Sted: Møtet ble avholdt på Teams
Møtetid: Fredag 2. april 2025 kl. 12.30–16.00

I referatet:
Til stede
Saker
Rådets behandling

Til stede

Fra Rådet:

  • Birger Vikøren
  • Grete Brochmann
  • Wenche Dramstad
  • Jørgen Elmeskov
  • Oddrun Samdal
  • Astrid Undheim
  • Helge Veum

Fra administrasjonen:

  • Geir Axelsen, administrerende direktør
  • Bjørnar Gundersen, administrasjonsdirektør
  • Richard Ragnarsøn, internasjonalt sekretariat
  • Marit Hoel (sekretariatet, referent)
  • Åsne Vigran (sekretariatet)

Øvrige deltakere:

  • Morten Skoglund, Christian Thindberg, Ann-Kristin Brændvang, Per Morten Holt og Lasse Sandberg (sak 2025/3/2)
  • Aksel Brakestad, Christian Thindberg, Ann-Kristin Brændvang, Per Morten Holt og Lasse Sandberg (sak 2025/3/3)
  • Vidar Lund (sak 2025/3/4)
  • Arvid Lysø, Roger Jensen og Bente Hole (sak 2025/3/6)
  • Trine Engh Vattø og Snorre Skagseth (fagseminar)

Saker

Til vurdering

  • 2025/3/1 Godkjenning av innkalling og saksliste
  • 2025/3/2 Handlingsplan for økt informasjonssikkerhet
  • 2025/3/3 SSBs overordnede risikovurdering – første vurdering av viktige temaer
  • 2025/3/4 Oppfølging av tiltaksplanen fra ESS peer review

Til orientering

  • 2025/3/5 Endringer i forordningen om europeisk statistikk
  • 2025/3/6 Status for omlegging til Altinn 3

Direktørens hjørne

  • Innhenting av transaksjonsdata

Eventuelt

  • Fagseminar: Skatteberegningsmodellen LOTTE

Rådets behandling

Rådets leder ønsket velkommen til møtet.

Sak 2025/3/1 Godkjenning av innkalling og saksliste

Dokument:

Innkalling_møte i Rådet_20250402

Det var ingen merknader til utsendt innkalling med saksliste. Sakslista ble godkjent.

Saker til vurdering

Sak 2025/3/2 Handlingsplan for økt informasjonssikkerhet

Dokument:

Notat_Handlingsplan for økt informasjonssikkerhet
Vedlegg_Presentasjon_Handlingsplan for økt informasjonssikkerhet

Bjørnar Gundersen fra administrasjonsavdelingen og sikkerhetsansvarlig Morten Skoglund orienterte om arbeidet med handlingsplanen for etterlevelse av NSMs grunnprinsipper for IKT-sikkerhet. Den skal leveres til Finansdepartementet innen 1. juni 2025. Planen er konsentrert om de områdene som kartleggingen i 2024 identifiserte med lav grad av implementering. SSB innlemmer oppfølgingen etter NSMs gjennomtrengingstest i slutten av 2024 i handlingsplanen. Ei arbeidsgruppe har vurdert hvilke tiltak som gir størst sikkerhetsmessig effekt. Planen vil ha kortsiktige og langsiktige tiltak med et gjennomføringsperspektiv på to til tre år. Tiltakene er både tekniske og organisatoriske. SSB arbeider fram til leveranse med å konkretisere løsningsforslag for alle tiltakene med tilhørende estimering og prioritering. For hvert tiltak vil det bli satt opp en ansvarlig person for gjennomføringen og tidsfrister.

Handlingsplanen omfatter fem hovedområder – prioritet 1-tiltak, styring og risiko, forebygging og sikring, oppdagelse og overvåking, samt håndtering og læring – med underpunkter og tiltak. Planen henger sammen med SSBs Veikart for utvikling. Flere av tiltakene har en kostnad i form av ressurser og budsjett, så SSB må prioritere hva som gir størst gevinst og kan gjennomføres innenfor rammene man har.

Administrerende direktør ba om rådets vurdering av innretning og tiltaksområder i handlingsplanen for etterlevelse av NSMs grunnprinsipper.

Rådet hadde følgende synspunkter:

  • I tildelingsbrevet står det at handlingsplanen skal forelegges rådet. Hele planen bør legges fram i møtet 8. mai.
  • Planen bør vise en rød tråd fra dagens risiko opp mot prioriterte tiltak og ambisjon for risikonivået etter at tiltakene er gjennomført, innen hvilke tidsfrister.
  • Det er svært viktig at SSB etterlever NSMs grunnprinsipper, og det er nyttig med en gap-analyse som viser tilstanden.
  • SSB bør synliggjøre hvor langt man kommer innenfor gjeldende rammer, og hvor mye som trengs for å følge grunnprinsippene fullt ut. SSB kan vise flere scenarier med ulik tidshorisont, på tilsvarende måte som det er gjort for omleggingen til Dapla.
  • Deteksjon og responsevne er viktige områder.
  • SSB peker på behovet for risikoreduserende tiltak. Det ble spurt om tilsvarende vurdering av tiltak som reduserer konsekvenser av uønskede hendelser.
  • Tiltakene bør være konkrete og nært knyttet til SSBs virksomhet.
  • Gjennomgangen ga et godt bilde på hvordan SSB arbeider operativt med sikkerhetssystemet.

SSB understreket at handlingsplanen vil bli detaljert, med 19 hovedpunkter som utdypes i underliggende konkrete tiltak. Det vil være nyttig å tydeliggjøre en rød tråd og gi en god beskrivelse av hovedtrekkene. Planen er å gjennomføre de tiltakene som haster mest i 2025. Ambisjonen er at sikkerhetsnivået i 2028 skal være i samsvar med NSMs grunnprinsipper. Det må tas noen forbehold om ressurser og nærmere kartlegging av hva som er mulig å få til. SSB arbeider for å redusere konsekvenser av uønskede hendelser gjennom beredskapsplaner og ulike tiltak.

SSB vil vurdere tidshorisonten for gjennomføring gitt ulike budsjettrammer. Det er ikke mulig å oppnå null risiko, og SSB må vurdere restrisiko. Handlingsplanen vil bli lagt fram for rådet på møtet 8. mai.

Oppsummering: Rådet understreket viktigheten av at SSB oppfyller NSMs grunnprinsipper for IKT-sikkerhet. Rådet anbefalte SSB å synliggjøre hvor langt man kommer innenfor gjeldende rammer, og hvor mye som trengs for å følge grunnprinsippene fullt ut, med hvilket tidsperspektiv.

Sak 2025/3/3 SSBs overordnede risikovurdering – første vurdering av viktige temaer

Dokument:

Notat_Overordnet risikovurdering – første vurdering
Vedlegg_Rapport for overordnet risikovurdering 2024

Administrerende direktør sa at saken ikke har vært diskutert i direktørmøtet ennå, og at SSB ønsket å få rådets synspunkter på et tidlig tidspunkt. Bjørnar Gundersen og Aksel Brakestad fra administrasjonsavdelingen orienterte om at alle avdelingene gjør risikovurderinger, at arbeids- og samarbeidsutvalget gir innspill, og at man ser på hva som fortsatt er relevant fra fjorårets risikovurderinger. SSB ønsket at alle tenker åpent og fritt om hvilke risikoer som er vesentlige for SSB.

Administrerende direktør ba om rådets vurdering av hvilke temaer eller forhold som bør behandles i den overordnede risikovurderingen for 2025, herunder vurdering av risikoene som ble identifisert i fjor og eventuelle nye temaer eller forhold.

Rådet hadde følgende synspunkter:

  • Risikovurderingene må gjenspeile at SSB er mye mer utsatt enn tidligere.
  • Risikoen ved omleggingen til Dapla hører fortsatt med i vurderingen.
  • Risikoen for at data kommer på avveie og omstillingsevnen for å forhindre dette bør tillegges mer vekt.
  • Det er relevant å ha med innsiderisiko. Det er også risiko for kombinasjon av ekstern og intern påvirkning. SSB har svært markedssensitiv informasjon og må sikre at statistikken gjøres tilgjengelig for alle samtidig.
  • Det ble spurt om SSB har vurdert effekten av digitalisering, og om det er risiko ved SSBs teknologiske og organisatoriske omstillingsevne. Det ble stilt spørsmål om SSB har gjort nye vurderinger av risikoen ved plattformvalg, gitt den geopolitiske utviklingen. Det er behov for en exit-strategi. Det er bra at risikoen for å miste kritisk kompetanse vurderes og løftes opp.
  • Det ble anbefalt at tillit og kunstig intelligens vurderes som risikoområder.
  • SSB bør vurdere om det er vesentlige risikoer ved produksjon av statistikk og ved forskningsvirksomheten.
  • Vurderingene bør beskrive gjenværende risiko etter at tiltakene for å redusere risikoen på identifiserte områder er gjennomført. Det er viktig å vurdere om de planlagte tiltakene er tilstrekkelige. Det ble spurt om SSB bør ha mer disaggregerte og konkrete tiltak.
  • SSB har en oversiktlig framstilling av risikovurderingene, og det er positivt at man bygger på avdelingsvise vurderinger.

SSB takket for rådets innspill. Risikokartet er et verktøy for å nå SSBs mål, og det er viktig å løfte de risikoene som er strategisk sentrale. Man vil vurdere nytten av å utforme mer konkrete tiltak og beskrive risiko når de er gjennomført. SSB skal utarbeide en handlingsplan for mikrodatatjenester som også vil dekke risikovurderinger på dette området.

Oppsummering: Rådet mente at SSB bør vurdere risikoen på noen spesifikke områder. Rådet pekte på at vurderingene bør beskrive gjenværende risiko etter at tiltakene for å redusere risikoen på identifiserte områder er gjennomført.

Sak 2025/3/4 Oppfølging av tiltaksplanen fra ESS peer review

Dokument:

Notat_Oppfølging av tiltaksplanen fra ESS peer review
Vedlegg_Peer review status tiltak SSB

Richard Ragnarsøn og Vidar Lund fra internasjonalt sekretariat orienterte om status for forbedringstiltakene etter forrige runde med ekstern fagfellevurdering i det europeiske statistikksystemet (ESS peer review). Status ved utgangen av 2024 er rapportert til Eurostat. Det skal rapporteres årlig til Eurostat om status for gjennomføringen til og med utgangen av 2027.

Fagfellevurderingen identifiserte ingen brudd på retningslinjene for europeisk statistikk, men ga noen anbefalinger om forbedringer. Gjennomføringen av tiltakene i SSB går i all hovedsak som planlagt. To tredjedeler av de avtalte tiltakene er allerede gjennomført. Fire av tiltakene er forsinket i forhold til den opprinnelige tidsplanen.

Administrerende direktør ba om rådets vurdering av om SSBs gjennomføring av tiltakene er tilfredsstillende så langt, eller om det bør gjøres endringer i oppfølgingen av enkelte tiltak før neste rapportering til Eurostat ved utgangen av 2025.

Rådet hadde følgende synspunkter:

  • Det er positivt at gjennomføringen av tiltak i all hovedsak går som planlagt.
  • Det ble spurt om det er mulig å nedprioritere noe for å kunne prioritere framdrift på områder som er forsinket.
  • Det ble spurt om eventuelle konsekvenser av forsinkelse på å definere karriereveier og kompetansesatsing i organisasjonen, for eksempel for å beholde kompetanse. Det ble også stilt spørsmål om tilgang til kurs og kompetanse for andre produsenter av offisiell statistikk.
  • Det ble påpekt at tiltaket om å etablere et veikart for mikrodatatjenestene ser ut til å overlappe med Finansdepartementets bestilling av en handlingsplan på det samme området.

SSB svarte at tiltakene etter ESS peer review er lagt fram for og samordnet med Finansdepartementet. Det er godt samsvar mellom de to aktivitetene som gjelder mikrodatatjenestene. Tiltaket for karriereveier og kompetansesatsing er forsinket fordi arbeidet er bredt anlagt. Det er gjort mye, og man kommer i mål i løpet av 2025. De andre produsentene av offisiell statistikk har tilgang til de fleste kursene som SSB holder, og SSB organiserer nettverk for erfaringsutveksling om metode og formidling av statistikk. Produsentene gir uttrykk for at disse tilbudene er svært nyttige.

Oppsummering: Rådets medlemmer var positive til at mange av tiltakene etter ESS peer review er gjennomført, og anerkjente begrunnelsen for at enkelte tiltak er forsinket.

Saker til orientering

Sak 2025/3/5 Endringer i forordningen om europeisk statistikk

Dokument:

Notat_Endringer i forordningen om europeisk statistikk

Richard Ragnarsøn fra internasjonalt sekretariat og Thorleiv Valen fra juridisk stab orienterte om endringer i forordningen om europeisk statistikk som EU vedtok i 2024. Endringene trådte i kraft i EU før årsskiftet og er nå til vurdering for innlemmelse i EØS-avtalen.

Konsekvensen av endringene er i hovedsak at EUs statistikkmyndighet, Eurostat, og nasjonale statistikkmyndigheter får styrket sine fullmakter til å utvikle, dele og formidle europeisk statistikk, og til å be om tilgang til data fra administrative og private kilder for dette formålet. SSBs vurdering er at de endringene som berører nasjonale statistikkmyndigheter allerede er ivaretatt i den norske statistikkloven fra 2019. Endringene vil derfor ikke ha vesentlige konsekvenser for SSB og andre norske statistikkmyndigheter eller medføre behov for endringer i norsk regelverk.

Sak 2025/3/6 Status for omleggingen til Altinn 3

Dokument:

Notat_Status for omleggingen til Altinn 3
Vedlegg_Altinn 3 Status SSB mars 2025

Arvid Lysø og Roger Jensen fra avdeling for metodeutvikling og datainnsamling orienterte om status for omleggingen til Altinn 3. Den nye plattformen for Altinn skal ivareta krav til sikkerhet, regulatoriske rammebetingelser, etterlevelse av personvern og tjenesteeiernes funksjonelle behov. Det er etablert et tverretatlig program, Nye Altinn, som ledes av Digitaliseringsdirektoratet (Digdir) og gjennomføres i samarbeid med berørte tjenesteeiere i Altinn. Digdir, Brønnøysundregistrene, Skatteetaten og SSB er sentrale i programmet. Programmet har en absolutt frist i 2026, og man regner med å komme i mål i tide. Det er opprettet et eget team i SSB som utvikler fellestjenester som er nødvendige for å kunne ta i bruk Altinn 3 og skybasert datainnsamling.

Direktørens hjørne

Innhenting av transaksjonsdata

SSB har god dialog med Datatilsynet om løsninger for å kunne innhente kvitteringsdata fra dagligvarekjedene og transaksjonsdata fra Nets. SSB vil utarbeide en egen forskrift, som vil bli sendt på offentlig høring før den vedtas. SSB vil ha flere tiltak for dataminimering, som å samle inn et utvalg, forsinke innsendingen og ha faste rutiner for sletting, for å minimere personvernkonsekvensene. Det vil bli gitt nærmere informasjon om denne saken på neste møte.

Eventuelt

Ingen saker.

 

Oslo, 2. april 2025

Birger Vikøren
leder (sign.)

Jørgen Elmeskov
nestleder (sign.)

Grete Brochmann
(sign.) 

Wenche Dramstad
(sign.)

Astrid Undheim
(sign.)

Oddrun Samdal
(sign.)

Helge Veum
(sign.)