Flemming Kjærsdam • 25 maj 2023

Afdelingsleder for It og Digitalisering Jon Badstue Pedersen fra Syddjurs Kommune om NSIS: “En for stor opgave, der har trukket mange tænder ud internt”

Et rent 12-tal. Syddjurs Kommunes ISAE 3000 NSIS type 1-erklæring gik rent hjem den 18. april 2023 – eller var uden afvigelser som revisionen siger. Den blev derefter fluks sendt afsted til Digitaliseringsstyrelsen, sammen med anmeldelsen af kommunens NSIS ID-tjeneste.

 

 

 

Men selvom det endte som det skulle, så er forløbet ikke uden torne for afdelingsleder for It og Digitalisering Jon Badstue Pedersen – og det skyldes “det enorme ressourcetræk” i afdelingen.
Selvom Syddjurs Kommune ikke har talt det interne timeforbrug op, så gør det ondt på it- og digitaliseringschef Jon Badstue Pedersen at tænke på det enorme interne ressourcetræk, der er brugt i It og Digitalisering på at løfte opgaven.   
“Der er primært to ting, som jeg er træt af. Det har været en meget stor og diffus opgave, som kunne læses forskelligt, afhængigt af hvem der læste den. Og så naturligvis det voldsomme træk på de interne ressourcer, som i forvejen er under pres ift. it-driften,” siger Jon Badstue Pedersen.
Syddjurs var ikke blandt de første kommuner, der gik efter at få NSIS-erklæringen, men endte alligevel langt fremme i feltet. Det præcise tal vides først når godkendelsen kommer fra Digitaliseringsstyrelsen.  
“Vi er glade for, at vi ikke er den første kommune til at lave de forskellige nye procedurer og risikovurderinger – det er altid svært at starte på et blankt stykke papir. Men vi har kunnet tage udgangspunkt i bl.a. Næstved Kommunes gode arbejde. Det materiale havde været igennem revisorerne, og så er det en noget sjovere og nemmere opgave at løse. Så på den måde er vi kommet langt, selvom vi ikke var blandt de første. Det har været nogle andre kommuner, der har taget et større slæb, og det vil jeg gerne anerkende,” siger Jon Badstue Pedersen.
Han roser også sine lokale projektledere og medarbejdere i It og Digitalisering.
“Det har været en yderligere udfordring, at scope og krav har syntes at flytte sig løbende. Selv da vi var i gang med audits ændrede det sig, og jeg har forstået, at det efterfølgende er ændret yderligere. Så noget tyder på at de kommuner, der har været tidligst ude med NSIS, er endt med en større opgave end de kommuner, der er kommet til senere. Revisorerne og Digitaliseringsstyrelsen er blevet klogere undervejs, og det er der måske en vis logik i, da det er første gang opgaven løses,” siger Jon Badstue Pedersen.
 

Bermudatrekanten
Jon Badstue Pedersen sammenligner forløbet lidt med Bermudatrekanten.
“Det har været svært. I nogle øjeblikke har det mindet lidt om Bermudatrekanten. Digitaliseringsstyrelsen har sagt, at alle kommuner skal have en NSIS-erklæring for at blive godkendt. Kommunerne har fået en opgave, der er så stor og ukendt, at de skal hente ekstra kompetencer og ressourcer ind udefra. Her har der været forskellige revisionshuse og konsulenthuse i farvandet, som har tolket krav og formater forskelligt - og det har ikke gjort det nemmere. Hvis man er rigtig grov, kan man jo tro, at der er revisorer, der har haft som en forretningsparameter, at det skulle være så nemt for en kommune som muligt at blive godkendt. Andre er derimod blevet beskyldt for at ville overimplementere NSIS. Jeg synes ikke, det har været nemt farvand at navigere i som kommune.” siger Jon Badstue Pedersen.  
Syddjurs Kommune gik i gang i november 2022, havde preaudit medio januar 2023 og endelig audit den 14. marts. Kommunen har haft en aftale med revisionsfirmaet BDO både til konsulentassistance og selve revisionen.
“Det har taget noget tid. Dels fordi der har været en intern modningsproces og dels har vi ændret eksisterende procedurer, lavet nye procedurer samt indlagt ledelsestilsyn, som vi ikke havde før og lavet nye tekniske foranstaltninger. På den måde har der været nogle ting, hvor vi har skullet starte forfra. Samtidig er NSIS-revisionen en noget større opgave end den almindelige revision af it-kontroller. Vi har haft to projektledere på opgaven.”
“NSIS har også trukket veksler på mig personligt, da jeg valgte at prioritere opgaven. Den går nemlig både ind i informationssikkerhed, brugeradministration, ledelsestilsyn og it-infrastruktur. Det har altså været mange mennesker inde over. Projektlederne har kontinuerligt brugt tid på NSIS. Andre har været kaldt ind til det, vi kalder lektiecafeer, hvor man sidder to-tre timer og leverer varen, så at sige. Det kan være udarbejdelse af konkrete procedurer, implementering af tekniske foranstaltninger eller udførelse af ledelsestilsyn”.
 

Deling af materialer
Kommunerne har været gode til at dele materialer indbyrdes.
“Vi har haft meget gavn af at kunne trække på især Næstved Kommune, som i den grad har været first mover. De har holdt webinar for andre kommuner, hvor vi har kunnet deltage og blive klogere på NSIS. Nu er det så vores tur i Syddjurs til at dele materialer med andre kommuner. For alle 98 kommuner skal jo lave næsten det samme. Vi skal lave de samme risikovurderinger. Vi skal lave de samme procedurer. Vi skal lave de samme tekniske foranstaltninger. Der har ikke været nogen national eller tværkommunal ramme, så det kan hurtigt ende med, at vi laver de samme ting hver for sig. Netop derfor skal Næstved Kommune have ekstra ros for at dele deres informationer med os andre – og for at dele tidligt i processen, så vi andre er kommet lidt nemmere i mål,” siger Jon Badstue Pedersen.
Syddjurs Kommune anvender OS2-fællesskabets løsning OS2faktor, som er udviklet og driftet af Digital Identity.