Modenhetsvurdering Cybersikkerhet - Sikkerhet og risikostyring

Oppdragsbeskrivelse:

I 2024 ble det gjennomført en modenhetsvurdering av Sykehuspartners arbeid med cybersikkerhets ut fra anbefalingene i NIST Cybersecurity Framework (CSF) versjon 2.0. Videre ble det vurdert etterlevelse av NSMs grunnprinsipper for IKT-sikkerhet (NSMs GP IKT), basert på standardiserte koblinger mellom NIST CSF og NSMs GP IKT. Sykehuspartner søker nå å gjennomføre en oppdatert modenhetsvurdering av arbeidet med cybersikkerhet. Modenhetsvurderingen skal baseres på samme metodiske tilnærming og med utgangspunkt i funn og anbefalinger fra 2024. Formålet er å vurdere dagens modenhetsnivå, samt å få anbefalinger for videre arbeid med å styrke cybersikkerheten.

Hovedaktiviteter for modenhetsvurderingen:

• Gjennomgå og sette seg inn i tidligere modenhetsvurderinger, herunder funn, vurderinger og anbefalinger fra 2024

• Planlegge og gjennomføre intervjuer med utvalgte nøkkelpersoner i virksomheten • Innhente, gjennomgå og analysere relevant dokumentasjon

• Vurdere Sykehuspartners etterlevelse av anbefalingene i NIST CSF og NSMs grunnprinsipper for IKT-sikkerhet

• Analysere nåværende modenhetsnivå og identifisere endringer og utvikling siden forrige vurdering

• Sammenligne Sykehuspartners modenhetsnivå som IT-tjenesteleverandør med relevante peers innen helsesektoren, både nasjonalt og internasjonalt, og mot sammenlignbare IT-leverandører på tvers av bransjer. • Utarbeide tydelige og prioriterte anbefalinger for det videre arbeidet

• Dokumentere og presentere resultatene i en strukturert sluttrapport

Forventet resultat:

• Sluttrapporten skal som minimum inneholde:

o En helhetlig og strukturert oversikt over Sykehuspartners nåværende modenhetsnivå innen cybersikkerhet

o En vurdering av utvikling og endringer i modenhetsnivå siden forrige vurdering

o Tydelige og begrunnede anbefalinger for videre forbedringsarbeid

• Excelregneark med detaljerte vurderinger, minimum ett regneark per rammeverk (NIST CSF og NSMs GPIKT). Regnearkene skal inneholde:

o Samtlige vurderinger med modenhetsnivå o Tilhørende kommentarer og begrunnelser

Sykehuspartner skal ha fullt eierskap og ubegrensede bruksrettigheter til rapport og Excelmaterialet. Excelregnearkene skal i tillegg være strukturert på en slik måte at de enkelt kan brukes til videre oppfølging av Sykehuspartner, uten bistand fra leverandør.

Erfaring og kompetanse

• Må vise til tidligere arbeid med modenhetsvurderinger.

• Dokumentert erfaring med å gjennomføre tilsvarende vurderinger for større virksomheter.

• Dokumentert erfaring med strategisk informasjonssikkerhetsarbeid enten i større virksomheter – enten offentlig eller privat sektor.

• Dokumentert erfaring med NIST CSF og NSMs grunnprinsipper for IKT sikkerhet

For dette avropet gjelder følgende standardavtale SSA-O

Omfang og varighet: Fra 16.02.2026 til 17.05.2026 Oppdraget ønskes gjennomført våren 2026 med rapport levert innen 4. mai. Konsulentene må regne med ulik belastning i perioden. Tilbudte konsulenter må være tilgjengelige for kunde i hele perioden. Det må regnes med at ferie må avvikles i påskeuken.

Arbeidssted: Arbeidssted Alle møter vil foregå i våre lokaler på Skøyen eller på Teams når det vurderes som mest hensiktsmessig.

Søknadsfrist: 4.2