Utvalgte hurtiglenker

    Rapporter og planer

    Sikkerhet og beredskap i Kunnskapsdepartementets sektor

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    6 Krav og forventninger til sektorens arbeid med informasjonssikkerhet

    For å øke virksomheters digitale egenberedskap og gjennom dette Norges samlede digitale motstandskraft, er det viktig at virksomheter følger råd og anbefalinger fra myndighetene. 39 Det er ledelsen ved den enkelte virksomhet som har ansvaret for å etablere og opprettholde tilfredsstillende informasjonssikkerhet. Informasjonssikkerhet skal være en integrert del av det øvrige sikkerhetsarbeidet i virksomheten og skal inngå i den helhetlige virksomhetsstyringen. 40 I kapittel 5 om nasjonal sikkerhet beskrives hvordan arbeidet med informasjonssikkerhet, forebyggende sikkerhetsarbeid og virksomhetsstyring kan samordnes. Det er ledelsen ved den enkelte virksomhet som har ansvar for å sørge for at virksomheten jobber helhetlig med de tre sikkerhetsdomenene og ser dem i sammenheng med hverandre.

    Som i kapittel 4 og 5, stilles det flere krav i dette kapittelet. Der det står «skal» må dette leses som «bør» for de virksomhetene som ikke er direkte underlagt departementet. Å kunne dokumentere etterlevelse av krav er en viktig del av internkontrollarbeidet innenfor informasjonssikkerhet.

    KDs underliggende virksomheter skal:

    Følge gjeldende regelverk som omfatter informasjonssikkerhet (herunder personopplysningssikkerhet), inkludert:

    • forvaltningsloven med e-forvaltningsforskriften
    • offentlighetsloven med forskrifter
    • sikkerhetsloven med forskrifter
    • personopplysningsloven med forskrifter
    • helseregisterloven med forskrifter
    • ekomloven med forskrifter
    • e-signaturloven med forskrifter

    reglement for økonomistyring i staten

    KDs underliggende virksomheter som er omfattet av KDs styringsmodell for informa-sjonssikkerhet og personvern i høyere utdanning og forskning skal / andre virsomheter i sektoren bør:

    Følge kravene i rundskriv F-04-20 Policy for informasjonssikkerhet og personvern i høyere

    • utdanning og forskning. I henhold til policyen skal virksomhetene:
    • ha et ledelsessystem for informasjonssikkerhet
    • ha oversikt over informasjon og personopplysninger
    • gjennomføre risikovurderinger og etablerer sikringstiltak
    • etablere løsninger for hendelseshåndtering, lukking av avvik og kontinuitet
    • sørge for kontroll med tjenesteleverandører
    • ha internkontroll for behandling av personopplysninger
    • ivareta de registrertes rettigheter
    • utnevne personvernombud
    • gjennomføre vurderinger av personvernkonsekvenser (DPIA 41 )
    • sørge for innebygd personvern og informasjonssikkerhet
    • sørge for opplæring og kompetanseheving

    dokumentere arbeidet med informasjonssikkerhet og personvern

    Et viktig grunnlag for arbeidet med informasjonssikkerhet, både i KD og i virksomhetene i sektoren, er: Nasjonal strategi for digital sikkerhet , Nasjonal strategi for digital sikkerhetskompetanse , Strategi for digital kompetanse og infrastruktur i barnehage og skole og Strategi for digital omstilling i universitets- og høyskolesektoren , med handlingsplan .

    6.1 Om Policy for informasjonssikkerhet og personvern i høyere utdanning og forskning

    Virksomheter som er omfattet av Kunnskapsdepartementets styringsmodell for informasjonssikkerhet og personvern i høyere utdanning og forskning, skal følge kravene i rundskriv F-04-20 Policy for informasjonssikkerhet og personvern i høyere utdanning og forskning. 42 Formålet med policyen er å beskrive hvilke overordnede krav som stilles til arbeidet med informasjonssikkerhet og personvern i virksomhetene. Kravene i policyen følger av lovpålagte krav til arbeidet med informasjonssikkerhet og personvern, og øvrige nasjonale føringer for disse områdene. Policyen går ikke detaljert inn på hvilke regler som gjelder, men oppsummerer de overordnede kravene. Departementet forutsetter at virksomhetene er kjent med gjeldende lovgivning og retningslinjer på området og etterlever disse. 43 Siste versjon av policyen er til enhver tid tilgjengelig på regjeringens nettsider under Kunnskapsdepartementets rundskriv . HK-dir er fagdirektorat for informasjonssikkerhet og personvern i høyere utdanning og forskning og skal følge opp at kravene i policyen etterleves. Sikt er faglig rådgiver for KD og HK-dir innen informasjonssikkerhet og personvern og leverer viktige tjenester som skal styrke sikkerheten i sektoren, i tråd med kravene i policyen.

    Virksomhetene som ikke er omfattet av styringsmodellen for informasjonssikkerhet og personvern i høyere utdanning og forskning, oppfordres til å se hen til de overordnede kravene beskrevet i policyen.

    6.2 Risikostyring og ledelse av informasjonssikkerhet

    Gjennom sin kjernevirksomhet skaper, forvalter og deler KDs sektor informasjonsverdier av stor betydning for samfunnet. Eksempler på dette er store mengder personopplysninger og helsedata, og nye banebrytende teknologier og sensitive forskningsområder. Sektoren har verdifulle IKT-infrastrukturer, og svært avanserte informasjonsbærende laboratoriefasiliteter. Med sitt brede samfunnsoppdrag representerer også sektoren tjenester og aktiviteter som er viktige for landets daglige funksjon.

    Det overordnede målet for informasjonssikkerhet er å beskytte disse informasjonsverdiene gjennom ivaretakelse av informasjonens konfidensialitet, integritet og tilgjengelighet:

    • Konfidensialitet innebærer at informasjonen ikke blir kjent for uvedkommende
    • Integritet innebærer at informasjonen ikke blir endret utilsiktet eller av uvedkommende
    • Tilgjengelighet innebærer at informasjonen er tilgjengelig ved behov

    Ulike regelverk krever at konfidensialiteten, integriteten og tilgjengeligheten til informasjon og informasjonssystemer er forsvarlig sikret. I de tilfellene der informasjonssikkerheten kan ha konsekvenser for liv og helse er også fysisk sikkerhet et helt sentralt sikkerhetsmål. Lovverket stiller krav til forsvarlig informasjonsbehandling og riktig beskyttelsesnivå, noe som blir særlig gjeldende i møte med økt digitalisering.

    Digitalisering og teknologiutvikling medfører økt effektivisering og fornyelse, men introduserer samtidig nye sårbarheter, avhengigheter og konsentrasjonsrisiko. Sentrale tjenester og funksjoner i samfunnet er i stor grad avhengige av lange og til dels uoversiktlige verdikjeder. 44 Manglende totaloversikt over informasjon, systemer, behandlingsprosesser og mulige sikkerhetshull krever etablering av fungerende helhetlig risikostyring.

    Risikostyring av informasjonssikkerhet forutsetter nødvendig oversikt over egne informasjonsverdier, hvilke lovkrav som er knyttet til dem, og hvilke uønskede hendelser og trusler det er som må forhindres. Det innebærer å ha oversikt over egne sårbarheter, og å ha nok kunnskap om truslene som kan utnytte disse sårbarhetene for å ramme informasjonsverdiene. Tekniske sikkerhetstiltak alene vil ikke stoppe trusselaktørene, det er også nødvendig med helhetlig sikkerhetsstyring i virksomheten og god sikkerhetskultur blant brukere av systemer og virksomhetens ansatte. NSM påpeker at ettersom den tekniske sikkerheten blir bedre, kan det gjøre andre metoder for tilgang til informasjon mer attraktive for trusselaktører. Det er derfor viktig å tenke sikkerhet i alle domener, ikke bare det digitale. 45

    Tiltaksområdene omfatter både menneskelige, tekniske og organisatoriske aktiviteter og investeringer, innenfor både IKT-infrastruktur, forsvarlig informasjonsbehandling og arbeidsprosesser, og robuste responsmiljø. Det er nødvendig å bygge en sikkerhetskultur hvor oppmerksomhet og kunnskap om informasjonssikkerhet er en del av den strategiske organisasjonsutviklingen. Informasjonssikkerhet favner dermed bredt, og må sees på som et viktig internkontrollområde og et ledelsesansvar.

    Informasjonssikkerhet er et kontinuerlig arbeid, og må gis løpende oppmerksomhet. Alle KDs underliggende virksomheter skal ha et helhetlig ledelsessystem for informasjonssikkerhet. 46 Ledelsessystemet skal være en del av virksomhetens helhetlige styringssystem for sikkerhet. Omfanget av ledelsessystemet bør tilpasses virksomhetens størrelse og organisering, og de informasjonsverdier, aktiviteter og den egenart som virksomheten besitter. Ledelsessystemet skal beskrive virksomhetens mål og strategier for informasjonssikkerheten, og tydeliggjøre de roller og ansvarsområder som sikkerhetsarbeidet fordeles på. Ledelsessystemet skal beskrive alle de prosesser og aktiviteter en virksomhet samlet skal gjøre av planlagte og systematiske tiltak for risikostyring av informasjonssikkerhet, og være basert på anerkjente standarder som ISO/IEC 27001. Det er toppledelsens ansvar å sørge for at det er nok ressurser til å støtte et tilfredsstillende arbeid med informasjonssikkerhet i virksomheten.

    6.3 Håndtering av hendelser

    Håndtering av alvorlige informasjonssikkerhetsbrudd og brudd på personopplysningssikkerheten inngår i ledelsessystemet for informasjonssikkerhet. Alle virksomheter må ha en beredskapsplan for å kunne håndtere de hendelsene som kan inntreffe (se også kap. 4.2). Formålet med beredskap er å styrke virksomhetenes motstandsdyktighet når de utsettes for store, negative påkjenninger til tross for forebyggende sikkerhetsarbeid. Beredskap oppnås ved at virksomhetene har planlagt og øvd på hvordan ekstraordinære påkjenninger best kan mestres. Planer og øvelser skal sette virksomhetene i stand til raskt å oppdage, kontrollere, begrense skadene av og forebygge informasjonssikkerhetsbrudd og brudd på personopplysningssikkerheten. Det skal også bidra til at virksomhetene kan videreføre kritiske oppgaver samtidig som håndtering av hendelser og gjenoppretting av normal drift pågår.

    En IKT-sikkerhetshendelse kan ha følgekonsekvenser langt ut over den virksomheten som er rammet. Flere virksomheter kan også rammes hver for seg av den samme hendelsen f.eks. når det avdekkes sårbarheter i digitale tjenester som utnyttes bredt av trusselaktører. I et samfunn med en rekke digitale avhengigheter og lange, uoversiktlige verdikjeder stiller dette store krav til effektiv håndtering av alvorlige IKT-sikkerhetshendelser på nasjonalt nivå. 47 NSM har utviklet et rammeverk for å sette samfunnet bedre i stand til å håndtere alvorlige IKT-sikkerhetshendelser som rammer på tvers av sektorer. Rammeverk for håndtering av IKT-sikkerhetshendelser skal bidra til mer effektiv håndtering av alvorlige hendelser, fra virksomhetsnivå til politisk nivå, gjennom god utnyttelse av samfunnets samlede ressurser. Det skal videre bidra til å skape god situasjonsoversikt gjennom aggregering og koordinering av informasjon om alle relevante IKT-sikkerhetshendelser.

    KD har innført dette rammeverket for virksomhetene som er omfattet av KDs styringsmodell for informasjonssikkerhet og personvern i høyere utdanning og forskning. 48 Cybersikkerhetssenter for forskning og utdanning i Sikt er utpekt som sektorvist responsmiljø for virksomheter underlagt rammeverket. Disse virksomhetene har egne lokale responsteam, og et tett samarbeid med sektorvist responsmiljø gjør at disse nå er bedre forberedt til å håndtere fremtidige trusler og hendelser. I 2022 ble også Udir og Statped underlagt rammeverket.

    6.4 Forsvarlig behandling av personopplysninger

    Alle virksomheter som behandler personopplysninger, skal føre protokoll over de ulike behandlingsaktivitetene de har ansvar for. Denne vil være et viktig grunnlag for arbeidet med informasjonssikkerhet, som i denne sammenheng handler om å sørge for at all behandling av personopplysninger blir ivaretatt på en tilfredsstillende måte. Dette gjøres ved først å identifisere hvilke personopplysninger virksomheten har. Deretter gjennomføres en risikovurdering for å avklare om eksisterende sikkerhetstiltak er tilfredsstillende. 49

    Behandling av personopplysninger forutsetter tilpassede informasjonssikkerhetstiltak. I henhold til personopplysningsforordningen (GDPR) skal sikringstiltakene være tilpasset opplysningenes art, omfang, behandlingsformål og behandlingskontekst. Det skal tas hensyn til både sannsynlighet for og konsekvens av eventuelle brudd på personopplysningssikkerheten når sikringstiltak velges. Virksomhetene skal kunne dokumentere at personopplysninger behandles i tråd med personvernprinsippene, jf. artikkel 5 i personvernforordningen. 50 Dette gjøres ved å etablere og vedlikeholde tiltak for å sikre at personopplysningene behandles i samsvar med regelverket, ved å etablere internkontroll for behandling av personopplysninger. Internkontrollen bør ses i sammenheng med ledelsessystemet for informasjonssikkerhet, og den øvrige virksomhetsstyringen. Virksomhetene har varslingsplikt til Datatilsynet og den registrerte personen ved brudd på personopplysningssikkerheten.

    6.5 Særlig om tjenesteutsetting

    Det må gjøres særskilte vurderinger når en skal sette ut tjenester til eksterne leverandører, som for eksempel ved bruk av skytjenester. 51 NSM er bekymret for tjenesteutsetting av samfunnskritiske IKT-tjenester uten tilstrekkelige risikovurderinger og sikringstiltak, og at data flyttes til utlandet uten tilstrekkelige sikkerhetsfaglige vurderinger. NSM har utarbeidet temarapporten Sikkerhetsfaglige anbefalinger ved tjenesteutsetting , med anbefalinger til offentlige og private virksomheter som vurderer å tjenesteutsette basisdrift, applikasjonsdrift eller applikasjonsforvaltning til en ekstern tjenesteleverandør.

    Tjenesteutsetting som omfatter overføring av personopplysninger ut av EØS, til såkalte tredjeland, krever et særskilt grunnlag for å være lovlig. Virksomheten må ha identifisert om det finnes et overføringsgrunnlag før personopplysningene overføres til et tredjeland eller til en internasjonal organisasjon. Hvis det ikke finnes, er overføringen ulovlig. Det gjelder også hvis overføringsgrunnlaget ikke vil fungere i praksis. Hvis overføringsgrunnlaget ikke sikrer god nok beskyttelse for personopplysningene i seg selv, må man i tillegg iverksette andre tiltak. Formålet er å sikre at personopplysningsvernet blir det samme ved overføring til stater som ikke har det samme beskyttelsesnivået, som innenfor EØS-området. 52

    Overføring av personopplysninger til USA har vært utfordrende etter at den tidligere avtalen som regulerte slike overføringer ble kjent ugyldig i den såkalte Schrems II-dommen 16.7.20. I juli 2023 vedtok EU nye regler som gjør det enklere å overføre personopplysninger til USA gjennom det såkalte «EU-US Data Privacy Framework». Dette gjør det mulig å overføre personopplysninger på samme måte som til europeiske virksomheter til amerikanske virksomheter som står på en liste over godkjente virksomheter. De amerikanske virksomhetene må fortsatt følge de andre reglene i personvernforordningen, som å ha behandlingsgrunnlag eller databehandleravtaler. 53 Virksomheter som ønsker å overføre personopplysninger til amerikanske virksomheter med godkjenning, må fremdeles vurdere om det foreligger tilstrekkelig overføringsgrunnlag.

    For veiledning om forpliktelser ved overføring av personopplysninger utenfor EØS, henstiller vi virksomhetene til å rådføre seg med Datatilsynet, og holde seg orientert om veiledningsmaterialet på deres nettsider. Direktoratet for forvaltning og økonomistyring (DFØ) har også utviklet en veiledning om overføring av personopplysninger til USA .

    Reglene om overføring av personopplysninger ut av EØS kommer i tillegg til alle de andre forpliktelsene etter forordningen. 54

    6.6 Veiledningsressurser for arbeidet med informasjonssikkerhet

    Det er utviklet et fellesprodukt med ti anbefalte tiltak som virksomheter i offentlig og privat sektor bør gjennomføre – se kapittel 3 i tiltaksoversikten til Nasjonal strategi for digital sikkerhet . Tiltakene er hentet frem gjennom et samarbeid bestående av virksomheter fra både offentlig og privat sektor. Tiltakene gir norske virksomheter et godt utgangspunkt for hva de bør tenke på, uavhengig av størrelse, modenhet og kompetanse om informasjonssikkerhet.

    NSMs Grunnprinsipper for IKT-sikkerhet er et sett med prinsipper og tiltak for å beskytte informasjonssystemer mot uautorisert tilgang, skade eller misbruk. De er et utvalg av de prinsippene og tiltakene NSM mener er mest relevante for norske virksomheter, men de omfatter ikke alle tenkelige tiltak. Utvelgelsen er gjort i samarbeid med norske offentlige og private virksomheter. Ved å iverksette de anbefalte tiltakene mener NSM at virksomheter vil etablere et godt forsvar mot cybertrusler, men det er ingen garanti for at de ikke blir rammet.

    Datatilsynet har utarbeidet en rekke veiledere, blant annet om internkontroll og informasjonssikkerhet , som kan være nyttige for virksomhetene i kunnskapssektoren. For veiledning i gjennomføringen av ledelsessystem for informasjonssikkerhet, viser departementet til Digitaliseringsdirektoratets praktisk rettede veiledningsmateriell for internkontroll i praksis – informasjonssikkerhet og veiledningstjenestene til Sikt .

    HK-dir gjennomfører årlige kartlegginger av arbeidet med informasjonssikkerhet og personvern hos virksomhetene som er underlagt Kunnskapsdepartementets styringsmodell for informasjonssikkerhet og personvern i høyere utdanning og forskning. På bakgrunn av dette mottar disse virksomhetene anbefalinger fra HK-dir for det videre arbeidet, som det forventes at de følger. HK-dir utgir resultatene fra kartleggingen i en årlig risiko- og tilstandsrapport, som kan benyttes til å vurdere egen etterlevelse av Policy for informasjonssikkerhet og personvern i høyere utdanning og forsknin g opp mot tilstanden i sektoren. Virksomhetene oppfordres også til å legge vurderingene av risiko i rapporten til grunn for sin egen risikostyring på informasjonssikkerhets- og personvernområdet. HK-dir utgir også temarapporter om utvalgte tema. 55

    Cybersikkerhetssenteret for forskning og utdanning ble etablert i 2021 og ligger under Sikt. Cybersikkerhetssenteret utvikler sektortilpassede tiltak og tjenester innenfor tre hovedområder: Analyse, respons og rådgiving . Områdene utfyller hverandre og tilbyr helhetlige og målrettede leveranser til sektoren. Leveransene skal bidra til at virksomhetene kan møte de føringer som er gitt i gjeldende Policy for informasjonssikkerhet og personvern i høyere utdanning og forskning . Cybersikkerhetssenteret har også rollen som «sektorvist responsmiljø», i henhold til Rammeverk for håndtering av IKT-sikkerhetshendelser i UH-sektoren . I arbeidet med sikkerhetskultur og opplæring anbefaler KD at universiteter og høyskoler benytter seg av de kurs og opplæringstilbud som Cybersikkerhetssenteret tilbyr.

    Nasjonalt cybersikkerhetssenter (NCSC) i NSM er den nasjonale responsfunksjonen for alvorlige digitale angrep. NCSC er knutepunkt for nasjonalt og internasjonalt samarbeid innen deteksjon, håndtering, analyse og rådgivning knyttet til digitale angrep.

    NSM tilbyr også konkrete tjenester for å redusere sårbarheten for dataangrep. Blant disse er varslingssystem for digital infrastruktur (VDI), et nasjonalt sensornettverk på internett. I første omgang var sensornettverket rettet mot å avdekke forsøk på datainnbrudd mot kritisk infrastruktur. NSM anbefaler nå at også virksomheter som ikke har kritisk infrastruktur vurderer å skaffe seg en slik sensor. I den sammenheng har KD bedt alle sine underliggende virksomheter om å vurdere egen risiko og sårbarhet, for på denne bakgrunn å avgjøre om den enkelte bør søke om deltakelse i VDI.

    KD anbefaler at sektoren benytter de ressurser innenfor informasjonssikkerhet som utvikles og tilgjengeliggjøres gjennom Sikresiden.no . Digitaliseringsdirektoratet har også en samling ressurser om informasjonssikkerhet som virksomheter i sektoren kan dra nytte av.

    Prosjektet «SkoleSec» , hvor kommuner og fylkeskommuner har gått sammen om å styrke arbeidet med personvern og informasjonssikkerhet knyttet til digitalt læringsmiljø i grunnopplæringen, tilbyr veiledere og ressurser for kompetanseutvikling. Her finnes også den nasjonale vurderingen av personvernkonsekvenser (DPIA) for Google Workspace for Education, som er gjennomført av KS i samarbeid med Bergen kommune. Foreningen kommunal informasjonssikkerhet (KiNS) har som formål å bidra til økt informasjonssikkerhet i kommuner og fylkeskommuner, og tilbyr kurs og verktøy til bruk i lokalt arbeid med informasjonssikkerhet.

    Fotnoter

    39  Fremtidens digitale Norge. Nasjonal digitaliseringsstrategi 2024–2030
    40  Digdir: Helhetlig styring og kontroll av informasjonssikkerhet, tilgjengelig på: https://www.digdir.no/informasjonssikkerhet/helhetlig-styring-og-kontroll-av-informasjonssikkerhet/2284
    41  Data Protection Impact Assessment
    42  De aktuelle virksomhetene er: alle statlige universiteter og høyskoler, HK-dir, NOKUT, Sikt, Norges forskningsråd, UNIS, Simula, De nasjonale forskningsetiske komiteene og NUPI. Styringsmodellen er tilgjengelig på HK-dir sine nettsider: Styring av informasjonssikkerhet og personvern | HK-dir.
    46  Begrepene «ledelsessystem», «styringssystem» og «internkontroll» brukes ofte synonymt når det gjelder styring av informasjonssikkerhetsområdet. Se for eksempel Digitaliseringsdirektoratet: Internkontroll/ styringssystem/ ledelsessystem for informasjonssikkerhet (hentet 05.02.2025).
    47  JD (2015): NOU 2015: 13 – Digital sårbarhet – sikkert samfunn, tilgjengelig på: https://www.regjeringen.no/no/dokumenter/nou-2015-13/id2464370/
    50  Datatilsynet: Personvernprinsippene (hentet 05.02.2025).
    51  NOU 2015: 13 – Digital sårbarhet – sikkert samfunn.
    52  Datatilsynet (2021): Overføring av personopplysninger ut av EØS, tilgjengelig på: https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/overforing-av-personopplysninger-ut-av-eos/
    54  Datatilsynet: Virksomhetens plikter (hentet 13.02.2025)
    55  Se for eksempel HK-dirs temarapport fra 2021om Ledelsens styring og kontroll av arbeidet med informasjonssikkerhet for råd om hvordan ledelsens gjennomgang kan gjennomføres.
    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen