Beslut från IVO efter tillsyn av informationssäkerhet

I juni gjorde Inspektionen för Vård och Omsorg, IVO, en tillsyn av Kungsbacka kommuns systematiska informationssäkerhetsarbete. Nu har IVO beslutat i ärendet.

IVO gjorde den 17 juni 2019 en tillsyn för att granska om Kungsbacka kommun uppfyller kraven på ett systematiskt och riskbaserat informationssäkerhetsarbete inom hälso- och sjukvårdssektorn, enligt det så kallade NIS-direktivet. NIS-direktivet står för Network and Information Security directive. 

Bakgrunden till granskningen är det europeiska NIS-direktivet som trädde i kraft i Sverige 2018 och som ställer krav på informationssäkerhet i nätverk och informationssystem. Granskningens syfte var att se om Kungsbacka kommun bedriver ett systematiskt informationssäkerhetsarbete för den samhällsviktiga tjänsten inom hälso- och sjukvård, enligt NIS-direktivet. Det gör att förvaltningen för Vård & Omsorg berörs.

IVO har fattat beslut

Nu har IVO kommit med sitt beslut gällande granskningen om Kungsbacka kommun uppfyller kraven på ett systematiskt och riskbaserat informationssäkerhetsarbete inom hälso- och sjukvårdssektorn enligt direktivet. IVO har identifierat följande brister:

  • Åtgärderna för att hantera risker i nätverk- och informationssystem var inte tillräckliga.
  • Kommunen genomförde inte årliga riskanalyser på övergripande nivå som underlag för att uppdatera åtgärdsplanerna.
  • Det var inte tillräckligt tydligt vilket ansvar som ledningen och övriga organisationen hade för det systematiska informationssäkerhetsarbetet.

Vidtar åtgärder

IVO:s granskning visar att det fanns brister i det systematiska informationssäkerhetsarbetet utifrån NIS-direktivet inom de tre nämnda områdena. Vid inspektionen den 17 juni redogjorde också kommunen för att man planerar att vidta åtgärder för att komma till rätta med de identifierade bristerna. Kungsbacka kommun och förvaltningen för Vård & Omsorg har en plan för hur vi ska utveckla och arbeta vidare med informationssäkerhet.

Avslutat granskning lex Maria

I samband med tillsynen den 17 juni 2019 gjorde IVO även en granskning gällande sammanlagt åtta anmälningar enligt lex Maria. Anmälningar berodde bland annat på brister i verksamhetssystemet Combine. Som Kungsbacka kommun berättat i tidigare pressmeddelande har Inspektionen för Vård & Omsorg avslutat den granskningen. IVO ansåg att nämnden för Vård & Omsorg hade fullgjort sin skyldighet och avslutade därför ärendet.

Kontaktperson vid frågor:

Maria Hallberg, verksamhetschef Verksamhetsutveckling på Vård & Omsorg
maria.hallberg@kungsbacka.se
0300-83 87 16

Veronica Norell, specialist informationssäkerhet på kommunledningskontoret
veronica.norell@kungsbacka.se
0300-83 54 14