Monrad
Lyngby-Taarbæk

Politik for informationssikkerhed og risikostyring 2026/27 (Beslutning)

85.15.02-P22-1-25 -

Prompt resultater

Relevans v1

Relevans

Nej

Bilag

First-agenda Sagsfremstilling

Resume

For at sikre overholdelse af Databeskyttelsesforordningen (GDPR), den danske Databeskyttelseslov, den nationale standard for identitetssikring (NSIS) samt NIS2-direktivet, har Lyngby-Taarbæk Kommune udarbejdet en ny politik for informationssikkerhed og risikostyring. Politikken fastlægger de overordnede rammer og principper for kommunens arbejde med informationssikkerhed og risikostyring. Der er tale om en ny politik, som dels erstatter den tidligere Informationssikkerhedspolitik og dels imødekommer kravene i NIS2-direktivet (Network and Information Systems directive 2), der nu er implementeret i danske ret ved NIS2-loven. Politikken er udformet på et overordnet niveau og indeholder ikke fortrolige oplysninger, hvorfor den kan udleveres til tredjemand.

Indstilling

Forvaltningen foreslår, at Politik for informationssikkerhed og risikostyring 2026/27 godkendes.

Problemstilling

Kommunen er som offentlig myndighed forpligtet til at arbejde systematisk og dokumenteret med informationssikkerhed og risikostyring.

Den nye politik:

  • Indarbejder kravene i NIS2-direktivet.
  • Understøtter kravene i databeskyttelsesforordningen og databeskyttelsesloven.
  • Beskriver de overordnede principper for kommunens arbejde med informationssikkerhed.
  • Danner grundlag for underliggende retningslinjer, procedurer og kontroller.

Der gennemføres løbende instruktion, undervisning og kommunikation internt i Lyngby-Taarbæk Kommune om arbejdsgange, sikkerhedsrutiner og balancen mellem et nødvendigt sikkerhedsniveau og hensynet til brugervenlighed. Dette sker med henblik på at sikre:

  • Overholdelse af gældende lovgivning.
  • Efterlevelse af it-revisionens anbefalinger.
  • Fastholdelse af god forvaltningsskik og almindelig praksis.
  • Kontinuerlig drift og understøttelse af kommunens kerneopgaver.

Arbejdet er forankret i området Teknologi og Sikkerhed i Center for Politik og Organisation.

Løsninger

Vedlagt som bilag findes udkast til politikken. Da der ikke alene er tale om en revision af den tidligere Informationssikkerhedspolitik, er ændringer ift. den tidligere politik ikke markeret.

Politikken fastlægger de overordnede rammer, mens den konkrete efterlevelse sker gennem underliggende styringsdokumenter, herunder procedurer, kontroller og beredskabsplaner.

Strategisk ramme

Arbejdet med informationssikkerhed og databeskyttelse sker inden for følgende retlige rammer:

  • Databeskyttelsesforordningen.
  • Databeskyttelsesloven.
  • NIS2-direktivet og den nationale implementering heraf.
  • eIDAS-forordningen, som danner grundlag for identitetssikring i EU.
  • EU AI Act (forordningen om kunstig intelligens), i det omfang kommunen anvender eller anskaffer AI-løsninger.
  • EU Data Act for at sikre, at kommunen har styring over egne data i relation til leverandører.

NSIS-rammeværket ligger i forlængelse af eIDAS-forordningen og fastlægger krav til identitetssikringsniveauer ved brug af digitale løsninger.

Politikken understøtter kommunens samlede governance på informationssikkerhedsområdet og bidrager til en risikobaseret og dokumenterbar tilgang.

NIS2-loven (lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau) fastsætter i § 6 krav om, at omfattede enheder etablerer passende organisatoriske foranstaltninger til styring af cybersikkerhedsrisici.

Det fremgår bl.a. af § 6, stk. 1, nr. 1, at foranstaltningerne som minimum skal omfatte politikker for risikoanalyse og informationssikkerhed.

På den baggrund er Lyngby-Taarbæk Kommunes politik for risikostyring og informationssikkerhed udarbejdet som et samlet styringsdokument, der fastlægger de overordnede principper og rammer for kommunens arbejde med cybersikkerhed og risikostyring.

Videre proces

Såfremt politikken godkendes, publiceres den på kommunens intranet.

Der udsendes en intern nyhed med orientering om den nye politik og opfordring til gennemlæsning. Medarbejdere skal via kommunens kursusplatform logge ind og kvittere for, at politikken er læst. Gennemlæsning er obligatorisk

Ligeledes følges den obligatoriske gennemlæsning af politikken op med yderligere kommunikative tiltag, tilbud om webinarer og dialogrunder til centrene, så spørgsmål, kommentarer og eventuelle ændringer i arbejdsgange mv. kan afklares med Teknologi og Sikkerhed.

Økonomi

Sagen har ingen direkte bevillingsmæssige konsekvenser.

Arbejdet med informationssikkerhed udføres indenfor de økonomiske rammer af det af staten tildelte og det af Økonomiudvalget og direktionen besluttede niveau for håndtering af opgaverne.

Beslutningskompetence

Økonomiudvalget beslutter. 

Er du enig eller uenig?

22 items
  • Lydfiler null
  • Ressourcer null
  • Felter 1 items
    1. 6 items
      • Navn ""
      • Html "<div><div id='sagsfremstillingContainer'> <h3>Resume</h3> <span class='resume'><p>For at sikre overholdelse af Databeskyttelsesforordningen (GDPR), den danske Databeskyttelseslov, den nationale standard for identitetssikring (NSIS) samt NIS2-direktivet, har Lyngby-Taarbæk Kommune udarbejdet en<span> <span>ny politik</span></span> for informationssikkerhed og risikostyring. Politikken fastlægger de overordnede rammer og principper for kommunens arbejde med informationssikkerhed og risikostyring. Der er tale om en ny politik, som dels erstatter den tidligere Informationssikkerhedspolitik og dels imødekommer kravene i NIS2-direktivet (Network and Information Systems directive 2), der nu er implementeret i danske ret ved NIS2-loven. Politikken er udformet på et overordnet niveau og indeholder ikke fortrolige oplysninger, hvorfor den kan udleveres til tredjemand.</p></span> <h3>Indstilling</h3> <span class='indstilling'><p>Forvaltningen foreslår, at Politik for informationssikkerhed og risikostyring 2026/27 godkendes.</p></span> <h3>Problemstilling</h3> <span class='ukendt'><p>Kommunen er som offentlig myndighed forpligtet til at arbejde systematisk og dokumenteret med informationssikkerhed og risikostyring.</p><p>Den nye politik:</p><ul><li>Indarbejder kravene i NIS2-direktivet.</li><li>Understøtter kravene i databeskyttelsesforordningen og databeskyttelsesloven.</li><li>Beskriver de overordnede principper for kommunens arbejde med informationssikkerhed.</li><li>Danner grundlag for underliggende retningslinjer, procedurer og kontroller.</li></ul><p>Der gennemføres løbende instruktion, undervisning og kommunikation internt i Lyngby-Taarbæk Kommune om arbejdsgange, sikkerhedsrutiner og balancen mellem et nødvendigt sikkerhedsniveau og hensynet til brugervenlighed. Dette sker med henblik på at sikre:</p><ul><li>Overholdelse af gældende lovgivning.</li><li>Efterlevelse af it-revisionens anbefalinger.</li><li>Fastholdelse af god forvaltningsskik og almindelig praksis.</li><li>Kontinuerlig drift og understøttelse af kommunens kerneopgaver.</li></ul><p>Arbejdet er forankret i området Teknologi og Sikkerhed i Center for Politik og Organisation.</p></span> <h3>Løsninger</h3> <span class='ukendt'><p>Vedlagt som bilag findes udkast til politikken. Da der ikke alene er tale om en revision af den tidligere Informationssikkerhedspolitik, er ændringer ift. den tidligere politik ikke markeret.</p><p>Politikken fastlægger de overordnede rammer, mens den konkrete efterlevelse sker gennem underliggende styringsdokumenter, herunder procedurer, kontroller og beredskabsplaner.</p></span> <h3>Strategisk ramme</h3> <span class='ukendt'><p>Arbejdet med informationssikkerhed og databeskyttelse sker inden for følgende retlige rammer:</p><ul><li>Databeskyttelsesforordningen.</li><li>Databeskyttelsesloven.</li><li>NIS2-direktivet og den nationale implementering heraf.</li><li>eIDAS-forordningen, som danner grundlag for identitetssikring i EU.</li><li>EU AI Act (forordningen om kunstig intelligens), i det omfang kommunen anvender eller anskaffer AI-løsninger.</li><li>EU Data Act for at sikre, at kommunen har styring over egne data i relation til leverandører.</li></ul><p>NSIS-rammeværket ligger i forlængelse af eIDAS-forordningen og fastlægger krav til identitetssikringsniveauer ved brug af digitale løsninger.</p><p>Politikken understøtter kommunens samlede governance på informationssikkerhedsområdet og bidrager til en risikobaseret og dokumenterbar tilgang.</p><p data-end="650" data-start="430">NIS2-loven (lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau) fastsætter i § 6 krav om, at omfattede enheder etablerer passende organisatoriske foranstaltninger til styring af cybersikkerhedsrisici.</p><p data-end="811" data-start="657">Det fremgår bl.a. af § 6, stk. 1, nr. 1, at foranstaltningerne som minimum skal omfatte <strong>politikker for risikoanalyse og informationssikkerhed</strong>.</p><p data-end="1064" data-start="818">På den baggrund er Lyngby-Taarbæk Kommunes politik for risikostyring og informationssikkerhed udarbejdet som et samlet styringsdokument, der fastlægger de overordnede principper og rammer for kommunens arbejde med cybersikkerhed og risikostyring.</p></span> <h3>Videre proces</h3> <span class='ukendt'><p>Såfremt politikken godkendes, publiceres den på kommunens intranet.</p><p>Der udsendes en intern nyhed med orientering om den nye politik og opfordring til gennemlæsning. Medarbejdere skal via kommunens kursusplatform logge ind og kvittere for, at politikken er læst. Gennemlæsning er obligatorisk</p><p>Ligeledes følges den obligatoriske gennemlæsning af politikken op med yderligere kommunikative tiltag, tilbud om webinarer og dialogrunder til centrene, så spørgsmål, kommentarer og eventuelle ændringer i arbejdsgange mv. kan afklares med Teknologi og Sikkerhed.</p></span> <h3>Økonomi</h3> <span class='oekonomi'><p>Sagen har ingen direkte bevillingsmæssige konsekvenser.</p><p>Arbejdet med informationssikkerhed udføres indenfor de økonomiske rammer af det af staten tildelte og det af Økonomiudvalget og direktionen besluttede niveau for håndtering af opgaverne.</p></span> <h3>Beslutningskompetence</h3> <span><p>Økonomiudvalget beslutter. </p></span> </div></div>"
      • Tekst null
      • Id "00000000-0000-0000-0000-000000000000"
      • Link "https://dagsordener.ltk.dk/Vis/Pdf/bilag/f695ade6-bb51-44fa-bf29-f4736b49a568"
      • DocumentId "f695ade6-bb51-44fa-bf29-f4736b49a568"
  • Presentations null
  • ItemDecision null
  • SagsNummer "85.15.02-P22-1-25"
  • Navn "Politik for informationssikkerhed og risikostyring 2026/27 (Beslutning)"
  • Punktnummer "9"
  • Bilag 1 items
    1. 4 items
      • HarPdfVersion "true"
      • Order 0
      • Navn "Politik for informationssikkerhed og risikostyring 2026/27"
      • Id "fde52a7b-5da2-4bc9-a64e-4e11ef28a9b8"
  • Documents null
  • Id "0b6e9170-c502-4a7d-9506-79e2db80e2e1"
  • IntegrationUid "00000000-0000-0000-0000-000000000000"
  • CorporationUid "00000000-0000-0000-0000-000000000000"
  • AgendaUid "36a3eaad-6266-4296-b1e0-2df50afaf0cf"
  • Number "9"
  • Sorting 9
  • IsOpen true
  • CaseNumber "85.15.02-P22-1-25"
  • SourceId "af78a5e4-aa83-44c3-b22b-7f9628d3e1ae"
  • Caption "Politik for informationssikkerhed og risikostyring 2026/27 (Beslutning)"
  • CasePresentationUid null
  • ExternalAgendaItemAttendees 0 items