Nasjonal strategi for bruk av skytenester

Til innhaldsliste

1 Innleiing og samandrag

Framtidig vekst og velferd i Noreg er avhengig av at produktiviteten held fram med å vekse. 1 Viktige faktorar for vekst er innovasjonsevne og nyetablering. Betre utnytting av teknologi er nødvendig for å møte behova for offentlege tenester i framtida. I privat sektor, og særleg i tenesteytande næringar, treng ein å bli flinkare til å ta i bruk ny teknologi for å sikre vidare produktivitetsvekst.

Innan offentleg sektor er det store variasjonar mellom verksemdene, med ulike behov og ulik risikoprofil, ulik økonomi og ulik tilgang på kompetanse. Det dei har til felles er eit ansvar for å velje dei mest hensiktsmessige og kostnadseffektive IKT-løysingane som dekker verksemda sine behov. Det same gjeld sjølvsagt for næringslivet.

Det offentlige har ei plikt til å drive mest mogleg kostnadseffektivt. Men dei har òg eit ansvar for å ta god vare på innbyggarane sine data og ta i vare innbyggarane sine interesser. Då er det viktig at dei, når dei skal velje IKT-løysingar, kan vurdere alle dei løysingane som er tilgjengelege – òg skytenester. Allmenne skytenester vil vere det rette for nokre verksemder, men ikkje for andre. Ofte kan den beste løysinga vere ein kombinasjon av fleire leveransemodellar.

Når ein spør verksemder om kva som er motivasjonen deira for å vurdere skytenester, er vanlege svar «reduserte kostnadar» og «auka fleksibilitet». Men det er òg eit anna svar ein høyrer stadig oftare: «Det er slik løysingane blir leverte nå. Om vi vil ha nyaste versjon av dei systema vi ønsker å bruke, så må vi velje sky.» Om ein skal etablere ny verksemd eller nye tenester, kan bruk av skytenester redusere behovet for investeringar og slik redusere risikoen ved etableringa.

Men mange verksemder – både offentlege og private – synest det er vanskeleg å vite om det er lovleg å bruke skytenester. Eller om det er sikkert nok. Og er det eigentleg greitt å lagre personopplysningar i utlandet? Med denne strategien ønsker regjeringa å klare opp i slike spørsmål.

Mål med strategien

Hovudmålet med Nasjonal strategi for bruk av skytenester er å gi offentlege og private verksemder større rom for handling når dei skal velje IKT-løysingar. Verksemdene skal – såframt det ikkje strid mot andre viktige omsyn – kunne velje å bruke skytenester der det vil gi best resultat og vere den mest kostnadseffektive løysinga.

Målet er at dette skal gi:

  • meir kostnadseffektiv IKT
  • auka merksemd på kjerneverksemda
  • auka fleksibilitet
  • betre tryggleik gjennom meir profesjonalisert og standardisert IKT
  • lågare terskel for innovasjon og nyetablering
  • redusert klimaavtrykk frå IKT-drift

Målgruppe for strategien

Denne strategien er retta mot alle verksemder – både offentlege og private. Mykje av strategien er spesielt retta mot offentleg sektor, men òg desse delane av strategien vil ha overføringsverdi for næringslivet. For dei delane av næringslivet som leverer IKT-løysingar til offentleg sektor vil det ikkje minst vere viktig å kjenne til kva prinsipp offentlege verksemder skal legge til grunn når dei skal skaffe nye IKT-tenester.

Strategien er i utgangspunktet ikkje retta mot forbrukarar. Det finst ei rekke interessante problemstillingar knytte til forbrukarretta skytenester, men desse fell utanfor måla for arbeidet med denne strategien. Barne- og likestillingsdepartementet og Forbrukarrådet arbeider med slike problemstillingar.

Samandrag

Strategien er bygd opp slik at dei generelle delane – som rettar seg mot både offentleg og privat sektor – kjem først.

I kapittel 2 går vi gjennom viktige kjenneteikn på skytenester, i tillegg til fordelar og utfordringar ved bruk av slike tenester. I dette kapittelet går vi òg gjennom nokre viktige generelle vurderingar ein må gjere når ein tenker på å kjøpe skytenester.

Ein viktig del av arbeidet med strategien har vore å gå igjennom det norske regelverket for å avdekke om det finst hindringar for bruk av skytenester, og å vurdere om dette er hindringar ein ønsker å gjere noko med. Det har òg vore viktig å sjå på område der regelverket er komplisert eller uklart, for å vurdere om ein kan gjere det meir tydeleg kva reglar som gjeld for bruk av skytenester.

Den juridiske vurderinga har resultert i nokre viktige tiltak:

  • Revisjon av arkivforskrifta, og eventuelt delar av arkivlova, for blant anna å tilpasse arkivregelverket betre til digitalisering. Ein vil blant anna vurdere behov for endring slik at offentlege organ kan ta i bruk skytenester med serverar utanfor Noreg for arkiv.
  • Vurdering av grunnlaget og handlingsrommet for å utvide tilgangen til å lagre bokføringsdata utanfor Noreg. På dette området er det òg viktige initiativ i gang i EU, og desse vil Noreg følge tett.
  • Arbeid med å få til harmonisert praksis for tilsyn, så langt som mogleg, slik at verksemdene ikkje opplever motstridande krav knytt til skytenester frå ulike tilsyn.
  • Bidrag til EU sitt arbeid med å få på plass sameinte kriterium (standardar, sertifiseringsordningar og liknande) for skytenester.

Dei juridiske utfordringane blir gjennomgåtte meir i detalj i kapittel 3.

Regjeringa har allereie gjennomført eit viktig tiltak retta mot bruk av skytenester: I digitaliseringsrundskrivet for 2016, som blir sendt ut til alle statlege verksemder, er prinsipp om bruk av skytenester tatt inn:

  • Skytenester skal vurderast på linje med andre løysingar når ein står overfor større endringar eller omleggingar av IKT-system eller -drift:
    • ved innkjøp av nye system eller større oppgraderingar
    • ved større utskiftingar av maskinvare
    • når eksisterande driftsavtalar går ut
  • Når skytenester gir den mest hensiktsmessige og kostnadseffektive løysinga, og det ikkje ligg føre spesielle hindringar for å ta i bruk slike tenester bør ein velje å bruke skytenester.
  • Den valde løysinga må tilfredsstille verksemda sine krav til informasjonstryggleik. Dette krev at verksemda kjenner verdien av eigne system og data, og gjer ei risikovurdering av den valde løysinga.

Prinsipp for bruk av skytenester er nærare beskrive i kapittel 4 – Vilkår for bruk av skytenester i offentleg sektor.

I kapittel 4 drøftar vi òg dei spesielle behova offentleg sektor har for kontroll, og kva kontrollmekanismar som finst for skytenester. I dette kapittelet legg vi òg fram dei tiltaka som skal gjere det enklare for offentlege verksemder å vurdere skytenester:

  • Etablering av eit rettleiings- og kompetansemiljø som kan støtte verksemdene når dei skal vurdere, og eventuelt kjøpe inn, skytenester.
  • Vurdering av ulike modellar for ein mogleg marknadsplass/innkjøpsordning for skytenester retta mot offentleg sektor.
  • Tilrettelegging for betre utnytting av eksisterande offentlege datasenterressursar for dei verksemdene som har behov for så sterk kontroll at dei vurderer å kjøpe særleg sikre datasentertenester eller etablere sitt eige datasenter i Noreg. I slike tilfelle skal verksemda vurdere om det er mogleg å utnytte ledig kapasitet hos – eller gå i samarbeid med – andre verksemder med tilsvarande behov.

Fotnotar

1.

NOU 2015:1 Produktivitet – grunnlag for vekst og velferd. Produktivitetskommisjonens første rapport