IKT-sikkerhetsutvalget. NOU 2018: 14 IKT-sikkerhet i alle ledd

Like dokumenter
IKT-SIKKERHET I ALLE LEDD ORGANISERING OG REGULERING AV NASJONAL IKT SIKKERHET

Geir Magnus Walderhaug NA Region øst Frokostmøte 6. mars 2018

Til Justis- og beredskapsdepartementet. 22. mars 2019

Svar på høring NOU: 2018:14 IKT-sikkerhet i alle ledd

POLITIET KRIPOS HØRINGSUTTALELSE - NOU 2018:14 OG UTKAST LOV FOR GJENNOMFØRING AV NIS-DIREKTIVET SAK 1 - NOU 2018:14

NOU. IKT-sikkerhet i alle ledd. Norges offentlige utredninger 2018: 14. Organisering og regulering av nasjonal IKT-sikkerhet

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Strengere regulering av bombekjemikalier av betydning for transportnæringen? Farlig gods konferansen 23 mai 2013 Avdelingsleder Siri Hagehaugen

Samfunnets sikkerhet og beredskap - sett fra Riksrevisjonen. Riksrevisor Per-Kristian Foss. Samfunnssikkerhetskonferansen. 4. januar 2018.

Regelverksutvikling i DSB

NASJONAL SIKKERHETSMYNDIGHET

Anbefalinger om åpenhet rundt IKT-hendelser

Sammen om verdiskaping

Fylkesmannen som regional beredskapsaktør forventninger jf. ny instruks

Risikostyring på nasjonalt nivå

Organisering av beredskapen- DSB som samordningsmyndighet. Elisabeth Longva, Avdelingsdirektør DSB 25. April 2017

Endringer i mål og styringssystem for Justis- og beredskapsdepartementet

EU-regelverk og sikkerhet i norsk energiforsyning

Vår dato: Vår referanse: 19/4839-1

Hvordan få fart på digitaliseringen? Ingelin Killengreen 13. Februar 2014

Deres ref Vår ref Dato 15/ /

Oslo Innledning

Felles journal. Fra et samfunnssikkerhets- og beredskapsperspektiv. avdelingsdirektør

NOU 2012:14 Rapport fra 22. juli kommisjonen høringssvar fra Direktoratet for forvaltning og IKT

Nytt fra DSB. Siri Hagehaugen avdelingsleder. 15. mars 2017

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Samfunnsøkonomisk vurdering av anbefalinger fra IKT-sikkerhetsutvalget. Utarbeidet for IKT-sikkerhetsutvalget

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

TRUSLER, TRENDER OG FAKTISKE HENDELSER

NASJONAL SIKKERHETSMYNDIGHET: DO'S AND DON'TS. Gardermoen, 27. september Jørgen Dyrhaug Nasjonal sikkerhetsmyndighet

Sikring av kritiske samfunnsfunksjoner Erfaringer fra Norge

Difi. Digitalisering av offentlig sektor. Offentlig sektor er ikke en enhet

Digitalisering av offentlig sektor

Nasjonal helseberedskap

Fagdag sikring Ny sikkerhetslov og arbeidet med nye forskrifter. Svein Anders Eriksson Leder for sikring og standardisering Ptil

Oppfølging av informasjonssikkerheten i UH-sektoren

Programmandat. Versjon Program for administrativ forbedring og digitalisering

Høring - NOU 2016:25 - Organisering og styring av spesialisthelsetjenesten

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

NOU 2015: 13. Digital sårbarhet sikkert samfunn

Nasjonalt fagutvalg - Fagutvalget

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Veikart Standardiseringsrådet

Forvaltning for samfunnssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Sikkerhetsforums Årskonferanse 2004 HMS-regelverket som verktøy for helhetlig oppfølging - hav og land

Oversender høring - Digital sårbarhet - sikkert samfunn - NOU 2015:13 Vi viser til Justis- og beredskapsdepartementets brev av 9. desember 2015.

Strategi for Informasjonssikkerhet

NY UTREDNINGSINSTRUKS - HVA SÅ?

Virksomhetsstrategi Justis- og beredskapsdepartementet

Oppsummering fra gruppene på møte mellom departementene og sivilsamfunnsorganisasjonene 19. juni 2018

Velkommen til Sevesokonferansen Åpningsforedrag. Anne Rygh Pedersen, Avdelingsdirektør DSB. 20.september 2018

Behandlet dato Behandlet av Utarbeidet av

Risiko og sårbarheterfaringer

Strategi Vedtatt

Høring - Endringer i barnehageloven, Innføring av lovregler om psykososialt barnehagemiljø, internkontroll mm

Ny styringsmodell for informasjonssikkerhet og personvern

Digitalisering og deling i kommunal sektor

Høringssvar - Langsiktig strategi for Altinn

Høring NOU 2016:19 Samhandling for sikkerhet

Fintech muligheter og utfordringer for hvitvaskingsarbeidet

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Digitalt sårbarhetsutvalg

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Målstyring av Innovasjon Norge det umuliges kunst?

Statlig IKT-politikk en oversikt. Endre Grøtnes Difi, avdeling for digital strategi og samordning

Regjeringens politikk for statlig tilsyn med kommunesektoren

Samordning av IKT-utviklingen i kommunesektoren. Trude Andresen Direktør KS Forskning, innovasjon og digitalisering

Olje- og energidepartementet

Presentasjon av organiseringsprosjektet. 13. oktober 2016

Difi-strategien

Nytt fra DSB. Sprengningsdagen Arctic Entrepreneur 2018

Samordning av IKT i spesialisthelsetjenesten Status ny felles IKT-strategi. v/administrerende direktør i Nasjonal IKT HF, Gisle Fauskanger

IKT- sikkerhet. Prosjektportefølje 2019

NOU 2012:4 Trygg hjemme Brannsikkerhet for utsatte grupper

Mandat for arbeidet med Langsiktig strategi for Altinn

Konseptutredning Sivilforsvaret og Brannreformen. Sivilt-militært kontaktmøte

Digitalt sårbare elever. Fredrik Manne Institutt for informatikk, Universitetet i Bergen

Nye folkevalgte regioner vs regional stat roller og oppgaver? Hvor lander ekspertutvalget? Jon P Knudsen Lyngdal

Digitaliseringsstrategi

Informasjonssikkerhet i forordningen

Effektiv ressursbruk i staten. Strategi Direktoratet for økonomistyring. dfo.no

Høringssvar NOU 2018:17 Klimarisiko og norsk økonomi

GODE BESLUTNINGSGRUNNLAG I EN OMSKIFTELIG TID. Elisabeth Aarseth, DFØ

HR-STRATEGI FOR FORSVARSSEKTOREN

Digitale grep for norsk verdiskaping Samlede anbefalinger DIGITAL21

Utfordringer for samfunnssikkerhetsarbeidet og for den norske modellen. Direktør DSB

Roller og ansvar ved deling av opplysninger

Strategi for nasjonale felleskomponenter og -løsninger i offentlig sektor. Strategiperiode

Ny organisering av brannog redningsvesenet og konseptutredning for Sivilforsvaret. Kommunekonferansen 2016

Digital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland

Prinsipper for virksomhetsstyring i Oslo kommune

Nye personvernregler

12:10 13:00 Den nye digitaliseringsstrategien for offentlig sektor

Strategi IKT-strategi for justissektoren

Utredning om videreføring av Nasjonal IKT HF

Nye Kirkenes sykehus. Nasjonalt program for leverandørutvikling. Dialogkonferanse, Tromsø 31. mars Foto: Jo Michael

Arbeidstilsynets strategi

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

Kan du holde på en hemmelighet?

Transkript:

IKT-sikkerhetsutvalget NOU 2018: 14 IKT-sikkerhet i alle ledd

Mandat Er dagens regulering hensiktsmessig for å oppnå forsvarlig nasjonal IKT-sikkerhet? Har vi en hensiktsmessig fordeling og organisering av tverrsektorielt ansvar på etatsnivå innen nasjonal IKT-sikkerhet? Hvilke regulatoriske og organisatoriske grep bør gjøres for å styrke nasjonal IKT-sikkerhet? Medlemmer Hans Christian Holte (leder), Therese Steen, Terje Wold, Lee A. Bygrave, Marie Moe, Torgeir A. Waterhouse, Lillian Røstad, Håkon Grimstad

Utfordringsbildet

Styrings- og samordningsutfordringer Horisontale styringsutfordringer mellom departementene og mellom direktoratene Vertikal styringsutfordring mellom departementene og direktoratene Flernivå-problematikk mellom stat og kommune Begrensede styringsmuligheter overfor private virksomheter

Digitaliseringen av samfunnet utfordrer oppgaveløsning, ansvar og roller Samfunnssikkerhet og statssikkerhet overlapper krevende grenseflater mellom NSM og DSB Rådgivning og veiledning fremstår fragmentert og lite koordinert Koordinering og informasjonsdeling ved uønskede digitale hendelser er krevende Tilsyn med IKT-sikkerhet oppleves som mangelfull og lite koordinert

Mangelfull regulering av IKT-sikkerhet Regelverket adresserer sikring av informasjon, konfidensialitet IKT-sikkerhet er ulikt regulert i sektorene Lite hensiktsmessig regulering av IKT-sikkerhet i offentlig forvaltning Begrensninger i sikkerhetsloven

Manglende insentiver for å investere i IKTsikkerhet For lite kunnskap, forståelse eller kjennskap til digitale trusler til å iverksette hensiktsmessige tiltak IKT-sikkerhet koster penger Potensiell målkonflikt mellom digitalisering og effektivitet og IKTsikkerhet

Anskaffelser og digitale sårbarheter Gjeldene lover og forskrifter regulerer IKT-sikkerhet ved anskaffelser i varierende grad IKT-sikkerhet er ikke godt nok vektlagt i anskaffelsesregelverket og i statens standardavtaler

Utfordringer med IKT-sikkerhet i tilkoblede produkter og tjenester Dagens regelverk gir få insentiver for å produsere og selge tilkoblede produkter og tjenester med tilstrekkelig IKT-sikkerhet Uklart hvem som har myndighetsansvar for IKT-sikkerhet i tilkoblede produkter og tjenester Vanskelig å vite til hvem og hvordan man skal varsle om alvorlige IKTsikkerhetshull i tilkoblede produkter og tjenester Det er ingen styrt tilnærming til hvordan man skal behandle og offentliggjøre digitale sårbarheter

Anbefalinger

Overordnede prinsipper til grunn for utvalgets anbefalinger Arbeidet med IKT-sikkerhet må ha en risikobasert tilnærming som innebærer at vesentlig risiko på IKT-sikkerhetsområdet prioriteres IKT-sikkerhet må balanseres opp mot brukervennlighet, økonomi og grunnleggende menneskerettigheter. En slik balanse vil innebære at et visst nivå av risiko må aksepteres for å oppnå økonomiske og sosiale mål Arbeidet med IKT-sikkerhet krever fleksibilitet i reguleringen og organiseringen slik at man kan tilpasse seg nye trusler, sårbarheter, teknologier og forretningsmodeller

Utvalgets anbefalinger Ny lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning Krav om IKT-sikkerhet ved anskaffelser Etablere et nasjonalt IKT-sikkerhetssenter Tydelig regulering og ansvar for tilkoblede produkter og tjenester Tydeligere styring og bedre koordinering av nasjonal IKT-sikkerhet

Ny lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning Den nye loven skal gjennomføre NIS-direktivet i norsk rett Den nye loven skal gjelde for samfunnskritiske virksomheter, offentlig forvaltning og virksomheter som omfattes av NIS-direktivet Den nye loven skal stille krav om forsvarlig IKT-sikkerhet. Kravene bør konkretiseres i forskrift og veiledning Den nye loven skal stille krav om varsling av uønskede digitale hendelser. Det skal føres tilsyn med etterlevelsen av den nye loven Justis- og beredskapsdepartementet må sørge for koordinert veiledning til loven, herunder vurdere en sertifiseringsordning Fremtidige regelverk må harmoniseres med kravene i den nye loven Sette ned et lovutvalg som skal utrede en lov som stiller krav om IKT-sikkerhet til alle norske virksomheter

Krav om IKT-sikkerhet ved anskaffelser Det må stilles krav om IKT-sikkerhet ved alle offentlige anskaffelser. Anskaffelsesregelverket bør endres slik at oppdragsgiveren får en slik plikt IKT-sikkerhet må ivaretas bedre i Statens standardavtaler Veiledning om IKT-sikkerhet ved anskaffelser må videreutvikles

Etablere et nasjonalt IKT-sikkerhetssenter Det må etableres et nasjonalt IKT-sikkerhetssenter for å styrke koordinering og samordning mellom sektorer og mellom offentlig og privat aktører Justis- og beredskapsdepartementet må, i samarbeid med Forsvarsdepartementet, sørge for at det gjennomføres en uavhengig behovs- og kostnadsanalyse før et nasjonalt IKT-sikkerhetssenter etableres Behovs- og kostnadsanalysen må baseres på en bred involvering av potensielle interessenter i privat og offentlig sektor Behovs- og kostnadsanalysen må avklare IKT-sikkerhetssenterets myndighetsforankring og kobling til NSM

Følgende oppgaver bør vurderes lagt til IKTsikkerhetssenteret Koordinere myndighetenes råd og veiledning Være nasjonalt responsmiljø (NSM NorCERT) Være sentralt kontaktpunkt for råd- og veiledning og ved uønskede digitale hendelser Tilgjengeliggjøre oppdatert informasjon om trusler og sårbarheter Motta rapportering og offentliggjøre informasjon om digitale sårbarheter i IKTsystemer («Coordinated Vulnerability Disclosure») Være pådriver for offentlig-privat samarbeid Stimulere til mer forskning, utvikling og innovasjon

Tydelig regulering og ansvar for tilkoblede produkter og tjenester Ansvaret for IKT-sikkerhet i tilkoblede produkter og tjenester bør i større grad flyttes fra forbrukeren til produsentene og leverandørene. For å oppnå dette, bør det blant annet stilles krav om innebygd sikkerhet («Security by design») i tilkoblede produkter og tjenester Norge må fortsette sitt internasjonale samarbeid på dette området, særlig opp mot regelverksprosesser i EU Myndighetene må gi bedre råd og veiledning til importører, forhandlere og norske produsenter av tilkoblede produkter og tjenester. Utarbeidelse av råd og veiledning må gjøres i samarbeid mellom myndighetene og bransjeaktørene DSB bør få en tydelig rolle når det gjelder varsling, rapportering, tilbakekalling og håndtering av manglende IKT-sikkerhet i tilkoblede produkter og tjenester

Tydeligere styring og bedre koordinering av nasjonal IKT-sikkerhet Justis- og beredskapsdepartementet må utøve et tydeligere lederskap for nasjonal IKT-sikkerhet Etablering av et nasjonalt IKT-sikkerhetssenter og den nye loven om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning vil styrke departementets evne til å utøve et tydeligere lederskap for nasjonal IKT-sikkerhet Justis- og beredskapsdepartementet og Forsvarsdepartementet må gjennomgå styringsmodellen til NSM for å sikre at IKT-sikkerhet i sivil sektor blir bedre ivaretatt, samtidig som koblingen mellom sivil sektor og forsvarssektoren beholdes Justis- og beredskapsdepartementet må tilrettelegge for at tilsyn på IKTsikkerhetsområdet koordineres bedre, og at tilsyn med teknisk IKTsikkerhet gis økt oppmerksomhet

Videre prosess NOUen sendt på høring 21.12.18 Endringer i regjeringen og departementsstrukturen kommunisert 22.1 Nasjonal strategi for digital sikkerhet lansert 30.1 Tilak 6 omhandler oppfølging av utvalgets arbeid Tiltak 3 (Nasjonalt Cybersikkerhetssenter) og tiltak 30 (NIS-direktivet) viser også til utvalget

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding