6-24 Sikkerhetssamarbeid i Vestland

Kommunene i DigiVestland har de siste månedene utredet behov og muligheter for samarbeid
om digital sikkerhet, i tråd med sak 22-23 «Mandat for konseptfase sikkerhetssamarbeid i
Vestland», vedtatt av styringsgruppen 15.09.23.
I januar 2024 leverte leder for konseptfasen rapport til styringsgruppens leder, med to forslag til tiltak:

1. Arbeidet i tråd med «Mandat for konseptfase sikkerhetssamarbeid i Vestland» avvikles.
2. Sekretariatet får en bestilling om å utrede alternativ framdriftsplan og plan for gjennomføring av aktiviteter, som svarer på kommunenes behov meldt i kartlegging i
   desember 2023.

Styringsgruppens leder foreslo i epostutveksling med styringsgruppen, å stanse arbeidet med konseptfasen midlertidig, og be utredningsleder forberede sak i tråd med forslag til tiltak i rapporten. 

Det vises for øvrig til rapporten fra leder av konseptfasen for ytterligere bakgrunn for saken, (se vedlegg: «06-24 Vedlegg 1 Oppsummering og vurdering av sikkerhetssamarbeidet – 10.01.2024»).

Behovskartlegging

I tråd med bestilling fra styringsgruppen har sekretariatet gjennomført en omfattende kartlegging av alle kommunenes behov for samarbeid om aktiviteter innenfor digital sikkerhet. Kartleggingen bygger på oppgaveliste og forslag til konsept som ble lagt fram i august 2023, og ytterligere utvikling av oppgavelisten i egen arbeidsgruppe i oktober. Alle kommunene har svart på kartleggingen, og svarene er analysert av i tråd med mandatet. Oppgavene som er listet opp er i tråd med blant annet NSMs grunnprinsipper på nivå 1 og 2, og tiltakene som er foreslått i KS sin rapport «Styrking av digital robusthet i kommunal sektor».

Analysen viser at kommunene har en del oppgaver som kan løses i fellesskap, eller som de
trenger hjelp til å løse. Siden kartleggingen er basert på konseptskisser lagt fram i august, kan svarene til en viss grad tas som svar på kommunenes oppfatning av behov for de ulike
samarbeidsformene. I den kontekst kan vi se at ideen om, eller konseptet at, DigiVestland skal initiere etablering og drift av et senter som leverer alle tjenester innenfor digital sikkert til kommunene, ikke er ønsket.

Arbeidsgruppen som analyserte svarene fra kommunen har sett særlig på hvilke aktiviteter som løses eller ventes å bli løst av nasjonale aktører. Flere av disse oppgavene er publisert som tjenester i tiden etter august. 

Parallelt med kartlegging av sikkerhetssamarbeid, har faggruppene i DigiVestland jobbet med konkrete oppgaver som kan løses i disse gruppene, og kommuner utenom ikt-samarbeid har hatt dialog for å vurdere samarbeid om IT-drift. Til sammen har disse prosessene vist at det er en hel del aktiviteter som hører naturlig hjemme i faggruppestrukturen i DigiVestland.

For noen av områdene som ble listet opp i behovskartleggingen er kommunenes behov delt omtrent på midten, der noen ønsker tett samarbeid, andre ikke ønsker samarbeid i det hele tatt. Dette gjelder i hovedsak oppgaver knyttet til oppdagelse og håndtering av hendelser.

Status for konseptfasen

Formålet med en konseptfase er å utrede måter å samarbeide på. Oppgavelisten ble lagt i
sommer, men mandatet til arbeidsgruppen går ut på å finne konsept for samarbeidsform om
disse oppgavene. I mandatet ligger også bestilling til omfattende dokumentasjon i forbindelse
med faseovergang og opprettelse av prosjekt, i tråd med prosjektveiviseren. Mandat for konseptfase for sikkerhetssamarbeid i Vestland er gjennomført fram til milepæl 2: «Kommunene er kartlagt og informert om konseptfasen».

Finansiering

Utredning av finansiering og organisering av mulige konsept er bestilt i mandatet, men arbeidet er ikke startet. Finansiering av tiltak i DigiVestland skjer gjennom ordinær drift og tilskudd fra Statsforvaltaren. Tilskudd på kr. 2 000 000 ble tildelt i 2023 for prosjekt som skal øke modenheten til medlemskommunene innen informasjonssikkerhet og beredskap.

Aktiviteter og tiltak i faggruppestrukturen til DigiVestland

For å få oversikt over mulige tjenester som foreligger innenfor sikkerhetsområdet har sekretariatet samlet tjenestene i en oversikt, eller katalog. Katalogen tar utgangspunkt i oppgaveliste utviklet i konseptfase for sikkerhetssamarbeid i Vestland, som igjen er utviklet fra NSMs grunnprinsipp nivå 1 og 2, og tiltak beskrevet i rapporten «Styrking av digital robusthet i kommunal sektor». I katalogen er hver tjeneste beskrevet med hvem som er leverandør og mulig mottaker for hver tjeneste.

Vedlegg 2 til denne saken er et notat fra leder for faggruppe personvern og informasjons-
sikkerhet som beskriver hva som bør være på plass i kommunene for å kunne ta ut tjenestene

som er beskrevet i katalogen:
• Modenhetsvurdering av kommunens infrastruktur, systemer, enheter osv.
• Systemportefølje
• Ledelsesforankring
• Tilstrekkelig ressurser

Vurdering

DigiVestland som nettverk skal drive med kompetansebyggende tiltak, legge til rette for
erfaringsdeling mellom kommunene, og være en støtte i digitaliseringsarbeidet. DigiVestland har per i dag ikke mandat til å utføre driftsoppgaver i, eller på vegne av, kommunene.
 

Oppgavene der behovskartleggingen viser at kommunene deler seg i ønske om samarbeid, som overvåkning og håndtering av hendelser, vurderer sekretariatet til å være utenfor
kjerneoppdraget til DigiVestland, da de går inn i den daglige driften i kommunene. Det er derfor naturlig at kommunene selv tar ansvar for disse oppgavene, enten selv eller ved hjelp av eksterne aktører. Bergen kommune har etablert sitt senter for digital sikkerhet, og har invitert til informasjonsmøte tirsdag 5. mars som en oppstart på dialog med kommunene om samarbeid.

Etter samtaler med kommunene kan det se ut som at det å ramme inn aktivitetene i en
tjenestekatalog, vil ivareta kommunenes ønske om fleksibilitet, og behovet for å ha den
framdriften særlig kommunene utenfor IKT-samarbeid etterlyser. Utvikling av en tjenestekatalog der leverandør av tjenestene enten er eksterne aktører, eller allerede eksisterende aktører (som faggruppene), er i sin egenskap ikke et prosjekt. Det kan være tjenester i katalogen som er best utviklet gjennom prosjekt, men i utgangspunktet er en tjeneste løpende og gjennomføringen skal ikke følge prosjektmetodikk. 

Noen oppgaver skal løses én gang, men deretter vedlikeholdes eller gjentas. Å gjennomføre en modenhetsvurdering vil for eksempel bestå av begge deler, en førstegangs vurdering, og
gjentatte vurderinger for å vise framdrift. Vurderinger over tid krever at man bruker samme
verktøy hver gang, og utviklingen av et slikt verktøy må være den første aktiviteten. Eksempelvis kan utviklingen av verktøy være noe man blir enige om i en faggruppe, mens første gangs gjennomføring kan gjøres på ulike måter eller er kanskje allerede gjennomført. Dette kan gjennomføres som tiltak eller prosjekt, og finansieres av tilskudd. Jevnlig vedlikehold av vurderingene vil være en løpende tjeneste uten slutt. Det siste vil høre hjemme i tjenestekatalogen, det første vil være en aktivitet som ligger som premiss for uttak av tjenesten.

Status ved milepæl 2 er, etter sekretariatet sin oppfatning, at det ikke lenger er behov for videre konseptutredning, da behovskartlegging og analyse viser at listen over oppgaver eller tjenester er tilstrekkelig, og vil bli utført uten opprettelse av prosjekt. Tiltakene er allerede i ferd med å gjennomføres av eksterne eller eksisterende aktører. Eksterne aktører kan være nasjonale organ som KS eller KINS, regionale organ som statsforvalter eller andre kommuner, eller private leverandører. Konseptutkastene som ble lagt fram for kommunene på sikkerhetsdagen er dermed lagt vekk, og gjennomføringen av oppgaver som skal utføres lagt til faggruppestrukturen i DigiVestland, eller til kommunene selv. Kommunene kan selv velge å melde inn ønsker for samarbeid om oppgavene, via faggruppestrukturen.

En aktivitetsliste i form av en katalog vil gi alle kommunene i DigiVestland mulighet til å ta del i de aktivitetene de ønsker, uavhengig av hva de svarte i behovskartleggingen høsten 2023.
 

Kort oppsummert vurderer altså sekretariatet at behovsanalysen viser at det ikke lenger er
naturlig å gjennomføre konseptfasen fullt ut. For oppgavene alle kommunene ønsker samarbeid om, gjelder at de enten løses av nasjonale eller regionale aktører, eller kan løses i
faggruppestrukturen i DigiVestland. For oppgavene der mange av kommunene mener det ikke er behov for samarbeid, blir ansvaret lagt på kommunene selv, men det sekretariatet ønsker å oppfordre kommunene til å bruke de samarbeidsmulighetene som eksisterer. Finansiering av tiltakene som skal gjennomføres i DigiVestland kan skje ved bruk av tilskuddene fra statsforvalteren, i den form de er beskrevet i søknadene.

Sekretariatet i DigiVestland mener utkast til tjenestekatalog for digital sikkerhet er et godt
utgangspunkt for videre sikkerhetssamarbeid i Vestland, og planlegger følgende tiltak:

1. Arbeid med modenhetsvurdering av kommunene opprettes som et tiltak finansiert av
   tilskuddsmidler tildelt i 2023, med planlagt ferdigstillelse innen utgangen av juni 2024.
2. Sekretariatet bruker våren 2024 til å sette opp en plan for gjennomføring av oppgavene i
   katalogen som tilfaller DigiVestland.
3. Sekretariatet jobber med justeringer i organiseringen av arbeidet i faggruppene
   personvern og informasjonssikkerhet, og IT-drift, så de blir tilpasset en mer aktiv og
   gjennomførende rolle som leverandør av tjenester.
4. Sekretariatet gjør, i samarbeid med faggruppene, ytterligere kartlegging av kommunenes
   behov og ønsker om samarbeid rundt anskaffelser, og vil ved behov fremme sak til
   styringsgruppen basert på svarene i kartleggingen.

For å lykkes, både i den enkelte kommune og i aktiviteter tiltak og prosjekt i DigiVestland innen sikkerhetsarbeid, er det grunnleggende med god kultur for deling mellom kommunene. Det er god kompetanse, samlet sett, innen sikkerhetsfeltet i Vestland, og fremtidige tjenester, tiltak og aktiviteter bør kunne nytte seg av kompetansen i faggruppene og i kommunene.