Nå får du anbefalinger om styring av sikkerhet og personvern på ett sted

I januar ble den nye nasjonale portalen for digital sikkerhet – sikkert.no – lansert. På denne portalen finner du første produkt fra samarbeidet Felles sikkerhet i forvaltningen (FSIF): Felles anbefalinger om styring av informasjonssikkerhet og personopplysningsvern. Datatilsynet, Nasjonal sikkerhetsmyndighet (NSM), Kommunesektorens organisasjon (KS), Direktoratet for forvaltning og økonomistyring (DFØ), Helsedirektoratet og Digdir står sammen bak anbefalingene.

Disse felles anbefalingene er det første synlige resultatet av et langsiktig arbeid for å samordne anbefalinger, veiledning og hjelpemidler. På sikt ønsker vi å få på plass det man kan kalle en nasjonal verktøykasse for informasjonssikkerhet og personopplysningsvern. Mer om den lenger ned – først litt om hva de anbefalingene som nå er publisert er for noe.

Dette er felles anbefalinger om styringsaktiviteter

Anbefalingene beskriver styringsaktiviteter dere systematisk må gjennomføre for å styre informasjonssikkerhet og personopplysningsvern. Både for å oppnå og opprettholde et tilstrekkelig sikkerhetsnivå.

I Ledelsens styring og oppfølging gir toppledelsen føringer for hvordan virksomheten skal jobbe med dette, viser for sine ansatte hvorfor det er viktig, og følger det opp i virksomhetsledelsen gjennomgang.

Ved å Ha oversikt og prioritere vet dere hvilken informasjon som behandles i oppgavene dere gjør og tjenestene dere leverer, og hvor store konsekvenser det kan få dersom noe skjer. Denne oversikten hjelper dere med å prioritere.

Dere har en rekke risikoeiere i virksomheten deres – personer som er ansvarlig for mål og resultater på ulike områder. Disse må gjennomføre Vurdering av risiko, slik at de har tilstrekkelig oversikt over risiko knyttet til området de er ansvarlig for. Dette inkluderer nødvendige personvernkonsekvensvurderinger. I Håndtering av risiko sørger dere for at den identifiserte risikoen håndteres på en passende måte. Enten ved å etablere tiltak for å redusere den, ved å unngå eller dele risikoen, eller ved å akseptere den.

Arbeidet må også følges opp. I Måling, evaluering og revisjon sørger dere for at risikoeiere selv evaluerer status på sitt ansvarsområde, dere gjennomfører evalueringer, og dere sørger for at sikkerhets- og personverntiltak fungerer effektivt.

For å være i stand til å oppdage og reagere på uønskede hendelser, må dere etablere hensiktsmessig Overvåking og hendelseshåndtering. Det handler om å overvåke etter behov og håndtere hendelser og avvik, og varsle andre når hendelser oppstår hvis det er nødvendig.

For at alt dette skal fungere på en god måte i virksomheten deres, er det også viktig med Kompetanse- og kulturutvikling. Dette gjør dere for å sikre at risikoeiere og andre kjenner sitt ansvar, vet hva de skal gjøre, og hvor de eventuelt kan få hjelp og støtte. Anskaffelser og leverandørstyring er også viktig for å sikre at det er tilstrekkelig kontroll på leverandørkjeder og tjenesteleveranser.

Til slutt er det også helt avgjørende at det hele bindes sammen av god Kommunikasjon – både fra ledelsen og mellom de ulike aktivitetene som gjennomføres. God og tydelig kommunikasjon setter dere i stand til å jobbe helhetlig med informasjonssikkerhet og personopplysningsvern.

Veiledning som henger sammen

Det finnes mange offentlige aktører som gir veiledning om informasjonssikkerhet og personvern.

De nye anbefalingene sier hva dere bør gjøre, og hvorfor, men mange vil fortsatt trenge hjelp til hvordan det skal gjøres, og hvem som skal gjøre det. Slik hjelp kan for eksempel komme i form av metodeveiledning eller praktiske verktøy.

I dag finnes det mye veiledning, men det kan være vanskelig å få oversikt. Det gjenstår fortsatt mye arbeid for å rydde og samordne veiledningen på området.

Det skal bli lettere å se sammenhengen mellom disse anbefalingene og den veiledningen som finnes. Veiledning skal vise til anbefalingene, og veiledningsaktørene bør forklare hvilke deler av anbefalingene de veileder om.

En av FSIFs målsetninger er at det skal finnes felles anbefalinger om hva dere bør ha på plass for styre informasjonssikkerhet og personopplysningsvern, og ha et forsvarlig sikkerhetsnivå. Det som nå er publisert er første del av dette. Vi begynner nå å se på hvordan vi også kan gjøre noe felles på anbefalinger knyttet til sikkerhets- og personverntiltak.

Skal bli en nasjonal verktøykasse

Det vil til enhver tid være behov for spesifikk hjelp for ulike fagområder eller sektorer. Vi jobber for et felles lag av anbefalinger, som ivaretar kravene til styring og kontroll i de mest relevante sektorovergripende regelverkene. Får vi til dette, vil det lette byrden både for dere som skal etterleve dette regelverket, og for de som skal veilede på spesifikke deler.

I FSIF har vi tegnet et målbilde som beskriver hvordan en nasjonal verktøykasse kan se ut. Målbildet deler anbefaling og veiledning i fire nivåer:

1. Krav fra regelverk
2. Anbefalinger, for eksempel om
   • styringsaktiviteter
   • basisnivåer av tiltak
   • felles tiltaksbank med sikkerhets- og personverntiltak
3. Veiledning knyttet til ulike deler av anbefalingene, for eksempel
   • generell styringsveiledning
   • veiledning i fremgangsmåter/metoder
   • veiledning om spesifikke tiltak eller grupper av tiltak
   • veiledning om særregler i et regelverk
4. Praktiske hjelpemidler, for eksempel
   • Støtteverktøy
   • Eksempelbank
   • Oversikt over begreper
   • Felles vurderinger

Verktøykassen vil utvikle seg over tid. Anbefalingene for styringsaktiviteter vi har laget nå kan tas i bruk med en gang, men nytteverdien vil stadig øke når mer av verktøykassen kommer på plass.

Målsetninger i Digitaliseringsstrategien

En målsetning i Digitaliseringsstrategien er at alle statlige virksomheter og 90% av kommuner skal ha evaluert, forbedret eller fornyet sitt styringssystem for informasjonssikkerhet innen 2030.

I følge SSBs undersøkelse IKT og digitalisering i offentlig sektor fra 2025 oppga 85,6% av statlige virksomheter at de har evaluert styringssystemet sitt, og 80,4% oppgir å ha forbedret det. Tilsvarende tall fra kommunene var at 72,8% har evaluert styringssystemet, og 71,4% har forbedret det.

Digitaliseringsstrategien sier også at Regjeringen vil samordne råd- og veiledningsressurser innenfor digital sikkerhet bedre. Både disse felles anbefalingene og arbeidet med Sikkert.no er viktige virkemidler for å nå denne målsetningen.

Sammen skal vi bedre sikkerheten i forvaltningen

Målet er at det langsiktige strategiske arbeidet i FSIF skal bidra til:

• styrket informasjonssikkerhet og personopplysningsvern på tvers av forvaltningen
• mer kostnadseffektivt arbeid med dette for offentlige oppgaver og tjenester
• mer effektivt grensesnitt mot tjenesteleverandørmarkedet
• at det blir enklere å utvikle sammenhengende tjenester og dele data
• tydeligere rammer for tjenesteutvikling i felles økosystem

Vi trenger innspill og tilbakemeldinger

Vi vil gjerne høre fra deg. Har du tanker, innspill eller tilbakemeldinger? Er det noe du savner, eller du tenker offentlig sektor har behov for? Om det gjelder anbefalingene, Sikkert.no eller arbeidet i FSIF: Legg igjen en kommentar her, eller send en e-post til infosikkerhet@digdir.no. Vi setter stor pris på alle innspill vi får - det hjelper oss til å gi bedre hjelp!