Vedtak

  1. Styringsgruppen i DigiVestland bestiller et kunnskapsgrunnlag som skal vise hvilke
    utfordringer innen informasjonssikkerhet som kan løses bedre gjennom samarbeid
    mellom noen eller alle kommunene i DigiVestland. Dette kunnskapsgrunnlaget skal
    bygge på det som er utearbeidet nasjonalt. Dette kan illustreres gjennom ulike
    konsept for løsninger.
  2. Styringsgruppen ber om at konklusjonene i kunnskapsgrunnlaget blir forankret i alle
    kommunene.
  3. Kunnskapsgrunnlaget legges til grunn for et eller flere konseptmandat for
    utfordringer samarbeidet ønsker å gå videre med.
  4. Styringsgruppen i DigiVestland ber om at aktuelle konseptmandat kommer til
    behandling i uke 37.
  5. Videre fremdrift i arbeidet blir definert i konseptmandatene.

Bakgrunn

29. mars 2023 behandlet KommIT-rådet i KS rapporten «Styrking av digital robusthet i kommunal sektor», med følgende prioriterte førstetiltak:

Sett inn Skjermdump fra protokollen til KommIT-møte 29.mars

Rapporten legger også fram tiltak kommunene anbefales å løse lokalt, ut fra det ansvaret hver enkelt kommune har. Dette er aktiviteter som er, eller allerede burde vært, innført i alle kommuner, der flere av dem i stor grad sammenfaller med NSM sine grunnprinsipper for IT-
sikkerhet.

Bergen kommune har tatt initiativ til diskusjoner i DigiVestland om oppfølging av tiltakene som er anbefalt i rapporten, både de lokale aktivitetene og en vurdering om å etablere et regionalt senter for digital sikkerhet.

Momenter som er diskutert og som ligger til grunn for forslaget i denne saken:

  • Kommunene er i en utfordrende situasjon, og det haster å få på plass løsninger.
  • Kortsiktige tiltak kan gjennomføres parallelt med planlegging av løsninger på lenger sikt.
  • Kommunene driver sikkerhetsarbeidet forskjellig, og en del arbeid må gjøres for å sørge
    for at alle har en viss grad av likt utgangspunkt.
  • DigiVestland er en regional aktør og må vurdere å ta ansvar for tiltaket KS anbefaler å løse
    regionalt.

Det har pågått samtaler i Digitaliseringsutvalg Vestland (DuVe) i flere møter. Samtalene viser at kommunene har forskjellige behov i arbeidet med sikkerhet, infrastruktur og internkontroll. Der noen har ønske om at DigiVestland så raskt som mulig må etablere et regionalt sikkerhetssenter, har andre behov for å jobbe mer med internkontroll og lokale forhold først. Det er enighet om at videre samtaler er vanskelige uten å ha litt mer konkret å samtale om, når det gjelder for eksempel organisering, innhold i aktivitetene, finansiering og forventninger til kommunene.

Saksutredning

Sekretariatet har forsøkt å favne behovene, og foreslår å starte en konseptfase som kan gi
DigiVestland grunnlag for å vurdere oppfølging av anbefalingen fra KS om å etablere et regionalt sikkerhets- og kompetansesenter for alle kommunene i Vestland.

I samtalene de siste månedene har kommunene meldt inn sine behov. Sekretariatet legger til
grunn at der ikt-samarbeidene representerer flere kommuner, så vil kommunene i DuVe som ikke er i samarbeid, ha behov som i stor grad samsvarer med resten av kommunene som ikke er i samarbeid.

Prosessen sekretariatet foreslår, søker å ivareta både kommunene som ønsker å starte
umiddelbart, og de som ønsker mer utredning før de eventuelt kobler seg på.

Prosessgjennomføring

Slik prosjektveiviseren til Digitaliseringsdirektoratet beskriver idé-fasen, vurderer sekretariatet at denne er gjennomført ved at rapporten «Digital robusthet i kommunal sektor» beskriver et behov, og foreslår tiltak for å løse behovet. Sånn sett er også konseptet valgt – et senter for regional cybersikkerhet og kompetanse. Det foreslås i denne saken å bruke en konseptfase til å levere relevant og tilstrekkelig informasjon for hvordan tiltaket skal gjennomføres. Konseptfasen foreslås med oppstart umiddelbart, og leveransefrist i august 2023.

I konseptfasen skal man:
- beskrive behovet og hva vi ønsker å oppnå
- beskrive og vurdere relevante konsepter
- identifisere eventuelle prinsipielle spørsmål konseptene reiser
- identifisere og vurdere virkningene av tiltaket, både positive og negative
- levere en begrunnet anbefaling av konsept
- beskrive forutsetninger for en vellykket gjennomføring av anbefalt konsept

Vanligvis er konseptfasen preget av behovskartlegging, innovasjon, brukertesting og innovative designprosesser. Siden løsningen er beskrevet i rapporten, er det utformingen og utførelsen av tiltakene som skal beskrives.

Mandat «Konsept sikkerhetssenter»

Mandat for fase 1 – Konsept sikkerhetssenter, følger saken. Til styringsgruppemøtet i august skal det utarbeides et begrunnet prosjektforslag, se vedlagte mandat. Forslaget skal som minimum inneholde beskrivelse av organisering og finansiering av et senter, tjenester et regionalt senter kan komme til å levere, og en tidsplan for et mulig prosjekt, og dermed en mulig etablering.

Arbeidsgruppen bes se på muligheter for gradvis utvidelse av et senter, og hvordan et prosjekt for etablering av regionalt senter kan bruke eller ta opp i seg DigiVestland-prosjektet
«Informasjonssikkerhet og digital beredskap i DigiVestland». Dette prosjektet omfatter
kartlegging av infrastruktur i kommunene, og er et av prosjektene DigiVestland har fått tilskudd til å gjennomføre i 2023.

Fase 1 – Konsept – juni-august 2023
For at styringsgruppen skal kunne behandle en sak om hvordan DigiVestland skal besvare
anbefalingene fra rapporten Digital robusthet, må noen rammer for et slikt arbeid forberedes.

Anbefalingene fra KS går langs to spor, som sekretariatet foreslår å gå parallelt, for så å vurdere samkjøring i en eventuell senere fase hvis det er hensiktsmessig.

Arbeidet med å utvikle konsept for et prosjekt med mål om å etablere et regionalt
cybersikkerhets- og kompetansesenter kan utføres av en gruppe kommunerepresentanter.
Utvikling av konsept for mulige aktiviteter eller prosjekter som kan støtte kommunene i de lokale anbefalingene, bør utarbeides av faggruppene i DigiVestland.

Sekretariatet foreslår derfor å gjennomføre konseptfase for å levere to mulige prosjektforslag:
1. «Konsept sikkerhetssenter» – skal utvikle konsept for et senter for digital sikkerhet. Det
etableres en arbeidsgruppe som starter utredning umiddelbart etter eventuelt vedtak i
styringsgruppen.

2. «Konsept grunnmur» – skal utvikle konsept for prosjekt eller tiltak som kan støtte
kommunene i gjennomføring av de lokale tiltakene i rapporten, og gjennom det få
tilstrekkelig internkontroll. Faggruppene i DigiVestland utgjør arbeidsgruppe, og samles i
slutten av august for å starte arbeidet.

Organisering i konseptfasen
«Konsept sikkerhetssenter»

• Styringsgruppen i DigiVestland beslutter faseoverganger.
• Det oppnevnes en utredningsansvarlig som har ansvar for leveransen.
• For å utvikle konseptet, opprettes det en arbeidsgruppe som ledes av utredningsansvarlig.
• Arbeidsgruppen bør bestå av:
o representanter fra 3-4 kommuner i samarbeidet
o representant fra ett av ikt-samarbeidene
o leder av sekretariatet til DigiVestland
• Arbeidsgruppen står fritt til å fordele oppgavene som de ser hensiktsmessig for å kunne levere på den relativt korte tiden som er til rådighet. Arbeidet koordineres av
utredningsansvarlig.

«Konsept grunnmur»

• Styringsgruppen i DigiVestland beslutter faseoverganger.
• Det opprettes en utredningsansvarlig som har ansvar for leveransen.
• For å utvikle konseptet, opprettes det en arbeidsgruppe som ledes av utredningsansvarlig.
• Arbeidsgruppen består av:
o Representant fra
▪ faggruppe for personvern og informasjonssikkerhet
▪ faggruppe for virksomhetsarkitektur
▪ faggruppe for it/drift
o leder av sekretariatet til DigiVestland
• Arbeidsgruppen står fritt til å fordele oppgavene mellom faggruppene, slik de ser
hensiktsmessig.

Sett inn fig/bilde

Framdriftsplan

Som nevnt i gjennomgangen av bakgrunn (over), ligger det til grunn for denne saksutredningen at flere av kommunene opplever at det haster å få på plass løsninger.

Framdriftsplanen som er foreslått i mandatet er ambisiøs, men sekretariatet mener det er mulig å levere på oppdraget innenfor oppsatt tidsramme. Kort oppsummert er forslaget at arbeidet med «konsept sikkerhetssenter» starter allerede i dagene etter eventuelt styringsgruppevedtak. Under forutsetning av at saken går gjennom i styringsgruppen forberedes det derfor oppstartsmøte i uke 25.

Leveranse er satt opp med to alternativer i mandatet:

Alternativ 1 gir kommunene i samarbeidet mulighet til å uttale seg om DigiVestland sitt videre
arbeid i saken, før styringsgruppen behandler sak om eventuelt å opprette et prosjekt.

Alternativ 2 legger til grunn at styringsgruppen fatter vedtak og informerer kommunene dersom vedtaket blir å opprette prosjekt.

Sekretariatet anbefaler alternativ 1 fordi løsningen søker å skape best mulig forankring før
styringsgruppens behandling av prosjektforslag, og kan være et nyttig grunnlag for
styringsgruppen før eventuelt videre arbeid med et regionalt cybersikkerhets- og
kompetansesenter.

Uavhengig av hvilket alternativ som blir valgt, ønsker sekretariatet å invitere til en sikkerhetsdag for å samle alle kommunene, både for å bidra til felles kunnskap om utfordringene kommunene står overfor, og skape nettverk mellom kommunene.

Finansiering
«Konseptfase sikkerhetssenter» og «Konseptfase grunnmur» finansieres delvis av tilskudd
Statsforvalteren har gitt til DigiVestland-prosjektene «Personvern- og
informasjonssikkerhetsprosjekt 2021-2022» og «Informasjonssikkerhet og digital beredskap i
DigiVestland», og delvis av Bergen kommune som vertskommune.

Kommunene som deltar i fase 1 forventes å dekke kostnader til arbeidet egne ansatte utfører.
Kommunene dekker selv reise for deltagelse på Sikkerhetsdag og Fagsamling sikkerhet, mens deltagelse i arbeidsgruppemøter (juni/august) blir dekket av DigiVestland.
Konsulent med kompetanse innen cybersikkerhetsarbeid er tenkt brukt til å skape felles
kunnskapsgrunnlag for arbeidsgruppen, og til å bidra med utredning og vurdering av mulige
tjenester konseptet skal beskrive.

Beslutningsgrunnlag og kommunikasjon med kommunene

Det er viktig at kommunene ved kommuneledelse er kontinuerlig informert om arbeidet med
dette prosjektet. Kommunikasjonstiltak:

Juni: e-post til kommunedirektør og operativt kontaktpunkt i alle kommuner.

  • Kort gjennomgang av rapporten «Styrking av digital robusthet i kommunal sektor»
  • Kort gjennomgang av hva listen over lokale tiltak innebærer for hver enkelt kommun
  • Presentasjon av konseptfasene som er satt i gang, og DigiVestlands arbeid videre
  • Invitasjon til Sikkerhetsdag
  • Invitasjon til Fagsamling sikkerhet
     
  • August: Sikkerhetsdag som samler beslutningstakere og fagmiljø i kommunene og
    DigiVestland. Sekretariatet har som mål å lage en samling som kan gi kommunene et godt
    beslutningsgrunnlag, og presentere prosjektforslaget som er utarbeidet i «Konsept Sikkerhet».

Innspill fra Digitaliseringsutvalget (DuVe)
DuVe har diskutert denne saken i flere omganger, og fikk forelagt en foreløpig versjon av
sakspapiret i møte tirsdag 6. juni. Oppsummering fra tilbakemeldinger og drøfting av utkast til sak følger sakspapiret.

Forslag til vedtak

  1. Styringsgruppen i DigiVestland bestiller konseptfase for å vurdere oppstart av prosjekt for etablering av regionalt senter for cybersikkerhets- og kompetansesenter i Vestland i tråd med KS sin anbefaling i rapporten «Styrking av digital robusthet i kommunal sektor».
  2. Styringsgruppen i DigiVestland ber om sak til behandling i uke 37, i henhold til beskrivelse av framdrift i mandatet.
  3. Styringsgruppen i DigiVestland vedtar mandat for «konsept sikkerhetssenter» som vedlagt saken.
  4. Styringsgruppen i DigiVestland vedtar mandat for «konsept grunnmur» som vedlagt saken.
  5. Styringsgruppen i DigiVestland gir sekretariatet i oppdrag å opprette arbeidsgrupper og utnevne utredningsansvarlig i tråd med organisering beskrevet i mandatene.