Stavanger kommune

Departementet ber om innspill på hvem som skal ha ansvar for innmelding av virksomhet som tilbyr samfunnsviktige tjenester (heretter omtalt som tilbyder).

Departementer har tre forslag til hvordan tilbyders plikt til innmelding skal gjennomføres:

Stavanger kommune støtter alternativ 3, der offentlige myndigheter skal ha ansvar for å utpeke tilbydere som omfattes av digitalsikkerhetsforskriften. Dette vil i større grad sikre at alle relevante tilbydere blir registrert, og forhindre at tilbydere unnlater å registrere seg på grunn av manglende kompetanse om forskriftens virkeområde.

Stavanger kommune støtter subsidiært alternativ 2, der Nasjonal sikkerhetsmyndighet videreformidler innmelding til riktig tilsynsmyndighet. Denne løsningen vil sikre at innmeldingen registreres hos rette tilsynsmyndighet, og forhindre merarbeid tilknyttet til at tilbydere sender innmelding til feil tilsynsmyndighet.

Departementet ber om innspill på hvorvidt sikkerhetstiltakene som forslås i forskriftens §§ 9 til 14 bør suppleres med veiledningsmateriale fra Nasjonal sikkerhetsmyndighet, som i kombinasjon med anerkjente standarder kan støtte virksomhetene i arbeidet.

Stavanger kommune gir sterk tilslutning til departementets forslag om å supplere forskriftens §§ 9 til 14 med veiledningsmateriale, slik at det blir lettere for tilbyderne å etterleve pliktene tilknyttet sikkerhetstiltak, hendelseshåndtering og leverandørstyring. Veiledningsmateriell vil være et godt bidrag til å sikre et stilstrekkelig høyt sikkerhetsnivå hos tilbyderne, særlig offentlige organer som i mindre grad har tilgang på relevante personelle ressurser.

Samtidig ønsker vi å understreke viktigheten av at veiledningsmateriell som kommer fra offentlig sektor er samkjørt. Spesielt viktig vil det være at veiledningen som kommer fra NSM, Digitaliseringsdirektoratet og KS supplerer hverandre, og bygger på samme tankesett. Stavanger kommune ønsker tydelige krav til kommunal sektor. Dette tror vi vil være en stor styrke for sektoren, og gjøre arbeidet med digital sikkerhet enklere å prioritere for kommunene. Slik situasjonen er nå, er kravene for lite tydelige og veiledningsaktørene for lite samkjørte, noe som bidrar til et uklart bilde for sektoren.

Departementet ber om innspill på hvorvidt tilbyderne skal kunne be om unntak fra enkelte krav dersom de ikke kan gjennomføre et eller flere av kategoriene av teknologiske sikkerhetstiltak, forutsatt det begrunnes og dokumenteres hvorfor tiltakene f.eks. er uforholdsmessig kostbare eller uproporsjonale sett opp mot risikoscenariet.

Stavanger kommune er positive til en unntaksbestemmelse. Stavanger kommune er enige med departementet i at virksomhetene og de digitale systemene som blir omfattet av regelverket er svært ulike, og det er ikke gitt at det er mulig å implementere alle tiltak uten at de blir uforholdsmessig kostbare og dermed ikke proporsjonale opp mot risiko.

Departementet ber om innspill på hva som vil være en passende øvre ramme for overtredelsesgebyr som kan ilegges offentlige virksomheter. Departementet foreslår en øvre ramme for overtredelsesgebyr på 25 ganger grunnbeløpet, som per dags dato tilsvarer i overkant av 3 millioner kroner.

Overtredelsesgebyrer kan ha store innvirkninger på kommunale budsjetter, da kommunal sektor står i en stadig mer presset økonomisk situasjon. Økonomiske midler som brukes på å betale overtredelsesgebyr kan gjøre det mer krevende å sette av ressurser til å rette avvikene som utløste gebyret, samt at det i ytterste konsekvens kan gå ut over leveransen av andre kommunale tjenester innbyggere har krav på.

Stavanger kommune anbefaler at sanksjoner overfor offentlige virksomheter gis i form av skriftlige irettesettelser eller påbud som å avslutte eller endre praksis som utløste gebyret.

Dersom departementet likevel ønsker at offentlige virksomheter skal kunne ilegges overtredelsesgebyr, anbefaler Stavanger kommune at overtredelsesgebyret settes lavere, med en øvre ramme på 10 ganger grunnbeløpet.

Departementet ber om innspill på hvilke konsekvenser forslaget til forskriften vil ha på høringsinstansene, herunder økonomiske og administrative konsekvenser. Virksomheter som ikke allerede er underlagt sikkerhets- og varslingskrav vil måtte påregne kostnader knyttet til etablering av styringssystem for sikkerhet, gjennomføring av risikovurderinger og implementering av tiltak, samt opplæringsaktiviteter. Særlig er det knyttet økonomiske og administrative konsekvenser til implementering av et sikkerhetssystem i den enkelte virksomhet. Den enkelte virksomhet vil trolig også måtte bruke mer ressurser på oppfølging av leverandører av digital infrastruktur og digitale tjenester.