Nationale sikkerhedsinitiativer

Transkript

1 Nationale sikkerhedsinitiativer Pia Jespersen Teknisk temadag om Sundhedsdatanettet 8. november 2017

2 Hvad sker der? Fællesoffentlig digitaliseringsstrategi og Persondataforordning Implementeringen af Net- og Informationssikkerhedsdirektiv et i Danmark (NIS) Ny national cyber- og informationssikkerhedsstrategi Fælles skabelon for databehandleraftaler Vejledning om informationssikkerhed i sundhedsvæsenet 2

3 Fællesoffentlig digitaliseringsstrategi Initiativ 7.1: Styr på informationssikkerhed hos alle myndigheder ISO27001 Præsentationsmateriale Vejledning Konference (december 2017) Klausulbibliotek Krav ved udbud Udvides løbende Udkast i høring Vejledning om databeskyttelse ved design og default Udkast i høring Initiativ 9.3: Højt kendskab til informationssikkerhed Informationssikkerhedskampagner rettet mod borgere, medarbejdere og virksomheder Fokus på god digital adfærd Sundhedsdatastyrelsen, regioner og kommuner deltager i Digitaliseringsstyrelsens arbejdsgruppe 3

4 NIS-direktivet Formål Styrkelse af sikkerheden i væsentlige samfundstjenester, der er afhængige af net- og informationsteknologi Sundhedsvæsenet er udpeget som kritisk samfundssektor CSIRT placeres i FE International kontakt Direktivet træder i kraft 9. maj 2018

5 Implementering af NIS-direktivet Sektorvis implementering Lovforslag vedr. net- og informationssikkerhed fremsættes til ikrafttræden 1. februar 2018 Sundhedsdatastyrelsen bliver kompetent myndighed på området Udarbejdelse af bekendtgørelse Kriterier for, hvad der er en væsentlig samfundstjeneste Krav til operatører af væsentlige samfundstjenester: dokumentation for sikkerhed, indberetning af sikkerhedshændelser Udformning af tilsyn med operatører Håndtering af sikkerhedshændelser Nedsættelse af tværsektoriel arbejdsgruppe til at udarbejde oplæg til bekendtgørelse 5

6 Ny national cyber- og informationssikkerhedsstrategi Baggrund Det fremgår af regeringsgrundlaget, at der skal laves en ny strategi, som skal afløse den nuværende fra 2014 Den nuværende strategi havde særligt fokus på det statslige område, telesektoren og energisektoren. Med kommissoriet for den nye strategi er sundhedssektoren udpeget som samfundskritisk sektor, jf. også NISdirektivet Ministerierne skal med udgangspunkt i det aktuelle trusselsbillede udvikle relevante initiativer til håndtering af risici såvel inden for eget ressort som af tværgående karakter 6

7 Ny national cyber- og informationssikkerhedsstrategi Proces Arbejdet er organiseret i en statslig arbejdsgruppe med deltagelse af alle ministerier Arbejdet oprindeligt forankret i Forsvarsministeriet, men blev ved regeringsbeslutning i juni overført til Digitaliseringsstyrelsen Den nye strategi forventes offentliggjort i februar 2018 og løber frem til udgangen af 2019 Der er på forslag til finanslov for 2018 afsat 100 mio.kr. over 4 år til udmøntning af strategien I forlængelse af hovedstrategien skal der for hver samfundskritisk sektor, herunder også sundhedsområdet, udarbejdes en delstrategi, som skal sikre et forsvarligt informationssikkerheds-mæssigt beredskab inden for egen sektor Arbejdet med delstrategien skal afsluttes medio

8 Ny national cyber- og informationssikkerhedsstrategi Foreløbigt indspil fra SUM/Sundhedsdatastyrelsen Etablering af et politisk cybersikkerhedsforum på sundhedsområdet Fællesoffentligt cyberberedskab og fælles sikkerhedsøvelser Styrket sikkerhed i den fællesoffentlige infrastruktur på sundhedsområdet Styrkelse af informationssikkerheden i Sundhedsministeriets koncern (opfølgning på serviceeftersyn) Styrket it-sikkerhed i almen praksis Hertil kommer sundhedssektorens deltagelse i forventede tværgående initiativer, fx vedr. ISO 27001, uddannelsesaktivititer, awarenesskampagner mv. 8

9 Fælles skabelon for databehandleraftaler på sundhedsområdet Baggrund Øget samarbejde og deling af oplysninger på tværs i sundhedsvæsenet Dataansvarlige og databehandlere på kryds og tværs Behov for forenkling Behov for fokus på det relevante Skabelonudkast udarbejdet Udestående vedr. paragraf om misligholdelse Kammeradvokaten bedt om at udarbejde notat 9

10 Fælles skabelon for databehandleraftaler Databehandleraftale Statisk del Reviewes og tilpasses årligt Dynamisk del Specifikke forhold for den enkelte databehandling Databehandlerinstruks Underdatabehandleraftale Skal anvendes ved aftaler mellem sundhedsvæsenets parter Valgfri i forhold til private leverandører Udestår Vejledning til anvendelse af aftalen Version til brug efter 25. maj

11 Vejledning om informationssikkerhed Skal revideres i 2018 på baggrund af Persondataforordningen Redaktionsudvalg vil blive indkaldt primo 2018 Prioritering af emner Nedsættelse af arbejdsgrupper 11

12 12 Sundhedsdatastyrelsen Ørestads Boulevard København S T: E: kontakt@sundshedsdata.dk W: sundhedsdata.dk