Gå till innehåll
Stäng
Riksrevisionen logotyp, länk till startsidan.
Stäng
Riksrevisionen logotyp, länk till startsidan.

1. Inledning

Avsnitt

1.1 Motiv till granskning

Målet med forskningspolitiken är att Sverige ska vara ett av världens främsta forsknings- och innovationsländer och en ledande kunskapsnation.[1] Sverige är ett av de länder i världen som gör störst investeringar i forskning och utveckling (FoU), över 3 procent av BNP 2022.[2] Syftet är bland annat att skapa arbetstillfällen, tillväxt och konkurrenskraft.[3] En stor del av forskningen bedrivs vid universitet och högskolor; 2022 uppgick de totala utgifterna för egen FoU vid universitet och högskolor till drygt 44 miljarder kronor.[4]

Många länder eftersträvar den innovationskraft och kunskapsintensitet som Sverige står för och kontakter med svenska lärosäten ses som en väg till att ta del av det svenska innovationssystemet.[5] Antalet cyberattacker har ökat och underrättelseverksamheten mot universitet och högskolor har intensifierats under senare år.[6] Teknik- och kunskapsanskaffning är prioriterat för främmande makt i syfte att bland annat gynna det egna landets konkurrenskraft och militära förmåga.[7] Mörkertalet är stort men Säkerhetspolisen uppskattar att det stjäls information och kunskap till ett värde av miljardbelopp varje år.[8] Utbildningsutskottet har uttalat att det är viktigt att Sverige har en god förmåga att skydda bland annat forskning från industrispionage och att det är viktigt att följa dessa frågor för att bedöma om ytterligare åtgärder behövs.[9]

En övervägande del av forskningen och forskningsdata[10] kan vara öppen och tillgänglig för alla. Men vissa forskningsdata är skyddsvärda eftersom de rör exempelvis personuppgifter, företagshemligheter eller säkerhetskänslig verksamhet. Sedan 2008 är alla statliga myndigheter, inklusive statliga universitet och högskolor, skyldiga att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete.[11] Syftet är att ge information tillräckligt skydd utifrån dess värde.

Informationssäkerhet och skyddsvärda forskningsdata

Informationssäkerhet innebär bevarande av konfidentialitet (endast behöriga får ta del av informationen), riktighet (att informationen inte är manipulerad) och tillgänglighet (att informationen finns när behörig efterfrågar den) hos information utifrån dess värde.[12]

Konfidentialitet är resultatet av en bedömning, ibland med stöd i lagar och andra krav.[13] Kraven på konfidentialitet grundar sig bland annat på bestämmelser om sekretess, dataskydd och t.ex. säkerhetsskyddslagstiftningen. Konfidentialiteten kan förändras över tid.

Med skyddsvärda forskningsdata avses i den här granskningen i första hand sådana data som behöver skyddas på grund av sekretess, dataskyddsreglering eller annan specialreglering, se vidare kapitel 2. Det kan exempelvis röra stora mängder eller känsliga personuppgifter, företagshemligheter eller säkerhetskänslig verksamhet.

Regeringen har på olika sätt sedan 2019 haft frågan om säkerhet på universitet och högskolor på dagordningen, bland annat i myndighetsdialoger, regleringsbrev och utredningsuppdrag.[14] Det finns sedan länge en politisk målsättning om ett öppet vetenskapssamhälle med fri tillgång till vetenskapliga texter, forskningsresultat och forskningsdata.[15] I den senaste forskningspropositionen beskriver regeringen att internationell samverkan och en hög grad av internationalisering är en förutsättning för att Sverige ska vara en ledande forsknings- och kunskapsnation. Men regeringen menar också att internationella forskningssamarbeten kan innebära vissa risker och ser därför behov att säkerställa skydd av forskningsresultat.[16]

Riksrevisionen granskade det interna styrningen och kontrollen av informationssäkerheten vid universitet och högskolor 2009 och 2010. Sammanfattningsvis konstaterades stora brister gällande bland annat roll- och ansvarsfördelning, riskanalys inklusive informationsklassning samt avsaknad av styrdokument.[17] Genom åren har internrevisionen vid många lärosäten genomfört granskningar som visar på fortsatta brister.[18] Mycket tyder på att informationssäkerhetsarbetet vid lärosätena fortsatt är på en generellt låg nivå och att de har bristande kunskap om vad som är skyddsvärt.[19] Myndigheten för samhällsskydd och beredskap (MSB) konstaterar att arbetet med systematisk informationssäkerhet är eftersatt hos majoriteten av de statliga myndigheterna.[20] Men jämfört med andra branscher uppvisar högskolesektorn lägre engagemang för informationssäkerhet.[21]

Det förändrade säkerhetshetspolitiska läget har satt ytterligare fokus på riskerna med lärosätenas bristande informationssäkerhetsarbete. Riksrevisionen har mot bakgrund av detta samt sektorns komplexitet med många uppdrag och mål återigen granskat lärosätenas arbete med informationssäkerhet. Genom att analysera även orsakerna till de brister som konstateras bidrar granskningen med underlag för ett effektivare informationssäkerhetsarbete på universitet och högskolor och ytterst ett bättre skydd för den information som behöver skyddas.

1.2 Övergripande revisionsfråga och avgränsningar

Den övergripande revisionsfrågan är om universitet och högskolor bedriver ett effektivt informationssäkerhetsarbete som möjliggör att skyddsvärda forskningsdata hanteras säkert och enligt gällande regelverk. Med effektivt avses att informationssäkerhetsarbetet bedrivs systematiskt och riskbaserat.[22]

För att besvara den övergripande frågan ställer vi två delfrågor:

  1. Arbetar universitet och högskolor effektivt för att identifiera skyddsvärda forskningsdata och analysera informationssäkerhetsrisker?
  2. Har universitet och högskolor utformat informationssäkerhetsarbetet på ett effektivt sätt för att hantera skyddsvärda forskningsdata?

Granskningen omfattar regeringen och de 24 statliga universitet och högskolor som bedriver teknisk och naturvetenskaplig forskning, se vidare avsnitt 1.4 och bilaga 1.

Informationssäkerhet täcker in all information som en organisation hanterar. I granskningen fokuserar vi på forskningsdata. Rutiner, riktlinjer och arbetssätt i informationssäkerhetsarbetet kan dock förstås inkludera annan information än forskningsdata. Vi fokuserar på den organisatoriska säkerheten i lärosätenas informationssäkerhetsarbete.[23] Det är framför allt inom denna del som vi har tagit del av problemindikatorer. Frågan om huruvida forskningsdata faktiskt skyddas ligger utanför granskningen.

1.3 Bedömningsgrunder

Bedömningsgrunder är de kriterier som Riksrevisionen tillämpar för att värdera sina iakttagelser. I det här avsnittet går vi igenom de övergripande bedömningsgrunderna och därefter hur vi har operationaliserat dem kopplat till det två delfrågorna.

En övergripande utgångspunkt i granskningen är högskolelagen (1992:1434) där det framgår att lärosätena ska verka för att den kunskap och kompetens som finns vid högskolan kommer samhället till nytta och att den samlade internationella verksamheten vid varje högskola ska stärka kvaliteten i högskolans utbildning och forskning.[24] Av högskoleförordningen (1993:100) framgår att det ska finnas finns en intern styrning och kontroll som fungerar på ett betryggande sätt.[25] Vidare gäller att myndigheter ska verka för att genom samarbete med myndigheter och andra ta till vara fördelar som kan finnas för enskilda och staten som helhet.[26]

I propositionen 2020/21:1 understryker regeringen att styrningen av statsförvaltningen ska vara långsiktig, strategisk, helhetsinriktad, sammanhållen, verksamhetsanpassad och tillitsbaserad. Detaljstyrning och onödig administration ska undvikas. Det förutsätter att regeringen följer upp myndigheternas resultat och verksamhet och ingriper om den bedömer att myndigheterna inte sköter sina uppgifter på ett ändamålsenligt sätt.[27]

I propositionen 2001/02:158, Samhällets säkerhet och beredskap, presenterade regeringen en ansvarsfördelning mellan myndigheter för informationssäkerhetsarbetet i samhället.[28] MSB har i uppdrag att stödja och samordna arbetet med samhällets informationssäkerhet.[29]

Förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap (upphörde gälla oktober 2022) och efterföljande förordning (2022:524) om statliga myndigheters beredskap reglerar bland annat informationssäkerhetsarbetet för myndigheter under regeringen. Här framgår att varje myndighet ansvarar för att egna informationshanteringssystem uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt. I ansvaret ingår att myndigheten särskilt ska beakta behovet av säkra ledningssystem.[30] Förordningen bemyndigar MSB att meddela föreskrifter om informationssäkerhet.[31]

ISO 27000-standarden utgör en internationell standard för ledningssystem för informationssäkerhet (LIS) som ett sätt att styra en verksamhets informationssäkerhet på ett systematiskt sätt.[32] Av MSB:s föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6) framgår att myndigheterna ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av dessa standarder.[33]

I MSB:s föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:7) preciseras vilka tekniska åtgärder som krävs. I MSB:s föreskrifter om rapportering av it-incidenter för statliga myndigheter (MSBFS 2020:8) preciseras bestämmelser om rapportering av it-incidenter.

På uppdrag av regeringen har MSB utformat ett metodstöd för att stödja arbetet att implementera ett systematiskt informationssäkerhetsarbete i enlighet med föreskrifterna. Metodstödet utgår från ISO-27000 serien.[34] (Se även kapitel 2 om MSB:s metodstöd.) Utifrån ovanstående utgångspunkter har vi operationaliserat bedömningsgrunderna för respektive delfråga.

1.3.1 Operationaliserade bedömningsgrunder för delfråga 1

Informationssäkerhetsarbetet ska omfatta all behandling av information som myndigheten ansvarar för.[35] Informationsklassning och riskbedömning är centrala delar i ett systematiskt informationssäkerhetsarbete. Informationsklassning innebär att identifiera information och värdera dess värde och känslighet.[36]

Enligt Riksrevisionen är genomförd informationsklassning och riskbedömning viktiga förutsättningar för att en organisation ska kunna identifiera behov av och vidta ändamålsenliga säkerhetsåtgärder. En för låg klassning riskerar att leda till otillräckliga åtgärder och därmed verksamhetsrisker, medan en för hög klassning kan leda till överflödiga åtgärder med onödig administration och högre kostnader som följd. En systematisk informationsklassning och riskbedömning är alltså en förutsättning för att kunna vidta proportionella och ändamålsenliga säkerhetsåtgärder.

Riksrevisionen har formulerat följande villkor som behöver vara uppfyllda för att vi ska bedöma att universitet och högskolor arbetar effektivt för att identifiera skyddsvärda forskningsdata.

  • Forskningsdata ska inventeras och klassificeras utifrån skyddsvärde och skyddsbehov. Det ska göras systematiskt utifrån vilka konsekvenser ett bristande skydd kan få. Genom att använda en gemensam klassningsmodell kan organisationens information skyddas på ett enhetligt sätt utifrån interna och externa krav på informationens konfidentialitet, riktighet och tillgänglighet. Klassningsmodellen ska vara enkel att använda. Ledningen behöver se till att implementera ett arbetssätt som är ändamålsenligt och fungerar i praktiken.
  • Lärosätena ska identifiera, analysera och värdera riskerna för sina forskningsdata. Det ska finnas processer som fångar upp identifierade risker på olika relevanta nivåer och en systematik som möjliggör återkommande uppföljning. För att upprätta en bra riskanalys krävs underlag i form av bland annat informationsklassning, rapporterade it-incidenter och uppföljning. Medarbetare ska veta vad en informationssäkerhetsincident är och hur den ska rapporteras. Arbetet med riskanalyser ska involvera funktioner från relevanta delar av verksamheten.

1.3.2 Operationaliserade bedömningsgrunder för delfråga 2

För att kunna bedriva ett effektivt informationssäkerhetsarbete behöver det finnas processer och strukturer som styr arbetet och möjliggör en säker hantering av information. Riksrevisionen har formulerat följande villkor som behöver vara uppfyllda för att vi ska bedöma att universitet och högskolor har utformat informationssäkerhetsarbetet på ett effektivt sätt för att hantera skyddsvärda forskningsdata:

  • Det ska finnas en policy för informationssäkerhetsarbetet där ledningens mål och inriktning för informationssäkerhetsarbetet tydligt framgår. Ledningen har det yttersta ansvaret för att styra och organisera verksamheten så att den fungerar effektivt i enlighet med uppställda mål. Det inkluderar att avsätta tillräckliga resurser för informationssäkerhetsarbetet. Det innebär att lärosätena behöver budgetera utifrån den omfattning som krävs för att bedriva ett effektivt informationssäkerhetsarbete. Ledningen ska också hålla sig informerad om informationssäkerhetsläget, både löpande och vid särskilda genomgångar med den eller de som leder och samordnar informationssäkerhetsarbetet.
  • Roll- och ansvarsfördelning för informationssäkerhetsarbetet ska tydligt framgå av styrdokument och riktlinjer. Det ska vara tydligt för dem med utpekat ansvar vad ansvaret innebär och vilket mandat som följer med. Den eller de som utses att leda och samordna informationssäkerhetsarbetet ska ha mandat att ställa krav och granska samt rapportera direkt till ledningen.
  • För att säkerställa att information hanteras på ett säkert sätt behöver lärosätets medarbetare och inhyrd personal ha kompetens inom informationssäkerhet som är relevant och anpassad till funktion. Kompetensen ska utvecklas och upprätthållas genom utbildning, informationsinsatser och övning. Alla i organisationen ska känna till relevanta styrdokument, regelverk och arbetssätt och därigenom förstå sin roll och sitt ansvar. Beroende på vilken information medarbetare ska få åtkomst till, behöver lärosätet anpassa sin bakgrundskontroll.
  • Det ska finnas lätt tillgängligt och verksamhetsanpassat stöd för att hantera forskningsdata. Stödet ska vara samordnat efter behov och möjliggöra en säker hantering av forskningsdata i enlighet med gällande rättsliga krav.

1.4 Metod och genomförande

Vi har använt oss av en kombination av intervjuer, dokumentstudier och en enkät. Granskningen omfattar 24 lärosäten, varav 3 är valda som exempel på hur olika typer av lärosäten kan arbeta med informationssäkerhet. Syftet är inte bara att uttala oss om exempellärosätena, utan att genom iakttagelser från dem kunna dra slutsatser som kan vara relevanta för hela sektorn. En utförlig beskrivning av metod finns i bilaga 1.

En vägledande princip i urvalet har varit att fånga så mycket variation som möjligt bland annat i organisationsstruktur, storlek, finansieringsformer och forskningsämnen. Det gäller för såväl lärosäten som institutioner och funktioner inom dessa lärosäten. En översiktlig beskrivning av exempellärosätena finns i bilaga 3.

Vi har genomfört 65 intervjuer vid de 3 exempellärosätena Blekinge tekniska högskola, Kungl. Tekniska högskolan och Lunds universitet, se bilaga 2. Vid respektive lärosäte har vi intervjuat forskare, prefekter, dekaner eller motsvarande, förvaltningschef och informationssäkerhetschef eller informations­säkerhetsansvarig. Vi har också intervjuat roller och funktioner inom bland annat it och it-säkerhet, säkerhet och säkerhetsskydd, juridik, forskningsdatahantering, exportkontroll och dataskydd. Därutöver har vi gjort intervjuer bland annat vid Malmö universitet, Sveriges lantbruksuniversitet och RISE Research Institutes of Sweden AB som del av inledande informationsinhämtning.

Vi har även intervjuat företrädare för Säkerhetspolisen, MSB, Vetenskapsrådet samt länsstyrelserna Norrbotten, Skåne, Stockholm och Västra Götaland. Utöver det har vi intervjuat andra aktörer med relevant kunskap för granskningen, se vidare bilaga 1.

Vi har tagit del av och analyserat styrdokument och annan dokumentation från de tre exempellärosätena såsom informationssäkerhetspolicyer, delegationsordningar, interna beslut och riskanalyser. Utöver det har vi tagit del av en rad olika dokument, exempelvis utredningar, propositioner och rapporter.

Enkäten bestod av två delar där den första handlade brett om informationssäkerhet och den andra begränsades till frågor om säkerhetsskydd. Enkätens båda delar omfattar 24 lärosäten och genomfördes för att få en bredare bild av hur universitets- och högskolesektorn arbetar med informationssäkerhet gällande forskningsdata. Den inkluderade frågor om bland annat styrning, roll- och ansvarsfördelning, inventering och klassning av information, riskarbete, utbildning, resurser och säkerhetsskydd. Svarsfrekvensen var 100 procent. Enkätens båda delar återfinns i bilaga 4.

Granskningen har genomförts av en projektgrupp bestående av Sara Monaco (projektledare), Ludvig Stendahl och Klara Folkesson. Jens Pettersson deltog i granskningen till februari 2023 och Josefine Olsson till augusti 2023. Stina Lindgren (praktikant) och Lars Henning (revisor) har också bidragit i arbetet. En referensperson har lämnat synpunkter på granskningsupplägg och på ett utkast till granskningsrapport: Jonas Hallberg, tekn. dr, enhetschef Cyberförsvar, Totalförsvarets forskningsinstitut (FOI). Företrädare för Regeringskansliet (Försvarsdepartementet, Justitiedepartementet, Landsbygds- och infrastrukturdepartementet och Utbildningsdepartementet), Blekinge tekniska högskola, Kungl. Tekniska högskolan, Lunds universitet, Myndigheten för samhällsskydd och beredskap, Säkerhetspolisen och länsstyrelserna i Norrbotten, Skåne, Stockholm och Västra Götaland har fått tillfälle att faktagranska och i övrigt lämna synpunkter på ett utkast till granskningsrapport.

  • [1] Prop. 2016/17:50, s. 20, bet. 2016/17:UbU12, rskr. 2016/17:208.
  • [2] SCB, ”Ökad FoU-verksamhet i Sverige under 2022”, hämtad 2023-11-13.
  • [3] Prop. 2020/21:60, s. 13–14, bet. 2020/21:UbU16, rskr. 2020/21:254.
  • [4] SCB, ”Totala utgifter för egen FoU-verksamhet efter sektor, typ av utgift och år, 2022”, hämtad 2023-11-14.
  • [5] SOU 2018:3, s. 78–80.
  • [6] TT, ”Säpo: Underrättelsehoten mot lärosäten ökar”, 2021-05-21; Hellerstedt, ”Spioneriet mot svenska lärosäten fortsätter öka”, 2023-03-09; SVT, ”Attacker mot svenska universitets hemsidor”, 2023-02-11.
  • [7] Se t.ex. Olsson, Cyberattacker mot universitet ökar, 2021-10-07; intervju med företrädare för Säkerhetspolisen, 2023-03-24 och 2022-10-20.
  • [8] Säkerhetspolisen, Säkerhetspolisen 2020, 2021, s. 24; mejl från företrädare för Säkerhetspolisen, 2022-11-25.
  • [9] Prop. 2020/21:60, bet. 2020/21:UbU16, s. 38, rskr. 2020/21:254.
  • [10] Forskningsdata avser data som samlas in eller framställs inom ramen för vetenskaplig forskningsverksamhet, se vidare Ordlista.
  • [11] 6 § MSB:s föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6). Se avsnitt 2.2 för en beskrivning av de föreskrifter som gällde innan dess.
  • [12] 3 § MSB:s föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6); MSB:s metodstöd för systematiskt informationssäkerhetsarbete, informationssäkerhet.se, ”Klassningsmodell”, hämtad 2023-05-05.
  • [13] MSB, ”Termbanken för informationssäkerhet”, hämtad 2023-11-11.
  • [14] Regeringskansliet, Utbildningsdepartementet, Dagordningar för myndighetsdialoger med Blekinge tekniska högskola, KTH och Lunds universitet 2019–2022, se referenslista. I lärosätenas regleringsbrev för 2022 och 2023 finns återrapporteringskrav rörande arbetet med informationssäkerhet, se regeringsbeslut U2021/04851 (delvis), U2021/04891; regeringsbeslut U2022/02763, U2022/02805, U2022/02810 m.fl. Se också Regeringskansliet, U2020/03059/UH, 2020-05-06; Regeringskansliet, U2023/02485, 2023-08-31; Utbildningsdepartementet, ”Pressmeddelande: Nya styrelser för 30 universitet och högskolor”, 2023-04-27.
  • [15] Se t.ex. prop. 2012/13:30, s. 150–152, bet. 2012/13:UbU3, rskr. 2012/13:51; prop. 2016/17:50, s. 106, bet 2016/17:UbU12, rskr. 2016/17:208; prop. 2020/21:60, s. 100, bet. 2020/21:UbU16, rskr. 2020/21:254.
  • [16] Prop. 2020/21:60, s. 27, bet. 2020/21:UbU16, rskr. 2020/21:254.
  • [17] De lärosäten som granskades 2010 (avseende 2009) var: Blekinge tekniska högskola, Högskolan i Borås, Högskolan i Halmstad, Högskolan Kristianstad, Högskolan i Skövde, Linköpings universitet, Lunds universitet och Sveriges lantbruksuniversitet. 2011 granskades följande lärosäten (avseende 2010): Gymnastik- och idrottshögskolan, Högskolan i Gävle, Karolinska institutet, Konstfack, Kungl. Konsthögskolan, Kungl. Musikhögskolan i Stockholm samt Mälardalens högskola (sedan 2022 universitet). 2012 granskades Malmö högskola (sedan 2018 universitet) avseende 2011. Samtliga rapporter finns att hämta på riksrevisionen.se.
  • [18] Till exempel KTH, Internrevisionen, Granskning av KTH:s ledningssystem för informationssäkerhet, Revisionsrapport 1/2020, 2020-10-01; Malmö universitet, Internrevisionen, Granskning av IT-säkerhetskultur vid Malmö universitet, 2022-12-01; PwC, Stockholms universitet, Granskning av informationssäkerhet, november 2020; Lunds universitet, Internrevisionen, Granskning av cyber- och informationssäkerhet, 2019-12-13; Uppsala universitet, Internrevisionsrapport, Informationssäkerhetsarbete, 2021-12-14; PwC, Luleå tekniska universitet, Internrevision 2021, Informationssäkerhet, 2021-04-21.
  • [19] Genomgång av underlag till MSB, Det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen, Resultatredovisning Infosäkkollen 2021, 2022b, 2022-08-26. Av de 15 svarande lärosätena är det endast ett fåtal som har grunderna i informationssäkerhet på plats, och inget lärosäte lever upp till MSB:s föreskriftskrav. Se också SOU 2021:97, enkätsvar från 12 lärosäten; Säkerhetspolisen, Säkerhetspolisen 2020, 2021, s. 40.
  • [20] MSB, Det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen, Resultatredovisning Infosäkkollen 2021, 2022b, s. 17.
  • [21] Hallberg, m.fl. (red.), Informationssäkerhet och organisationskultur, 2017, s. 50–51.
  • [22] Med systematiskt avses att arbeta strukturerat efter en bestämd process med analys, utformande och genomförande, samt uppföljning, utvärdering och förbättring. Att arbeta riskbaserat innebär att identifiera de risker som hänger samman med den information som verksamheten hanterar och anpassa skyddet av informationen utifrån denna analys. I granskningen har vi fokuserat på analys, utformande och genomförande. Se vidare avsnitt 2.1.1.
  • [23] Informationssäkerhet kan delas upp i organisatoriska, personrelaterade, fysiska och tekniska säkerhetsåtgärder, se vidare kapitel 2 och Ordlista.
  • [24] 1 kap. 2 och 5 §§ högskolelagen (1992:1434).
  • [25] 2 kap. 2 § första stycket 2 högskoleförordningen (1993:100). För 15 högskolor finns också krav på att tillämpa internrevisionsförordningen (2006:1228), se 1 kap. 5 a § högskoleförordningen (1993:100).
  • [26] 6 § myndighetsförordningen (2007:515).
  • [27] Prop. 2020/21:1, utg.omr. 2, s. 58, bet. 2020/21:FiU2, rskr. 2020/21:150.
  • [28] Prop. 2001/02:158, bet. 2001/02:FÖU10, s. 72, rskr. 2001/02:261.
  • [29] 11 a § förordning (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap.
  • [30] 13 § förordningen (2022:524) om statliga myndigheters beredskap. För Försvarshögskolan gäller inte bestämmelserna i 12 § andra stycket om informationsskyldighet, 14 § om it‑incidentrapportering och 17 § om risk- och sårbarhetsbedömning.
  • [31] 26–27 §§ förordningen (2022:524) om statliga myndigheters beredskap. MSB:s mandat är överflyttat i oförändrad form till den nya förordningen, mejl från företrädare för MSB, 2023-09-26.
  • [32] Se bl.a. Svenska institutet för standarder, Svensk standard SS-EN ISO/IEC 27000:2020 Informationsteknik – Säkerhetstekniker – Ledningssystem för informationssäkerhet – Översikt och terminologi (ISO/IEC 27000:2018), utgåva 2.
  • [33] 4 § MSB:s föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6).
  • [34] Se MSB:s metodstöd för systematiskt informationssäkerhetsarbete, informationssäkerhet.se, ”Metodstöd”, hämtad 2023-03-21.
  • [35] 5 § MSB:s föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6).
  • [36] MSB och Riksarkivet, Vägledning för processorienterad informationskartläggning, 2012, s. 33.

Uppdaterad: 05 december 2023

Kontakta oss

Skicka dina frågor eller synpunkter via formuläret nedan så ser vi till att de når rätt handläggare. Ange gärna om din fråga har att göra med informationen på just den här sidan. Genom att skicka in en fråga till oss medger du behandling av dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR).

Läs mer om behandling av personuppgifter

Vad handlar din fråga om?
Vad handlar din fråga om?