Sikkerhet og beredskap
I 2023 jobbet Digdir videre med å styrke sikkerhet og beredskap i en skjerpet sikkerhetssituasjon. Styringssystemet for sikkerhet dekker samfunnssikkerhet, informasjonssikkerhet, personvern og beredskap. Styringssystemets faste aktiviteter styres og kontrolleres gjennom årshjulet for sikkerhet og beredskap, som vi evaluerer og forbedrer ved ledelsens årlige gjennomgang av styringssystemet.
Digdir har ansvar for samfunnskritiske fellesløsninger. Det stiller høye krav til arbeidet med sikkerhet og beredskap. I 2023 gjorde internasjonale hendelser at sikkerhetssituasjonen fortsatt var skjerpet for Digdir, gjennom flere cyberangrep og et økende trusselbilde. Gjennom året har vi styrket sikkerheten og beredskapen ved å drive og forbedre aktivitetene som følger av styringssystemets prosesser.
Mål
Hovedmålet for arbeidet med sikkerhet og beredskap i Digdir er å sikre at virksomheten har tilstrekkelig sikkerhet i sine tjenester og leveranser. Det viktigste målet i 2023 har vært å følge opp etableringen av tiltakene vedtatt etter gjennomførte gap-analyse og anvendelighetserklæring i 2022.
Resultater
Den viktigste leveransen i 2023 har i likhet med 2022 vært, å videreføre arbeidet med å etablere og operasjonalisere et styringssystem for sikkerhet som dekker samfunnssikkerhet og informasjonssikkerhet, personvern og beredskap. Arbeidet skjer i tett samarbeid mellom virksomhetsstyring, leverandøravdelingene, HR og kommunikasjon.
Den sentrale sikkerhetsfunksjonen har en virksomhetsovergripende og koordinerende rolle for sikkerhets- og beredskapsarbeidet i Digdir og samarbeider tett med fagavdelingene. Framdriften for utvikling og innføring av styringssystemet har vært tilfredsstillende. Vi erkjenner at arbeidet er tidkrevende, og at kapasitet på sikkerhetsressurser er viktig. Vi legger vekt på kvalitet i tiltakene framfor tid. Derfor ble prosjektet for oppfølging av gapanalyse sikkerhet besluttet forlenget inn i 2024. Gjennom året videreutviklet og oppdaterte vi den årlige risiko- og sårbarhetsanalysen for arbeidet med samfunnssikkerhet, også kalt RoS-analysen, i tråd med samfunnssikkerhetsinstruksen. I dokumentet vurderer vi tilsiktede og utilsiktede hendelser som kan true vår kritiske funksjonsevne og sette grunnleggende samfunnsverdier i fare.
Vi ser prioriteringen av sikkerhetstiltakene i lys av det skjerpede trusselbildet Digdir opererer i, virksomhetens rolle som leverandør av nasjonale fellesløsninger og kritiske samfunnsfunksjoner, samt den tilliten virksomheten har som premissgiver for informasjonssikkerhet. Dette arbeidet fortsetter i 2024.
I beredskapsarbeidet har vi knyttet hendelseshåndteringen i fellesløsningene nærmere beredskapsplanverket, og ser dette i sammenheng, fra produktteamene og hele veien til eierdepartementet. Vi bygger kompetanse og kapasitet for hendelseshåndtering og beredskapshendelser og øver disse. Alle ambisjonene for opplærings- og øvingsprogrammet er ikke oppfylt i 2023, og vil derfor få større fokus i 2024. Krisestøtteverktøyet er en viktig del av beredskapsarbeidet og er tatt i bruk som en del av vårt beredskapsplanverk.
Vi har prioritert systematisk opplæring i informasjonssikkerhet for alle nye medarbeidere. Vi har informert regelmessig om sikkerhet og digitale hendelser til medarbeidere. Vi har gjennomført øvelser der virksomheten fant det nødvendig. Digdir deltok også i den årlige nasjonale sikkerhetsdugnaden, Sikkerhetsmåneden.
2023 ble avsluttet med ledelsens årlige gjennomgang og evaluering av sikkerhets- og beredskapsarbeidet. Sentralt i denne gjennomgangen var en evaluering av Digdirs styringssystem for sikkerhet, sikkerhetsmål og utviklingsbehov.
Utfordringer
RoS-analysen for 2023 trekker fram følgende risikoområder:
- (R1) Digitale angrep
- (R2) Drift av nasjonale fellesløsninger
- (R3) Sikkerhetsstyring
- (R4) Beredskap og kriseledelse
- (R5) Tilgang til sikkerhetsressurser
Risikoområdene er inndelt i fem risikoscenarioer som presenterer et aggregert risikobilde for Digdirs rolle i arbeidet med samfunnssikkerhet. I RoS-analysen redegjør vi videre for pågående, gjennomførte og anbefalte risiko- sårbarhetsreduserende tiltak knyttet til de fem risikoområdene.
Digitale angrep mot nasjonale fellesløsninger er en alvorlig sikkerhetsrisiko. I 2023 så vi en ytterligere skjerping av det digitale trusselbildet. Vi har flere ganger gjennom 2023 opplevd både tilsiktede og utilsiktede hendelser som har påvirket oppetiden til flere av våre løsninger. Vi arbeider systematisk med hendelsene og lærer og forbedrer kontinuerlig.
Prioriteringer og tiltak
En hovedaktivitet i 2024 blir å videreutvikle og fortsette implementering av styringssystemet for sikkerhet.
Gjennom 2024 vil vi følge opp identifiserte forbedringstiltak gjennom porteføljeprosjektet "Oppfølging av gap-analyse for sikkerhet".
Læring fra hendelser og øvelser vil sammen med opplærings- og øvingsprogrammet for beredskap og krisehåndtering styrke beredskapen og krisehåndteringen ytterligere i 2024. Tiltakene vil styrke Digdirs samlede kompetanse innenfor aktiviteter tilknyttet hendelseshåndtering, beredskap og krisehåndtering
Stadige endringer i regelverk, eksempelvis NIS-direktivet og Lov om digital sikkerhet, inkluderes i styringssystem for sikkerhet når de trer i kraft. Krav til bruk av KI i sikkerhetsarbeidet vil også bli en del av arbeidet i 2024.