Regeringens styrning av samhällets informations- och cybersäkerhet − både brådskande och viktig (RiR 2023:8)
Regeringens arbete med att stärka informations- och cybersäkerheten i Sverige är inte effektivt. Detta beror dels på brister i den nationella informations- och cybersäkerhetsstrategin, dels på att regeringens styrning är svag och splittrad.
Sammanfattning
Digitaliseringen har slagit igenom i alla samhällssektorer på alla nivåer. Det ökar behovet av informations- och cybersäkerhet. Cybersäkerhetshotet sägs också öka. Ansvaret för att hantera riskerna, hoten och sårbarheterna samt öka säkerheten är delat, både inom Regeringskansliet och mellan myndigheter. I regeringens informations- och cybersäkerhetsstrategi beskrivs ett antal målsättningar för arbetet. Sex år efter dess införande finns det fortfarande problem inom strategins samtliga områden.
Riksrevisionen har därför granskat om regeringens arbete för att stärka Sveriges informations- och cybersäkerhet har varit effektivt. Riksrevisionens övergripande slutsats är att regeringens arbete inom området inte har varit det. Den centrala bristen är avsaknad av strategiska avvägningar och prioriteringar som inriktar informations- och cybersäkerhetsarbetet. Ett tydligt exempel på brister i strategiska avvägningar är hur Sverige arbetar med frågorna i och gentemot EU. Arbetet i EU bedrivs i hög takt och om Sverige inte är med och påverkar det arbetet tidigt är risken stor att det internationella regelverket inte gynnar svenska intressen i samma utsträckning som annars hade varit möjligt.
Regeringen har inte heller tagit fram eller implementerat den nationella strategin för samhällets informations- och cybersäkerhet enligt internationell bästa praxis. Enligt Riksrevisionen saknar strategin en tydlig vision, uppföljningsbara målsättningar, ansvariga för att genomföra åtgärder och tilldelade resurser för arbetet. I avsaknad av en tydlig politik på området arbetar departementen och myndigheterna utifrån sina respektive mål och prioriteringar. Det gör det svårt att säkerställa att de insatser som görs är rätt insatser för Sveriges samlade informations- och cybersäkerhet, liksom att insatserna genomförs på ett effektivt sätt. Det riskerar att leda till att de åtgärder som vidtas inte får effekt, men också till ett ineffektivt resursutnyttjande.
Regeringens styrning har därför i mångt och mycket utgått från separata sakfrågor som inte har värderats eller rangordnats utifrån vad som gynnar Sverige som helhet. Regeringskansliet har försökt få till bättre sammanhållning i arbetet genom att skapa interdepartementala arbetsgrupper och uppdra åt ett antal myndigheter att skapa ett nationellt cybersäkerhetscenter (NCSC). Riksrevisionens bedömning är att det inte har lett till en ökad förmåga att prioritera insatser utifrån Sveriges samlade behov på informations- och cybersäkerhetsområdet, eller till en långsiktig, strategisk, holistisk och sammanhållen styrning av området. Bristerna har enligt Riksrevisionen lett till en svag styrning av informations- och cyberssäkerhetsområdet från regeringens sida. Det har också hindrat progression i arbetet med samhällets informations- och cyberssäkerhet.
Informationsutbyte är viktigt för att kunna arbeta mot samma mål och samordna insatser. Riksrevisionens bedömning är att utbyte av information, både inom det offentliga och mellan det offentliga och det privata, i nuläget inte fungerar effektivt. Myndigheterna producerar i dagsläget flera olika och delvis överlappande lägesrapporter, men en rapport som ger överblick saknas. Näringslivet upplever sig inte få tillräcklig information från det offentliga, och uppfattar det som att myndigheterna inte är intresserade av att ta emot information från dem. Även övrig samverkan med näringslivet har varit svår att få till. Exempelvis involverades näringslivet i begränsad omfattning både i framtagandet av strategin och i uppbyggnaden av NCSC. Sammantaget riskerar detta leda till att Regeringskansliet och myndigheterna inte får en god förståelse för näringslivets behov, vad företagen kan bidra med eller en bra lägesbild av de viktigaste riskerna och hoten mot Sverige i cybermiljön. Utbyte av information är behäftat med vissa legala, tekniska och kulturella utmaningar. Det är därför viktigt att Regeringskansliet och myndigheterna hittar strukturer för att hantera de utmaningarna.
Rekommendationer
Riksrevisionen lämnar följande rekommendationer till regeringen:
- Skapa en strategisk, holistisk och långsiktig inriktning för arbetet med informations- och cybersäkerhet. Inriktningen bör omfatta en analys av de nationella strategiska utmaningarna, avvägningar och prioriteringar samt resurstilldelning och handlingsplan för genomförandet. Arbetet bör involvera berörda intressenter.
- Säkerställ en samlad styrning med tydlig ansvarsfördelning, tillräcklig kompetens och effektiva former för samordning av informations- och cybersäkerhetsfrågorna i Regeringskansliet.
- Identifiera hinder för informationsutbyte och se till att det finns strukturer som medger det informationsutbyte som är nödvändigt mellan myndigheter såväl som mellan det offentliga och det privata för att arbetet med samhällets informations- och cybersäkerhet ska fungera effektivt.
- Se över det nationella informations- och cybersäkerhetscentrets uppdrag, mandat och organisatoriska hemvist för att säkerställa dess bidrag till hela samhällets informationssäkerhet såväl som cybersäkerhet.
Sammanfattning på engelska
Government control of national information and cyber security – both urgent and important
Dela i sociala medier och via e-post
Kontakta oss
Skicka dina frågor eller synpunkter via formuläret nedan så ser vi till att de når rätt handläggare. Ange gärna om din fråga har att göra med informationen på just den här sidan. Genom att skicka in en fråga till oss medger du behandling av dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR).