Riksrevisionen logotype
Riksrevisionen logotype

Rekommendationer

Rekomendationer till regeringen

Granskningen har visat ett betydande kunskapsunderskott när det gäller läget för informationssäkerheten i statsförvaltningen. Den tillsyn som sker täcker i stort sett endast den mest skyddsvärda verksamheten – merparten av den civila statsförvaltningen lämnas utan tillsyn. Åtgärder vidtas inte alltid efter genomförda inspektioner. Det saknas också en systematisk och obligatorisk rapportering av incidenter. Allt detta leder till att det blir omöjligt att fånga den verkliga bilden av tillståndet för informationssäkerheten. Därav följer att det inte finns tillräckligt beslutsunderlag för att vidta nödvändiga åtgärder för att möta hoten och riskerna.

För att förbättra statens informationssäkerhet rekommenderar Riksrevisionen därför regeringen följande:

  • Utöka tillsynen av informationssäkerheten i den civila statsförvaltningen, så att den omfattar väsentligt mer än endast de allra mest skyddsvärda delarna.
  • Låt utreda om regelverket som styr arbetet med informationssäkerheten är ändamålsenligt i sin nuvarande utformning och om ansvar för att utöva tillsyn över informationssäkerheten i den civila statsförvaltningen kan samlas och koordineras på ett bättre sätt än i dag. Dessa brister konstaterade Riksrevisionen redan 2007, och då bristerna fortfarande inte är åtgärdade är det angeläget meden skyndsam hantering.
  • Överväg att låta tillsynsmyndigheten få mandat att utfärda sanktioner motmyndigheter som inte vidtar nödvändiga åtgärder efter en tillsyn som visat på brister. 
  • Inför snarast en obligatorisk incidentrapportering för samtliga myndigheter. Geen myndighet i uppdrag att hantera denna rapportering

Det finns ingen samlad central funktion i Regeringskansliet med ansvar för att bereda frågor om informationssäkerhet i statsförvaltningen. I dag hanteras ärenden rörande informationssäkerhet på flera departement beroende på ärendets karaktär(intern styrning och kontroll, förvaltningspolitik, krishantering, infrastruktur, etc.).Riksrevisionen anser att informationssäkerhet är en viktig strategisk fråga för hela statsförvaltningen, att det krävs kraft i styrningen för att skyddet ska kunna höjas till en ändamålsenlig nivå. För att skapa bättre förutsättningar för en effektiv styrning i informationssäkerhet rekommenderar därför Riksrevisionen följande:

  • Se till att det finns en funktion och en process i Regeringskansliet med syfte att samlat hantera informationssäkerheten. Denna funktion och process ska kunna bereda alla de ärenden regeringen måste besluta om för att öka informationssäkerheten i statsförvaltningen. Funktionen ska också vara mottagare av MSB:s information om en samlad lägesbild och annan nödvändig information om läget för informationssäkerheten i statsförvaltningen.

Rekomendationer till regeringens stöd- och tillsynsmyndigheter

Riksrevisionen har i denna granskning kunnat visa att de av regeringen utsedda stöd- och tillsynsmyndigheterna inom nuvarande mandat skulle kunna göra mera, både genom att öka kunskapen om säkerhetsläget och att lämna stöd till den övriga statsförvaltningen för att öka skyddet. Detta är naturligtvis en fråga om vad som ska prioriteras såväl inom dessa myndigheter som inom statsförvaltningen som helhet. För att förbättra statens informationssäkerhet rekommenderar Riksrevisionen därför följande:

  • MSB bör fortsätta och även intensifiera sitt arbete med att söka skapa en gemensam lägesbild för informationssäkerhet i statsförvaltningen.
  • MSB har enligt 9 § andra stycket förordningen (2006:942) om krisberedskap och höjd beredskap möjlighet att begära att flera myndigheter än i dag lämnar en redovisning av sin risk- och sårbarhetsanalys till Regeringskansliet och MSB. MSB bör utnyttja denna möjlighet för att därigenom öka den samlade kunskapen om informationssäkerhetsläget och därigenom kunna bidra till en förbättring.
  • MSB bör lämna de myndigheter som inte uppfyller kraven i föreskrifterna om statliga myndigheters informationssäkerhet (MSBFS 2009:10) det stöd som är nödvändigt, så att de uppnår efterlevnad inom rimlig tid.
  • Såväl Säkerhetspolisen som FRA genererar viktig kunskap om säkerhetsläget inom den mest skyddsvärda delen av statsförvaltningen. Säkerhetspolisen och FRA bör därför var för sig systematiskt avge aggregerade rapporter om säkerhetsläget till Regeringskansliet och MSB.

Uppdaterad: 21 december 2017

Kontakta

Skicka dina frågor eller synpunkter via formuläret nedan så ser vi till att de når rätt handläggare. Ange gärna om din fråga har att göra med informationen på just den här sidan.

Vad handlar din fråga om?
Multiple selection