Riksrevisionen logotyp, länk till startsidan.
Riksrevisionen logotyp, länk till startsidan.

Ineffektivt arbete för att stärka informations- och cybersäkerheten

Regeringens arbete med att stärka informations- och cybersäkerheten i Sverige är inte effektivt. Detta beror dels på brister i den nationella informations- och cybersäkerhetsstrategin, dels på att regeringens styrning är svag och splittrad.

Man sedd bakifrån vid datorskärmar som visar kod.

Foto: Plattform

Riksrevisionen har granskat regeringens arbete för att stärka Sveriges informations- och cybersäkerhet. Den övergripande slutsatsen är att arbetet inte har varit effektivt.

Framför allt har det saknats en sammanhållen styrning baserad på strategiska avvägningar och prioriteringar utifrån Sveriges samlade behov. Samordningen har inte fungerat som den ska, och relevanta intressenter – till exempel från näringslivet – har inte involverats i någon större omfattning.

Bristerna beror till stor del på att Regeringskansliets arbetsmetoder, organisering och resursanvändning inte har möjliggjort ett effektivt arbete med informations- och cybersäkerhetsfrågorna.

Regeringskansliet har skapat interdepartementala arbetsgrupper och gett ett antal myndigheter i uppdrag att skapa ett nationellt cybersäkerhetscenter. Riksrevisionens bedömning är dock att det inte har lett till en ökad förmåga att prioritera insatser eller till en långsiktig, strategisk och sammanhållen styrning. Styrningen av berörda myndigheter har utgått från varje enskilt departements mål och prioriteringar i stället för strategiska avvägningar av vad som är bäst för Sverige, vilket begränsat insatsernas effektivitet.

Marcus Pettersson, porträtt.

– Regeringskansliet och myndigheterna arbetar utifrån sina respektive ansvar och uppdrag, utan att de åtgärder som vidtas värderas eller rangordnas utifrån vad som gynnar Sverige som helhet, säger Marcus Pettersson, projektledare för granskningen.

Regeringens nationella informations- och cybersäkerhetsstrategi håller inte heller tillräckligt hög kvalitet. Bland annat saknar den en tydlig vision, uppföljningsbara målsättningar, utpekade ansvariga och tilldelade resurser. Det är otydligt vilka aktörer och sektorer som ska påverkas och hur. Strategin anger inte hur målsättningar och aktiviteter påverkar samhället, ekonomin eller medborgarna och den innehåller ingen egentlig analys av de strategiska utmaningarna. En sådan strategi kan enligt Riksrevisionens bedömning endast ha låg styreffekt – om ens någon.

Även informationsutbytet mellan aktörerna har brister. Informationsutbyte är viktigt för att kunna samordna insatser, så att alla arbetar mot samma mål och har en gemensam bild av läget, behov, mål och åtgärder. Myndigheterna tar i dagsläget fram flera olika lägesbilder, vilket ger en fragmenterad bild som är svår att använda när åtgärder ska vägas mot varandra.

Riksrevisor Helena Lindberg, porträtt.

– Arbetet med informations- och cybersäkerhet behöver bli mer effektivt. För det behövs tydligt utpekat ansvar och resurser samt en mer sammanhållen och strategisk styrning, säger riksrevisor Helena Lindberg.

Rekommendationer i korthet

Riksrevisionen rekommenderar regeringen bland annat att:

  • skapa en strategisk, holistisk och långsiktig inriktning för arbetet med informations- och cybersäkerhet
  • säkerställa en samlad styrning med tydlig ansvarsfördelning, tillräcklig kompetens och effektiva former för samordning av informations- och cybersäkerhetsfrågorna i Regeringskansliet
  • identifiera hinder för informationsutbyte och se till att det finns strukturer som medger det informationsutbyte som är nödvändigt
  • se över det nationella informations- och cybersäkerhetscentrets uppdrag, mandat och organisatoriska hemvist.

Se rapporten för fullständiga rekommendationer.

Presskontakt: Olle Castelius, tel: 08-5171 40 04.

Uppdaterad: 27 april 2023

Kontakta oss

Skicka dina frågor eller synpunkter via formuläret nedan så ser vi till att de når rätt handläggare. Ange gärna om din fråga har att göra med informationen på just den här sidan. Genom att skicka in en fråga till oss medger du behandling av dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR).

Läs mer om behandling av personuppgifter

Vad handlar din fråga om?
Vad handlar din fråga om?