22-23 Sikkerhetssamarbeid i Vestland

Denne saken er oppfølging av vedtak i sak 17-23 i Styringsgruppen 16. juni 2023.

Digital robusthet er et begrep som stadig dukker opp når det snakkes om digitaliseringen av offentlig sektor og tjenester. Vi lever i usikre tider med en skjerpet sikkerhetssituasjon. Nasjonalt digitalt risikobilde beskriver hvordan ulike former for cyberangrep blir vanligere, og at dette vil få konsekvenser for det norske samfunnet. Kommunen står i en utfordrende situasjon, der det haster å få på plass løsninger for å styrke den digitale robustheten og være beredt på hendelser som kan oppstå. KS har utarbeidet en rapport som beskriver hvordan den digitale robustheten kan og bør styrkes i kommunal sektor. Som tiltak nummer 1, skriver KS følgende:

Se kilde: KS, 2023, «Styrking av digital robusthet i kommunal sektor» s.21

Styringsgruppen i DigiVestland besluttet i møte 16.juni at det skal jobbes videre med å utarbeide et kunnskapsgrunnlag som skal vise hvilke utfordringer innen informasjonssikkerhet som kan løses bedre gjennom samarbeid. De har bedt om at kunnskapsgrunnlaget blir forankret i alle kommunene, og at behovet i kommunene kommer frem. Kunnskapsgrunnlaget skal bygge på det som allerede er utarbeidet nasjonalt, og kan illustreres gjennom ulike konsept for løsninger.

Til å levere på bestillingen i styringsgruppens vedtak, opprettet sekretariatet en arbeidsgruppe. For å sikre et representativt utvalg til arbeidsgruppen, ble deltagere fra liten kommune, mellomstor kommune, stor kommune og IKT-samarbeid, invitert. Kommunene og IKT-samarbeidene som deltok var Askøy, Øygarden, Bergen, Sogndal, Etne, IKT Nordfjord og IKT Nordhordland. Arbeidsgruppen ble ledet og fasilitert av sekretariatet, ved Mali Hjemdal og Malin Marøy.

Arbeidsgruppen har hatt heldagsmøter 20.06, 15.08, og 16.08. I tillegg har det vært en-til-en-samtaler mellom Mali Hjemdal og flere av medlemmene.

Arbeidsgruppen har tolket vedtaket til at det skulle leveres følgende:

• Ulike konsept for hvordan kommunene i DigiVestland kan samarbeide om å løse oppgaver innenfor informasjonssikkerhetsarbeidet.
• Konseptene skulle utarbeides fra et «kunnskapsgrunnlag», som baserte seg på kommunenes behov for samarbeid, og hvilke oppgaver man kan samarbeide om
• Konseptene skulle bygge på nasjonale kunnskapsgrunnlag, og arbeidsgruppa har valgt å bruke rapporten «Styrking av digital robusthet i offentlig sektor» som grunnlag, fordi den igjen bygger på et bredt utvalg dokumenter og kilder.
•  Mulighetene for samarbeid/konseptene skal være forankret i alle kommunene

Arbeidsgruppen presenterte tre konsept for alle kommunene, på Sikkerhetsdagen 31.august. Konseptene er også sendt ut til kommunene i en skriftlig informasjonspakke, og i form av film tilgjengelig på hjemmesiden. I kommunedirektørmøte fredag 8. september ble bakgrunnen for utarbeidelsen av konseptene, arbeidsgruppens forutsetninger og anbefalinger, spesielt gjennomgått.

Konseptene som arbeidsgruppen legger fram for styringsgruppen:

Fig./bilde må settes inn her

De stiplede linjene er kommunenes eget ansvar, som det er en forutsetning at alle kommunene sørger for selv.

Konsept 3 er tegnet som to bokser, men arbeidsgruppa har hatt som intensjon at det ved overgang til drift skal være ett senter. 

Arbeidsgruppa har også ment at man bare henter ut effektene av et helhetlig fagmiljø hvis det kjøres som ett felles prosjekt. Men fordi innholdet i disse to boksene er så ulike, vil det være mest hensiktsmessig med to delprosjekt, og sannsynligvis to avdelinger i det vi har sett for oss som et senter.

Konseptene er utviklet gjennom grundige samtaler om premisser, ønsker og behov fra representantene i arbeidsgruppa. Disse er samlet i en liste over momenter som må tas videre i neste fase – planleggingsfasen. Noen av momentene må svares på i planleggingsfasen for at man kan komme videre. Andre vil være så omfattende at arbeidsgruppa mener det vil være fornuftig å legge dem inn som aktiviteter og milepæler i en prosjektplan, for å svares ut der. På den måten kan man bruke den tiden som trengs for videre kartlegging, utredning og vurdering, parallelt med testing og gjennomføring av andre aktiviteter som vil være del av kartlegging og utredning. Eksempel: utvikling av tjenestekatalog i et mulig sikkerhetssenter, vil kreve grundig kartlegging inn i kommunenes it-struktur. For å lage en best mulig kartleggingsmetode, vil det være fornuftig å teste denne i noen kommuner før den utføres i alle. Jo flere kommuner som blir kartlagt, jo bedre er grunnlaget for å velge tjenestekatalog som skal leveres når et sikkerhetssenter går i drift.

Sikkerhetsdagen 31.august hadde over 100 deltakere, fra godt over halvparten av kommunene i DigiVestland. Målet med dagen var å gi kommunedirektørene, nok kunnskap til å kunne komme med en anbefaling om hvilket konsept de ønsker at styringsgruppa går videre til neste fase med. I etterkant av samlingen ble det sendt ut en informasjonspakke til deltakerne og alle kommunedirektørene, med materiale fra samlingen. Informasjonspakken var ment som et hjelpemiddel til kommunene når de skulle ta stilling til hva kommunen mener om et samarbeid rundt informasjonssikkerhet i DigiVestland.

8.september ble det avholdt et møte for kommunedirektørene i DigiVestland, der målet var å få en retning på hvordan arbeidet som ble lagt frem under Sikkerhetsdagen skal tas videre. Det var 29 kommunedirektører til stede fra Askvoll, Samnanger, Sogndal, Kvam, Vik, Stord, Ullensvang, Gloppen, Eidfjord, Fjaler, Kvinnherad, Bømlo, Bergen, Osterøy, Solund, Høyanger, Austrheim, Aurland, Voss, Modalen, Austevoll, Bremanger, Årdal, Askøy, Luster, Bjørnafjorden, Øygarden, Alver og Kinn. 

Alle kommunene er opptatt av framdrift for arbeidet, noen mer enn andre. Kommunene som er en del av IKT-samarbeidene, ga i møte innspill om å gjennomføre utredninger om status og behov i kommunene før man går videre. Fra enkelte kommuner ble det meldt bekymring for at utredningsarbeidet vil forsinke framdriften, da de ønsker å komme i gang så fort som mulig.

Konklusjonen fra møtet er at alle kommunene generelt er enig i at konsept 3 er ønsket situasjon i fremtiden, men veien dit må være trinnvis. Det er viktig å bruke tid på å få flest mulig med, og gjøre videre utredninger i en konseptfase. Konsept 2, med mål om konsept 3, er veien kommunene ønsker å gå.

Sekretariatet opplever at det vært krevende å følge etablert prosjektmetodikk i denne saken, og mener arbeidet som er gjort i arbeidsgruppen i sommer, leverer på mer enn kravene til en idéfase, men ikke helt på kravene til konseptfase. Det ble ikke vedtatt mandat for arbeidet i styringsgruppemøtet 16. juni, og vedtaket fungerte derfor som oppdragsbeskrivelse. Vedtakets ordlyd kan oppfattes på ulike måter, og arbeidsgruppen tok i samråd med styringsgruppens leder noen valg for hvordan oppdraget ble oppfattet.

Sekretariatet legger herved fram forslag til «Mandat for konseptfase – Sikkerhetssamarbeid i Vestland», for å sikre komplett leveranse etter Digitaliseringsdirektoratets beskrivelse av en konseptfase. Mandatet beskriver aktiviteter som skal gjennomføres, og grad av detaljering de skal leveres på.

Mandatet legger til grunn at det gjennomføres en planleggingsperiode i første del av fasen, der følgende vil bli lagt fram i større detalj i revidert mandat for styringsgruppen 20. oktober:

• Organisering og hvem som fyller hvilke roller
• Finansiering av konseptfasen
• Form for vurdering ved faseovergang
• Framdriftsplan og frister for leveranse i konseptfasen
• Plan for forankring i kommunene
  
  Foreløpig frist for konseptfasen er satt til 31.12.2023. Konseptmandatet er delt i aktiviteter som hører hjemme i ett overbygg og to delprosjekt.

Styringsgruppen vedtar «Mandat for konseptfase – Sikkerhetssamarbeid i Vestland» som framlagt.