Sikkerhet og beredskap
Sikkerhets- og beredskapsarbeidet er sentralt for at Digitaliseringsdirektoratet (Digdir) skal kunne løse sitt samfunnsoppdrag. I 2021 har Digdir styrket og videreutviklet arbeidet med sikkerhet og beredskap. Nasjonal sikkerhet, samfunnssikkerhet, informasjonssikkerhet og personvern sees i sammenheng og sikkerhetsarbeidet inngår som integrert del av virksomhetsstyringen.
Den sentrale sikkerhetsfunksjonen ble i løpet av året oppbemannet ved to stillinger, og vil ytterlige styrkes i 2022. Funksjonen skal ha en virksomhetsovergripende og koordinerende rolle for sikkerhets- og beredskapsarbeidet internt i direktoratet. I 2021 ble det av blant annet etablert et internt sikkerhetsforum og etablert kontaktpunkter med tilsvarende fagmiljøer i andre offentlige virksomheter.
Digitale angrep mot nasjonale fellesløsninger er en alvorlig sikkerhetsrisiko, og i 2021 så vi en skjerping av det digitale trusselbildet. På oppdrag fra KDD utredet Digdir eget behov for kapasitet med hensyn til å styrke virksomhetens evne til å forebygge og håndtere IKT-sikkerhetshendelser for fellesløsningene, en såkalt CERT. Utredningen av behovet ble i løpet av høsten tilsendt KDD, og er grunnlag for videre oppfølgning med henblikk på blant annet organisering av slik kapasitet for fellesløsningene. Direktoratet har også utarbeidet en overordnet risiko- og sårbarhetsanalyse (ROS-analyse). Prioriterte forbedringstiltak som følge av analysen følges opp.
Digdir har ansvar for samfunnskritiske fellesløsninger. Dette stiller høye krav til arbeidet med sikkerhet og beredskap. Det er i løpet av året gjort fortløpende vurderinger av arbeidet med krise- og beredskapsplaner, eksempelvis knyttet til om direktoratets leveranser og funksjonalitet vil kunne påvirkes ved stort sykefravær.
Arbeidet med oppdatering av styringssystem og videreutvikling av policy, rutiner og retningslinjer er sentralt og viktig for å sikre ett integrert styringssystem. NSM’s grunnprinsipper for sikkerhetsstyring er innarbeidet. Det generelle internkontrollarbeidet knyttet til sikkerhet og beredskap styrkes. I løpet av 2021 ble flere retningslinjer og rutiner revidert og implementert som ledd i arbeidet med å styrke det praktiske sikkerhetsarbeidet. Dette arbeidet fortsetter i 2022.
I utviklingen av beredskapsarbeidet i Digdir har det vært fokus på øvelser, håndtering av hendelser, og forenkling av løsninger og rutiner for innmelding av hendelser og avvik. Rutiner ble justert for varsling og rapportering dersom alvorlige hendelser eller risikoer inntreffer. Det skal være en lav terskel for ansatte å melde fra. Læringspunkter fra øvelsene vil tas med i det videre arbeidet med beredskap i 2022.
Digdir har videre etablert bedre systemunderstøttelse for sikker kommunikasjon, vurdert og fulgt opp tjenstlige behov for sikkerhetsklareringer og hatt omfattende arbeid med krav til grunnsikring i forbindelse med at Digdir flyttet inn i nye lokaler i Oslo og Brønnøysund høsten 2021.
På bakgrunn av den såkalte «Schrems-IIdommen», som falt sommeren 2020, har Digdir i 2021 jobbet med problemstillinger som oppstod i kjølvannet av dommen. Det ble gjort vurderinger knyttet til systemene som Digdir eier og forvalter. Det ble også opprettet dialog med Datatilsynet, Microsoft og Gartner for å kartlegge status og løsninger, og for å få inn råd og anbefalinger.
I løpet av året har det også vært fokusert på sikkerhetskultur og opplæring. Det gjennomføres systematisk opplæring i informasjonssikkerhet for alle nye medarbeidere, det ble gitt regelmessig informasjon om sikkerhet og digitale hendelser til medarbeidere, og gjennomført øvelser der organisasjonen fant det nødvendig. Digdir deltok også i den årlige nasjonale sikkerhetsdugnaden, Sikkerhetsmåneden.
Fjoråret ble avsluttet med en årlig gjennomgang i ledelsen, der evaluering av sikkerhets- og beredskapsarbeidet var tema. Sentralt i denne gjennomgangen var en vurdering av Digdirs styringssystem, sikkerhetsmål og utviklingsbehov. Prioriterte tiltak fra gjennomgangen er tatt inn som en del av virksomhetsplanen for 2022.
Digdir har ansvar for samfunnskritiske fellesløsninger. Dette stiller høye krav til arbeidet med sikkerhet og beredskap.