Skriftlig spørsmål fra Anne Kristine Linnestad (H) til kommunal- og distriktsministeren

Dokument nr. 15:1852 (2022-2023)
Innlevert: 28.03.2023
Sendt: 29.03.2023
Besvart: 14.04.2023 av kommunal- og distriktsminister Sigbjørn Gjelsvik

Anne Kristine Linnestad (H)

Spørsmål

Anne Kristine Linnestad (H): Hvor langt har Kommunal- og distriktsdepartementet og Difi kommet i arbeidet med å følge opp evalueringen med informasjonssikkerhet i statlige virksomheter fra 2018, som skal være gjennomført innen 2024?

Begrunnelse

Direktoratet for forvaltning og IKT (Difi) evaluerte i 2018 arbeidet med informasjonssikkerhet i statlige virksomheter. Evalueringen viste behov for styrking av arbeidet med styring og kontroll med informasjonssikkerhet i offentlige virksomheter. Videre kom det fram at alle departementer i sin etatsstyring burde bli bedre på oppfølging av sikkerhetsarbeidet i underliggende virksomheter. Tiltaksoversikten inneholder 6 klare punker til oppfølging innenfor områder som kommunal- og distriktsdepartementet ansvaret for. Disse var:

• Difis arbeid med styring og kontroll på informasjonssikkerhet skal utvides til å omfatte både statsforvaltningen og kommunene fordi utfordringene i statsforvaltningen gjelder også for kommunene.
• Virksomhetene i offentlig sektor skal få et mer samordnet og helhetlig tilbud om veiledning om digital sikkerhet.
• Difi skal videreutvikle sin rolle innen veiledning og anbefalinger på området.
• Etatsstyringen av digital sikkerhet skal være tilpasset vesentlighet og risiko. Difi skal i samarbeid med Direktoratet for økonomistyring (DFØ) tilby veiledning til etatsstyrere for å kunne følge opp området digital sikkerhet på en god måte.
• Difis arbeid på området skal også avstemmes med berørte myndigheter med spesiell vekt på NSM og Datatilsynet.
• Direktoratet for samfunnssikkerhet og beredskap (DSB) skal tilrettelegge for og gjennomføre kurs i planlegging og gjennomføring av øvelser for offentlige virksomheter. Difi bidrar til arbeidet med å utvikle øvelser innenfor digital sikkerhet.

Sigbjørn Gjelsvik (Sp)

Svar

Sigbjørn Gjelsvik: Kommunal- og distriktsdepartementet følger blant anna opp arbeidet med informasjonstryggleik i forvaltninga gjennom tildelingsbrev til Digitaliseringsdirektoratet. Direktoratet har ansvar for å følge opp evalueringa av arbeidet med informasjonstryggleik i statlege verksemder frå 2018. Digitaliseringsdirektoratet (Digdir) blei oppretta 1. januar 2020, samtidig som Direktoratet for forvaltning og IKT (Difi) blei lagt ned. Arbeidet med informasjonstryggleik blei då vidareført i Digdir.
Etter evalueringa i 2018 blei det etablert eit samarbeidsprosjekt leia av Difi/Digdir. I tillegg var Nasjonalt tryggingsorgan (NSM), Direktoratet for forvaltning og økonomistyring (DFØ), NorSIS og Direktoratet for samfunnstryggleik og beredskap (DSB) deltakarar i prosjektet. Gjennom prosjektet blei det utarbeidd ulike verkemiddel og rettleiingsmateriell på fleire område. Hensikta var å gi meir heilskapleg og felles rettleiing frå aktørane.
I tillegg blei det i evalueringa frå 2018 anbefalt at verksemder kartlegg egen kompetanse og tryggingskultur. For å hjelpe verksemdene med dette, blei det laga kompetansebeskrivingar for ulike roller, og NorSIS leia utviklinga av ein metode for å kartlegge kultur for digital tryggleik.
Dei tiltaka representanten Linnestad viser til i spørsmålet sitt er henta frå tiltak 5 i tiltaksoversikta frå den nasjonale strategien for digital tryggleik frå 2019. Dei same tiltaka er òg trekt fram i kapittel 9 i digitaliseringsstrategien for offentleg sektor frå same år.
Difis arbeid med styring og kontroll på informasjonssikkerhet skal utvides til å omfatte både statsforvaltningen og kommunene
All rettleiing Digdir har utvikla for styring og kontroll av informasjonstryggleik er òg tilpassa kommunar. Alt Digdir sitt materiell er opent tilgjengeleg for alle – både offentlege og private verksemder. Dei siste åra har Digdir i tillegg forsterka sitt samarbeid med KS og Foreningen kommunal informasjonssikkerhet (KiNS), og blant anna utvikla kurs og presentasjonar spesielt tilpassa kommunalt tilsette.
Virksomhetene i offentlig sektor skal få et mer samordnet og helhetlig tilbud om veiledning om digital sikkerhet.
Samarbeidsprosjektet etter evalueringa i 2018 hadde som overordna hensikt å gi brukarane meir samordna og heilskapleg rettleiing. Eg ønsker særleg å trekke fram delprosjektet Styring og kontroll av informasjonstryggleik, der Difi/Digdir, DFØ og NSM saman utvikla rettleiinga Heilskapleg styring og kontroll av informasjonstryggleik. Område som er dekt i rettleiinga er verksemdstyring, generelt arbeid med informasjonstryggleik, personvern og tryggingsstyring etter tryggingslova.
Difi skal i samarbeid med Direktoratet for økonomistyring (DFØ) tilby veiledning til etatsstyrere for å kunne følge opp området digital sikkerhet på en god måte.
Difi/Digdir, DFØ og NSM har i samarbeid utvikla ein rettleiar med eit dialogverktøy for å hjelpe etatsstyrarar innrette styringsdialogen om informasjonstryggleik med underliggande organ på ein god måte. Rettleiaren blei publisert på DFØ sine nettsider i februar 2020.
Difis arbeid på området skal også avstemmes med berørte myndigheter med spesiell vekt på NSM og Datatilsynet.
Digdir har jamlege samarbeids- og koordineringsmøter med NSM og Datatilsynet. I tillegg er det etablert eit nettverk rettleiingsaktørar innan styring og kontroll av informasjonstryggleik. Nettverket skal framme dialog mellom rettleiingsaktørane på området og bidra til ei heilskapleg tilnærming til arbeidet.
Difi bidrar til arbeidet med å utvikle øvelser innenfor digital sikkerhet.
Gjennom samarbeidsprosjektet etter evalueringa i 2018 blei det utarbeidd undervisningsmateriell i form av 12 diskusjonsøvingar basert på ulike scenario. Materiellet skal legge til rette for at offentlege verksemder skal kunne planlegge og gjennomføre øvingar i egen verksemd. Øvingane er gjort tilgjengeleg på portalen for øvingar innan digital tryggleik, ovelse.no.
Digdir har jobba aktivt med å vidareutvikle si rolle innan rettleiing og anbefalingar knytt til informasjonstryggleik. Sommaren 2021 lanserte direktoratet Stifinnaren, som gir rettleiing i etablering av internkontroll på informasjonstryggleiksområdet.
Det siste året har Digdir tatt initiativ til eit samarbeid på tvers av sektorar for å sikre ei felles retning på arbeidet med informasjonstryggleik i offentleg forvaltning, Felles sikkerhet i forvaltningen (FSiF). FSiF skal blant anna resultere i meir brukarretta og konkrete hjelpemiddel for vurdering og handtering av risiko knytt til informasjonstryggleik.