Uppföljning

Riksdagens behandling av regeringens skrivelse

I skrivelsen till riksdagen med anledning av granskningsrapporten instämde regeringen huvudsakligen i Riksrevisionens iakttagelser, men anförde samtidigt att sedan Riksrevisionens granskning har dock förändringar genomförts. Frågor om allmän ordning, säkerhet och krisberedskap inklusive Regeringskansliets egen säkerhet samt styrningen av MSB, Säkerhetspolisen samt Polismyndigheten har därefter samlats under inrikesministern. Genom förändringarna har man skapat förutsättningar för en mer sammanhållen styrning av informationssäkerhetsfrågorna. I skrivelsen angav regeringen även att myndigheter som har ett särskilt ansvar för krisberedskap och höjd beredskap i sina respektive regleringsbrev för 2015 fick ett uppdrag i att särskilt redovisa sitt arbete med informationssäkerhet. Syftet var enligt regeringen att höja medvetenheten om vikten av informationssäkerhet och att skapa en bild av läget hos berörda myndigheter. I samma syfte beslutade regeringen också att MSB skulle genomföra en undersökning av hur Sveriges kommuner arbetar med informationssäkerhet. Dessa båda uppdrag kommer enligt regeringen att bidra till att förbättra regeringens kunskap på området och därmed skapa förutsättningar för ett ändamålsenligt arbete med att stärka samhällets informationssäkerhet. Vidare angavs att det även har inletts ett arbete som syftar till att öka regeringens kunskap om säkerhetsläget inom de mest skyddsvärda delarna av statsförvaltningen.

Försvarsutskottet anförde i sitt betänkande med anledning av regeringens skrivelse att man ser allvarligt på Riksrevisionens slutsats att arbetet med informationssäkerheten i den civila statsförvaltningen inte är ändamålsenligt sett till de hot och risker som finns, men konstaterade samtidigt att regeringen i sin skrivelse instämde i Riksrevisionens slutsats i huvudsak och att regeringen har inlett ett förändringsarbete sedan granskningen gjordes. Utskottet föreslog därmed att riksdagen skulle lägga regeringens skrivelse till handlingarna. Riksdagen biföll sedermera utskottets förslag till beslut.

Regeringens och myndigheternas åtgärder

Regeringen har efter granskningen återkommit till frågan om informationssäkerhetens betydelse för statsförvaltningen. I budgetpropositionen för 2016 skrev regeringen att mot bakgrund av bl.a. Riksrevisionens rapport krävs det ett fortsatt arbete för att förbättra informationssäkerheten. Det finns ett antal områden där informationssäkerheten i den civila statsförvaltningen kan utvecklas, och regeringen avsåg därför att även fortsättningsvis prioritera informations- och cybersäkerhetsområdet. I budgetpropositionen för 2017 skrev regeringen att såväl privatpersoner som företag och myndigheter är beroende av väl fungerande it och att regeringen kontinuerligt arbetar med att ge goda förutsättningar för myndigheternas it-utveckling och informationssäkerhetsarbete. Regeringen föreslog därför att Myndigheten för samhällsskydd och beredskap (MSB) skulle få ytterligare medel för att stärka myndighetens arbete med informationssäkerhet. Som en del i arbetet gav regeringen Post- och telestyrelsen i uppdrag att lämna förslag till en förvaltningsmodell för skyddade it-utrymmen för offentliga aktörer som bedriver säkerhetskänslig verksamhet. Därutöver fick Försäkringskassan i uppdrag att under tre år erbjuda samordnad och säker it-drift för vissa myndigheter. I budgetpropositionen för 2018 angav regeringen slutligen att arbetet med informations- och cybersäkerheten i samhället har förbättrats, men att man dock bedömde att det fanns ett stort behov av att fortsätta utveckla samhällets informations- och cybersäkerhet. Mot bakgrund av den säkerhetspolitiska utvecklingen i närområdet och händelser som visat på samhällets sårbarhet, såg regeringen ett behov att förstärka totalförsvaret och föreslog därför att anslag 2:6, Myndigheten för samhällsskydd och beredskap, från 2018 ska ökas med 40 000 000 kronor till informationssäkerhet och psykologiskt försvar.

Efter granskningen har regeringen tagit emot ett antal utredningar med bäring på de frågor och rekommendationer som behandlades i granskningsrapporten. Samtliga av utredningarna är för närvarande under beredning på Regeringskansliet. Regeringen har även fattat beslut om två pågående utredningar som har betydelse för granskningens frågor.

Under 2017 presenterade regeringen en nationell säkerhetsstrategi såväl som en nationell strategi för samhällets informations- och cybersäkerhet. I den nationella säkerhetsstrategin definierades ett antal nationella intressen som bör vara vägledande både för synen på vår säkerhet och för det bredare säkerhetsarbetet, samt även ett antal primära hot som utmanar förmågan att skydda vår befolkning och vårt land, såväl som förslag till åtgärder för att möta dessa hot. Informations- och cybersäkerhet pekades av regeringen ut som ett nationellt intresse, och regeringen anförde att för att bemästra utmaningarna inom informations- och cybersäkerhetsområdet är det viktigt att fortlöpande arbeta för att minska sårbarheter. Den efterföljande nationella strategin för samhällets informations- och cybersäkerhet angavs vara ett uttryck för regeringens övergripande prioriteringar och syftade till att utgöra en plattform för Sveriges fortsatta utvecklingsarbete inom området. I strategin slog regeringen fast ett antal målsättningar på olika områden samt hur regeringen ska verka för att uppnå dessa målsättningar. Avseende de iakttagelser och rekommendationer som behandlades i Riksrevisionens granskning fanns i strategin ett antal uttalanden som direkt knöt an till nämnda frågor. Regeringen uttalade bland annat att man ska verka för att:

• öka tydligheten i myndighetsstyrningen och lyfta betydelsen av ett tillfredsställande informationssäkerhetsarbete internt på myndigheterna
• det ska finnas en ändamålsenlig tillsyn som skapar förutsättningar för en ökad informations- och cybersäkerhet i samhället samt att behovet av ytterligare åtgärder för att utveckla tillsynen av informationssäkerheten i hela samhället bevakas.

Vad avser frågan om tillsyn hänvisade regeringen till de synpunkter som framfördes i Riksrevisionens granskningsrapport. I samband med att strategin presenterades gav regeringen även ett antal uppdrag till bevakningsansvariga myndigheter samt MSB i syfte att ytterligare stärka informationssäkerheten i samhället. Regeringen har även lämnat ett antal uppdrag till olika myndigheter i regleringsbreven för åren 2015 till 2018 i syfte att stärka informationssäkerheten.

Utöver de ovan omnämnda strategierna har regeringen även presenterat en digitaliseringsstrategi. Regeringen har aviserat att i arbetet med att öka digitaliseringen i myndigheternas verksamhet är informationssäkerhet en central del.

Regeringen fattade i december 2015 beslut om att införa obligatorisk it-incidentrapportering för statliga myndigheter, och sedan den 1 april 2016 ska statliga myndigheter rapportera incidenter till MSB. Regeringen har även i januari 2018 fattat beslut om att statliga myndigheter från april 2018 blir skyldiga att samråda med Säkerhetspolisen och Försvarsmakten inför utkontraktering av säkerhetskänslig verksamhet.

Vad avser myndigheternas åtgärder utarbetade MSB bland annat ett metodstöd för de uppdrag som de bevakningsansvariga myndigheterna ålades i regleringsbreven för 2015. I metodstödet hänvisade MSB till Riksrevisionens granskning och angav bland annat att en enhetlig sammanställning och redovisning skulle underlätta möjligheten för mottagarna att sammanställa och analysera det aggregerade resultatet. MSB har under de senaste åren aktivt nyttjat möjligheten i krisberedskapsförordningen att få in ett ökat antal redovisningar av risk- och sårbarhetsanalyser. För 2018 har MSB beslutat att rikta en sådan särskild begäran till 17 myndigheter. Det övergripande syftet med att utöka kretsen som redovisar sin risk- och sårbarhetsanalys har varit att förbättra samhällets krisberedskap i vilket även ingår att bygga upp ökad kunskap om informationssäkerhetsläget hos statliga myndigheter. MSB har vidare pekat på utfärdandet av nya föreskrifter kring informationssäkerhet, ett nyutvecklat metodstöd kopplat till föreskrifterna samt incidentrapporteringen som centrala åtgärder för att stärka samhällets informationssäkerhet. Myndigheten har även fortsatt sitt arbete med att genomföra kartläggningar, utarbeta rekommendationer och genomföra nationell risk- och förmågebedömning. Det pågår även ett omfattande arbete på myndigheten kopplat till införandet av NIS-direktivet, och kommande åtgärder med anledning av arbetet kommer även de ha stor bäring på samhällets informationssäkerhet.

Vad avser Säkerhetspolisen och Försvarets radioanstalt har de tillsammans med Försvarsmakten/Must bildat en gemensam samarbetsgrupp, Nationell Samverkan mot allvarliga it-hot (NSIT), kring gemensamma hotbildsanalyser. NSIT analyserar och bedömer hot och sårbarheter när det gäller allvarliga eller kvalificerade it-angrepp mot de mest skyddsvärda nationella intressena. NSIT utvecklar även samverkan för att försvåra för en kvalificerad angripare att komma åt eller skada svenska skyddsvärda civila och militära resurser. Båda myndigheterna har även givit ut en årsbok/rapport där man sammanfattar omvärldsläget m.m. som har stor bäring på informations- och cybersäkerhetsområdet. FRA har även vidtagit åtgärder för att på sikt kunna genomföra en systematisk och aggregerad avrapportering till regeringen avseende säkerhetsläget.

Avslutande kommentarer

Gällande Riksrevisionens rekommendationer till regeringen har regeringen infört en obligatorisk incidentrapportering för statliga myndigheter. Vad gäller rekommendationerna kring tillsyn, att utreda om nuvarande regelverk är ändamålsenligt samt att överväga om tillsynsmyndigheten bör få mandat att utfärda sanktioner så är ingen av dessa genomförda i nuläget. Regeringen har dock mottagit ett flertal utredningar med koppling till frågorna som i nuläget bereds i Regeringskansliet. Skälet till att åtgärderna ännu inte är genomförda kan vara att man har inväntat konsekvenserna av införandet av det så kallade NIS-direktivet. Med anledning av genomförandet av NIS-direktivet såväl som en förväntad ny säkerhetsskyddslag under 2018 finns anledning att anta att rekommendationerna rörande regelverk, tillsyn och sanktioner kommer att vara genomförda i stor utsträckning inom en snar framtid. Med anledning av Riksrevisionens rekommendation att se till att det finns en funktion och en process i Regeringskansliet med syfte att samlat hantera informationssäkerheten, har regeringen uppgivit att frågor om allmän ordning, säkerhet och krisberedskap inklusive Regeringskansliets egen säkerhet samt styrningen av MSB, Säkerhetspolisen samt Polismyndigheten numera har samlats under inrikesministern. Man har dock inte tillskapat någon process eller funktion utöver det.

Av granskningens rekommendationer riktade till myndigheterna bedömer Riksrevisionen att de i stora drag är omhändertagna med anledning av de åtgärder som myndigheterna har vidtagit.