Referat: 27. februar 2024 kl. 08:00

Kopier link til punktet  -   Print

1: Godkendelse af dagsorden

Sagsnr:

Ingen bilag.

Godkendt.

• Niels Rasmussen ()

Kopier link til punktet  -   Print

2: Databeskyttelsesrådgiverens årlige rapport for 2023

Sagsnr: 24-001533

Databeskyttelsesrådgiveren rådgiver om korrekt databeskyttelse i kommunen og er kontaktperson for kommunens borgere og Datatilsynet vedrørende behandlingen af personoplysninger.

Som en del af opgaven udarbejder databeskyttelsesrådgiveren en årlig rapport til Byrådet om sit arbejde.

Databeskyttelsesrådgiveren aflægger nu sin rapport for 2023.

Sammenfattende er rapportens konklusion, at der stadig er stort fokus i organisationen på at arbejde med stor omhyggelighed på at passe godt på borgernes data – vi låner dem bare!

Der er stadig og vil være fremover brug for en vedvarende indsats til at sikre et passende sikkerhedsniveau.

Kommunens øverste it-sikkerhedsansvarlige Jesper Lemming har ingen bemærkninger til rapporten.

Databeskyttelsesrådgiver Jette Rask deltager i orienteringen.

Databeskyttelsesforordningen art. 38 stk. 3

Økonomiudvalget bedes tage rapporten til efterretning og videresende til Byrådet. 

• Rapport fra Databeskyttelsesrådgiver for 2023

Taget til efterretning. Videresendes til Byrådet.

• Niels Rasmussen ()

Kopier link til punktet  -   Print

3: Implementering af cybersikkerhedsprogram og NIS2

Sagsnr: 24-001275

Formålet med sagsfremstillingen er, at orientere Økonomiudvalget om nødvendigheden for at iværksætte et større cybersikkerhedsprogram på baggrund af det forestående NIS2-direktiv fra EU, samt det aktuelle trusselsbillede for cybersikkerhed.

Sagsfremstillingen beskriver samtidig, hvordan Personale og Digitalisering i 2024 kan dække omkostninger til den øgede cybersikkerhed gennem omprioriteringer, mens det indstilles, at fremadrettede omkostninger indgår i Økonomiudvalgets budgetdrøftelser i foråret 2024.

---

Da Ringkøbing-Skjern Kommune ønsker at handle med rettidig omhu, gennemførte staben Personale og Digitalisering i august 2023 en GAB-analyse af kommunen IT-sikkerhedsniveau. Analysen er blevet til i samarbejde med sikkerhedsfirmaet Dediko, og på baggrund af den internationale standard, CIS (Center for Internet Security, version 8).

Formålet med analysen har været 1) at synliggøre det aktuelle sikkerhedsniveau, 2) at klarlægge hvilket sikkerhedsniveau, der er hensigtsmæssigt med afsæt i kommunens behov for sikkerhed, samt 3) at afdække hvilke tiltag, der er nødvendige for at nå det ønskede sikkerhedsniveau.

Konklusionen er, at Ringkøbing-Skjern Kommune på nuværende tidspunkt har et for lavt sikkerhedsniveau i forhold til det fremadrettede trusselsbillede. Hvis kommunen skal op på det nødvendige sikkerhedsniveau, skal der gennemføres en række større tiltag.

Det aktuelle trusselsbillede

Center for Cybersikkerhed (CFCS) vurderer årligt cybertruslen mod Danmark. I rapporten for 2023 fremhæves det særligt, at krigen i Ukraine har betydning for det aktuelle trusselsbillede. Ringkøbing-Skjern Kommune oplever selv, at der er større aktivitet fra hackere med russiske IP-adresser, og seneste eksempel på et russisk hackerangreb mod en offentlig sektor er fra januar 2024, hvor et offentligt lønsystem i Sverige blev hacket.

Ifølge CFCS, er truslen fra cyberaktivisme høj, mens truslen fra cyberkriminalitet er meget høj. Cyberkriminalitet ses primært i form af ransomware-angreb, hvor organiserede kriminelle grupper får adgang til data, krypterer dem og kræver løsesum for at dekryptere dem. For Ringkøbing-Skjern Kommune vil ransomware-angreb kunne betyde, at organisationen ikke har adgang til kritiske IT-systemer, og derfor ikke kan løse en lang række opgaver. Ofte vil data efterfølgende blive lækket. Et eksempel på dette er Härjedalen Kommune i Sverige, som den 23. december 2023 blev ramt af ransomware. Angrebet har særligt været alvorligt for ældreområdet, og det forventes, at tage flere måneder førend kommunens drift er tilbage på et normalt niveau. Andre eksempler på ransomware-angreb er Vestas, som blev ramt af et angreb i november 2019, Energisektoren, som blev ramt af et angreb i maj 2023, og EUD Syd og IT-Center Syd som på baggrund af et hackerangreb havde et større datalæk i august 2023.

Ringkøbing-Skjern Kommunes situation er på linje med andre sammenlignelige kommuner, som forventelig også står overfor investeringer i forhold til cybersikkerhed. I en baseline-undersøgelse af KL fremgår det, at kommunens IT-sikkerhedsniveau, der er tilsvarende gennemsnittet af øvrige kommuner.

NIS2-direktivet

Vigtigheden af at der tages hånd om cybersikkerheden underbygges af Net- og Informationssikkerhedsdirektivet (NIS2-direktivet), som træder i kraft 17. oktober 2024.

EU opdaterede i 2023 NIS2-direktivet på baggrund af den stigende trussel mod europæiske informationssystemer og -netværk. Direktivet medfører skærpede krav til håndtering af cyber- og informationssikkerhed, herunder også en skærpelse af ansvarsbestemmelserne i forhold til, at øverste ledelse har et personligt ansvar for cybersikkerhed.

NIS2 har til formål at sikre infrastrukturen og samfundskritiske tjenester mod nedbrud, ved at stille krav om et ensartet niveau af cyber- og informationssikkerhed på tværs af EU. Heriblandt et formaliseret cybersikkerhedsprogram og en Incidens Response aftale (øjeblikkelig hjælp i forbindelse med cyberangreb).

Som en del af det nødvendige sikkerhedsniveau i Ringkøbing-Skjern Kommune implementeres der, hvis indsatsen besluttes med budget 2025, et formaliseret cybersikkerhedsprogram, som forankres hos øverste kommunale ledelse, jævnfør NIS2.

De nødvendige tiltag i Ringkøbing-Skjern Kommune

Med cybersikkerhedstiltagene vil IT-afdelingen kvartalsvis afrapportere det aktuelle sikkerhedsniveau, samt planlagte tiltag for at løfte/vedligeholde sikkerhedsniveauet, så øverste kommunale ledelse er orienteret om den aktuelle status, og løbende kan vurdere, om sikkerheden er på et tilstrækkeligt niveau.

Cybersikkerhedsprogrammet vil sikre struktur og styring af, hvilket sikkerhedsniveau kommunen har, både i forhold til køb og integrering af nødvendige systemer, samt hvordan systemerne fungerer ind i den eksisterende IT-arkitektur. 

Da cybertruslen løbende ændres og udvikles, har IT-afdelingen et kontinuerligt fokus på kommunens sikkerhedsniveau og behov for eventuelle ændringer. Det betyder, at der efter implementering af cybersikkerhedsprogrammet fortsat vil være behov for de personaleressourcer, som analyserer og vurderer kommunens aktuelle sikkerhedsbehov, ligesom udgiften til systemlicenser og -aftaler vil fortsætte efter implementering af cybersikkerhedsprogrammet for at fastholde sikkerhedsniveauet.

IT-afdelingen er meget opmærksom på, at medarbejderne i organisationen mærker mindst muligt til de sikkerhedstiltag, der er nødvendige. På nuværende tidspunkt er medarbejderne mødt med et behov for længere passwords samt øget awareness.

Omkostninger i forbindelse med cybersikkerhed

For at kunne opnå det cybersikkerhedsniveau, som er nødvendigt i forhold til NIS2, trusselsbilledet samt sensitiviteten af de data kommunen håndterer og opbevarer, er der behov for tilførsel af budgetmidler på 6,5 millioner kr. årligt.

Omkostningerne til det øgede sikkerhedsniveau fordeler sig på systemlicenser og -aftaler samt øget behov for personaleressourcer svarende til tre stillinger, hvoraf IT-afdelingen finansierer den ene af eget budget.

I oktober og november 2023 gennemførte IT Optima en IT-benchmarkanalyse af kommunen, som blandt andet sammenligner kommunens udgift til IT-omkostninger med øvrige kommuner. Af analysen fremgår det, at kommunens omkostninger til IT gennemsnitligt ligger 6,7 procentpoint lavere end sammenlignelige kommuner.

Personale og Digitalisering vurderer, at en række sikkerhedstiltag har været kritiske at få på plads, hvorfor der inden for IT-budgettet er fundet ressourcer til cybersikkerhedsprogrammet i 2024. Det er blandt andet sket ved at udskyde udskiftning af servere samt centrale routere, hvor det har været muligt at forlænge servicen. Dertil har det undtagelsesvist været muligt at udskyde nogle af de investeringer, der sædvanligvis kører i en tre-årig kadence, så kommunens grundlæggende IT-infrastruktur kan leve op til fællesoffentlige standarder samt krav fra leverandører af fagsystemer.

Fælles for tiltagene er, at det er nødvendige investeringer, hvorfor der kun er fundet ressourcer til indsatsen for 2024. Det foreslås derfor, at behovet for investeringer fra 2025 skal indgå i Økonomiudvalgets budgetdrøftelser i foråret 2024.

NIS2 direktivet træder i kraft i EU senest den 17. oktober 2024, med en forventet implementering i Danmark inden udgangen af 2024.

Det samlede behov for investering i cybersikkerhed er på baggrund af GAB-analysen opgjort til 6,5 mio. kr. Gennem omprioriteringer er der inden for det eksisterende IT-budget fundet midler til at dække investeringerne i 2024. Midlerne henhører under det samlede beløb, som Personale og Digitalisering fremsender til Økonomi som overførsler fra 2023-2024.

Det foreslås, at det fremtidige behov for investeringer fra 2025 skal indgå i Økonomiudvalgets budgetdrøftelser i foråret 2024.

Ingen bemærkninger.

Administrationen indstiller, at Økonomiudvalget,

• Godkender, at Personale og Digitalisering foretager de nødvendige investeringer i cybersikkerhed i 2024 med udgangspunkt i de forventede overførte midler på IT-budgettet fra 2023-2024.

   

• At omkostninger til cybersikkerhed fra 2025 og frem indgår i Økonomiudvalgets budgetdrøftelser i foråret 2024

Ingen bilag.

Administrationens indstilling godkendt.

• Niels Rasmussen ()

Kopier link til punktet  -   Print

4: Konkurrenceudsættelse og OPP

Sagsnr: 23-002091

Økonomiudvalget drøftede på sit møde den 12. september 2023 punkt 2 kommunens tilgang til konkurrenceudsættelse og OPP. Beslutningen på mødet var, at alle fagudvalg skulle drøfte status for konkurrenceudsættelse og OPP samt muligheder og potentialer.

Punktet har nu været behandlet i fagudvalgene og tilbagemeldingen har været, at udvalgene ikke på nuværende tidspunkt ønsker igangsat foranalyser. Der var enkelte bemærkninger:

Sundhed- og omsorgsudvalget noterer sig, at der pågår et arbejde med at få kvalificeret om vores madproduktion til borgere eventuelt skal konkurrenceudsættes. Herudover ønskede udvalget, at administrationen løbende er opmærksom på mulige udliciteringer og OPP samarbejder og ønsker sådanne forelagt udvalget.

Teknik- og Miljøudvalget bemærker, at de synes at der er en fin balance på området. 

Økonomiudvalget drøftede sagen den 19. december og havde særligt fokus på ejendomsstrategien.

Ingen bemærkninger.

Ingen bemærkninger.

Ingen bemærkninger.

Administrationen indstiller, at Økonomiudvalget tager tilbagemeldingerne fra fagudvalgene til efterretning og at sagen ikke sendes videre i Byrådet.

Ingen bilag.

Administrationens indstilling godkendt.

• Niels Rasmussen ()

Kopier link til punktet  -   Print

5: Høring over lovforslag om statsligt udpegede energiparker

Sagsnr: 24-004002

Formålet med denne sagsfremstilling er at træffe beslutning om eventuelt høringssvar til forslag til lov om statsligt udpegede energiparker.

Baggrund
Plan- og Landdistriktsstyrelsen har sendt forslag til lov om statsligt udpegede energiparker i høring. Lovforslaget udmønter dele af ”Klimaaftale om mere grøn energi fra sol og vind på land 2023 – Rammevilkår til fremme af VE-udbygningen på land”.

Med loven skal statsligt udpegede energiparker gives særlige vilkår, der bl.a. lemper hensyn til arealbeskyttelse og dermed gør det nemmere og hurtigere at få tilladelser og dispensationer til opstilling af vedvarende energi, herunder i forhold til placering af PtX-anlæg og virksomheder i tilknytning til energiparkerne. Høringsbrev og lovforslag er vedlagt.

Lovforslagets væsentlige indhold
Ministeren for byer og landdistrikter kan med kommunalbestyrelsens tilslutning udpege energiparker ved bekendtgørelse med hjemmel i den foreslåede lov om statsligt udpegede energiparker.

Et areal kan udpeges som energipark, hvis 1) det forventes at kunne rumme vindmøller, solcelleanlæg eller en blanding heraf med en samlet årlig elproduktion på minimum 100 GWh, og 2) nationale interesser ikke taler afgørende imod udpegningen.

Det vil også være muligt at udpege et areal, der ikke rummer mulighed for opstilling af vindmøller eller solcelleanlæg, hvis arealet udpeges med henblik på at fremme muligheder for etablering af PtX-anlæg og anden erhvervsmæssig bebyggelse ved havvindmølleparkers landanlæg. Ministeren vil i udpegningen af en energipark kunne muliggøre udlæg af byzonearealer i det åbne land med henblik på PtX-anlæg eller anden erhvervsmæssig bebyggelse i energiparken.

Administrative bemærkninger
Byrådet lægger med revision af kommuneplanens retningslinjer for vedvarende energianlæg op til, at der i kommunen skal gives mulighed for etablering af én større energipark indeholdende vindmøller, solceller og Power-to-X anlæg, hvor energiparken kan bestå af flere geografiske adskilte lokaliteter.

Byrådet har endvidere givet signal om at igangsætte planlægningen for Megaton energipark.

Konkret har byrådet udlagt et erhvervsområde ved Stovstrup øst for Tarm, hvor der er mulighed for placering af energikrævende erhverv. Her vil der kunne planlægges for Power-to-X og andre erhverv - eventuelt som en del af en energipark.

Administrationen anbefaler, at den politiske stillingtagen til, hvorvidt der skal udpeges statslige energiparker i Ringkøbing-Skjern Kommune afventer kommunens proces for behandling af indkomne VE-ansøgninger. Herefter kan det vurderes, hvorvidt udpegning til statslige energipark kan medvirke positivt til at nå byrådets målsætninger.

Administrationen anbefaler imidlertid, at udvalget overvejer, hvorvidt der skal gives høringssvar og dermed søges at påvirke lovens udformning til i højere grad at sikre følgende to forhold:

1. at en statslig udpeget energipark bør kunne bestå af flere geografisk adskilte lokaliteter.
2. at et erhvervsområde til energiforbrugende virksomheder ved en 400 kV station kan blive omfattet af loven, uanset om der etableres landanlæg for en havvindmøllepark i området.

Ad 1. en statslig udpeget energipark bør kunne bestå af flere geografisk adskilte lokaliteter:
Af lovforslaget fremgår, at loven skal give mulighed for etablering af VE-anlæg på større, sammenhængende områder, hvor det i dag er vanskeligt eller ikke muligt. Der er ikke i lovforslaget lagt op til, at én energipark kan bestå af flere områder spredt på forskellige geografiske lokaliteter i kommunen. Ringkøbing-Skjern Kommune arbejder ud fra et koncept, hvor en energipark kan bestå af flere områder spredt på flere forskellige geografiske lokaliteter. Fordelene herved er, at der kan sikres den mest hensigtsmæssige placering af vindmøller og solceller, der leverer strøm til ét stort PtX-anlæg.

Ved at placere solceller og vindmøller på flere lokaliteter er der større sandsynlighed for, at den samlede energipark kan indpasses i landskabet under hensyntagen til lokale og statslige interesser. 

Ved at placere ét stort PtX-anlæg i et erhvervsområde tæt på 400 kV nettet frem for at placere det i tilknytning til VE-anlægget, gives der mulighed for at udvikle et erhvervsområde på en hensigtsmæssig placering, hvor synergi mellem fremtidens erhvervsformer kan placeres i samspil med el-nette og den kommende brintforbindelse.

Ad 2. Et erhvervsområde til energiforbrugende virksomheder ved en 400 kV station bør blive omfattet af loven:
Lovforslaget vil give mulighed for, at der undtagelsesvis kan udpeges energiparker uden VE-producerende anlæg – nemlig når det sker med henblik på at forbedre mulighederne for etablering af PtX-anlæg og anden erhvervsmæssig bebyggelse ved landanlæg til havvindmøller. Ringkøbing-Skjern kommune kan opfordre til, at dette også kommer til at omfatte PtX-anlæg og anden erhvervsmæssig bebyggelse, der placeres i forbindelse med 400 kV-stationer uanset, om der etableres landanlæg til havvindmøller. En placering af elforbrugende virksomheder på en sådan placering vil efter kommunens overbevisning i høj grad være med til at støtte op om lovens formål samt være med til at aflaste og udveksle med elnettet og dermed understøtte et stabilt elnet.

Forslag til lov om statsligt udpegede energiparker.

Ingen bemærkninger.

Udpegning af statslige energiparker kan understøtte kommunens strategiske energiplan og klimapolitikkens mål om klimaneutralitet i 2050.

Administrationen anbefaler, at økonomiudvalget beslutter,

1. at der afgives høringssvar, hvor det opfordres til, at lov om statsligt udpegede energiparker sikrer, at en statslig udpeget energipark vil kunne bestå af flere geografisk adskilte lokaliteter samt at et erhvervsområde til energiforbrugende virksomheder ved en 400 kV station kan blive omfattet af loven.
2. at administrationens bemærkninger danner grundlag for kommunens høringssvar.

• Høringsbrev
• Forslag til lov om statsligt udpegede energiparker

Administrationens indstilling godkendt.

• Niels Rasmussen ()

Kopier link til punktet  -   Print

6: Årsberetning 2023 for whistleblowerordningen ved Ringkøbing-Skjern Kommune

Sagsnr: 24-002236

Efter whistleblowerloven skal kommunen mindst én gang årligt afgive årsberetning for de sager, som er behandlet i ordningen, og for sin virksomhed i forbindelse med ordningen. Årsberetningen har til formål at sikre offentligheden adgang til oplysninger om den generelle aktivitet i whistleblowerordningen det seneste år.

Årsberetningen offentliggøres på kommunens hjemmeside hurtigst muligt efter orientering i Økonomiudvalget.

Økonomiudvalget modtager hermed årsberetningen for det andet år, ordningen har været i kraft.

Myndigheder, der er omfattet af Offentlighedsloven, skal mindst én gang årligt offentliggøre oplysninger om deres virksomhed efter Whistleblowerloven, jf. lov om beskyttelse af whistleblowere § 27.

Whistleblowerordningen ved Ringkøbing-Skjern Kommune har fungeret siden den 17. december 2021, og der er offentliggjort en beretning for 2022, som findes på kommunens hjemmeside.

Forhold, der kan indberettes til whistleblowerordningen, er overtrædelser eller mistanke herom af:

• Særlige områder inden for EU-retten, fx databeskyttelse, folkesundhed og offentlige udbud.
• Strafbare forhold, fx brud på tavshedspligt og økonomisk kriminalitet (tyveri, svig, underslæb, bedrageri, bestikkelse m.v.).
• Grove el. gentagne overtrædelser af anden lovgivning, fx forvaltningslov, offentlighedslov, sektorlovgivning. Desuden grove eller gentagne overtrædelser af forvaltningsretlige principper, herunder undersøgelsesprincippet, krav om saglighed, magtfordrejningsgrundsætningen og proportionalitet skal kunne indberettes.
• Seksuel chikane el. andre personrelaterede konflikter på arbejdspladsen, fx grov chikane.

Indberetninger til whistleblowerordningen kan foretages af kommunens medarbejdere samt medarbejdere ved kommunens leverandører/samarbejdspartnere. Indberetningerne kan være anonyme og foretages via hjemmesiden.

Ringkøbing-Skjern Kommune har indgået en aftale med KL om visitering af alle indberetninger med henblik på at fastslå, om indberetningen falder ind under WB-ordningen. I forbindelse med visiteringen har KL en kortere dialog med kommunens uafhængige whistleblowerenhed om den enkelte indberetning.

Whistleblowerenheden består af stabschefen for Personale og Digitalisering, næstformanden i HovedMED, en personalejurist og kommunens DPO.

Årsberetning for 2023

”I 2023 har whistleblowerordningen modtaget to anonyme indberetninger, hvoraf én er afvist og én er realitetsbehandlet.

Den ene af indberetningerne faldt uden for ordningen, hvilket medførte at sagen blev afvist. Whistlebloweren blev henvist til at henvende sig til ledelsen på det pågældende område med henblik på en konkret løsning af forholdene.

Den anden indberetning var omfattet af whistleblowerordningen, idet den vedrørte et muligt alvorligt forhold om upassende adfærd af chikanøs karakter. Whistleblowerenheden iværksatte en intern undersøgelse for nærmere at afdække forholdet. Efter en grundig undersøgelse og opfølgning i det pågældende fagområde, vurderede enheden, at der ikke var grundlag for politianmeldelse.

I den anden indberetning indgik også et forhold, som på det foreliggende grundlag faldt uden for ordningen og derfor blev afvist. Whistlebloweren har fået besked om resultatet af behandlingen.”

Ovenstående årsberetning offentliggøres på kommunens hjemmeside.

Konkluderende

Whistleblowerenheden vurderer, at ordningen er velfungerende, herunder at samarbejdet med KL fungerer tilfredsstillende, idet der er en god dialog i forbindelse med indberetninger.

Lov nr. 1436 af 29. juni 2021 om beskyttelse af whistleblowere.

Whistleblowerenheden indstiller, at Økonomiudvalget tager årsberetningen og dens offentliggørelse til efterretning.

Ingen bilag.

Taget til efterretning.

• Niels Rasmussen ()

Kopier link til punktet  -   Print

7LUKKET PUNKT: Ophævelse af kondemnering

Sagsnr: 22-024785

Administrationens indstilling godkendt.

Kopier link til punktet  -   Print

8: Gensidig orientering

Sagsnr:

• KL_Kodeks

Orientering fandt sted.

• Niels Rasmussen ()

Kopier link til punktet  -   Print

9: Underskriftsside

Sagsnr:

Ingen bilag.

• Niels Rasmussen ()