grunnleggende nasjonale funksjoner. Videre skal arbeidet avklare eventuelt sikkerhetsnivå og behov for forebyggende sikkerhetstiltak.
Vurderingen av sikkerhetsnivå og behov for forebyggende sikkerhetstiltak knyttet til IKT-infrastrukturen i helseforetakene vil kunne falle inn under krav i sikkerhetsloven om skjermingsverdig informasjon og vil således kunne være gradert informasjon. Dette er vurderinger som både helseforetakene, de regionale helseforetakene og Helse- og omsorgsdepartementet arbeider med i samarbeid med Nasjonal sikkerhetsmyndighet (NSM).