Skriftlig spørsmål fra Stein Erik Lauvås (A) til kommunal- og moderniseringsministeren

Dokument nr. 15:943 (2020-2021)
Innlevert: 13.01.2021
Sendt: 14.01.2021
Rette vedkommende: Distrikts- og digitaliseringsministeren
Besvart: 20.01.2021 av distrikts- og digitaliseringsminister Linda Hofstad Helleland

Stein Erik Lauvås (A)

Spørsmål

Stein Erik Lauvås (A): Vil statsråden ta initiativ til å bidra til å styrke IT sikkerheten i kommunene, og i så fall hvordan tenker statsråden at en slik styrking av IT sikkerheten i kommuner og fylker kan foregå?

Begrunnelse

Kommunene har opplevd angrep på sine IT systemer på linje med hva Stortinget ble utsatt for i fjor sommer. Kommunene lagrer mange ulike opplysninger som også er av personlig art og som vil kunne misbrukes i urette hender og derfor er slike hendelser av en alvorlig karakter.

Linda Hofstad Helleland (H)

Svar

Linda Hofstad Helleland: Utviklingen av flere digitale tjenester og løsninger i offentlig sektor og økt bruk, betyr at god ivaretakelse av personvern og informasjonssikkerhet blir stadig viktigere. Dette er viktig for å opprettholde god tillit til forvaltningens IT-løsninger og de offentlige digitale tjenestene.
Arbeidet med informasjonssikkerhet må sees i et helhetlig perspektiv, på tvers av sektorer og forvaltningsnivåer, og i sammenheng med det øvrige arbeidet for samfunnssikkerhet. Det er viktig at virksomhetene i offentlig sektor (herunder kommunene) har en felles, og god, forståelse av risikobildet og de aktuelle sikkerhetsutfordringene.
Ivaretakelsen av informasjonssikkerheten i kommunene er først og fremst et ansvar som kommunene selv må ivareta. Dette følger av ansvarsprinsippet, som er utgangspunktet for alt beredskapsarbeid. Dette prinsippet innebærer at det er den enkelte kommune som selv – som selvstendig rettssubjekt – på eget initiativ og ansvar må ta alle avgjørelser knyttet til hvordan kommunen skal ivareta sin informasjonssikkerhet. Staten har ingen generell instruksjonsmyndighet overfor kommunene i denne sammenheng, og kan bare gripe styrende inn overfor kommunene med grunnlag i lov eller budsjett vedtatt av Stortinget.
Lovverket forutsetter at kommunene - som et minimum - skal ha et styringssystem for styring og kontroll av informasjonssikkerheten (jf. eForvaltningsforskriften §15). Av personvernforordningens art. 30 fremgår det også at kommunene skal ha en protokoll over behandlingsaktivitetene sine. Disse protokollene skal bl.a. si noe om hvilke opplysninger som behandles, og hvilke tekniske og organisatoriske tiltak som er iverksatt for å ivareta personopplysningssikkerheten. Det stilles også konkrete nasjonale eller sektorielle krav til kommunens grunnleggende sikring av sentrale nettverk og systemer som kommunen benytter eller er en del av.
Kommunene kan ivareta informasjonssikkerheten gjennom å bygge opp intern kompetanse og gjennom kjøp av tjenester i markedet. Noen kommuner har også valgt å styrke IT-sikkerheten gjennom interkommunalt samarbeid.
De to siste årene har Digitaliseringsdirektoratet kartlagt status på arbeidet med informasjonssikkerhet både i statsforvaltningen og i fylkeskommuner og kommuner. For å følge opp funnene i staten, har Digitaliseringsdirektoratet, i samarbeid med andre aktører, allerede styrket veiledningstilbudet og etablert en rekke nye veiledningstiltak, som også er relevante for kommunene:

• Oppdatert veiledning i internkontroll for informasjonssikkerhet
• Kompetansebeskrivelser for å tydeliggjøre og beskrive ulike roller i arbeidet med internkontroll i offentlige virksomheter
• Ny veiledning for å styrke informasjonssikkerhet i etatsstyringsdialogen. Ny veiledning i øvelser
• Ny veiledning for hvordan virksomheter kan kartlegge og styrke sikkerhetskulturen

Digitaliseringsdirektoratet jobber aktivt med å informere om veiledningstilbudet, og har tatt initiativ til en felles kampanje med KS i 2021 rettet mot informasjonssikkerhet i kommunene.
Norske kommuner behandler også store mengder personopplysninger om innbyggerne sine. Det er kommunenes ansvar å sikre at disse opplysningene blir behandlet på en trygg måte, blant annet at de ikke gjøres tilgjengelig for uvedkommende. God informasjonssikkerhet er derfor viktig for å ivareta personvernet. Datatilsynet er sentral i dette arbeidet. For å høyne kommunenes kunnskap og bevissthet om informasjonssikkerhet og personvern, samarbeider Datatilsynet med sentrale aktører som Foreningen kommunal informasjonssikkerhet (KiNS), KS, Digitaliseringsdirektoratet, Norsk senter for informasjonssikring (NorSIS) og Nasjonal sikkerhetsmyndighet. I 2020 har Datatilsynet særlig arbeidet med problemstillinger knyttet til informasjonssikkerhet i skolen, et område som har vist seg å være utfordrende.
Til slutt kan jeg opplyse at Digitaliseringsdirektoratet, i samarbeid med Nasjonal sikkerhetsmyndighet og KS, har gått ut med konkrete råd og veiledning om beskyttelse mot løsepengevirus.