Program Normkonferansen 2026: Fra ord til handling – sammen for å styrke digital sikkerhet

Kurset gir en innføring i Normens oppbygging, sentrale krav og praktiske bruk. Deltakerne får oversikt over faktaark, veiledere, risikostyring, internkontroll og hvordan Normen inngår i anskaffelser.

10.30 Sesjon 1

Intro om kurset og om Normen - kravene i Normen

Introduksjon til Normen, faktaark, veiledere og Normens opplæringstilbud.

Ledelse og ansvar

Oversikt over ansvar, roller og ledelsesforankring i Normen.

11.30 – Pause

12.00 Sesjon 2

Internkontroll

Hvordan bygge og følge opp internkontroll etter Normens krav.

Risikostyring

Metoder for risikovurdering og risikostyring i praksis.

13.00 – Lunsj 

14.00 – Sesjon 3

Utvalgt personvern

Hvordan ivaretas personvernforordningen i Normen.

Gruppeoppgave

Praktisk arbeid med case fra helsesektoren.

15.00 Pause

15.15 – Sesjon 4

Beredskap og hendelseshåndtering

Gjennomgang av krav og prosesser knyttet til hendelseshåndtering.

16.15 Avslutning

Gi deltakerne praktisk kompetanse i å kravstille, anskaffe og forvalte sikre skytjenester i henhold til anskaffelsesforskriften. 

10.30 – Sesjon 1

Kick-off: Trusselbildet  

• Case-presentasjon: Gjennomgang av et relevant scenario (f.eks. løsepengevirus i en kommune via en underleverandør). 

• Nasjonalt trusselbilde (EOS-tjenestene) 

• Internasjonalt perspektiv 

Skyens delte ansvarsmodell (Shared Responsibility Model) 

• IaaS (Infrastructure): Kunden må selv patche OS, konfigurere brannmurer og sikre applikasjoner. Leverandøren sikrer "bærende konstruksjoner" (datasenter/hardware). 

• PaaS (Platform): Leverandøren tar over OS og runtime. Kunden fokuserer på applikasjonskoden og dataene. 

• SaaS (Software): Leverandøren drifter alt det tekniske. Kundens ansvar koker ned til to kritiske ting: Data og Identitet (tilgangsstyring).

11.30 – Pause

12.00 – Sesjon 2

Kontrakter – Hva er viktig? 

• Standardavtaler: SSA-L (Statens standardavtale for løpende tjenester) 
• Databehandleravtaler (DPA): Krav til innhold etter GDPR/Normen. 
• SLA (Service Level Agreement 
• Exit-strategi: Hvordan unngå "vendor lock-in"?

Sikkerhet i skyløsninger & rammeverk 

• Markedsplassen for skytjenester (Cloud Reference Architecture) 
• NIST Cybersecurity Framework (CSF): Identify, Protect, Detect, Respond, Recover. 
• NIST Cybersecurity Framework (CSF) 
• Sektorspesifikke krav (Normen) 
• Sertifiseringer som tillitsmekanisme 
• Schrems II og tredjeland 
• Cybersikkerhet (tilleggskrav) 

13.00 – Lunsj 

14.00 – Sesjon 3

Behovsbeskrivelse og kravspesifikasjon 

• "Secure by Design" - Sjekkliste for absolutte krav (Må-krav) 
• MFA (Multifaktorautentisering), SSO (Single Sign-On), logging, etc 
• Funksjonelle vs. Ikke-funksjonelle sikkerhetskrav 
• Eksempel på funksjonelt sikkerhetskrav 
• Eksempel på ikke-funksjonelt krav 
• Gruppearbeid: Lag kravspesifikasjon 
• Go/No-Go Sjekkliste før utlysning 
• Valg av anskaffelsesprosedyre 
• Konkurranse med forhandling 
• Dynamisk innkjøpsordning (DPS 
• Markedsdialog. 

15.00 – Pause

15.15 – Sesjon 4

Forhandlinger 

• Hva kan faktisk forhandles? prismodeller, revisjonsrett, plan for forhandlingene, evaluering 
• Implementering og forvaltning 
• Onboarding: løpende risikostyring, leverandøroppfølging 
• Oppsummering: De 5 viktigste suksesskriteriene 
• Ressurser: Hvor finner man hjelp? 

16.15 – Avslutning

På dette kurset får du en oppdatering om sentrale juridiske spørsmål og utvikling innen personvern og behandling av helseopplysninger. Kurset gir innsikt i kommende endringer i lovgivningen og aktuelle juridiske saker. Kurset er for jurister som jobber med personvernproblemstillinger i en helsekontekst, men kan også være relevant for andre roller som jobber med dette.

10.30 – Velkommen 

Anne Louise Valle, divisjonsdirektør juridisk divisjon i Helsedirektoratet

10.40 – Sesjon 1

Rundskriv til helseforskningsloven 

Ingunn Myklebust og Hilde Hartvedt, seniorrådgiver og rådgiver i avdeling for helserett i Helsedirektoratet 

Helsedirektoratet har utarbeidet et rundskriv for å veilede om helseforskningsloven og endringene som er vedtatt. Ingunn Myklebust og Hilde Hartvedt fra Helsedirektoratet avdeling for helserett vil presentere rundskrivet.

11.30 – Pause

12.00 – Sesjon 2

Endring av taushetspliktbestemmelsene i helsepersonelloven og pasientjournalloven 

Sverre Engelschiøn, fagdirektør i helserettsavdelingen i Helse- og omsorgsdepartementet 

Endringer i helselovgivningens bestemmelser trer snart i kraft. Formålet med endringene er at regelverket blir bedre egnet til å gjøre helseopplysninger tilgjengelige for behandling av pasientene og mer digitaliseringsvennlig. Dette vil bidra til bedre pasientsikkerhet. Endringene skal også gjøre regelverket lettere å forstå og bruke. Sverre har deltatt i dette arbeidet.

13.00 – Lunsj 

14.00 – Sesjon 3

Helsedataforordningen (EHDS)

Elisabeth Vigerust, spesialrådgiver i helserettsavdelingen i Helse- og omsorgsdepartementet og Randi Lilletvedt, seniorrådgiver i avdeling for regelverk og digitalisering i Helsedirektoratet

15.00 – Pause

15.15 – Sesjon 4

Anonymisering og pseudonymisering, forholdet mellom pliktene i personvernforordningen og KI‑forordningen, og EUs Digital Omnibus

Susanne Lie, juridisk fagdirektør i seksjonen for offentlige tjenester i Datatilsynet

Et foredrag om EU‑domstolens ferske avgjørelse i sak C‑413/23 P (SRB‑dommen), samt forholdet mellom pliktene i personvernforordningen og KI‑forordningen, og om EUs Digital Omnibus

16.15 – Avslutning

På dette kurset får du en innføring i digitalsikkerhetsloven og høre om praktiske erfaringer fra sektoren. Kurset viser hvordan virksomheter kan etterleve kravene, gjennomføre GAP-analyser og lære av andre.

10.30 – Sesjon 1

Et myndighetsperspektiv på digitalsikkerhetsloven

Øivind Mandt, Nasjonal sikkerhetsmyndighet

NSM gir et innblikk i sin rolle i digitalsikkerhetsloven, hvilke saker som er meldt inn siden loven trådte i kraft høsten 2025, og status for NIS2-implementeringen i Norge.

11.30 – Pause

12.00 – Sesjon 2

Felles styring av informasjonssikkerhet og personvern i et totalberedskapsperspektiv

Eirik Guldbrandsen, Datatilsynet

Totalforsvarsåret 2026 skal styrke Norges evne til å forebygge og håndtere sikkerhetspolitiske kriser og krig. Hva betyr det for virksomheter i førstelinjen for sikkerhet og personvern? Med over 3000 saker årlig deler Datatilsynet erfaringer og løfter frem konkrete læringspunkter – om hvordan cybersikkerhet og personvern kan spille sammen, og hvordan digitalsikkerhetsloven og personopplysningsloven kan brukes i samspill.

13.00 – Lunsj 

14.00 – Sesjon 3

Digitalsikkerhetsloven i praksis: Oslo kommunes strategi, prioritering og første steg

Susanne Ekeberg Bjørtomt og Eirik Saltkjel, Oslo kommune.

Digitalsikkerhetsloven setter en ny standard for digital sikkerhet. I denne presentasjonen ser vi på hvordan Oslo kommune prioriterer, organiserer og operasjonaliserer kravene, og hvilke erfaringer som allerede peker ut veien videre. Hva nå med NIS-2?

15.00 – Pause

15.15 – Sesjon 4

Unngå NIS2-overraskelser

John Hornslien og Maren Voll, KPMG

Lær hvordan gap-analyser kan gi deg kontroll på kravene, identifisere svakheter og prioritere riktig før direktivet trer i kraft.

16.15 – Avslutning

10.30 – Sesjon 1

Velkommen

Konferansier Geir-Erlend Johansen, Sekretariatet for Normen, Helsedirektoratet

Åpning av Normkonferansen 2026 

Cathrine Marie Lofthus, helsedirektør Helsedirektoratet

Nytt fra Normen

Konferansier Geir-Erlend Johansen, Sekretariatet for Normen, Helsedirektoratet

Nytt fra Helse og omsorgsdepartementet Hanne Pedersen Sjursen, rådgiver digitaliseringsavdelingen, og Sverre Engelschiøn, fagdirektør helserettsavdelingen Helse- og omsorgsdepartementet

11.30 – Pause

12.00 –Sesjon 2

Nytt fra Datatilsynet

Nytt fra Datatilsynet Susanne Lie, juridisk fagdirektør i Datatilsynet

Siste nytt fra tilsyn og utviklingen innenfor personvern.

Nytt fra Direktoratet for medisinske produkter

Ingvild Gudim - Direktoratet for medisinske produkter (DMP)

Medisinsk utstyr er underlagt strenge reguleringer og krav til CE-merking, men hva betyr det egentlig?

Nytt fra Helsedirektoratet - om krav, forventninger og igangsatte nasjonale tiltak på beredskapsområdet.

Arthur Gjengstø spesialrådgiver i avdeling for beredskap, Helsedirektoratet

Nytt om EHDS i Norge: Digital transformasjon med sikkerhet, personvern og beredskap som premiss

Susanne Helland Flatøy seniorrådgiver sektorrettet digital sikkerhet, Helsedirektoratet

Et sentralt element i forordningen om det europeiske helsedataområdet (EHDS) er samhandling på tvers av omsorgsnivå og landegrenser. Digital sikkerhet, personvern og beredskap er grunnleggende premisser for å sike at kjeden av systemer som samlet inngår i denne datautveksling gjøres tilstrekkelig sikker, personvernrobust og tillitvekkende.

13.00 – Lunsj 

14.00 –Sesjon 3

Paneldebatt: KI og helse - store muligheter, men også et stort ansvar

Leder av debatten er Hans Løwe Larsen, spesialrådgiver, Helsedirektoratet

Kunstig intelligens er i ferd med å endre både helse og forvaltning – men hvordan sikrer vi at utviklingen faktisk gir verdi og skjer på en trygg måte? Ledende fagstemmer med ulike perspektiver belyser hva som står på spill når KI tas i bruk i tjenester som berører oss alle. Forvent en engasjerende samtale om fremtidens klinikker, kvaliteten i KI-modeller, rollen til profesjoner og fag, og hvordan myndighetene kan legge til rette for innovasjon med tydelige og trygge rammer.
Deltakere i panelet: Helga Maria Brøgger, Principal Researcher i DNV ; Harald M. Dobloug, leder for klinisk KI i DIPS; Michael Riegler, Head of AI i Simula; Hilde Margrethe Lovett spesialrådgiver i avdeling for innovasjon, Helsedirektoratet

15.00 – Pause

15.15 – Sesjon 4

Jubileumsforedrag – Normen 20 år

Jan Gunnar Broch, informasjonssikkerhetsleder Statistisk sentralbyrå

Jubileumsforedraget fremhever milepælene, utviklingen og betydningen Normen har hatt – økt modenhet og tydeligere styring, tryggere digitale løsninger og bedre beskyttelse av pasientenes helseopplysninger.

Skråblikk fra et ferskt helse-PVO

Rie Aleksandra Walle, personvernombud Norsk Helsenett

Hva oppdager du når du kommer inn i helse- og omsorgssektoren med helt ferske øyne – men med tung personvernerfaring i bagasjen? Rie deler sine første overraskelser.

Kvalitet og sikkerhet i helsetjenesten – et mantra uten mening?

Målfrid Frahm-Jensen, WSO – Landsforeningen We Shall Overcome

Hvem har tilgang til de fortrolige helseopplysningene som deles i møte med helsepersonell, og ivaretas taushetsplikten i praksis? Innlegget belyser hvordan journalbruk, informasjonsdeling og krav til kvalitet og sikkerhet påvirker pasientsikkerhet og tillit

16.15 – Avslutning

Generativ kunstig intelligens og maskinlæring brukes til å løse stadig flere oppgaver i pasientbehandling, planlegging og administrasjon av helsehjelp. Vi ser forbi KI-hype og setter søkelys på hygiene: kvalitet, trygg bruk, regulering og risikovurdering av KI-programvare i helse- og omsorgssektoren.

09.00 – Sesjon 1

Generativ KI i helse- og omsorgstjenesten: muligheter, risiko og krav til forsvarlig bruk 

Sunniva Maria Stordal Bjørklund, seniorrådgiver i avdeling for innovasjon, Helsedirektoratet. 

Generativ KI gir store muligheter i helse- og omsorgstjenesten, både i form av verktøy for helsepersonell og tjenester for pasienter og innbyggere. Samtidig introduserer teknologien risikoer og nye utfordringer.
Innlegget gir en overordnet innføring i generativ KI i helsetjenesten, og belyser risikoer som må håndteres for å sikre trygg bruk. Kvalitet, testing og risikovurdering står sentralt, sammen med hvordan gjeldende og kommende regelverk påvirker utvikling og innføring av slike løsninger.

KI-benchmarking i helsesektoren 

Michael Riegler, Head of AI, Simula  

Testing av KI‑systemer er både komplekst og krevende. I helsesektoren er dette særlig kritisk, fordi KI‑systemer som ikke er grundig testet kan føre til reell skade. I dette foredraget vil jeg belyse utfordringene knyttet til benchmarking og revisjon av KI‑modeller, og hva som gjør dette spesielt krevende innen helse‑ og omsorgstjenestene. 

Generativ KI i formidling av legelmiddelinformasjon – erfaringer og anbefalinger 

Bente Cecilie By Jansen, Felleskatalogen 

Felleskatalogens innhold tas i bruk i eksterne kunnskapschatter gjennom kildebasert generering av svar, med mål om økt faglig kvalitet og færre hallusinasjoner. Erfaringer fra testing og utvikling av et KI-assistert søk for Felleskatalogen, viser imidlertid at også kildeforankret KI kan feile. Hva betyr det for ansvar og tillit, og hva kan vi gjøre for å utvikle tryggere og bedre KI-løsninger for helsetjenesten? 

10.00 – Pause

10.30 – Sesjon 2

KI for små helseaktører – hvilke utfordringer står vi overfor?

Patrick Jensen, leder Næringspolitisk råd i Norsk fysioterapeutforbund

Når ny teknologi møter de minste enhetene i helsetjenesten er ikke dette uten utfordringer. Vi skal nå se på KI som et verktøy for de små aktørene i helsetjenesten.

Trygg bruk av KI i dokumentasjon av helsehjelp

Inger Anne Tøndel, seniorrådgiver sekretariatet for Normen; Max Hjortland, personvernrådgiver sekretariatet for Normen.

Hva skal til for å bruke tale-til-utkast-programvare på en trygg måte i dokumentasjon av helsehjelp? Sekretariatet for Normen presenterer arbeidet med Normens siste faktaark.

Leverandørenes perspektiv på tale-til-utkast-KI 

Tove Olaussen Freeman, KAM, Medbric;  
Orinta Rui, Quality Associate, Vidd Medical.

Hvordan ivaretar en leverandør krav til informasjonssikkerhet og personvern i utviklingen av tale-til-utkast-programvare? Hvordan ser det ut med modenhet hos kunde, hva skiller seriøse fra useriøse leverandører? Hvilke barrierer finnes for å ta teknologien i bruk? Hvilket ansvar må virksomheten og helsepersonellet ta? 

Erfaringer med poliklinisk utprøving av tale-til-sammendrag innen psykisk helsevern og rusbehandling

Gro Helen Øiestad Nordberg, spesialrådgiver divisjon psykisk helsevern og rus ved Ahus
Eilin Wermundsen Mork-Habib, assisterende CISO, Ahus

Hvilke gevinster og utfordringer ved å bruke tale til utkast er synlige i den pågående utprøvingen?  Hva har risikovurdering før oppstart av informasjonssikkerhet, personvern og etikk å si for tillitsfull, ansvarlig og sikker innføring av tale til utkast i helsetjenesten?

11.30 – Lunsj 

12.30 – Sesjon 3

Pseudonymisering og anonymisering i praksis

Robindra Prabhu og Sara Elise Wøllo, Data scientists i NAV sin teknologiavdeling.

Hvilke metoder finnes for å pseudonymisere og anonymisere personopplysninger, og hva er fordelene og ulempene med hver av tilnærmingene?

Verdier i morgendagens helsetjeneste: hva kan du oppnå med etisk risikovurdering? 

Leonora Bergsjø, førsteamanuensis ved Høgskolen i Østfold og Senter for e-helse ved Universitetet i Agder. 

Det finnes en rekke metoder for å sikre etisk forsvarlig utvikling og bruk av KI i helsetjenesten. Med eksempler fra digitaliseringsprosjekter i norsk helsetjeneste presenteres en oversikt over ulike metoder. Leonora introduserer også en ny, norsk metode for etisk risikovurdering av KI i praksis.

13.30 – Pause

14.00 – Sesjon 4

Personvernkonsekvensvurdering av KI 

Ragnhild Angell Holst, personvernrådgiver Helse Sør-Øst RHF. 

Når og hvordan gjør Helse Sør-Øst RHF personvernkonsekvensvurderinger av KI-systemer? Hva er det viktig å tenke på før oppstart og underveis i prosessen?  
 
Hvilke krav stilles egentlig til medisinsk utstyr? 

Caroline Melsom, seniorrådgiver enhet for medisinsk utstyr i Direktoratet for medisinske produkter.

Direktoratet for medisinske produkter gir en innføring til hvilke krav som stilles til et medisinsk utstyr før det kan CE-merkes og settes på markedet – med et særlig blikk på kravene til digital sikkerhet. 
 
Innføring av KI for radiologi: erfaringer så langt og forutsetninger for skalering og bærekraftig bruk 

Gro-Hilde Severinsen, seniorforsker ved Nasjonalt senter for e-helseforskning. 

Siden 2020 har Nasjonalt senter for e-helseforskning følgeforsket på  
innføring av kunstig intelligens i norsk helsevesen, både regionalt og nasjonalt. I dette  
foredraget presenterea sentrale funn om hvilke verdier og effekter som oppstår når KI  
tas i klinisk bruk, og hvordan selv én enkel løsning kan få store organisatoriske og  
samfunnsmessige ringvirkninger. Hva som må til for bærekraftig  
skalering og varig bruk av KI i helsetjenesten vil også bli diskutert.

15.00 – avslutning og vel hjem

Virksomhetsstyring er som en stor vev – og digital sikkerhet må være en del av mønsteret i helsevirksomheter, ikke en løs tråd på siden. I dette fagsporet ser vi hvordan digital sikkerhet kan styrke helheten, forhindre avbrudd og skape et robust og godt underlag for sikker helsedrift. Vi utforsker hvordan små avvik kan vokse til store hendelser, og hvordan god sikkerhetskultur, ledelsesforankring og risikostyring kan gjøre din virksomhet mindre sårbar. Gjennom en tydelig rød tråd viser vi hvordan digital sikkerhet og virksomhetsstyring i helsesektoren er flettet uløselig sammen.

09.00 – Sesjon 1

Hvordan få sikkerhetsstyringen integrert i virksomhetsstyringen?

Asker kommune

Asker kommune starter dagen med å fortelle om sitt interne prosjekt for å integrere sikkerhetsstyringen i den overordnede virksomhetsstyringen.

Kulturendring i risikostyring

Aleksander Hausmann, CISO Diffia

Innlegget tar for seg behovet for en justering i hvordan ledere arbeider med risikostyring i helsetjenesten. Det viser hvordan oppsiderisiko ofte overses, og hvordan feilvurderinger og kunstige risikobilder kan svekke kvaliteten på beslutningene

10.00 – Pause

10.30 – Sesjon 2

Sikkerhetskultur og kompetanseheving

Ann Kristin Sjøflot, Bane NOR

Innlegget tar for seg hvordan virksomheter kan bygge en robust digital sikkerhetskultur gjennom målrettet kompetanseheving på tvers av roller. Opptak av dette foredraget blir ikke publisert.

Pasientsikkerhet vs personvern - og hva er en leders ansvar?

Simon Sommerfeldt, CTO i Bouvet

Innlegget viser hvorfor personvern ofte oppfattes som krevende, og hvordan innsikt fra helsetjenesten kan hjelpe ledere å styrke pasientsikkerhet og virksomhetsstyring ved å integrere personvernarbeidet mer meningsfylt og effektivt i organisasjonen.

11.30 – Lunsj 

12.30 – Sesjon 3

#Råbra - hvordan få tak i den gode jobben!

Marianne Nordhov, overlege ved Sykehuset Telemark og Helse Sør-Øst og opphavsperson for Råbra!

Innlegget viser hvordan et enkelt meldesystem for å løfte fram godt faglig arbeid, god kommunikasjon og godt medarbeiderskap kan brukes systematisk i kvalitetsutvikling og pasientsikkerhetsarbeid, samtidig som det styrker anerkjennelse og motivasjon i organisasjonen

Avvikshåndtering i fagsystemer

Anna Berntzen, personvernkoordinator i Oslo kommune

Innlegget viser hvordan en trygg og koordinert håndtering av avvik i fagsystemer kan styrkes gjennom en systematisk prosess som både sikrer personopplysnings­sikkerhet og bruker avvikene aktivt til læring og utvikling

13.30 – Pause

14.00 – Sesjon 4

Sikkerhetstesting og herding - hva er det og hvordan kan du bruke det?

Gunnar A. Johansen, avdelingsdirektør i Helse- og KommuneCERT

Innlegget forklarer hva sikkerhetstesting og herding er, og viser hvordan virksomheter kan bruke tilgjengelige tjenester til å styrke robustheten i sine IKT‑systemer

Hvordan setter vi risikoeier i stand til å styre digital sikkerhet?

Pål Alexander Gaure, informasjonssikkerhetsrådgiver i Asker kommune

Innlegget viser hvordan ledere kan få et tydelig styringsgrunnlag for informasjonssikkerhet ved å bruke data fra tjenesteoversikter, behandlingsaktiviteter, systemlister, ROS og DPIA til å gi tjenesteeiere reell innsikt og evne til å ta informerte beslutninger.

15.00 – avslutning og vel hjem

IRT er den funksjonen i virksomheten som sikrer rask og koordinert respons når digitale trusler oppstår, fra de mest avanserte angrepsforsøkene til utnyttelse av konkrete sårbarheter. I dette sporet ser vi nærmere på hvordan moderne trusselaktører opererer, hvordan helsesektoren best kan møte dem, og hvordan Helse- og kommuneCERT i Norsk helsenett og Sykehuspartner samarbeider for å redusere konsekvenser i en samlet verdikjede.

09.00 – Sesjon 1

Hva er en APT – og hvorfor lykkes de?

Raymond Andrè Hagen, Digitaliseringsdirektoratet

Innlegget gir en gjennomgang av hva en Advanced Persistent Threat (APT) faktisk er, hva som skiller disse aktørene fra mer vanlige trusler, og hvordan deres ‘sofistikerte enkelhet’ påvirker hele prosessen med hendelseshåndtering – fra deteksjon og koordinering til sporbarhet og læring

Trusselbildet fra Helse- og kommuneCERT

Jørgen Bøhnsdalen, Senior sikkerhetsanalytiker, Helse- og kommuneCERT

Få en fersk oppdatering på hvilke trusler som berører helsesektoren nå, og hvilke bekymringer som peker seg ut fremover. Du får også konkrete anbefalinger for hva helse- og omsorgstjenesten bør være særlig oppmerksom på.

10.00 – Pause

10.30 Sesjon 2

Hvordan håndtere sikkerhetshendelser i et komplekst IT-miljø

Edwin Andres Salazar, seksjonsleder CERT og Solveig Røsshammer Tolleshaug, avdelingsleder CERT, Sykehuspartner

Innlegget belyser utfordringsbildet ved å utføre sikkerhetsovervåking og hendelseshåndtering i et komplekst IT-miljø bestående av tradisjonell teknologi og sky-teknologi, med særlig vekt på dilemmaer og veivalg.

Pentesting og sårbarheter i helse og kommunesektoren

Jørgen Bøhnsdalen, Senior sikkerhetsanalytiker, Helse- og kommuneCERT

Helse- og kommuneCERT presenterer konkrete sårbarheter som avdekket gjennom pentesting av over 100 virksomheter i helse og kommunesektoren. Hva er det mest vanlige funnene – og praktiske råd helsevirksomheter bør ta med seg videre for å redusere risiko.

11.30 – Lunsj 

12.30 Sesjon 3

Samspillet mellom Helse- og kommuneCERT og Sykehuspartner i hendelseshåndtering

Gunnar A. Johansen, avdelingsdirektør i Helse- og KommuneCERT og Solveig Røsshammer Tolleshaug, avdelingsleder CERT, Sykehuspartner

En gjennomgang av hvordan roller og ansvar fordeles i håndtering av hendelser, og hvordan samarbeid i samme verdikjede bidrar til raskere kontroll, bedre informasjonsdeling og mer effektiv nedkjemping av trusler.

13.30 – Pause

14.00 Sesjon 4

Sårbarhetshåndtering

Jørgen Bøhnsdalen, Senior sikkerhetsanalytiker, Helse- og kommuneCERT

Hvordan håndteres sårbarheter som har potensial for masseutnyttelse i helse- og kommunesektoren?
Vi har de siste årene sett en trend hvor tiden fra en sårbarhet blir kjent, til man ser angrepsforsøk synker. Hvor dette tidsrommet tidligere stort sett var målt i uker og måneder går tiden nå ned mot dager og i noen tilfeller timer. Angrepene kommer raskere, og er ofte del av store kampanjer som systematisk går etter sårbare enheter og forsøker å lage fotfeste på flest mulig av disse. Fotfestet kan senere utnyttes i ro og fred i påfølgende dager, uker, måneder og til og med år.

14.30 – avslutning og vel hjem

Anbefalte forkunnskaper

Det er en fordel med grunnleggende forståelse av informasjonssikkerhet og hendelseshåndtering (IRT‑prosesser), samt kjennskap til overvåking, deteksjon og sårbarhetsarbeid. Erfaring med IT‑drift, nettverk eller systemadministrasjon vil styrke utbyttet ytterligere.

Gjennom dette fagsporet vil vi belyse hvordan den digitale sikkerheten og robustheten påvirker helsetjenestens evne til å levere helsehjelp. Vi inviterer dere med på ei beredskapsreise gjennom sektoren. Her vil vi by på både tankevekkende erfaringsforedrag og dykk inn i beredskapsfaget.

Myndighetene har store forventninger til sektorens arbeid med beredskap, helt opp i toppen av krisespekteret. Helseforetak og kommuner må planlegge for tenkelige og utenkelige scenarioer.

Digitaliseringen av helsesektoren kan innebære både muligheter og skalerbarhet i en krisesituasjon, men vil også være en av våre sårbarheter. Hvordan er det digitale domenet hensyntatt i helseberedskapsplanene i virksomhetene våre?

09.00 – Sesjon 1

Hvordan berører trusselbildet helse- og omsorgstjenestene?

Helse- og kommuneCERT, Gunnar A. Johansen

Beredskap i Innlandet

Asbjørn Lund, Fylkesberedskapssjef

10.00 – Pause

10.30 – Sesjon 2

Helse- og omsorgstjenesten som del av en helhet: Samvirke i praksis

• Betydningen av samarbeid og samorganisering på tvers av sektorer før og under en krise, Jens Betsi, Barents Nett AS, og kraftforsyningens distriktssjef
• Sett fra en kommuneoverleges perspektiv, Ingebjørn Bleidvin, kommuneoverlege i Hadsel kommune

11.30 – Lunsj 

12.30 – Sesjon 3

• Veien frem til gode hendelsesrutiner
•  
• Kommunen har "nøkkelen" for å få til god samhandling om beredskap lokalt, Torill Berg, beredskapsleder i Molde kommune
• Læring fra «fire fredager på rad med nye hendelser», Aasta Hetland, avd. digitale helsetjenester, Helsedirektoratet

Sårbarhetsstyring, innovasjon og responskraft: Hvordan bruke de rette teknologiske mulighetene på forsvarlig vis?

• Dilemmaer, erfaringer, læring og inspirasjon fra andre sektorer, Janne Hagen, Gritera/UiO
• Droner i kriser og krig: Utviklingstrekk, trusler og fremtidige muligheter for helsesektoren, Kjetil Birkeland Daatland, PwC

13.30 – Pause

14.00 – Sesjon 4

Sårbarhetsstyring, innovasjon og responskraft: Hvordan bruke de rette teknologiske mulighetene på forsvarlig vis?

• Bruk av droner som verktøy innen helseberedskapen, Kjetil Birkeland Daatland, PwC
• Droner i hjemmetjenesten- Fra matombringing til responstjeneste på Røros, Trond Halvorsen, SINTEF
• Hvordan digitalisering av helse- og omsorgssektoren i kommunene kan innebære både sårbarheter, muligheter og skalerbarhet i en krisesituasjon, Medisinsk fagsjef Miert Lindboe, KS

15.00 – avslutning og vel hjem