Riksrevisjonens forvaltningsrevisjon om Myndighetenes samordning av arbeidet med digital sikkerhet i sivil sektor (pdf-versjon her) er en slik rapport. Er grundig dokument som gir nettopp innsikt og oversikt. Ved å zoome ut og se på helheten, og ved å zoome inn og se på hva som skjer i praksis i konkrete situasjoner der samarbeid er avgjørende for å håndtere hendelser eller få løst samfunnskritiske floker.
Nedsiden med virkelig gode riksrevisjonsrapporter er selvfølgelig at noen henges grundig ut for å ikke ha gjort jobben sin. I dette tilfellet gjelder det flere aktører på samfunnssikkerhetsområdet, men i særdeleshet Justis og beredskapsdepartementet (JD) som både har styringsansvaret for de sentrale etatene som håndterer den digitale sikkerheten og for den tverrsektorielle samordningen når det gjelder nasjonal sikkerhet og samfunnssikkerhet, også på det digitale området. Og JD har naturligvis også ansvaret når ulike tiltak som er varslet i deres stortingsmeldinger og strategier ikke er gjennomført.
Riksrevisjonens forvaltningsrevisjon er på over 180 sider i alt. Den består av en hovedrapport, et brev fra Justisminister Emilie Enger Mehl som prøver å forklare at JD er på ballen og gjør noe, men uten å egentlig svare på kritikken, og innledningsvis er det et sammendrag av hovedpunktene i kritikken. Man får et bra overblikk av å lese de første ca 25 sidene med hovedpunkter og statsrådens svar. Men for de som er særlig interessert i den eksplosive kombinasjonen av utilstrekkelig og til dels dysfunksjonell tverrsektoriell koordinering og styring på den ene siden, og på den andre siden samfunnskritiske sikkerhetsutfordringer som krever nettopp tverrsektoriell koordinering og styring, er det mye viktig informasjon som bare finnes i selve hovedrapporten. Det kan anbefales å lese den.
Undersøkelsens poeng er å se på hvordan Justis- og beredskapsdepartementet samordner arbeidet med digital sikkerhet i sivil sektor i fredstid. Riksrevisjonen omtaler jobben slik:"Undersøkelsen er rettet mot Justis- og beredskapsdepartementets samordnings- og pådriveransvar. Vi har belyst ulike temaer og tiltak på det digitale sikkerhetsområdet, herunder tilsynsvirksomhet, gjennomføring av nasjonale øvelser og arbeidet i samordningsarenaer på området. Vi har også undersøkt i hvilken grad målet om samordnet veiledning og hendelseshåndtering er oppnådd. (...) Vi har forsøkt å belyse de mulige konsekvensene av en eventuell svak samordning på de enkelte områdene. I denne undersøkelsen defineres begrepet digital sikkerhet på samme måte som det defineres i Nasjonal strategi for digital sikkerhet. Der går det fram at digital sikkerhet er beskyttelse av alt som er sårbart fordi det er koblet til eller på annen måte avhengig av informasjons- og kommunikasjonsteknologi. Vi bruker digital sikkerhet synonymt med begreper som IKT-sikkerhet og cybersikkerhet."
Riksrevisjonen har tatt utgangspunkt i tre ganske enkle og overordnede problemstillinger formulert som spørsmål. De er: 1) Bidrar myndighetenes samordning av roller, ansvar og krav til å ivareta den digitale sikkerheten? 2) Har Justis- og beredskapsdepartementet en helhetlig oversikt over den nasjonale digitale sikkerhetstilstanden?, og 3) Ivaretar Justis- og beredskapsdepartementet samordningsrollen for den digitale sikkerheten på samfunnssikkerhetsområdet på en god nok måte? Og det korte oppsummerende svaret Riksrevisjonen gir er at:
"Undersøkelsen viser at det er flere utfordringer med samordningen av arbeidet med digital sikkerhet som ikke har blitt håndtert. Justis- og beredskapsdepartementet har ikke sørget for at samordningen av roller, ansvar og krav er god nok når det gjelder dette arbeidet. Vi finner også at Justis- og beredskapsdepartementet ikke har tilstrekkelig oversikt over den nasjonale digitale sikkerhetstilstanden, særlig fordi departementenes arbeid med å kartlegge virksomheter som understøtter grunnleggende nasjonale funksjoner, går for sakte. Justis- og beredskapsdepartementet følger i liten grad opp hvilken effekt tiltakene i nasjonale strategier på det digitale sikkerhetsområdet har, og siden 2016 har de ikke sørget for at det på nasjonalt nivå har blitt øvd godt nok på å håndtere alvorlige digitale angrep som treffer flere sektorer. Det er Riksrevisjonens vurdering at Justis- og beredskapsdepartementet med underliggende etater ikke ivaretar pådriver- og samordningsansvaret godt nok til å møte utfordringene på det digitale sikkerhetsområdet. Dette medfører risiko for at funksjoner som er kritiske for både stats- og samfunnssikkerheten, ikke er godt nok beskyttet mot digitale angrep, og at alvorlige digitale angrep ikke håndteres effektivt."
Dette er en veldig overordnet kritikk som favner mange ulike ting. Noe skyldes mangelfull rydding og sortering av ansvar, roller som til dels går langt tilbake i tid. Andre forhold handler om ting som er varslet som viktige tiltak i nyere tid, blant annet i en stortingsmelding og i strategien for digital sikkerhet fra 2019. Og noen nye utfordringer har kommet i forbindelse med nytt lov og regelverk, som ny sikkerhetslov og ny samfunnssikkerhetsinstruks. Riksrevisjonen har sortert sin kritikk i fire hovedkategorier, og jeg vil kommentere noen av de viktigste funnene under hver av disse overskriftene Riksrevisjonen bruker:
"1. Svak samordning av roller, ansvar og krav gjør arbeidet med digital sikkerhet krevende for virksomhetene."
"Undersøkelsen viser at det er flere utfordringer med samordningen av arbeidet med digital sikkerhet som ikke har blitt håndtert. Justis- og beredskapsdepartementet har ikke sørget for at samordningen av roller, ansvar og krav er god nok når det gjelder dette arbeidet. Vi finner også at Justis- og beredskapsdepartementet ikke har tilstrekkelig oversikt over den nasjonale digitale sikkerhetstilstanden, særlig fordi departementenes arbeid med å kartlegge virksomheter som understøtter grunnleggende nasjonale funksjoner, går for sakte. Justis- og beredskapsdepartementet følger i liten grad opp hvilken effekt tiltakene i nasjonale strategier på det digitale sikkerhetsområdet har, og siden 2016 har de ikke sørget for at det på nasjonalt nivå har blitt øvd godt nok på å håndtere alvorlige digitale angrep som treffer flere sektorer. Det er Riksrevisjonens vurdering at Justis- og beredskapsdepartementet med underliggende etater ikke ivaretar pådriver- og samordningsansvaret godt nok til å møte utfordringene på det digitale sikkerhetsområdet. Dette medfører risiko for at funksjoner som er kritiske for både stats- og samfunnssikkerheten, ikke er godt nok beskyttet mot digitale angrep, og at alvorlige digitale angrep ikke håndteres effektivt."
Dette er en veldig overordnet kritikk som favner mange ulike ting. Noe skyldes mangelfull rydding og sortering av ansvar, roller som til dels går langt tilbake i tid. Andre forhold handler om ting som er varslet som viktige tiltak i nyere tid, blant annet i en stortingsmelding og i strategien for digital sikkerhet fra 2019. Og noen nye utfordringer har kommet i forbindelse med nytt lov og regelverk, som ny sikkerhetslov og ny samfunnssikkerhetsinstruks. Riksrevisjonen har sortert sin kritikk i fire hovedkategorier, og jeg vil kommentere noen av de viktigste funnene under hver av disse overskriftene Riksrevisjonen bruker:
Jeg kan begynne med lov og regelverket som gjelder for samfunnssikkerhetsområdet. Riksrevisjonen har gått igjennom det lovverket som er relevant for digital sikkerhet og hvordan overlapp mellom ulike lover og forskrifter skaper utfordringer for virksomhetene som skal finne ut hva de skal gjøre i sitt forebyggende sikkerhetsarbeid.
Vi kan begynne med det som gjelder departementene og de statlige virksomhetene selv. Her skaper det åpenbart en del forvirring av man må forholde seg til to sett med regelverk som er delvis overlappende, men har litt ulike formål: Sikkerhetsloven som trådte i kraft i 2019 og som fastsetter en prosess for å definere grunnleggende nasjonale funksjoner som må beskyttes, og deres avhengigheter. Den gjelder staten, fylkene og kommunene, men også noen private aktører som har ansvar for viktige funksjoner og infrastruktur. Og så har vi Samfunnssikkehetsinstruksen kom i 2017 og stiller krav til departementenes arbeid med samfunnssikkerhet, herunder at man avklarer og beskriver roller og ansvarsområder innenfor samfunnssikkerhet i sin sektor, gjør systematiske risiko- og sårbarhetsanalyser av hendelser som kan true sektorens funksjonsevne, iverksetter nødvendige kompenserende tiltak og utarbeider mål for samfunnssikkerhetsarbeidet. Dessuten har departementet ansvar for håndtering av kriser, noe som betyr at det må være et planverk og det må jevnlig gjennomføres øvelser, også på det digitale samfunnssikkerhetsområdet.
Hvorfor må departementene forholde seg til, planlegge for og rapportere innenfor to ulike, men delvis overlappende sett med lov- og regelverk? Her overlater jeg til Riksrevisjonen å svare:
Grunnen til at det er etablert to rammeverk, er at rammeverket for samfunnets kritiske funksjoner gjelder samfunnssikkerhet, mens rammeverket for grunnleggende nasjonale funksjoner gjelder nasjonal sikkerhet. Nasjonal sikkerhet er definert som statssikkerhet og en avgrenset del av samfunnssikkerhetsområdet som er av vesentlig betydning for statens evne til å ivareta nasjonale sikkerhetsinteresser. (...) Som følge av at disse områdene overlapper, er det også deler av samfunnets kritiske funksjoner som overlapper med grunnleggende nasjonale funksjoner. Nasjonal sikkerhetsmyndighet oppfordrer derfor departementene om å benytte Direktoratet for samfunnssikkerhet og beredskaps rammeverk for samfunnets kritiske funksjoner i arbeidet med å identifisere og vurdere grunnleggende nasjonale funksjoner. Direktoratet for samfunnssikkerhet og beredskap viser også til at rammeverkene har ulike formål, og at det er ulik grad av forpliktelse knyttet til rammeverkene..."
"Som nevnt finnes det en rekke regelverk som direkte omhandler eller som berører virksomheters arbeid med digital sikkerhet. Overordnet kan regelverkene deles inn i generelle lover, for eksempel sikkerhetsloven og personopplysningsloven, og sektorspesifikke lover, for eksempel energiloven og helseregisterloven. Vi har identifisert og gjennomgått seks generelle og 15 sektorspesifikke lover med tilhørende forskrifter"
"Høsten 2019 leverte Direktoratet for samfunnssikkerhet og beredskap rapporten Risikostyring i digitale verdikjeder til Justis- og beredskapsdepartementet. Rapporten ble utgitt i januar 2020. Et sentralt funn i rapporten er at myndighetene i begrenset grad kan styre sikkerheten i de digitale verdikjedene direkte. De fleste digitale verdikjedene strekker seg utenfor Norges grenser og opereres i stor grad av private leverandører og underleverandører. Direktoratet for samfunnssikkerhet og beredskap forteller at de ikke har mottatt noen konkret oppfølging av rapporten fra Justis- og beredskapsdepartementet, men at de ba om å få legge den ut på nettsidene sine. Utover dette har ikke Direktoratet for samfunnssikkerhet og beredskap fått flere oppdrag knyttet til rapporten. Det er heller ikke planlagt noen konkret oppfølging eller implementering av rammeverket."
Det står noe mer om forskjellene mellom de to rammeverkene også, uten at det nødvendigvis blir krystallklart av den grunn, og Riksrevisjonen peker også på at det i følge DSB er en del forvirring i departementene fordi de må forholdes seg til to ulike rammeverk som dekker omtrent samme temaer, men er delt opp på litt ulike måter og krever litt ulik oppfølging.
Hva så med virksomheter ellers i samfunnet, offentlige og private, som ikke er underlagt sikkerhetsloven, men som har en rekke digitale samfunnssikkerhetsutfordringer de må forholde seg til? Og som lurer på hvilke krav som gjelder for dem og hva de skal gjøre. I Riksrevisjonens rapport kan vi lese at de har identifisert og gått igjennom 6 generelle og 15 sektorspesifikke lover som berører virksomheters arbeid med digital sikkerhet. Riksrevisjonen skriver:
10 av disse 15 sektorspesifikke lovene inneholder i følge Riksrevisjonen krav om digitale sikkerhetstiltak. Og for å komplettere oversikten ytterligere har de gått igjennom 36 veiledere knyttet til det generelle lovverket og 16 veiledere knyttet til det sektorspesifikke lovverket for å se om disse henger sammen. Konklusjonen er at de verken er samordnet eller brukervennlige. Og det pekes på at det til tross for mange og overlappende lover, forskifter og veiledere ikke er så lett å finne konkrete råd om hva man skal gjøre fordi lovverket i stor grad er funksjonsorientert og prosessorientert (hvordan man skal arbeide for å ha tilstrekkelig oversikt over risiko og tilfredsstillende sikkerhet, men ikke hva dette er eller hva man konkret skal gjøre),
Mange digitale sikkerhetsutfordringer må løses på tvers av virksomheter og sektorer. Derfor må flere departementer, etater og andre virksomheter må være involvert. Og de må være involvert på en måte der de ikke bare går på noen møter og får informasjon, men faktisk planlegger og organiserer seg for å løse problemer sammen. Digital teknologi bidrar nok også til at mange utfordringer blir enda mer sektorovergripende enn før. Riksrevisjonen viser at den norske modellen har vært å opprette "samordningsareaner" mellom virksomheter, med litt ulike lederskap og med delvis overlappende deltagerkretser, for å finne ut av disse utfordringene. Og Riksrevisjonen har funnet hele 19 ulike samordningsarenaer for myndighetenes arbeid med digital sikkerhet.
Der er det er ikke bare mye overlapp i deltagerkretsen, men også i hvilke oppgaver de skal løse. I noen tilfeller her samme oppgave flere samordningsarenaer med ulikt lederskap. Noen steder kan det være hull. Men felles for de fleste av disse arenaene (ikke alle) er at de har et lavt aktivitetsnivå, lave strategiske ambisjoner og nøyer seg med å være steder der man deler informasjon. Av disse 19 samordningsarenaene er 16 rettet mot myndighetenes forebyggende arbeid med digital sikkerhet. De tre siste er rettet mot hendelseshåndtering: Kriserådet, Felles cyberkoordineringssenter og Nasjonalt cybersikkerhetssenter.
Rapporten gjør et dypdykk ned i noen av disse 19 samordningsarenaene for å finne ut om det der skjer noen faktisk samordning av betydning, for eksempel i form av felles planer og tiltak. Resultatet er temmelig nedslående. Rapporten ser også på hvordan de sektorvise responsmiljøene som skal håndtere digitale sikkerhetshendelser er satt opp og fungerer. Og om det er områder som ikke er ivaretatt. Også her er noe som fungerer bra, for eksempel finanssektoren og eksrektoren har kommet langt, mens andre har kommet veldig kort.
Denne delen av Riksrevisjonens rapport inneholder også en vurdering av det digitale sikkerhetsarbeidet i kommunesektoren (Her kan det virke som KDD og JD ikke engang er helt enige om hvilket av departementene som har det faglige lederansvaret), de har sett på digital sikkerhet som tema i etatsstyringen av underliggende virksomheter og på samordning av de ulike tilsynsorganene på det digitale sikkerhetsområdet.
"2. Justis- og beredskapsdepartementet har ikke sørget for god nok informasjon om den nasjonale digitale sikkerhetstilstanden."
Det kan kanskje høre ut som en litt underlig problemstilling at man må undersøke om det ansvarlige departementet sørger for god nok informasjon til seg selv og andre, men dette er faktisk en stor problemstilling. Riksrevisjonen peker på at departementene nå særlig nevner innføring av ny sikkerhetslov som et informasjonsproblem. I forbindelse med implementeringen av ny sikkerhetslov er det slik at departementene skal identifisere "grunnleggende nasjonale funksjoner" som er sentrale for nasjonal sikkerhet. I den forbindelse må det også kartlegges ulike avhengigheter grunnleggende nasjonale funksjonene har i egen sektor og på tvers av sektorene. For eksempel hvilke funksjoner (strøm, tele, vann, transport?) man er avhengige av fra andre sektorer for å fungere. Dette arbeidet er forsinket og er noe av det som må være avklart for at informasjonsflyten om tilstanden på sikkerheten skal fungere.
Riksrevisjonen peker også på at det noen ganger settes i gang prosesser og utredninger for nettopp for å nøste i komplekse digitale sikkerhetsutfordringer. De blir kanskje publisert, men ting stopper opp før det blir noen oppfølging. Et interessant eksempel på dette omtales i rapporten:
Et annet nokså pussig forhold Riksrevisjonen omtaler er at i henhold til samfunnssikkerhetsinstruksen skal departementene som et ledd i arbeidet med samfunnssikkerhet utarbeide og vedlikeholde systematiske risiko- og sårbarhetsanalyser. Det er en lengre omtale i Riksrevisjonens rapport om hvordan dette arbeidet foregår og hva informasjonskildene er. Men så skriver de at Justisdepartementet ikke bruker noen av disse analysene fra departementene i sitt arbeid med å holde oversikt over sikkerhets- og sårbarhetstilstanden:
"Justis- og beredskapsdepartementet forteller i intervju at de ikke bruker departementenes risiko- og sårbarhetsanalyser som kilde for å holde oversikt over den digitale sikkerhetstilstanden. Selv om departementene vurderer sårbarheter i egne sektorer i disse analysene, er Justis- og beredskapsdepartementet usikker på om de dekker den digitale sikkerheten godt nok til å gi innsikt i den digitale sikkerhetstilstanden. Siden departementene utfører risiko- og sårbarhetsanalysene på ulike måter, antar Justis- og beredskapsdepartementet at arbeidet med å sammenstille analysene ville ha vært for ressurskrevende og utfordrende sammenlignet med det utbyttet de hadde fått igjen for det."
Så kan man jo lure på hva vitsen er med å legge masse arbeid i å produsere en analyse for hvert departement som ikke brukes av de som er satt til å ha det overordnede ansvaret for å skaffe og analysere informasjon om sikkerhetstilstanden.
"I tiltaksoversikten står det at tiltakene skal understøtte målene i strategien, men det går ikke fram i hvilken grad tiltakene er tilstrekkelige til å nå målene i strategien, eller om det er deler av strategien hvor det ikke er planlagt eller iverksatt tilstrekkelige tiltak. Etter vår vurdering burde det ha vært gjort en vurdering av hvordan tiltakene understøtter målene i strategien. Det burde også ha gått klart fram om det er områder i strategien hvor det mangler tiltak. Justis- og beredskapsdepartementet har ikke oppdatert tiltaksoversikten med nye tiltak eller endringer i pågående tiltak. Dette ville gitt myndighetsaktørene en bedre samlet oversikt over sentrale tiltak som er iverksatt for å ivareta og styrke den nasjonale digitale sikkerheten."
"3. Justis- og beredskapsdepartementet har ikke sørget for god nok oppfølging av Nasjonal strategi for digital sikkerhet."
Samfunnssikkherhetsområdet er ganske rikt på utredninger og strategier, og det kom også en egen stortingsmelding om digital sikkerhet i 2017 som ble fulgt opp av en Nasjonal strategi for digital sikkerhet i 2019. Dette er gode dokumenter, og Riksrevisjonen peker på at noen av tiltakene her også gjentar tiltak som er presentert i tidligere strategier og meldinger, Problemet er at de av ulike grunner ikke blir fulgt opp slik de burde. Selv om ansvar er plassert og frister er satt, avdekket en statusgjennomgang gjort av JD i 2021 at av de 63 tiltakene i tiltaksoversikten fra Nasjonal strategi for digital sikkerhet var mye ikke gjennomført og noe var ikke igangsett i det hele tatt. Pandemien forsinket nok enkelte ting, men Riksrevisjonen skriver også at:
"4. Justis- og beredskapsdepartementet har ikke lagt godt nok til rette for tverssektoriell hendelseshåndtering."
Som en del av samordningsrollen på samfunnssikkerhetsområdet har Justis- og beredskapsdepartementet også ansvar for å gjennomføre nasjonale øvelser og sørge for at problemstillinger på tvers av flere sektorer blir håndtert rent operativt, også når hendelser inntreffer. Dette handler også om å ha et felles rammeverk for digital hendelseshåndtering, tekniske systemer for varsling av uønsket aktivitet og kommunikasjon mellom beredskapsaktører. I denne delen av rapporten får Nasjonalt Cybersikkerhetssenter ros av flere, men mye annet i etatene, i de tekniske systemene for varsling, øvelser og i selve håndteringen av konkrete hendelser får kritikk. Riksrevisjonen oppsummerer denne delen av ut utfordringen slik:
"En annen del av Justis- og beredskapsdepartementets samordningsrolle på samfunnssikkerhetsområdet går ut på å gjennomføre nasjonale øvelser og Dokument 3:7 (2022–2023) 22 sørge for at utfordringer på tvers av flere sektorer blir håndtert. Sentrale tiltak omfatter blant annet å få på plass et felles rammeverk for digital hendelseshåndtering og tekniske systemer for varsling av uønsket aktivitet og kommunikasjon mellom beredskapsaktører. Undersøkelsen viser at gjennomføringen av flere av disse tiltakene er forsinket og at viktige elementer av tverrsektoriell hendelseshåndtering ikke har blitt øvet som planlagt."
Som en del av samordningsrollen på samfunnssikkerhetsområdet har Justis- og beredskapsdepartementet også ansvar for å gjennomføre nasjonale øvelser og sørge for at problemstillinger på tvers av flere sektorer blir håndtert rent operativt, også når hendelser inntreffer. Dette handler også om å ha et felles rammeverk for digital hendelseshåndtering, tekniske systemer for varsling av uønsket aktivitet og kommunikasjon mellom beredskapsaktører. I denne delen av rapporten får Nasjonalt Cybersikkerhetssenter ros av flere, men mye annet i etatene, i de tekniske systemene for varsling, øvelser og i selve håndteringen av konkrete hendelser får kritikk. Riksrevisjonen oppsummerer denne delen av ut utfordringen slik:
"En annen del av Justis- og beredskapsdepartementets samordningsrolle på samfunnssikkerhetsområdet går ut på å gjennomføre nasjonale øvelser og Dokument 3:7 (2022–2023) 22 sørge for at utfordringer på tvers av flere sektorer blir håndtert. Sentrale tiltak omfatter blant annet å få på plass et felles rammeverk for digital hendelseshåndtering og tekniske systemer for varsling av uønsket aktivitet og kommunikasjon mellom beredskapsaktører. Undersøkelsen viser at gjennomføringen av flere av disse tiltakene er forsinket og at viktige elementer av tverrsektoriell hendelseshåndtering ikke har blitt øvet som planlagt."
Så langt beskrivelsene fra Riksrevisjonen. Deres jobb er å avdekke og beskrive problemene og fortelle Stortinget og allmennheten dersom noe som er blitt lovet ikke er gjennomført. Riksrevisjonen har ikke nødvendigvis svarene på hva som skal gjøres og i hvilken rekkefølge, men de peker på hvem som har ansvaret for å finne disse svarene. I dette tilfellet handler det om Justis og beredskapsdepartementet, men også om de sentrale sikkerhets- og beredskapsetatene og de øvrige departementene.
Hva skal myndighetene så gjøre for å få sortert ut og få løst våre digitale sikkerhetsutfordringene inne i all denne kompleksiteten? Med alle lovverkene og alle samordningsarenaene. Det kan virke umulig å få en god nok oversikt til å vite hvor man skal begynne og hva som har effekt. Ikke minst hvor det er hindringer og motkrefter som står i veien for et mer operativt tverrgående samarbeid som my ryddes av veien. For politikere som blir satt inn for å lede alt dette, og har ansvar for å gjøre noe, kan man lett bli temmelig overveldet når man langt fra er noen ekspert på verken sikkerhet, digitale trusler eller forvaltningens prosesser på tvers. En ting er å ha oversikt over etater, ansvarsområder, lover og budsjetter i egen sektor, men her krever Riksrevisjonen, og helt sikkert også Stortinget, at de ansvarlige lederne skal løse utfordringer på tvers av flere statsråders ansvarsområder. Hvordan går man egentlig løs på en slik oppgave?
Her har Riksrevisjonen levert en bra begynnelse på den jobben. Man kan til og med se på dette som et første trinn i en stor systemdesignprosess der de har kartlagt og beskrevet nåsituasjonen. De har tatt utgangspunkt i overordnede samfunnsmål, kartlagt aktørbildet, sett på hvilke lover, forskrifter og veiledere som er relevante, gjennomgått tiltakene som er lovet i meldinger og strategier, undersøkt samordningsarenaer som er satt opp for å løse tverrsektorielle problemer, men ikke fungerer, og laget oversikter over hva som er gjort og ikke gjort. Her er det enormt mye kunnskap om prosesser og avhengigheter som ikke er vist frem på denne måten før.
Helst burde dette også bli visualisert i et eller flere store systemkart for å gjøre det lettere å få oversikt over hvordan alt dette henger sammen. En bedre helhetsoversikt skaper et bedre diskusjonsgrunnlag når man skal skape en felles forståelse av utfordringen og hvor de kritiske koblingene i systemer er. Den er også til hjelp når man skal finne punktene der man bør sette inn innsatsen. Og jeg tror en slik systemorientert designtilnærming er en god metode også i fortsettelsen av dette arbeidet, når de ansvarlige skal involvere, sortere, prioritere og organisere dette økosystemet av aktører som nå må finne bedre måte å samarbeide om å løse problemer. En redesign av systemet. Roller og ansvar må tydeliggjøres og lovverk og prosesser bør strømlinjeformes og forenkles. Kanskje det da hadde vært nyttig med en form for veikart for den videre prosessen også, med hva som skal gjennomføres og i hvilken rekkefølge. For om tre år kommer Riksrevisjonen tilbake for å undersøke om det har skjedd noe med problemene de påpekte sist.
Jeg tenker også at mange av aktørene i dette komplekse samspillet av etater og organer nå har en egeninteresse i få opp noen slike systemkart som beskriver sammenhenger og kompleksiteter i dagens system, gjerne supplert med et målbilde som viser hvordan ting kan og bør være skrudd sammen i fremtiden, og som kan fungere som et rammeverk for en bedre diskusjon. Det er også lurt hvis vi ønsker virksomheter som ikke gjør hver sine ting hver for seg, men faktisk lager felles strategier og planer. Riksrevisjonens del av jobben er ferdig. Nå er det de myndighetene som blir kritisert som må vise at de kan levere. De som eier beskrivelsen av dagens virkelighet, beskrivelsen av hvordan en bedre fremtid kan se ut og veikartet som viser hvordan vi kan komme dit, legger premissene hvor hva som skal skje videre. Det blir spennende å se om DSB, NSM eller Justis- og beredskapsdepartementet vil ta den lederrollen.
Ingen kommentarer :
Legg inn en kommentar