Høringssvar fra Fagforbundet - NOU 2018: 14 Ikt-sikkerhet i alle ledd og utkast til lov som gjennomfører NIS-direktivet
Fagforbundet mener det er viktig at departementer arbeider videre med å styrke IKT-sikkerheten i Norge. En gjennomføring av NIS-direktivet vil bidra til dette.
Fagforbundet støtter anbefalingene i NOU 2018:14 (Holte-utvalget). Etter vår vurdering går Holte-utvalgte noe utover det som følger minimumskravene i NIS-direktivet. Den enkelte medlemsstat har som kjent anledning til å fastsette strengere regler i henhold til NIS-direktivet artikkel 3. Fagforbundet støtter denne styrkning av IKT-sikkerheten. Svak IKT-sikkerhet er et samfunnsproblem og kan svekke tilliten til offentlig forvaltning og offentlige tjenester. Offentlig forvaltning bør derfor underlegges kravene til skjerpet IKT-sikkerhet, slik utvalget anbefaler i punkt 15.1.
Vi er enige med utvalget i at det er en svakhet ved utkastet til NIS-lov at det ikke framkommer hvilke konkrete virksomheter som omfattes av loven. Dette må konkretiseres i forskrift. Vi mener det er klart at helseforetakenes IKT-infrastruktur bør omfattes av loven, herunder elektroniske pasientjournalsystemer. Dette følger direkte av ordlyden i lovutkastet § 4. nr.1 under definisjonen av «samfunnsviktig tjeneste». Ettersom sikkerhetsloven og NIS-direktivet regulerer ulike sider av IKT-systemene, mener vi begge regelsettene får anvendelse på IKT-infrastrukturen i helseforetakene.
Erfaringene fra konkurranseutsetting av IKT-infrastruktur i Helse Sør-Øst i 2016 viser konsekvensene av for lav IKT-sikkerhet i helsesektoren. Som kjent fikk utenlandske IT-personell uautorisert tilgang til 2,8 millioner norske pasientjournaler. Også saken tilknyttet uautorisert tilgang til Nødnettet i 2017 viser alvorlige mangler når det gjelder IKT-sikkerhet. Når det gjelder informasjonssikkerhet har mangelfull styring av tilgang til pasientopplysninger i helsesektoren blitt påpekt en rekke ganger. Datatilsynet påpekte mangler allerede i 2008, Riksrevisjonen likeså i 2013. Disse bekymringene ble også uttalt av Utvalget om digitale sårbarheter (NOU 2015:13). Til tross for dette er IKT-sikkerheten i helseforetakene for lav. Dersom IKT-infrastrukturen blir drevet av helsetjenesten i egenregi, vil dette styrke IKT-sikkerheten og bedre kontrollen med tilgang til sensitive helseopplysninger.
Det bør også stilles tidligere krav om IKT-sikkerhet ved alle anskaffelser. Holte-utvalget legger til grunn at det mulig å stille skjerpede krav til IKT-sikkerhet innenfor rammen av anskaffelsesregelverket. Det bør også vurderes om standardavtalene kan styrkes med hensyn til IKT-sikkerhet. Fagforbundet støtter disse vurderingene.
Fagforbundet støtter også Holte-utvalgets anbefaling om å opprette et nasjonalt IKT-sikkerhetssenter. Dette følger også delvis av NIS-direktivet artikkel 9. Av funksjonene som nevnes av utvalget, vil vi spesielt rett oppmerksomheten mot veiledningsfunksjonen et slikt senter vil få. I dag opplever våre medlemmer manglende veiledning og oppfølging fra sentrale ekspertmiljøer på IKT-sikkerhet. Et nasjonalt IKT-sikkerhetssenter kan her yte viktige bidrag til å heve IKT-sikkerheten i offentlig sektor. Dette senteret bør også involveres i store nasjonale IKT-prosjekter, for eksempel knyttet til det prosjektet «Én innbygger – Én journal».
Også anbefalingene om tydelige regulering av tilkoblede produkter og tjenester støttes. IKT-sikkerhet i tilkoblede produkter er i stor grad knyttet til den generelle systemsikkerheten. Velferdsteknologi og robotisering gjør at behovet for økt oppmerksomhet rundt denne problematikken. Ansvaret for IKT-sikkerhet i tilkoblede produkter bør i større grad flyttes fra sluttbruker til produsent, spesielt der sluttbruker er en forbruker. Det bør stilles krav om innebygd sikkerhet («Security by design»).
Vi støtter også Holte-utvalgets anbefaling under punkt 15.7 om å nedsette et lovutvalg som skal vurdere det gjenstående behovet for å styrke IKT-sikkerhet i alle norske virksomheter. Dette vil altså styrke IKT-sikkerheten utover de krav som følger av virkeområdet i NIS-direktivet artikkel 4 nr. 4 og lovutkastet § 2. Det er riktig slik Holte-utvalget påpeker, at et digitalt angrep lang ute i verdikjeden kan få konsekvenser for den samfunnskritiske virksomheten.
Fagforbundet ser fram til en ytterligere styrking av IKT-sikkerheten i Norge. Vi anser dette som viktig for våre medlemmer, viktig for å sikre en trygg offentlig forvaltning og for samfunnet som helhet.
Fagforbundet mener det er viktig at departementer arbeider videre med å styrke IKT-sikkerheten i Norge. En gjennomføring av NIS-direktivet vil bidra til dette.
Fagforbundet støtter anbefalingene i NOU 2018:14 (Holte-utvalget). Etter vår vurdering går Holte-utvalgte noe utover det som følger minimumskravene i NIS-direktivet. Den enkelte medlemsstat har som kjent anledning til å fastsette strengere regler i henhold til NIS-direktivet artikkel 3. Fagforbundet støtter denne styrkning av IKT-sikkerheten. Svak IKT-sikkerhet er et samfunnsproblem og kan svekke tilliten til offentlig forvaltning og offentlige tjenester. Offentlig forvaltning bør derfor underlegges kravene til skjerpet IKT-sikkerhet, slik utvalget anbefaler i punkt 15.1.
Vi er enige med utvalget i at det er en svakhet ved utkastet til NIS-lov at det ikke framkommer hvilke konkrete virksomheter som omfattes av loven. Dette må konkretiseres i forskrift. Vi mener det er klart at helseforetakenes IKT-infrastruktur bør omfattes av loven, herunder elektroniske pasientjournalsystemer. Dette følger direkte av ordlyden i lovutkastet § 4. nr.1 under definisjonen av «samfunnsviktig tjeneste». Ettersom sikkerhetsloven og NIS-direktivet regulerer ulike sider av IKT-systemene, mener vi begge regelsettene får anvendelse på IKT-infrastrukturen i helseforetakene.
Erfaringene fra konkurranseutsetting av IKT-infrastruktur i Helse Sør-Øst i 2016 viser konsekvensene av for lav IKT-sikkerhet i helsesektoren. Som kjent fikk utenlandske IT-personell uautorisert tilgang til 2,8 millioner norske pasientjournaler. Også saken tilknyttet uautorisert tilgang til Nødnettet i 2017 viser alvorlige mangler når det gjelder IKT-sikkerhet. Når det gjelder informasjonssikkerhet har mangelfull styring av tilgang til pasientopplysninger i helsesektoren blitt påpekt en rekke ganger. Datatilsynet påpekte mangler allerede i 2008, Riksrevisjonen likeså i 2013. Disse bekymringene ble også uttalt av Utvalget om digitale sårbarheter (NOU 2015:13). Til tross for dette er IKT-sikkerheten i helseforetakene for lav. Dersom IKT-infrastrukturen blir drevet av helsetjenesten i egenregi, vil dette styrke IKT-sikkerheten og bedre kontrollen med tilgang til sensitive helseopplysninger.
Det bør også stilles tidligere krav om IKT-sikkerhet ved alle anskaffelser. Holte-utvalget legger til grunn at det mulig å stille skjerpede krav til IKT-sikkerhet innenfor rammen av anskaffelsesregelverket. Det bør også vurderes om standardavtalene kan styrkes med hensyn til IKT-sikkerhet. Fagforbundet støtter disse vurderingene.
Fagforbundet støtter også Holte-utvalgets anbefaling om å opprette et nasjonalt IKT-sikkerhetssenter. Dette følger også delvis av NIS-direktivet artikkel 9. Av funksjonene som nevnes av utvalget, vil vi spesielt rett oppmerksomheten mot veiledningsfunksjonen et slikt senter vil få. I dag opplever våre medlemmer manglende veiledning og oppfølging fra sentrale ekspertmiljøer på IKT-sikkerhet. Et nasjonalt IKT-sikkerhetssenter kan her yte viktige bidrag til å heve IKT-sikkerheten i offentlig sektor. Dette senteret bør også involveres i store nasjonale IKT-prosjekter, for eksempel knyttet til det prosjektet «Én innbygger – Én journal».
Også anbefalingene om tydelige regulering av tilkoblede produkter og tjenester støttes. IKT-sikkerhet i tilkoblede produkter er i stor grad knyttet til den generelle systemsikkerheten. Velferdsteknologi og robotisering gjør at behovet for økt oppmerksomhet rundt denne problematikken. Ansvaret for IKT-sikkerhet i tilkoblede produkter bør i større grad flyttes fra sluttbruker til produsent, spesielt der sluttbruker er en forbruker. Det bør stilles krav om innebygd sikkerhet («Security by design»).
Vi støtter også Holte-utvalgets anbefaling under punkt 15.7 om å nedsette et lovutvalg som skal vurdere det gjenstående behovet for å styrke IKT-sikkerhet i alle norske virksomheter. Dette vil altså styrke IKT-sikkerheten utover de krav som følger av virkeområdet i NIS-direktivet artikkel 4 nr. 4 og lovutkastet § 2. Det er riktig slik Holte-utvalget påpeker, at et digitalt angrep lang ute i verdikjeden kan få konsekvenser for den samfunnskritiske virksomheten.
Fagforbundet ser fram til en ytterligere styrking av IKT-sikkerheten i Norge. Vi anser dette som viktig for våre medlemmer, viktig for å sikre en trygg offentlig forvaltning og for samfunnet som helhet.