Norge

Norge har liksom Sverige tre förvaltningsnivåer med stat, regioner (fylken) och kommuner. Till statsförvaltningen hör, utöver reger-ingens departement (departemang), ett 70-tal myndigheter (direktorat) och andra typer av statliga verksamheter. Totalt rör det sig om cirka 250 organisationer. Norge tillämpar en blandning av ministerstyre och samordning mellan departementen i större frågor och har sedan en förvaltningspolitisk reform under 1990-talet relativt självständiga statliga myndigheter. Den kommunala sektorn består av cirka 350 kommuner och 19 fylken.

5.2.1 Organisering och strategi

Den norska regeringen antog år 2016 Digital agenda for Norge – IKT for en enklere hverdag og økt produktivitet som innehåller priori-teringar för politiken avseende informations- och kommunikations-teknologi (IKT) och den offentliga sektorns digitalisering. I agendan framhålls att förvaltningens digitalisering bör ske på ett sätt som minimerar risker och komplexitet. Vidare ska marknaden användas där det är lämpligt, förvaltningsgemensamma lösningar byggas för gemensamma behov och interoperabilitet med EU-lösningar främjas.

Sedan agendan lades fram har den norska regeringen genom Kom-munal- og moderniseringsdepartementet (KMD) bl.a. tagit fram en

molntjänststrategi (2016b), en strategi för den offentliga sektorns digitalisering (2016c) och en cybersäkerhetsstrategi (2016d).

Regeringen förtydligar årligen styrningen av den offentliga för-valtningens digitalisering genom det s.k. Digitaliseringsrundskrivet som innehåller en sammanställning av regeringens beslut, rekommen-dationer och beskriver KMD:s bedömning av it-relaterade investe-ringsförslag i kommande års budget. I 2016 års cirkulär framhöll reger-ingen att statliga myndigheter ska överväga molntjänster när de upp-handlar IKT-lösningar. Inriktningen nyanserades år 2019 i molntjänst-strategin i vilken regeringen belyste flera aspekter som bör beaktas när den offentliga förvaltningen överväger att använda molntjänster.

Den offentliga sektorns digitaliseringsstrategi är en uppföljning av den digitala agendan från år 2016 och bygger på en överenskom-melse mellan regeringen och intresseorganisationen för kommuner och regioner (KS). I agendan beskrivs en rad prioriterade initiativ och e-tjänster under åren 2019–2025. Strategin berör inte uttryck-ligen it-drift eller molntjänster. Det gör inte heller cybersäkerhets-strategin, även om den behandlar behovet av samarbete mellan det offentliga och privata respektive det civila och militära samt samarbete på den internationella arenan i syfte att stärka cybersäkerheten i sam-hället.

I takt med att synen på digitalisering och IKT förändrats från att vara en särfråga till att bli en tvärgående fråga, har också den departe-mentala organiseringen av ansvaret för digitaliseringsfrågor utveck-lats i Norge. Under åren 2005–2014 ansvarade Moderniserings-departemanget för frågorna och dessförinnan Fornyings-, admini-strasjons- og kirkedepartementet. Genom en ny departementsindel-ning år 2014 samlades frågan på KMD tillsammans med frågor om bl.a. kommunernas ekonomi och lokalförvaltning. KMD har ansvar för förvaltningens gemensamma digitalisering medan fackdeparte-menten har ansvar för digitalisering inom sina respektive områden (t.ex. ansvarar Forsvarsdepartemanget för cybersäkerhetsfrågor).

Regeringen har även inrättat Digitaliseringsdirektoratet (tidigare kallat Direktoratet for forvaltning og IKT) med ansvar för att samordna den offentliga förvaltningens digitalisering och år 2019 utsåg den norska regeringen för första gången en digitaliseringsminister.

5.2.2 Digitaliseringsdirektoratet

Norge har nyligen genomfört en omorganisering av den myndighet som har det huvudsakliga ansvaret för den offentliga förvaltningens digitalisering. Myndigheten, som tidigare hette Direktoratet for for-valtning og IKT (Difi), inrättades 1 januari 2008 efter en samman-slagning av dåvarande Statskonsult, E-handelssekretariatet samt Norge.no. Direktoratet ansvarade fram till år 2020 för upphandlings-frågor, rådgivning och utveckling av gemensamma standarder och komponenter. Den 31 december 2019 bytte Difi namn till Digitali-seringsdirektoratet (Digidir) och tog över förvaltningen av e-tjänst-plattformen Altinn samt viss verksamhet från den nationella kontroll- och registermyndigheten Brønnøysundregistrene. Digidir fick även utpekat ansvar för informationssäkerhet, drift av förvaltningsgemen-samma komponenter, medfinansieringsordningen, Stimulab och till-synen av universell utformning. Digidir ska fortsatt arbeta nära KS som har ansvar för att involvera och förankra utvecklingen av åt-gärder i kommunerna. Vissa frågor, såsom analys och upphandling, som tidigare sköttes av Difi, har överförts till Direktoratet for forvaltning og økonomistyring. Företrädare på Digidir framhåller att reformen syftat till att renodla verksamheten och höja den tek-niska utvecklingsförmågan. Reformen innebär även att direktoratet har fått ett tydligare mandat att samordna kommunernas digitali-sering. Organisationen för ekonomiskt samarbete och utveckling (OECD) har i genomlysningen Digital Government Review of Norway (2017) av den norska e-förvaltningen framhållit att ett av motiven till att ursprungligen inrätta Difi var att förbättra regeringens för-måga att vägleda departementen och myndigheterna i implementa-tion av IKT-projekt. Reformen föranleddes av att Statskonsult om-vandlades från myndighet till statligt bolag år 2004, vilket resulterat i utmaningar för organisationens roll att erbjuda sammanhängande strategisk rådgivning till förvaltningen, enligt OECD (2005). När Difi inrättades år 2008 hade myndigheten ungefär 100 anställda vilket ökat till 370 i och med etableringen av den nya organisationen årsskiftet 2019/2000.

5.2.3 Molntjänster i offentlig förvaltning

Företrädare på Digidir framhåller att användningen av molntjänster i den norska offentlig förvaltningen är utbredd, både i leveransen av administrativa tjänster och i annan central infrastruktur såsom Altinn¹. I den norska molntjänststrategin från år 2017 betonar regeringen flera olika nyttor med användningen av molntjänster, däribland ökad kostnadseffektivitet, flexibilitet, säkerhet och minskat klimatavtryck.

Strategin nyanserar den riktlinje som lades fast i digitaliseringscirku-läret år 2016 genom att också belysa lagstiftning som ställer särskilda krav på hur offentliga informationsresurser får hanteras. Exempel på sådan lagstiftning är lagstiftning om arkiv, bokföring och säkerhets-skydd. Mot bakgrund av detta har den norska regeringen beslutat att inte införa en s.k. Cloud First-princip (se avsnitt 5.6). Detta beslut nyanseras dock i strategin med att stora etablerade molntjänstleve-rantörer ofta kan tillhandahålla bättre säkerhet än vad små organi-sationer själva kan åstadkomma, enligt en tidigare utredning om digital sårbarhet som regeringen hänvisar till (NOU 2015:13). Reger-ingen konstaterar i strategin att den offentliga förvaltnReger-ingen är i behov av tydlig vägledning i upphandlingsfrågor och kring hur avtal bör formuleras för att säkerställa att rättsliga krav följs. För att möta dessa behov ska KMD överväga om det är motiverat att etablera en marknadsplats för molntjänster i offentlig sektor, där leverantörer i förväg kan kvalificera sig, inspirerad av motsvarande lösning i Stor-britannien (G-Cloud). Sedan molntjänststrategin publicerats genom-förde Difi en förstudie (Difi 2018) om etableringen av en sådan marknadsplats. Enligt förstudien att det är möjligt att realisera en samhällsekonomisk nytta motsvarande 2,2–3,4 miljarder norska kro-nor perioden 2019–2029 genom att etablera en marknadsplats för molntjänster (Figur 5.1).Regeringen gav år 2019 Digidir och Statens innkjøpssenter i uppdrag att påbörja etableringen av marknadsplatsen senast år 2020. Enligt regeringens uppdrag ska marknadsplatsen bidra till en säker och kostnadseffektiv molntjänstanvändning samt kunna användas av hela den offentliga förvaltningen.

1 Altinn är en portal med en samling tjänster för dialog mellan privatpersoner, näringsliv och för-valtning. Det är även namnet på den underliggande tekniska plattformen. https://www.altinn.no/

om-altinn/hva-er-altinn/.

Figur 5.1 Modell av marknadsplats för skytjenester

Källa: Statens innkjøpssenter.

5.2.4 Datacenter i norsk förvaltning

Under år 2015 lät KMD ett konsultföretag genomföra en kartlägg-ning (Nexia Management Consulting 2015) av offentliga datacenter i Norge. Baserat på intervjuer med it-ansvariga på myndigheter, kommuner och regioner slår studien fast att många kommuner och regioner har samordnat sin it-drift. Kommuner och regioner upp-skattades tillsammans ha 100 datacenter jämfört med statsförvalt-ningen som hade mellan 50–100 stycken. It-ansvariga inom den offent-liga sektorn uppgav att de överlag var nöjda med sina driftsmiljöer men framhöll att dessa sannolikt inte kommer kunna tillfredsställa framtida behov. Vidare framkom att större kommuner inte upplevde samma fördelar med samordnad it-drift som mindre, då de uppnådde vissa skalfördelar på egen hand. Studien visade på fortsatta trender mot konsolidering av datacenter och ökad användning av molntjänster.

Beträffande molntjänster framhöll dock it-ansvariga att de rättsliga förutsättningarna upplevdes som oklara och de efterfrågade därför förtydliganden. I studien drogs slutsatsen att trenden mot konsoli-deringen inte varit formellt påkallad utan skett spontant till följd av förvaltningens decentralisering.

Den norska regeringen bedömer i sin molntjänststrategi att det finns behov av en mer resurseffektiv användning av offentliga data-center. Regeringen menar dock att den inte kunnat identifiera ett behov av gemensamma datacenter eller centralt förhandlade avtal för datacenter. Som konsekvens uppmanas myndigheter, som inte kan använda molntjänster och behöver etablera nya datacenter, att i första hand använda outnyttjad kapacitet hos andra myndigheter alterna-tivt att samordna sig med myndigheter med liknande behov. Digidir pekas ut som ansvarig myndighet att leda denna samordning.

5.2.5 Informations- och cybersäkerhet

I Norge har Justitie- och beredskapsdepartementet ansvar för infor-mationssäkerhet. Den nationella säkerhetsmyndigheten Nasjonal sikkerhetsmyndighet (NSM) har det övergripande ansvaret för samhällets informationssäkerhet. På myndigheten finns avdelningen Nasjonalt cybersikkerhetssenter (NCSC) som etablerades år 2018 och som samordnar it-säkerhetsarbetet genom offentlig-privat sam-verkan inom flera sektorer. NSM sorterar under Justitie- och bered-skapsdepartementet men rapporterar också till Försvarsdepartementet.

På liknande sätt som i flera andra länder finns det i den norska förvaltningen en pågående diskussion om informationssäkerhet och en upplevd osäkerhet avseende de rättsliga förutsättningarna att använda molntjänster. Den norska cybersäkerhetsstrategin berör inte uttryckligen frågan om molntjänster. Däremot betonas i molntjänst-strategin att myndigheter måste genomföra risk- och sårbarhets-analyser vid större förändringar av sina it-miljöer (t.ex. vid övergång till molntjänster). Analyserna bör beakta tillgänglighet, konfidentia-litet och integritet hos system och lösningar. Strategin understryker även vikten av att myndigheter löpande klassificerar sin information, då myndigheten själv (på motsvarande sätt som i Sverige) har ansvar för att skydda sin egen information. Informationen bör enligt stra-tegin klassificeras utifrån kategorierna: information som behöver lagras i Norge, information som kan lagras utomlands men tas hem till Norge vid behov samt information som kan lagras utomlands utan några restriktioner. Digidir har fått i ansvar att vägleda myn-digheter i hur denna klassificering bör gå till med utgångspunkt i sektorer inom förvaltningen. För att stärka informationssäkerheten

uppmanar regeringen även upphandlande myndigheter att ställa krav på leverantörer med hänvisning till relevanta standarder och certi-fieringar. Här avses såväl internationella ramverk som t.ex. ISO 27001 och 27018 som andra länders ramverk t.ex. FedRAMP från USA och G-Cloud från Storbritannien. Den norska regeringen har samtidigt aviserat att vägledningar för riskanalyser och annat stöd för upphand-ling kommer tas fram centralt.