2. mars -- Riksrevisjonens undersøkelse om realisering av nytteeffekter
fra IT­prosjekter i trygdeetaten
1459
2006
Møte torsdag den 2. mars kl. 10
President: C a r l I . H a g e n
D a g s o r d e n (nr. 48)
1. Innstilling fra kontroll­ og konstitusjonskomiteen om
statsrådets protokoller for tidsrommet 1. januar­
30. juni 2005
(Innst. S. nr. 86 (2005­2006))
2. Innstilling fra kontroll­ og konstitusjonskomiteen om
embetsutnemningar m.m. 1. juli 2004­30. juni 2005
(Innst. S. nr. 83 (2005­2006), jf. St.meld. nr. 5 (2005­
2006))
3. Innstilling frå kontroll­ og konstitusjonskomiteen om
Riksrevisjonens oppfølging av forvaltningsrevisjoner
behandlet av Stortinget
(Innst. S. nr. 84 (2005­2006), jf. Dokument nr. 3:1
(2005­2006))
4. Innstilling fra kontroll­ og konstitusjonskomiteen om
Riksrevisjonens undersøkelse om realisering av nyt­
teeffekter fra IT­prosjekter i trygdeetaten
(Innst. S. nr. 81 (2005­2006), jf. Dokument nr. 3:2
(2005­2006))
5. Innstilling fra kontroll­ og konstitusjonskomiteen om
Riksrevisjonens undersøkelse av tjenester fra labora­
torie­ og røntgenvirksomheter
(Innst. S. nr. 82 (2005­2006), jf. Dokument nr. 3:3
(2005­2006))
6. Innstilling fra kontroll­ og konstitusjonskomiteen om
Riksrevisjonens undersøkelse av myndighetenes ar­
beid med å sikre IT­infrastruktur
(Innst. S. nr. 85 (2005­2006), jf. Dokument nr. 3:4
(2005­2006))
7. Referat
Valg av settepresident
Presidenten: Presidenten vil foreslå at det velges en
settepresident for Stortingets møte i dag -- og anser det
som vedtatt.
Presidenten vil foreslå Per Ove Width. -- Andre forslag
foreligger ikke, og Per Ove Width anses enstemmig valgt
som settepresident for Stortingets møte i dag.
S a k n r . 1
Innstilling fra kontroll­ og konstitusjonskomiteen om
statsrådets protokoller for tidsrommet 1. januar­30. juni
2005 (Innst. S. nr. 86 (2005­2006))
Presidenten: Ingen har bedt om ordet.
(Votering, se side 1465)
S a k n r . 2
Innstilling fra kontroll­ og konstitusjonskomiteen om
embetsutnemningar m.m. 1. juli 2004­30. juni 2005
(Innst. S. nr. 83 (2005­2006), jf. St.meld. nr. 5 (2005­
2006))
Berit Brørby (A) [10:03:38] (ordfører for saken): Jeg
er glad for å kunne si at stortingsmeldingen om embetsut­
nevninger endelig har fått en form som gir Stortinget
grunnlag for en seriøs vurdering av ulike sider ved statens
embetsutnevnelser. Det er ingen grunn til å legge skjul på
at det har tatt noe tid, men resultatet slik det nå foreligger,
er i samsvar med de ønsker Stortinget har gitt uttrykk for.
Et stadig tilbakevendende tema er manglende balanse
mellom kvinner og menn når det gjelder ansettelser. An­
delen kvinner har ligget relativt stabilt mellom 26 og 31
pst. i perioden 2000--2005. Det er ingen tegn til store end­
ringer. Kvinneandelen blant søkerne derimot, viser en
klar tendens. Det er f.eks. interessant at hele 52 av totalt
75 søkere til jobber i Finansdepartementet i perioden
2004--2005 var kvinner.
Det er fortsatt betydelige forskjeller departementene
imellom. Sterkest ubalanse finner vi i Forsvars­, Justis­ og
Utenriksdepartementet. Ikke én eneste kvinne kom gjen­
nom nåløyet i Forsvarsdepartementet siste periode, på
tross av sterke signaler fra den tidligere forsvarsministe­
ren om tiltak for og satsing på rekruttering av kvinner.
Komiteen deler seg i spørsmålet om en regjering skal
benytte utnevnelsesmyndigheten til å sikre en jevnere for­
deling mellom kvinner og menn i statsforvaltningen. Alle
unntatt Fremskrittspartiet synes at Regjeringen bør ha
kjønnsbalansen med i betraktningene når ansettelser skal
foretas.
Spørsmålet om anonymisering av søkere har flere gan­
ger vært tema under behandlingen av den årlige meldin­
gen om embetsutnevnelser. Dette spørsmålet er relevant i
forhold til ny offentlighetslov, som for tiden er til behand­
ling i Stortinget. Jeg forutsetter derfor at dette spørsmålet
vil bli avklart i den sammenheng.
Presidenten: Flere har bedt om ordet til sak nr. 2.
(Votering, se side 1465)
S a k n r . 3
Innstilling frå kontroll­ og konstitusjonskomiteen om
Riksrevisjonens oppfølging av forvaltningsrevisjoner be­
handlet av Stortinget (Innst. S. nr. 84 (2005­2006), jf.
Dokument nr. 3:1 (2005­2006))
Presidenten: Ingen har bedt om ordet.
(Votering, se side 1465)
S a k n r . 4
Innstilling fra kontroll­ og konstitusjonskomiteen om
Riksrevisjonens undersøkelse om realisering av nytte­
effekter fra IT­prosjekter i trygdeetaten (Innst. S. nr. 81
(2005­2006), jf. Dokument nr. 3:2 (2005­2006))
Svein Roald Hansen (A) [10:07:03] (ordfører for sa­
ken): Om det er tillatt å starte litt uhøytidelig: Denne sa­
ken minner oss om den visjonen som ble forespeilet oss
da pc­en overtok for skrivemaskinen og harddisken skul­

2006
1460 2. mars -- Riksrevisjonens undersøkelse av tjenester fra
laboratorie­ og røntgenvirksomheter
le erstatte arkivskapene: visjonen om det papirløse kon­
tor.
Som vi alle nå vet, synes papirproduksjonen på konto­
rene å vokse minst i takt med antall pc­er, hurtigheten på
nettverkene og økningen i lagringskapasiteten på stadig
flere servere.
Trygdeetaten har kanskje ikke bommet fullt så sterkt
når det gjelder de fire IT­prosjektene Riksrevisjonen har
undersøkt, men avstanden mellom de innsparingene man
tegnet opp i prosjektenes start­ og beslutningsfase, og
dem man har maktet å hente ut, overgår selv skiskytternes
prestasjoner i Torino­OL nylig.
Det er bekymringsfullt at beslutninger om omfattende
IT­investeringer, som også innebærer nye måter å organi­
sere tjenesten på, baseres på vurderinger som i ettertid vi­
ser seg å være så feilaktige når det gjelder den kostnads­
messige effekten av prosjektene.
Nå peker departementet i sine kommentarer på at den
samlede nyttevurdering av prosjektene også må omfatte
de kvalitative sidene. Det er komiteen enig i. Likevel er
det alvorlig at man i vurderingen av de virkningene IT­
systemene skal ha på arbeidskraftsbehovet framover,
bommer så sterkt som man gjør.
Det er i tre av disse prosjektene snakk om en nedjus­
tering av innsparingsmulighetene, fra 600--700 årsverk
til om lag 150. På det fjerde prosjektet, «Ny applikasjon
på hjelpemiddelområdet», reiste undersøkelsen spørs­
mål om jobben ble mer tungvint og tok lenger tid, i til­
legg til at en forespeilet økonomisk gevinst som var be­
regnet til nøyaktig 362 mill. kr, senere ble betraktet som
urealistisk.
Nå skal vi ikke undervurdere kompleksiteten når det
gjelder å beregne innsparingsmuligheter ved slike pro­
sjekter. Men det gjør det likevel bekymringsfullt at under­
søkelsen avdekker store mangler når det gjelder prosjekt­
styringen og oppfølgingen. Det var ikke utarbeidet planer
for å ta ut de forventede gevinstene. Ansvaret for å ta ut
gevinstene ble i stor grad overlatt ytre etat, og rapporterin­
gen som er gitt til departementet, nemlig at målene stort
sett er nådd, viser seg altså å være uten den nødvendige
forbindelse med virkeligheten.
Feil kan man forhåpentligvis lære av. Komiteen har
derfor merket seg at departementet presiserer at trygde­
etaten framover skal arbeide med konkretisering av ge­
vinstmål, målemetoder og dokumentasjon av faktiske ge­
vinster og klargjøring av ansvarsforholdene.
Det er viktig at både etaten selv og departementet får
dette på plass når de nå går inn i gjennomføringen av en
av de største forvaltningsreformene på lenge, nemlig
sammenslåingen av trygdeetaten og A­etat. Den såkalte
NAV­reformen vil kreve mye også på IT­siden. I det ar­
beidet er det mye å spare på å lære av «ælle feil ifrå i
går», dvs. fra de fire prosjektene som Riksrevisjonen nå
har undersøkt.
Presidenten: Flere har ikke bedt om ordet til sak nr. 4.
(Votering, se side 1465)
S a k n r . 5
Innstilling fra kontroll­ og konstitusjonskomiteen om
Riksrevisjonens undersøkelse av tjenester fra laborato­
rie­ og røntgenvirksomheter (Innst. S. nr. 82 (2005­
2006), jf. Dokument nr. 3:3 (2005­2006))
Per­Kristian Foss (H) [10:10:37] (ordfører for saken):
Det er ganske sterk kritikk Riksrevisjonen retter mot hel­
seforetakene i denne rapporten. Det gjelder tre områder:
For det første gjelder det at trygdeetaten ikke har tilstrek­
kelig oppgjørskontroll med refusjonskravene fra private
laboratorier og røntgeninstitutter. For det andre gjelder
det at helseforetakene ikke har tilstrekkelig oversikt over
egne kostnader ved røntgeninstitutter og laboratorier, slik
at man kan foreta en vurdering av økonomien ved å kjøpe
tjenester fremfor å utføre dem i egen regi. Og for det tred­
je sier Riksrevisjonen at undersøkelsene viser at de regio­
nale helseforetakene har inngått avtaler uten at regelver­
ket for offentlige anskaffelser er fulgt.
Jeg skal komme tilbake til det siste. Komiteen har mer­
ket seg at departementet sier at det nå er et arbeid på gang
med sikte på å skaffe seg bedre oversikt over helseforeta­
kene gjennom det såkalte ISF­systemet, basert på «kost­
nad per pasient», slik at helseforetakene bedre kan vurde­
re hensiktsmessigheten i å kjøpe tjenester. Komiteen leg­
ger til grunn at det vil føre til bedre økonomistyring og
også bedre kontroll med refusjonene i trygdeetaten.
Avslutningsvis pekes det på et problem som jeg tror er
mer generelt, at helseforetakene ikke følger god forvalt­
ningspraksis. Det er god forvaltningspraksis å følge regel­
verket for offentlige anskaffelser. Det er likeledes god for­
valtningspraksis å utlyse stillinger og ikke foreta venne­
ansettelser. Det siste knytter jeg til en konkret sak som har
versert i pressen i den senere tid, knyttet til Helse Førde.
Jeg registrerer at styret i ettertid har uttalt at de er fornøyd
og ikke har noen kritikk å komme med. Jeg så at statsrå­
den for noen dager siden bad om en rapport om det som
har skjedd i Helse Førde, både hva gjelder anskaffelser, og
hva gjelder utlysning av stillinger eller manglende utlys­
ning av stillinger. Jeg vil gjerne spørre statsråden om også
hun er fornøyd med styrets «fornøydhet» med sin admi­
nistrasjon.
Harald T. Nesvik (FrP) [10:13:52]: Innledningsvis
vil jeg si: Til alt overmål er jeg enig i det som saksordfører
her kom med. Det er viktige påpekinger som ble gjort.
Men det er en del andre ting som bekymrer veldig
sterkt. Jeg vil rett og slett bruke selve pressemeldingen fra
Riksrevisjonen, datert 21. oktober 2005, hvor de skriver
følgende med uthevet skrift:
«Riksrevisjonen stiller spørsmål ved om de samlede
ressursene til laboratorie­ og røntgentjenester utnyttes
effektivt. De regionale helseforetakene har for lite
kunnskap om laboratorie­ og røntgenvirksomhet i egne
foretak til å kunne vurdere om det er bedre økonomi å
kjøpe tjenester fra private.»
Dersom man skal vurdere hvorvidt det er lønnsomt å
bruke andre produksjonsenheter enn egne, er det i hvert

2. mars -- Riksrevisjonens undersøkelse av tjenester fra
laboratorie­ og røntgenvirksomheter
1461
2006
fall veldig greit å vite hva kostnadene knyttet til egen virk­
somhet er. Fra Riksrevisjonens side ser vi altså at det på­
pekes at man har for liten oversikt i egne helseforetak om
kostnadene knyttet til dette, og da får man også store pro­
blemer med å vurdere andre tilbydere.
Jeg tror det er viktig at vi også har for øye at mye av
den bedringen som er gjort når det gjelder tilgjengelighe­
ten til laboratorie­ og røntgentjenester rundt i Norge, nett­
opp er skjedd ved bruk av private tilbydere som har kom­
met som et godt og viktig supplement til det offentliges
egne tjenester.
Private tilbydere er også viktig for å kunne ha et kor­
rektiv til egne tjenester. Men da må det kunne forventes at
denne rapporten brukes i framtiden til nettopp å få gjort
det grunnleggende arbeidet internt i helseforetakene knyt­
tet til kostnadene og tidsbruken i egen virksomhet.
Jeg håper at statsråden kan tilkjennegi i sitt innlegg et­
terpå at man vil bruke denne undersøkelsen til å ta kostna­
dene i egen virksomhet på alvor, slik at man vet hva man
har å forholde seg til når man skal lyse ut på anbud.
Statsråd Sylvia Brustad [10:16:17]: For det første
vil jeg si at vi tar rapporten fra Riksrevisjonen på største
alvor.
Og så vil jeg si at diagnostisering utført ved medisinsk
laboratorium eller radiologisk poliklinikk er helt nødven­
dig for at en skal få stilt riktig diagnose, og derved også
velge den behandlingsformen som er nødvendig og riktig.
Gjennom Riksrevisjonens undersøkelse av tjenester fra
laboratorie­ og røntgenvirksomheter er det med utgangs­
punkt i årene 2002--2004 gjennomført et omfattende ar­
beid, der et større kildemateriale er innhentet og analysert.
Riksrevisjonen uttaler at trygdeetaten ikke har en tilstrek­
kelig oppgjørskontroll av refusjonskravene fra private la­
boratorier og røntgeninstitutter, slik flere også har påpekt
her i dag. Det framheves at det er nødvendig at Helse­ og
omsorgsdepartementet i samarbeid med Rikstrygdeverket
snarlig gjennomgår og forbedrer denne kontrollen.
Riksrevisjonens undersøkelse viser også at det er be­
hov for å forbedre informasjonen om produksjon og kost­
nader i tjenesten. Det er nødvendig for å kunne følge med
på utgiftsutviklinga, prise tjenestene riktig, og det kan
også bidra til å dempe utgiftsveksten. Informasjon om
kostnader vil også være viktig dokumentasjon for hvor
den enkelte tjeneste kan produseres mest kostnadseffek­
tivt.
Riksrevisjonen forutsetter at regelverket for offentlige
anskaffelser følges når de regionale helseforetakene skal
inngå avtaler med private laboratorier og røntgeninstitut­
ter. Det kan jeg forsikre om at departementet og jeg også
gjør. Det er selvfølgelig slik at regelverket skal følges.
Høsten 2004 ble Trygdeetatens oppgjørsorganisasjon
etablert. Arbeidet med kontroll og utbetaling av helsere­
fusjoner ble konsentrert til færre enheter og i en egen re­
sultatlinje i trygdeetaten. Det foreligger en detaljert risi­
kovurdering og kontrollstrategi for private og offentlige
laboratorier og røntgeninstitutter. Trygdeetatens oppgjørs­
organisasjon har i 2005 arbeidet målrettet for å utvikle
oppgaveløsninga. Det er etablert rutiner, og nå verktøy,
for dokumentasjon av kontroller med tilhørende resulta­
ter.
Trygdeetaten mottok i 2005 i overkant av to millioner
enkeltregninger for tjenester utført ved private laborato­
rie­ og røntgenvirksomheter. Trygdeetatens kontrollvirk­
somhet er følgelig avhengig av automatisert kontroll og
elektronisk verktøy. En ny generasjon kontrollverktøy er
ferdig utarbeidet og skal tas i bruk ved kontroll av refu­
sjonskrav fra private laboratorier og røntgeninstitutter i
løpet av dette året. Det nye kontrollverktøyet bedrer mu­
lighetene for å kontrollere oppgjør manuelt ut fra risiko­
vurderinger.
I begynnelsen av dette året ble det sendt ut en mønster­
avtale til alle private refusjonsmottakere. Mønsteravtalen
gir retningslinjer for direkte oppgjør med trygden. Nær
halvparten av refusjonsmottakerne har så langt signert
denne avtalen. Det gjenstår noen avklaringer i forhold til
de refusjonsmottakerne som pr. i dag ikke har underteg­
net.
I februar 2005 opprettet Rikstrygdeverket et såkalt
takstutvalg for fagfeltet radiologi. Utvalget er et rådgiven­
de organ og er sammensatt av anerkjente radiologer fra
både privat og offentlig sektor. Takstutvalget ble i 2005
forelagt konkrete problemstillinger knyttet til kodebruk
innen offentlig og privat radiologi. Behandlinga i dette ut­
valget og i trygdeetaten resulterte i en presisering av hva
trygdeetaten anser som refusjonsberettiget koding. Dette
vil bli fulgt opp i det videre kontrollarbeidet, og dette ar­
beidet fortsetter i det året vi nå er inne i.
Det er så langt ikke opprettet tilsvarende utvalg innen
laboratoriefagene, men på departementets oppdrag er det
utviklet et nytt kodeverk for laboratoriefagene. Ved hjelp
av dette skal det sikres en entydig og oppdatert beskrivel­
se av aktiviteten som foregår ved landets medisinske labo­
ratorier, og kodeverket blir pr. dags dato utprøvd i et pilot­
prosjekt og forventes å kunne tas i bruk i finansieringsøy­
emed i hvert fall fra 2008.
Refusjonssystemet for poliklinisk radiologi ble evalu­
ert i 2005. Departementet mottok i januar i år en entydig
tilråding fra Sosial­ og helsedirektoratet for videre utvik­
ling av aktivitetsbasert finansiering innen poliklinisk ra­
diologi, og vil arbeide i tråd med denne.
Utgiftene til laboratorie­ og røntgenvirksomhet har,
som Stortinget kjenner til, økt kraftig de senere årene.
Gjennom behandlinga av St.meld. nr. 5 for 2003­2004
vedtok Stortinget å endre rammebetingelsene for tilskud­
det til disse tjenestene. Fra 1. september 2005 er det gjen­
nom lovendring sikret at private virksomheter må ha inn­
gått avtale med regionale helseforetak for at det skal kun­
ne utløses refusjon. Trygdeetaten kontrollerer at det er
samsvar mellom avtale og refusjonskrav. Samtidig er ni­
vået på refusjonene halvert, slik at de regionale helsefore­
takene må drive en mer aktiv medfinansiering enn det de
har gjort tidligere. Dette gjelder private så vel som offent­
lige tjenesteytere. Formålet med endringene har vært at de
regionale helseforetakene skal få økt ansvar og bedre mu­
ligheter til å planlegge og prioritere det samlede tilbudet
om laboratorie­ og radiologitjenester innen egen helsere­
gion.

2006
1462 2. mars -- Riksrevisjonens undersøkelse av myndighetenes
arbeid med å sikre IT­infrastruktur
Helse­ og omsorgsdepartementet forutsetter at de re­
gionale helseforetakene følger lov om offentlige anskaf­
felser ved inngåelse av nye avtaler med private laborato­
rier og røntgeninstitutter. Departementet har fulgt opp re­
gionale helseforetak gjennom foretaksmøtene. I 2004 var
det sterkt fokus på helseforetakenes innkjøpspolitikk, og
departementet framsatte krav om at de regionale helsefore­
takene måtte etablere og vektlegge internkontroll av inn­
kjøp.
Det ble også startet opp et arbeid med sikte på å utar­
beide norske kostnadsvekster i ISF­systemet basert på
«kostnad per pasient». Hensikten var bl.a. å få en sam­
menlignbar kostnadsinformasjon på ulike nivåer fra en­
keltpasienter, deltjenester til pasientgrupper, avdelinger,
sjukehus og helseforetak på alle nivåer og nasjonalt.
Dette vil også være med på å kunne gi et bedre grunnlag
for å sammenlikne kostnadene mellom forskjellige tje­
nesteytere, f.eks. mellom offentlige og private aktører.
De regionale helseforetakene deltar selvsagt aktivt i det­
te arbeidet.
De laboratorie­ og radiologitjenestene som har vært i
fokus i Riksrevisjonens undersøkelse, utføres både ved
private frittstående institusjoner, ved private «ideelle» sju­
kehus og ved helseforetakene. De private frittstående in­
stitusjonene mottar for en stor del rekvisisjoner og henvis­
ninger fra primærhelsetjenesten. Sjukehusene har i langt
større grad et pasienttilfang fra andre deler av spesialist­
helsetjenesten, f.eks. andre poliklinikker ved sjukehuset.
Selv om det i mange tilfeller er nøyaktig de samme under­
søkelsene som utføres ved de forskjellige institusjonene,
er det likevel forhold som tilsier at det er naturlig med
kostnadsforskjeller. Helseforetakene må ha døgnkontinu­
erlige vaktordninger og beredskap i tilfelle det skulle opp­
stå en krisesituasjon. Videre er det naturlig å tenke seg at
et sjukehus har pasienter med større grad av kompleksitet,
med tilhørende lavere funksjonsevne. Helseforetakene
driver også med utstrakt opplæring og undervisning av
helsepersonell.
Jeg vil oppsummere det slik: I forhold til beskrivelsen
i Riksrevisjonens rapport for perioden 2002--2004 tar vi
den på største alvor, og vi skal følge den opp. Det er på
flere områder, slik jeg nå har redegjort for, iverksatt tiltak.
Departementet vil også sørge for å få den kontroll med og
oversikt over privat laboratorie­ og røntgenvirksomhet
som Riksrevisjonen etterlyser.
Til slutt til spørsmålet fra representanten Foss om
situasjonen i Helse Førde. Jeg har uttrykt gjennom Dag­
bladet, og jeg har ingen problemer med å gjenta det her, at
jeg ikke er fornøyd med det jeg har lest om hva som har
foregått, verken i forhold til den såkalte e­postsaken, i for­
hold til innkjøp av møbler eller i forhold til mangel på ut­
lysning av stillinger. Jeg har, som det er redegjort for, bedt
om å få en rapport fra Helse Vest på mitt bord i dag, og jeg
vil avvente den rapporten før jeg sier noe mer om hva jeg
mener om den saken.
Presidenten: Flere har ikke bedt om ordet til sak nr. 5.
(Votering, se side 1465)
S a k n r . 6
Innstilling fra kontroll­ og konstitusjonskomiteen om
Riksrevisjonens undersøkelse av myndighetenes arbeid
med å sikre IT­infrastruktur (Innst. S. nr. 85 (2005­
2006), jf. Dokument nr. 3:4 (2005­2006))
Berit Brørby (A) [10:25:36] (ordfører for saken): Det
er svært positivt at Riksrevisjonen har undersøkt myndig­
hetenes arbeid med å sikre IT­infrastruktur, både i forhold
til å bedre IT­sikkerheten og i forhold til tiltak for å bedre
telesikkerheten.
Formålet med undersøkelsen har vært å vurdere dette
arbeidet opp mot Stortingets vedtak og forutsetninger. Or­
ganiseringen av arbeidet, plan og gjennomføringsproses­
sene og de tiltak som er iverksatt, er vurdert.
Vi har alle daglig fordeler av de enorme tekniske fram­
skritt knyttet til datateknikk og elektronikk som har fun­
net sted i løpet av de siste 50 årene. Den teknologiske ut­
viklingen har gitt oss et helt nytt materielt grunnlag for til­
værelsen. Men det er et paradoks at ved å ta i bruk de mu­
lighetene den teknologiske utvikling gir, utvikles
samfunns­ og leveforhold som er langt mer sårbare enn
før. Dette er fordi bruk av høyteknologi er avhengig av
mange ulike faktorer, og konsekvensene kan bli svært
vidtrekkende om noen ikke fungerer. Mulighet for sabo­
tasje, internasjonal kriminalitet, spionasje eller brudd i te­
lesamband, elektrisitetsforsyning eller betalingssystemer
viser til fulle hvor sårbart samfunnet vårt er blitt.
Det er bred enighet om at IT­sikkerhet skal være et
virksomhetsansvar. Dette ble slått fast under Stortingets
behandling av St.meld. nr. 17 for 2001­2002 om sam­
funnssikkerhet og er blitt fulgt opp gjennom organiserin­
gen av arbeidet. Det er bra. Men når det gjelder ansvars­
fordelingen for koordinering og tverrgående tilsynsopp­
gaver innen IT­sikkerhet, mangler fortsatt grunnleggende
avklaringer. Hva ligger det f.eks. i at Justisdepartementet
skal ha ansvaret for kritisk infrastruktur, og hvilket ansvar
mener departementet det vil ha i en krisesituasjon? Det er
ikke beroligende når Justisdepartementet opplyser at det
ikke er en klar, entydig og tverrsektoriell oversikt over
hva som er samfunnskritisk IT­infrastruktur. Og selv om
det ifølge undersøkelsen er satt i gang noe arbeid for å de­
finere hva som er samfunnskritisk infrastruktur, synes det
så langt ikke å ha fått tilstrekkelig prioritet.
Det kan ikke være tvil om at det er nødvendig å ha kla­
re prosedyrer dersom det skulle oppstå en krisesituasjon.
Da må aktørenes roller være helt krystallklare. Med det
som bakteppe er det urovekkende når Riksrevisjonen også
avdekker uklarhet når det gjelder forståelsen av ansvaret
for IT­sikkerhetsarbeidet, mellom Samferdselsdeparte­
mentet og Moderniseringsdepartementet, nå Fornyings­
departementet. Dette er en uklarhet Regjeringen er nødt
til å ta tak i. Jeg har merket meg at Moderniseringsdepar­
tementet, nå Fornyingsdepartementet, har nedsatt en ar­
beidsgruppe for å avklare de ulike departementenes rolle,
og det er bra.
Jeg synes også det er alvorlig når Riksrevisjonen viser
at Varslingssystem for digital infrastruktur og Senter for

2. mars -- Riksrevisjonens undersøkelse av myndighetenes
arbeid med å sikre IT­infrastruktur
1463
2006
informasjonssikring, som skal fange opp informasjon om
trusler og sårbarhet i IT­infrastrukturen, ikke har nådd ve­
sentlige mål for virksomheten. Forsvarsdepartementets så
vel som Moderniseringsdepartementets -- altså nå Forny­
ingsdepartementets -- kommentarer til Riksrevisjonen
styrker dette inntrykket. Jeg forutsetter at alle implisert
prioriterer arbeidet med å avklare ansvar og sikre en orga­
nisering som ivaretar de oppgaver som skal utføres.
Jeg finner også grunn til å uttrykke forbauselse over at
departementene fram til mai 2005 ikke hadde tatt kontakt
med de utvalgte bransjeorganisasjonene som i henhold til
Nasjonal strategi for informasjonssikkerhet er gitt et med­
ansvar for å ivareta viktige funksjoner. Det har hele tiden
vært en forutsetning, og jeg kan ikke se at det er gitt noen
god begrunnelse for manglende samarbeid.
Videre synes tidligere uenighet rundt plasseringen av
en myndighetsforankret CERT, Computer Emergency
Response Team, å ha medvirket til manglende framdrift.
Komiteen har imidlertid merket seg at Moderniseringsde­
partementet i sitt svar til Riksrevisjonen uttaler at
«Regjeringen 29. august 2005 vedtok å etablere et
permanent nasjonalt koordinerende CERT (Computer
Emergency Response Team). CERT skal legges til
Varslingssystem for digital infrastruktur (VDI) hos
Nasjonal Sikkerhetsmyndighet (NSM), og skal ivareta
varsling, rådgivning, assistanse og analyse for kritisk
infrastruktur/samfunnsviktige funksjoner».
Og videre i brev av 24. oktober 2005:
«I føreliggande St.prp. nr. 1 (2005­2006) ligg det
inne eit forslag om å styrke den operative IT­sikringa
ved å etablera ein eigen eining -- CERT (Computer
Emergency Response Team), ved Nasjonal sikkerhets­
myndighet. Eininga skal handtere alvorlege dataan­
grep retta mot kritisk infrastruktur på nasjonalt plan.
Den nasjonale CERT skal integrerast mot det eksiste­
rande VDI (Varslingssystem for digital infrastruktur).
Den nasjonale CERT/VDI vil bli pålagt å samvirke og
utveksle informasjon med tilstøytande verksemder i
IT­sikringsfeltet som til dømes Post­ og teletilsynet,
Senter for informasjonssikring (SIS) mv.»
En samlet komite understreker viktigheten av at spørs­
mål om ansvar og forhold til andre aktører snarest blir av­
klart.
Det er også alvorlig når Riksrevisjonen viser at plando­
kumentene for oppfølgingen av Nasjonal strategi for in­
formasjonssikkerhet har vært utilstrekkelige, at de som
har hatt ansvaret for samordning, er gitt for få virkemidler,
at finansieringen av tverrsektorielle tiltak har vært under­
vurdert, og at regelverket ikke i tilstrekkelig grad har vært
samordnet. Dette krever aktiv oppfølging fra myndighete­
nes side.
Riksrevisjonen retter særskilt søkelyset på telesikker­
het og ­beredskap. At bare et fåtall av de vedtatte tiltak i
St.meld. nr. 47 for 2000­2001 om telesikkerhet og ­bered­
skap i et telemarked med fri konkurranse er satt ut i livet,
er bekymringsfullt.
Jeg har merket meg departementenes svar, og registre­
rer at det er en rekke tiltak på gang. Det er positivt. Det av­
gjørende er imidlertid om den innsatsen som settes inn, er
tilstrekkelig, om den er strukturert, og om den er helhet­
lig. Jeg forutsetter at både departementet og Riksrevisjo­
nen har et fokus spesielt på dette, og forutsetter at Stortin­
get vil bli holdt orientert om utviklingen.
La meg avslutningsvis peke på at en samlet komite ber
Regjeringen i løpet av 2006 komme tilbake med en rede­
gjørelse til Stortinget om arbeidet med å avklare de over­
ordnede ansvarsforholdene mellom departementene når
det gjelder IT­sikkerhet. Komiteen forutsetter at redegjø­
relsen inneholder en vurdering av krisehåndtering, status
for arbeidet med å fange opp trusler og avdekke sårbarhet.
Samtidig må det stilles tilstrekkelige ressurser til rådighet
slik at arbeidet med å sikre en tilfredsstillende krisebered­
skap og IT­infrastruktur kan gis nødvendig prioritet.
Helt til slutt: I tillegg vil min oppfordring til de berørte
statsråder være at dette arbeidet må intensiveres også på
nordisk plan.
Statsråd Heidi Grande Røys [10:34:13]: Informa­
sjonssystem og nettverk er i dag utsette for stadig fleire
ulike truslar og sårbarheitsfaktorar. Dette reiser nye spørs­
mål omkring sikring og korleis ansvarsforholda på desse
områda er organiserte. Kompleksiteten fordrar ei god, na­
sjonal koordinering av ressursane på området, og eg er di­
for glad for at Riksrevisjonen har føreteke ein forvalt­
ningsrevisjon av dette fagområdet. Vi tek absolutt på al­
vor dei påpeikingane som er komne frå Riksrevisjonen,
og ikkje minst den rimeleg klåre talen som komiteen har
gitt i si innstilling -- det vil eg iallfall forsikre om.
Eg vil gjerne få kommentere nokre av merknadene frå
komiteen til enkelte av funna i Riksrevisjonen si undersø­
king. Statsråd Storberget skal òg kome med kommentarar
i eit innlegg etterpå.
Til det som vedkjem ansvar for koordinering og tverr­
gåande tilsynsoppgåver, skriv komiteen følgjande:
«Når det gjelder ansvarsfordelingen for koordine­
ring og tverrgående tilsynsoppgaver innen IT­sikker­
het, konstaterer komiteen derimot at det fortsatt mang­
ler grunnleggende avklaringer.»
Og vidare:
«Oppsummert anser komiteen at arbeidet med å
sikre IT­sikkerhet synes å lide under manglende koor­
dinering og avklaring av funksjoner, og vil uttrykke
bekymring for situasjonen.»
Mykje av det var jo saksordføraren òg inne på i sitt inn­
legg.
Til det er det å melde at ei avklåring av koordinerings­
ansvaret mellom departementa no er under utgreiing i ei
interdepartemental arbeidsgruppe som er leidd av mitt de­
partement, Fornyings­ og administrasjonsdepartementet.
Eg skal sjølvsagt sørgje for at ansvarsspørsmåla og dei
andre forholda som òg saksordføraren var inne på, vert
tekne opp og lagde fram for Stortinget på ein eigna måte
i løpet av 2006, slik komiteen har bedt om. Eg får resulta­
tet frå den interdepartementale gruppa vonleg i løpet av
ein månad.
Når det gjeld det som går på teletryggleik og ­bered­
skap, er det rett at det berre er eit fåtal av tiltaka i St.meld.
nr. 47 som er ferdigstilte, men svært mykje arbeid er i

2006
1464 2. mars -- Riksrevisjonens undersøkelse av myndighetenes
arbeid med å sikre IT­infrastruktur
gang, og fleire tiltak er gjennomførte. Meldinga har eit
tidsperspektiv på fem år. Fleire av tiltaka krev ytterlegare
konkretisering og utgreiing før dei kan setjast i gang. Like
viktig er det at teknologien og brukarmønstret har endra
seg og ført til at det har vore behov for å revurdere innret­
tinga på enkelte tiltak, f.eks. det som har med prioritet i
nett å gjere, der Post­ og teletilsynet bl.a. på grunn av end­
ring i bruksmønster har valt å jobbe for å få på plass ei tek­
nisk løysing for prioritet i mobilnettet, og ikkje i fastnet­
tet. Dette er jo eit område der teknologien spring fort, og
det kan vere vanskeleg å henge med. Det betyr at ein må
gjere endringar i sine prioriteringar undervegs som kan­
skje krev nye utgreiingar, men eg vil berre understreke at
vi har -- og vi tek -- det største ansvaret for dette. Vi foku­
serer på det, men det hender av og til at ein må snu papira
annleis, rett og slett fordi teknologien og brukarmønstret
endrar seg.
Så til komiteen sine merknader om NorCERT/VDI og
NorSIS:
«Komiteen konstaterer at ingen av de to organene så
langt synes å ha nådd vesentlige mål for virksomhe­
ten.»
«Komiteen imøteser avklaring både på SIS' ansvar
og oppgaver i forhold til relevante faginstanser og
VDIs organisering for å sikre fastsatte mål.»
«Komiteen forutsetter at spørsmålet om plassering,
ansvar og forhold til andre aktører snarest blir avklart.»
Her vil eg understreke -- saksordføraren var òg på slut­
ten av sitt innlegg inne på det -- at Regjeringa og mitt de­
partement tok to viktige grep for å styrkje IT­tryggleiken
i budsjettframlegget for 2006, og Stortinget har allereie
vedteke dei forslaga som låg der. Dette fekk brei omtale i
budsjettproposisjonen frå -- dåverande -- Moderniserings­
departementet.
Senter for informasjonssikring, NorSIS, er permanent
etablert på Gjøvik, og eit nasjonalt varslings­ og hjelpeor­
gan, NorCERT, er permanent etablert ved Nasjonal sik­
kerhetsmyndighet.
NorCERT er no fullt ut integrert med varslingssystem
for digital infrastruktur, VDI, i Nasjonal sikkerhetsmyn­
dighet.
Ansvar og oppgåver vart beskrivne i budsjettproposi­
sjonen. Det er slik at NorCERT skal stå for varsling og as­
sistanse ved tryggleiksbrot spesielt mot kritisk infrastruk­
tur, mens NorSIS skal drive forebyggjande arbeid retta
mot små og mellomstore verksemder i offentleg og privat
sektor, inkludert kommunane.
I lag gjer NorCERT, NorSIS, Post­ og teletilsynet, Kre­
dittilsynet og andre sektoraktørar, i samarbeid med priva­
te aktørar, ein betydeleg innsats for å styrkje IT­trygglei­
ken i landet.
Som sagt: Vi tek på alvor det som er påpeika av Riks­
revisjonen, som er forsterka og understreka av komite­
en. Nokre tiltak har vi fått på plass. Vi er i gang med
andre, og eg skal som sagt kome tilbake til Stortinget på
eigna måte i løpet av året for å rapportere resultat når
det gjeld ytterlegare forhold som er nemnde i innstillin­
ga.
Statsråd Knut Storberget [10:39:44]: La meg også
gi uttrykk for at den forvaltningsrevisjonen som her er
foretatt, er absolutt nødvendig, og vi hilser den velkom­
men.
En betraktning innledningsvis i forhold til IT­struktu­
ren må jo være at vi står overfor to sett av utfordringer. For
det første står vi overfor en teknologiutvikling som for
mange blir mer og mer komplisert, og det vil kunne ram­
me oss i mye større grad enn andre typer angrep mot sam­
funnets virksomheter. Vi er blitt mer sårbare, og vi har
kanskje en følelse av -- og en reell situasjon -- at teknolo­
gien er rimelig utilgjengelig. Det gjør sitt til at den forvalt­
ningsrevisjonen og de påpekinger som komiteen nå gjør
seg, er særdeles viktig og skal tas på høyeste alvor. Det er
det ene.
Den andre utfordringen, som for så vidt henger
sammen med det første, er spørsmålet om ansvaret. Det
ikke å få kartlagt hvor ansvaret ligger, at man har en uklar
ansvarssituasjon, er vel en av de største utfordringene vi
har i forhold til samfunnets sikkerhet og sårbarhetssitua­
sjonen. Det at ansvaret pulveriseres på mange områder
hvor vi slåss for å øke samfunnets sikkerhet, som Riksre­
visjonen i realiteten peker på, og som komitelederen etter
mitt skjønn gir en god beskrivelse av, er en av våre største
utfordringer. Ansvaret må ikke pulveriseres.
Jeg merker meg at Riksrevisjonens undersøkelser viser
at myndighetenes arbeid med IT­sikkerhet preges av man­
ge aktører og uklare ansvarsforhold. En avklaring av de­
partementenes koordinerings­ og sektoransvar er nå, som
også fornyingsministeren var inne på, under utredning i
en interdepartemental arbeidsgruppe, og der deltar også
Justisdepartementet aktivt. Og alle har stor interesse av at
dette ansvaret avklares, ikke bare for dem som skal ha an­
svar, men selvfølgelig også for dem som ikke har samme
type ansvar eller samme helhetsansvar som andre aktører
måtte ha. Vi har med andre ord stor interesse av å få av­
klart dette ansvarsforholdet for å gjøre sikkerhetsarbeidet
optimalt.
Jeg vil også framheve at IT­sikkerhet spesielt, og sik­
ring av kritisk infrastruktur generelt, først og fremst er et
sektoransvar som følger ansvarsprinsippet. Dette betyr at
ansvar for sikring av kritisk infrastruktur ligger hos eieren
og/eller operatøren av infrastrukturen. Dette ansvaret er
således ikke skilt ut som noe eget fagområde løsrevet fra
det øvrige ansvaret innenfor en sektor. Derfor er det vik­
tig, særlig for oss i Justisdepartementet, nettopp å gå ak­
tivt inn i dette arbeidet for å få avklart spørsmålet om an­
svar, slik at ikke uklarhet lammer oss unødig.
Komiteens bestilling og forutsetning om å komme til­
bake til Stortinget raskt, og i løpet av 2006, er, som forny­
ingsministeren nå var inne på, et arbeid som vil bli gitt
høy prioritet. Det vil selvfølgelig også bli etterkommet
overfor Stortinget. I forhold til det ansvaret som Justisde­
partementet har, vil jeg bidra til at dette viktige arbeidet
gis høy prioritet.
Presidenten: Flere har ikke bedt om ordet til sak nr. 6.
(Votering, se side 1465)

2. mars -- Referat 1465
2006
Etter at det var ringt til votering i 5 minutter, uttalte
presidenten: Stortinget er da klar til å votere over sa­
kene på dagens kart.
Votering i sak nr. 1
Komiteen hadde innstilt:
Statsrådets protokoller for tidsrommet 1. januar­
30. juni 2005 -- vedkommende:
Statsministerens kontor
Arbeids­ og sosialdepartementet
Barne­ og familiedepartementet
Finansdepartementet
Fiskeri­ og kystdepartementet
Forsvarsdepartementet
Helse­ og omsorgsdepartementet
Justis­ og politidepartementet
Kommunal­ og regionaldepartementet
Kultur­ og kirkedepartementet
Landbruks­ og matdepartementet
Miljøverndepartementet
Moderniseringsdepartementet
Nærings­ og handelsdepartementet
Olje­ og energidepartementet
Samferdselsdepartementet
Utdannings­ og forskningsdepartementet
Utenriksdepartementet og
Utenriksdepartementet -- utviklingssaker
-- vedlegges protokollen.
V o t e r i n g :
Komiteens innstilling ble enstemmig bifalt.
Votering i sak nr. 2
Komiteen hadde innstilt:
St.meld. nr. 5 (2005­2006) -- embetsutnemningar m.m.
1. juli 2004­30. juni 2005 -- vedlegges protokollen.
V o t e r i n g :
Komiteens innstilling ble enstemmig bifalt.
Votering i sak nr. 3
Komiteen hadde innstilt:
Dokument nr. 3:1 (2005­2006) Riksrevisjonens opp­
følging av forvaltningsrevisjoner behandlet av Stortinget
-- vert lagt ved protokollen.
V o t e r i n g :
Komiteens innstilling ble enstemmig bifalt.
Votering i sak nr. 4
Komiteen hadde innstilt:
Dokument nr. 3:2 -- Riksrevisjonens undersøkelse om
realisering av nytteeffekter fra IT­prosjekter i trygdeeta­
ten -- vedlegges protokollen.
V o t e r i n g :
Komiteens innstilling ble enstemmig bifalt.
Votering i sak nr. 5
Komiteen hadde innstilt:
Dokument nr. 3:3 (2005­2006) -- om Riksrevisjonens
undersøkelse av tjenester fra laboratorie­ og røntgenvirk­
somheter -- vedlegges protokollen.
V o t e r i n g :
Komiteens innstilling ble enstemmig bifalt.
Votering i sak nr. 6
Komiteen hadde innstilt:
Dokument nr. 3:4 (2005­2006) -- om Riksrevisjonens
undersøkelse av myndighetenes arbeid med å sikre IT­ in­
frastruktur -- vedlegges protokollen.
V o t e r i n g :
Komiteens innstilling ble enstemmig bifalt.
S a k n r . 7
Referat
Presidenten: Det foreligger ikke noe referat.
Dermed er dagens kart ferdigbehandlet. Forlanger
noen ordet i henhold til forretningsordenens § 37a før mø­
tet heves? -- Møtet er hevet.
Møtet hevet kl. 10.53.