Er kommunen klar for NIS/NIS2-direktivet?

NIS-direktivet er EUs direktiv for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen. Dette innføres i Norge gjennom ny lov om digital sikkerhet. NIS og lov om digital sikkerhet kan forstås som en «grunnplanke» for digital sikkerhet som skal løfte sikkerhetsnivået på tvers av viktige tjenesteleverandører i ulike sektorer. Med utvidelsen til NIS2, vil dette regelverket fremover også gjelde for kommunene i Norge. Gjøvik kommune ønsker å være forberedt på denne endringen, og inviterer derfor studenter innen informasjonssikkerhet til å bistå oss med kartlegging av status og forslag til tiltak. Vi ser for oss at vi gjennom en eller flere studentoppgaver skal besvare spørsmål som for eksempel:

• Hvilke deler av vår virksomhet vil være ansett som «kritisk» eller «viktig» i forbindelse med NIS? Hvilke deler av kommunen vil være omfattet av virkeområdet til ny lov om digital sikkerhet?
• Hvor moden er Gjøvik kommune med tanke på digital sikkerhet?
• Hvilke kritiske avhengigheter har vi i våre leverandørkjeder, særlig med tanke på informasjonssystemer? Hvilke underleverandører er vi avhengige av for at våre informasjonssystemer skal være sikre?
• Når gjennomførte vi sist risikovurderinger av våre ulike informasjonssystemer? Og var disse gode nok?
• Har vi iverksatt hensiktsmessige sikkerhetstiltak som er tilpasset vårt risikobilde? Bygger disse tiltakene på anerkjente standarder og rammeverk for digital sikkerhet?
• Har vi en god plan for hendelseshåndtering? Når ble den sist oppdatert?
• Er vårt arbeid med forebyggende digital sikkerhet godt forankret i ledelsen og kommunisert i virksomheten?

Det foreligger lite eller ingen veiledning på dette for norske kommuner i dag, så et arbeid på dette feltet vil sannsynligvis også ønskes velkommen av bl.a. Kommunens sentralforbund og KS' digitaliseringsnettverk, og være svært relevant for andre kommuner i Norge.