Utvalget har hatt en god og grundig gjennomgang av lovverket innen IT-sikkerhet. Vegtilsynet stiller seg bak de fem hovedanbefalingene til NOU 2018:14, men ønsker å utheve enkelte punkt i utvalgets vurderinger.
Vegtilsynet har ingen innspill til «utkast til lov som gjennomfører NIS-direktivet i norsk rett».
Utvalget skriver i punkt 15.2.2.1 «IKT-systemer som skal sikres» at utvalget ikke har utredet konsekvensen ved å stille like krav til alle deler av et IKT-system. Dagens datasystemer er komplekse og integrerte. Morgendagens datasystem vil øke i kompleksitet og bli enda mer integrerte i hverandre. Ved å stille like krav til alle deler av et IKT-systemet, er det sannsynlig at hele IKT-systemet får færre angrepsvektorer. Det er også grunn til å anta at ved like krav, vil sannsynligheten for menneskelige feil bli mindre.
Punkt 1.5 i utvalgets hovedanbefalinger sier at det burde være tydeligere styring og bedre koordinering av nasjonal IKT-sikkerhet. IKT-teknologien utvikler seg fort og å kontrollere denne effektivt kan være utfordrende på nasjonalt nivå. For at IKT-sikkerheten i statlig forvaltning skal være lettere å kontrollere og styre, tror Vegtilsynet at det kan være en fordel å etablere lignende tjenester som det Direktoratet for økonomistyring tilbyr. Eksempelvis å kjøpe arkivsystem tilsvarende økonomi- og lønnssystem fra Direktoratet for økonomistyring. Fordelene med dette er at små og mellomstore statlige etater får lett tilgang til sikre tjenester og høy kompetanse. Styring og koordinering vil bli enklere for fordi endringer kan gjennomføres raskere og enklere over større deler av offentlig forvaltning.
En annen tjeneste som etter Vegtilsynets mening bør vurderes, er ett eller flere statlige datasentre som leverer virtuelle servere til offentlig forvaltning. Dette er nevnt i utredningen under punkt 5.2. Leverandøren av slike tjenester kan samarbeide tett med Politiets sikkerhetstjeneste, Nasjonal sikkerhetsmyndighet, Datatilsynet og andre sikkerhetsaktører for å ivareta sikkerheten.
Utvalget skriver i utredningen punkt 16.1 at IKT-sikkerheten ikke er godt nok ivaretatt i anskaffelser. Statens standardavtaler blir nevnt som ett av forbedringspotensialene. Vegtilsynet ønsker at SSA-avtalene inneholder et eget bilag med informasjonssikkerhet. Bilaget bør inneholde nivåer av sikkerhetskrav der oppdragsgiver selv kan velge nivået. Dette vil øke standardiseringen av sikkerheten og hjelpe små organisasjoner med mindre kompetanse på området.
Utvalget skriver i punkt 5.1 at myndighetene legger vekt på fire områder som har særlig betydning på nasjonal IKT-sikkerhet. Ett av punktene er IKT-sikkerhetskompetanse. I utredningen skrives det i punkt 3.2 at tilgang på IKT-sikkerhetskompetanse fremstår som en av de største utfordringene på IKT-sikkerhetsområdet. Staten burde i større grad legge til rette for at IKT-personell i offentlig forvaltning kan ta slik utdannelse. Eksempelvis ved deltidsutdannelser der undervisningen foregår over internett.
Trude Tronerud Andersen
Vegtilsynet har ingen innspill til «utkast til lov som gjennomfører NIS-direktivet i norsk rett».
Utvalget skriver i punkt 15.2.2.1 «IKT-systemer som skal sikres» at utvalget ikke har utredet konsekvensen ved å stille like krav til alle deler av et IKT-system. Dagens datasystemer er komplekse og integrerte. Morgendagens datasystem vil øke i kompleksitet og bli enda mer integrerte i hverandre. Ved å stille like krav til alle deler av et IKT-systemet, er det sannsynlig at hele IKT-systemet får færre angrepsvektorer. Det er også grunn til å anta at ved like krav, vil sannsynligheten for menneskelige feil bli mindre.
Punkt 1.5 i utvalgets hovedanbefalinger sier at det burde være tydeligere styring og bedre koordinering av nasjonal IKT-sikkerhet. IKT-teknologien utvikler seg fort og å kontrollere denne effektivt kan være utfordrende på nasjonalt nivå. For at IKT-sikkerheten i statlig forvaltning skal være lettere å kontrollere og styre, tror Vegtilsynet at det kan være en fordel å etablere lignende tjenester som det Direktoratet for økonomistyring tilbyr. Eksempelvis å kjøpe arkivsystem tilsvarende økonomi- og lønnssystem fra Direktoratet for økonomistyring. Fordelene med dette er at små og mellomstore statlige etater får lett tilgang til sikre tjenester og høy kompetanse. Styring og koordinering vil bli enklere for fordi endringer kan gjennomføres raskere og enklere over større deler av offentlig forvaltning.
En annen tjeneste som etter Vegtilsynets mening bør vurderes, er ett eller flere statlige datasentre som leverer virtuelle servere til offentlig forvaltning. Dette er nevnt i utredningen under punkt 5.2. Leverandøren av slike tjenester kan samarbeide tett med Politiets sikkerhetstjeneste, Nasjonal sikkerhetsmyndighet, Datatilsynet og andre sikkerhetsaktører for å ivareta sikkerheten.
Utvalget skriver i utredningen punkt 16.1 at IKT-sikkerheten ikke er godt nok ivaretatt i anskaffelser. Statens standardavtaler blir nevnt som ett av forbedringspotensialene. Vegtilsynet ønsker at SSA-avtalene inneholder et eget bilag med informasjonssikkerhet. Bilaget bør inneholde nivåer av sikkerhetskrav der oppdragsgiver selv kan velge nivået. Dette vil øke standardiseringen av sikkerheten og hjelpe små organisasjoner med mindre kompetanse på området.
Utvalget skriver i punkt 5.1 at myndighetene legger vekt på fire områder som har særlig betydning på nasjonal IKT-sikkerhet. Ett av punktene er IKT-sikkerhetskompetanse. I utredningen skrives det i punkt 3.2 at tilgang på IKT-sikkerhetskompetanse fremstår som en av de største utfordringene på IKT-sikkerhetsområdet. Staten burde i større grad legge til rette for at IKT-personell i offentlig forvaltning kan ta slik utdannelse. Eksempelvis ved deltidsutdannelser der undervisningen foregår over internett.
Trude Tronerud Andersen