Informasjonssikkerhet
På informasjonssikkerhetsområdet prioriterer Digdir innsatsen på å møte utfordringen knyttet til samordning av anbefalinger og veiledning. I 2023 har vi jobbet med å samle sentrale veiledningsaktører for å enes om en felles retning fremover for å gjøre arbeidet med informasjonssikkerhet lettere for brukerne.
Digdirs mål
Digdir hadde to mål for arbeidet med informasjonssikkerhet i 2023.
Mål 1
Virksomhetene i offentlig sektor får et samordnet og helhetlig tilbud om veiledning innen digital sikkerhet.
Resultat
- Digdir etablerte våren 2023 en styringsgruppe for arbeidet med felles sikkerhet i forvaltningen. I oktober 2023 ble det startet en arbeidsgruppe med representanter fra sentrale veiledningsaktører som sammen jobber med å beskrive et felles målbilde for anbefalinger og veiledning til arbeidet med informasjonssikkerhet i offentlige virksomheter.
Prioriteringer og tiltak
- Arbeidet med Felles sikkerhet i forvaltningen fortsetter inn i 2024. Det felles målbildet skal leveres i løpet av første halvår, og videre arbeid basert på det vil startes i samarbeid med aktuelle veiledningsaktører.
Oppnådd
Mål 2
Forvaltningen arbeider systematisk med styring og kontroll på informasjonssikkerhet og mottar nødvendig veiledning.
Resultat
- Digdir arrangerte nettverksmøter for offentlige virksomheter, og holdt foredrag hos både statlige og kommunale virksomheter om internkontroll. Digdir bidro også på en rekke konferanser i løpet av året.
- Arbeidet med samordnet og helhetlig veiledning er også vesentlig for å styrke forvaltningens evne til å arbeide systematisk med styring og kontroll på informasjonssikkerhetsområdet.
Prioriteringer og tiltak
- Digdir vil fortsette å formidle sine råd og anbefalinger, og gi veiledning til de virksomhetene som har behov for det. Det videre arbeidet med Felles sikkerhet i forvaltningen vil bidra til et bedre veiledningstilbud til brukerne.
Oppnådd
Tiltak som del av internkontroll for informasjonssikkerhet (prosent), etter forvaltningsnivå, statistikkvariabel og år
| 2022 | 2023 | |||||
|---|---|---|---|---|---|---|
| Statlige virksomheter | Fylkes-kommuner | Kommuner | Statlige virksomheter | Fylkes-kommuner | Kommuner | |
| Evaluert, forbedret eller fornyet styringssystemet for informasjonssikkerhet | 83,8 % | 80,0 % | 57,9 % | 82,3 % | 100,0 % | 65,6 % |
| Etablert nye sikkerhetstiltak | 89,0 % | 100,0 % | 85,6 % | 90,4 % | 100,0 % | 87,0 % |
| Forbedret eller fjernet sikkerhetstiltak | 88,6 % | 90,0 % | 83,6 % | 89,0 % | 100,0 % | 82,3 % |
| Rapportert erfaringer fra håndtering av uønskede hendelser til bruk i risikovurderinger og/eller forbedring av informasjonssikkerheten | 75,7 % | 100,0 % | 54,0 % | 69,9 % | 80,0 % | 59,7 % |
| Rapportert erfaringer fra øvelser til bruk i risikovurderinger og/eller forbedring av informasjonssikkerheten | 52,4 % | 30,0 % | 33,1 % | 58,9 % | 30,0 % | 44,5 % |
Kilde: SSB, Digitalisering og IKT i offentlig sektor, tabell 12042
Mål
Manglende samordning av myndighetenes arbeid med informasjonssikkerhet og digital sikkerhet er trukket frem i flere sammenhenger de senere årene. To eksempler er NOUen Sikkerhet i alle ledd og en rapport fra Riksrevisoren. Et resultat av den manglende samordningen er at brukerne opplever råd, anbefalinger og veiledning som fragmentert og vanskelig tilgjengelig.
Digdir skal arbeide for samordnet veiledning og hjelp til offentlig sektor når det gjelder ivaretagelse av informasjonssikkerhet i virksomhetene. Vi har brutt dette ned til følgende delmål.
- Delmål 1: Virksomhetene i offentlig sektor får et samordnet og helhetlig tilbud om veiledning innen digital sikkerhet.
- Delmål 2: Forvaltningen arbeider systematisk med styring og kontroll på informasjonssikkerhet og mottar nødvendig veiledning.
Resultater
Delmål 1: Virksomhetene i offentlig sektor får et samordnet og helhetlig tilbud om veiledning innen digital sikkerhet
Digdir jobbet i 2023 videre med initiativet «Felles sikkerhet i forvaltningen». Det er etablert en styringsgruppe, ledet av Digdir, med representanter fra Datatilsynet, Nasjonal sikkerhetsmyndighet (NSM), KS, Direktoratet for forvaltning og økonomistyring (DFØ) og Direktoratet for e-helse (Helsedirektoratet fra 1.1.2024). Det er videre etablert en arbeidsgruppe som sammen jobber med å beskrive et felles målbilde for anbefalinger og veiledning til arbeidet med informasjonssikkerhet i offentlige virksomheter. Målbildet skal fungere som en felles målsetning for samarbeid og styre utviklingen av anbefalinger og veiledning fremover.
Et element i det å arbeide for samordnet veiledning til offentlige virksomheter er også å bidra inn i arbeidet som gjennomføres av andre veiledningsaktører, for å sikre best mulig sammenheng mellom ulike veiledningsprodukter og hjelpemidler som blir utarbeidet. I 2023 har Digdir blant annet bidratt i Foreningen kommunal informasjonssikkerhet (KiNS) sitt arbeid med hjelpemidler og dokumentmaler for styringssystem (ISMS), og KS sitt arbeid med sikkerhetskrav i anskaffelser for kommunesektoren.
I tillegg bidro Digdir i Bufdirs gjennomgang av svikt i tekniske løsninger for elektronisk bekymringsmelding til barnevernet.
Delmål 2: Forvaltningen arbeider systematisk med styring og kontroll på informasjonssikkerhet og mottar nødvendig veiledning
For å understøtte direktoratets arbeid er det også gjennomført ulike aktiviteter for å bygge fagmiljøets oversikt og kunnskap om behov på området, slik at man sikrer utarbeidelse av nødvendig veiledning.
Digdir har også jobbet videre med konseptutvikling av enkelte av tiltakene presentert i notatet «Felles sikkerhet i forvaltningen» i 2022.
Digdir jobbet høsten 2022 og våren 2023 med en prototype av en katalog over oppgaver og informasjonstyper, og gjorde seg mange erfaringer knyttet til hvordan et slikt arbeid kan legges opp. Det ble også gjennomført en kartlegging av ulike råd og veiledning som finnes knyttet til vurdering av konsekvenser. Begge disse arbeidene vil brukes som grunnlag i det videre arbeidet med felles sikkerhet i forvaltningen.
Høsten 2023 startet også arbeidet med å gjennomføre en ny undersøkelse om arbeidet med informasjonssikkerhet i statsforvaltningen. Undersøkelsen er en oppfølging av undersøkelsen som ble gjennomført i 2018, og gjennomføres første halvår 2024.
Statens kompetansemiljø for informasjonssikkerhet har holdt en rekke foredrag i 2023, både på større konferanser, og for enkeltvirksomheter/kommuner. Tema for foredragene har blant annet vært styring og kontroll av informasjonssikkerhet i en virksomhet, bruk av «Stifinneren», og initiativet Felles sikkerhet i forvaltningen. Digdir var også samarbeidspartner og hadde et eget spor på Sikkerhetsfestivalen.
I tillegg er Nettverk for informasjonssikkerhet i offentlig sektor (NIFS) en møteplass og arena for erfaringsdeling. Det er også i 2023 gjennomført fem møter, med god deltagelse. Temaer på møtene har blant annet vært ledelsens gjennomgang, øvelser og KI og sikkerhet.
Status for informasjonssikkerheten i forvaltningen
- På spørsmål fra SSB vurderer kommunene egen måloppnåelse som lavere enn stat og fylkeskommune
- Til tross for et risikobilde der man ser en økning i hendelser (NSM), viser tallene fra SSB at færre statlige virksomheter og fylkeskommuner bruker erfaringer fra hendelser i vurdering av risiko og/eller forbedring av informasjonssikkerheten
- Datatilsynets brevtilsyn med norske kommuner og fylkeskommuner viste blant annet at ca 2/3 av respondentene i svært liten grad hadde en overordnet sikkerhetsstrategi, og at majoriteten av kommunene manglet en tilstrekkelig overordnet retningslinje for arbeidet med vurdering av risiko.
Utfordringer
Arbeidet med informasjonssikkerhet er fortsatt krevende for de enkelte virksomhetene. Det er utfordrende å holde oversikt over hvilke regelverk som gjelder, ny regulering som kommer til, og hvilke myndighetsaktører og veiledere de skal forholde seg til. Dette er utfordringer vi har vært kjent med i mange år, og den må løses gjennom bedre samordning av relevante myndighetsaktører.
Prioriteringer og tiltak
Det videre arbeidet med Felles sikkerhet i forvaltningen vil bidra til et bedre veiledningstilbud til brukerne. Dette arbeidet fortsetter inn i 2024. Aktørene samarbeider om et felles målbilde, som skal fungere som felles målsetning for samordnet innsats på området. Videre arbeid vil være basert på dette målbildet, og vil startes i samarbeid med aktuelle veiledningsaktører. Målsetningen er et nasjonalt løft for informasjonssikkerhet generelt og digital sikkerhet spesielt.