Oppdragsbeskrivelse: I 2024 ble det gjennomført en modenhetsvurdering av Sykehuspartners arbeid med cybersikkerhets ut fra anbefalingene i NIST Cybersecurity Framework (CSF) versjon 2.0. Videre ble det vurdert etterlevelse av NSMs grunnprinsipper for IKT-sikkerhet (NSMs GP IKT), basert på standardiserte koblinger mellom NIST CSF og NSMs GP IKT. Sykehuspartner søker nå å gjennomføre en oppdatert modenhetsvurdering av arbeidet med cybersikkerhet. Modenhetsvurderingen skal baseres på samme metodiske tilnærming og med utgangspunkt i funn og anbefalinger fra 2024. Formålet er å vurdere dagens modenhetsnivå, samt å få anbefalinger for videre arbeid med å styrke cybersikkerheten. Hovedaktiviteter for modenhetsvurderingen: • Gjennomgå og sette seg inn i tidligere modenhetsvurderinger, herunder funn, vurderinger og anbefalinger fra 2024 • Planlegge og gjennomføre intervjuer med utvalgte nøkkelpersoner i virksomheten • Innhente, gjennomgå og analysere relevant dokumentasjon • Vurdere Sykehuspartners etterlevelse av anbefalingene i NIST CSF og NSMs grunnprinsipper for IKT-sikkerhet • Analysere nåværende modenhetsnivå og identifisere endringer og utvikling siden forrige vurdering • Sammenligne Sykehuspartners modenhetsnivå som IT-tjenesteleverandør med relevante peers innen helsesektoren, både nasjonalt og internasjonalt, og mot sammenlignbare IT-leverandører på tvers av bransjer. • Utarbeide tydelige og prioriterte anbefalinger for det videre arbeidet • Dokumentere og presentere resultatene i en strukturert sluttrapportForventet resultat: • Sluttrapporten skal som minimum inneholde: o En helhetlig og strukturert oversikt over Sykehuspartners nåværende modenhetsnivå innen cybersikkerhet o En vurdering av utvikling og endringer i modenhetsnivå siden forrige vurdering o Tydelige og begrunnede anbefalinger for videre forbedringsarbeid • Excelregneark med detaljerte vurderinger, minimum ett regneark per rammeverk (NIST CSF og NSMs GPIKT). Regnearkene skal inneholde: o Samtlige vurderinger med modenhetsnivå o Tilhørende kommentarer og begrunnelserSykehuspartner skal ha fullt eierskap og ubegrensede bruksrettigheter til rapport og Excelmaterialet. Excelregnearkene skal i tillegg være strukturert på en slik måte at de enkelt kan brukes til videre oppfølging av Sykehuspartner, uten bistand fra leverandør.Erfaring og kompetanse • Må vise til tidligere arbeid med modenhetsvurderinger. • Dokumentert erfaring med å gjennomføre tilsvarende vurderinger for større virksomheter. • Dokumentert erfaring med strategisk informasjonssikkerhetsarbeid enten i større virksomheter – enten offentlig eller privat sektor. • Dokumentert erfaring med NIST CSF og NSMs grunnprinsipper for IKT sikkerhetFor dette avropet gjelder følgende standardavtale SSA-OOmfang og varighet: Fra 16.02.2026 til 17.05.2026 Oppdraget ønskes gjennomført våren 2026 med rapport levert innen 4. mai. Konsulentene må regne med ulik belastning i perioden. Tilbudte konsulenter må være tilgjengelige for kunde i hele perioden. Det må regnes med at ferie må avvikles i påskeuken.Arbeidssted: Arbeidssted Alle møter vil foregå i våre lokaler på Skøyen eller på Teams når det vurderes som mest hensiktsmessig.Søknadsfrist: 4.2