Næstved Kommune traf ret tidligt den beslutning at ville ligge med fremme i feltet om at blive NSIS-godkendt. I den sjællandske Digitaliseringsforening, DIGIT, med 11 kommuner som medlemmer blev Næstved valgt som pilotkommune. IT-og digitaliseringschef Lars Borg, siger, “det har været en stor fordel at være tidligt ude”.
Næstved Kommune meldte sig til at være pilotkommune på vegne af DIGIT.
“Vi meldte os til at være pilotkommune og være blandt dem, der gik forrest med pre-audit, og afprøvning og i dialog med revisorerne omkring NSIS. Vi var tidligt ude for at starte arbejdet med sikkerhedsgodkendelsen af de digitale identiteter. Vi ønskede ikke at vente og risikere at bringe os selv i den situation, hvor vi endte med at være for sent ude og komme i tidsnød. NSIS handler om borgernes data og vores egen dokumentation af medarbejdernes digitale identiteter. Det skal tages seriøst og prioriteres. Som følge af det valgte vi også to projektledere, Allan Eriksen og Louise Milling, som skulle implementere projektet i Næstved Kommune,” siger Lars Borg.
At Næstved Kommune kom tidligt i gang med arbejdet og i dialogen med revisorerne fra BDO betyder også, at de har fået “nogen gode diskussioner” og en “brat opvågnen” med hensyn til det eksisterende sikkerhedsniveau.
“Vi har jo arbejdet med vores egen sikkerhedspolitik og -organisation med ISO 27001 og 27002. Her mente jeg, at vi var nogenlunde på højde med udviklingen. Men da vi gennemgik NSIS og kravene kan jeg godt se, at det var vi ikke helt i mål med.
Eksempelvis med autorisationer af betroede medarbejdere.
“Jeg har jo ansatte i IT-afdelingen som kan lægge kommunens netværk ned ved at trykke på en knap eller to. Disse betroede medarbejdere skal jeg som chef følge tæt. Jeg har ikke haft tradition for at følge op på, om de har de rigtige autorisationer, selv om det står i vores sikkerhedspolitik, at det skal vi gøre. Det har vi skærpet med NSIS godkendelsen. Nu skal vi følge op på det, og vi skal dokumentere det fremadrettet i de kommende NSIS-revisioner,” siger Lars Borg.
Som pilotkommune videreformidles ny viden også til de andre kommuner i DIGIT samarbejdet.
Næstved Kommune har “vænnet” sig til at formidle erfaringer til andre kommuner. Ikke kun i DIGIT også på Sydsjælland og i Jylland.
“Vi har gjort meget ud af at dele. Vi har ikke noget imod at videregive vores erfaringer til andre kommuner. Selvfølgelig har Allan og Louise brugt ekstra timer på at fortælle andre kommuner om vores erfaringer. Det har hjulpet de kommuner, så de har brugt færre timer. Vi er en familie med 98 kommuner som medlemmer. Det er et netværk, vi skal dyrke. Næste gang er det Næstved, der er bagud og som skal hjælpes frem i feltet, og vi vil sætte pris på, at andre vil dele med os. Samarbejdet på tværs og deling af viden tæller plus-plus,” siger Lars Borg.
Næstved Kommune har løbende arrangeret online møder med andre kommuner.
Afdelingsleder Jon Badstue fra IT- og Digitalisering i Syddjurs Kommune roser netop Næstved Kommune for at dele viden med andre kommuner.
Lars Borg kvitterer for dette ved at sige, at “Syddjurs fik nul anmærkninger, mens Næstved Kommune fik syv. Så vi skrev stort tillykke til dem,” siger Lars Borg. Han vurderer, at Næstved Kommune samlet set har brugt mellem 1600 og 1700 timer på NSIS godkendelsen. Og at samarbejdet med revisorerne har foregået problemløst.
“Fra en start skulle vi føle hinanden på tænderne. Det var en ny opgave for os. Det var uopdyrket jord. Der var jo nogle af de store kommuner, som havde været i gang. Men mange af kravene, sad vi og vurderede og oversatte til en kommunal kontekst sammen med revisorerne, fordi det var nyt. Der var emner vi skulle lære at kapere.”.
“Men vores samarbejde med revisionen har været problemløst. Jeg kan godt høre på nogle af mine kolleger i diverse netværk, at der er kritik af revisionen og Digitaliseringsstyrelsen. Men jeg vil gerne tilføje, at det er de samme kommuner, som ikke i tide fik bestilt tid til deres pre-audit, audit og godkendelse i Digitaliseringsstyrelsen. Det er en opgave, der af mange blev undervurderet. Nu skal vi i gang med NIS2, der er et cybersikkerhedsberedskab, som skal være klar i slutningen af 2024. Vi ved ikke, hvordan vi skal løse den opgave. Det ved ingen endnu, men der går ikke lang tid, før vi beslutter, hvem der skal være projektleder på den.”
Lokal IdP og to-faktor login
Lars Borg gør opmærksom på, at kommunerne er vidt forskellige. Og at forløbet også er forskelligt efter hvilke beslutninger kommunerne vælger at tage.
“Opgaven er vidt forskellig efter om man har sin egen IdP (lokal opkobling red.) eller om man bruger Digitaliseringsstyrelsens IdP. Og man kan også validere medarbejdere forskelligt efter hvilken adgang de har til betroede data. Vi tog hurtigt beslutningen om to-faktor login til alle medarbejdere i hele kommunen. Så skal vi som ledelse ikke sidde og tænke på, hvem der skal bruge to-faktor login og hvem der ikke skal. Vi vil gerne bruge NSIS-godkendelsen til at øge sikkerheden i forhold til adgangen til vores systemer og til alle fællesoffentlige systemer. Det er det mest betryggende for borgerne om beskyttelse af data og for medarbejderne, der får adgang til data. Vi har i øvrigt arbejdet sammen med Guldborgsund Kommune, som startede før os på netop dette område. De har inspireret os. Så samarbejdet og deling af viden går i mange retninger,” siger Lars Borg.
FAKTA
Næstved Kommune har valgt OS2-fællesskabets løsning OS2-faktor. I DIGIT har ni kommuner valgt OS2-faktor og to kommuner har valgt Signaturgruppen.