Gå till innehåll
Stäng
Riksrevisionen logotyp, länk till startsidan.
Stäng
Riksrevisionen logotyp, länk till startsidan.

2. Om informationssäkerhet och lärosäten

I kapitlet går vi översiktligt igenom viktiga delar i ett systematiskt informationssäkerhetsarbete, Myndigheten för samhällsskydd och beredskaps (MSB) stöd och uppdrag inom området samt ett urval relevanta regelverk. Vi redogör kortfattat för regeringens styrning av statliga universitet och högskolor. Därefter går vi igenom lärosätenas interna styrning och organisation och huvudsakliga roller som vi bedömer är relevanta för informationssäkerhetsarbetet. Avslutningsvis beskriver vi regeringens styrning av lärosätena med koppling till säkerhet och informationssäkerhet samt målen om internationalisering och ett öppet vetenskapssamhälle.

Avsnitt

2.1 Myndigheten för samhällsskydd och beredskaps stöd för ett systematiskt informationssäkerhetsarbete

MSB har ett utpekat ansvar att stödja och samordna arbetet med samhällets informationssäkerhet. Här ingår även att lämna råd och stöd i fråga om förebyggande arbete till andra statliga myndigheter, kommuner och regioner samt företag och organisationer.[37]

2.1.1 Delar i ett systematiskt informationssäkerhetsarbete

Kärnan i informationssäkerhet handlar om att styra och skydda information utifrån aspekterna riktighet, tillgänglighet och konfidentialitet så att rätt person har tillgång till rätt information vid rätt tillfälle.[38] Ett systematiskt informationssäkerhetsarbete är ett arbetssätt för att identifiera krav på och införa säkerhetsåtgärder som ger tillräckligt skydd för informationen. MSB betonar i sitt metodstöd att det är byggt efter en idealiserad bild av hur arbetet kan bedrivas. I praktiken pågår ofta arbete inom flera områden samtidigt.[39]

Figur 1 De fyra metodstegen i MSB:s metodstöd utgör helheten av det systematiska informationssäkerhetsarbetet

De fyra metodstegen beskrivs detaljerat i texten nedanför figuren.

Källa: MSB, Ledningens roll inom informationssäkerhet. Stöd för dig med en ledande funktion. Ledningens genomgång, 2021, s. 7.

I varje metodsteg finns ett antal underliggande delar. Identifiera och analysera består av verksamhetsanalys, omvärldsanalys, riskbild och gapanalys. Analyserna ska säkerställa att informationssäkerheten i verksamheten utformas med utgångspunkt i ett tydligt definierat nuläge.

Utforma är uppdelat i nio delar som behövs för verksamhetens systematiska informationssäkerhetsarbete: organisation, ledning och styrning, informationssäkerhetsmål, styrdokument, riskhantering, klassningsmodell, välj säkerhetsåtgärder[40] och skapa skyddsnivåer, handlingsplan, kontinuitetshantering för informationstillgångar samt incidenthantering.

När styrningen är utformad ska organisationen använda den genom följande delar: riskanalys, klassning av information, genomföra och efterleva samt utbilda och kommunicera.

Det sista steget Följa upp och förbättra består av delarna utvärdera och följa upp samt ledningens genomgång.

2.1.2 MSB:s råd och stöd inom informationssäkerhet

MSB har haft ett särskilt uppdrag att genomföra riktade utbildningsinsatser på informationssäkerhetsområdet till offentlig sektor som redovisades i mars 2021.[41] Det har framför allt gjorts i form av utbildningar och utvecklat metodstöd (se ovan).[42] MSB har också haft i uppdrag att ta fram en struktur för uppföljning av det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen.[43] I maj 2021 lanserades uppföljningsstrukturen under namnet Infosäkkollen, riktad till kommuner, regioner och statliga myndigheter. Genom frivilliga självvärderingar är syftet att vartannat år följa upp det systematiska informationssäkerhetsarbetet. Det finns också möjligheter för de inrapporterande organisationerna att på gruppnivå jämföra sina egna resultat med andra svarande organisationers.[44] 15 lärosäten besvarade den första Infosäkkollen.[45] Inför 2023 års rapportering har it-säkkollen lagts till med fokus på it-säkerhetsåtgärder.[46]

Sedan hösten 2022 erbjuder MSB en rådgivningstjänst om det systematiska informationssäkerhetsarbetet via mejl eller telefon som ett komplement till övriga vägledningar och stödmaterial.[47] MSB är också sammankallande för det statliga nätverket för informationssäkerhet (Snits). Nätverket syftar till kontakt- och erfarenhetsutbyte, kompetensutveckling, informationsspridning och diskussioner om systematiskt informationssäkerhetsarbete.[48]

2.2 Viktiga regelverk rörande informationssäkerhet och hanteringen av forskningsdata

Det finns ett antal regelverk som reglerar informationssäkerhet och hanteringen av forskningsdata. Nedan sammanfattar vi de generella regelverk som vi bedömer är mest relevanta för hanteringen av forskningsdata, varav en del är mer relevanta just inom naturvetenskap och teknik. Det finns även många andra regelverk som kan vara aktuella utöver de som anges nedan och listan är inte uttömmande.[49]

Relevant rättslig reglering

Informationssäkerhet förordningen (2022:524) om statliga myndigheters beredskap; Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6)[50]; Myndigheten för samhällsskydd och beredskaps föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:7); Myndigheten för samhällsskydd och beredskaps föreskrifter om rapportering av it-incidenter för statliga myndigheter (MSBFS 2020:8).

Personuppgifter: Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning); lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Tillsynsmyndighet: Integritetsskyddsmyndigheten.

Allmänna handlingars offentlighet och sekretess: 2 kap. tryckfrihetsförordningen; offentlighets- och sekretesslagen (2009:400)

Säkerhetsskydd: säkerhetsskyddslagen (2018:585); säkerhetsskyddsförordningen (2021:955); Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1).
Tillsynsmyndighet: sedan 2021 är länsstyrelserna i Norrbotten, Stockholm, Skåne och Västra Götaland tillsynsansvariga för universitet och högskolor beroende på var lärosätet har sitt säte.[51]

Arkivering och gallring[52]: arkivlagen (1990:782); arkivförordningen (1991:446); Riksarkivets föreskrifter och allmänna råd om gallring av handlingar i statliga myndigheters forskningsverksamhet (RA-FS 1999:1).
Tillsynsmyndighet: Riksarkivet

Exportkontroll och produkter för civil användning som även kan användas militärt: lagen (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd; förordningen (2000:1217) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd.
Tillsynsmyndighet: Inspektionen för strategiska produkter.

2.3 Regeringens styrning av statliga lärosäten

Högskolesektorn i Sverige[53]

År 2022 fanns det 16 statliga universitet och 15 statliga högskolor i Sverige samt ett tjugotal enskilda utbildningsanordnare[54]. Sammanlagt fanns 55 000 heltidsekvivalenter (motsvarande ca 69 000 anställda varav 55 procent var kvinnor och 45 procent män). Av dessa var drygt 32 000 forskande och undervisande personal. Vidare fanns drygt 17 000 doktorander (varav kvinnor 52 procent och män 48 procent) och 370 000 studenter (varav 61 procent kvinnor och 39 procent män).

De direkta anslagen till universitet och högskolor motsvarar 4,1 procent av de samlade anslagen för statsbudgetens alla utgiftsområden. Universitetens och högskolornas samlade intäkter till forskning och utbildning på forskarnivå var 49,5 miljarder kronor 2022. Drygt 70 procent av forskningsmedlen kom från svenska staten, antingen som direkta statsanslag eller via olika myndigheter. De direkta statsanslagen var 21,6 miljarder för forskning och utbildning på forskarnivå.

Statliga universitet och högskolor styrs i första hand av högskolelagen (1992:1434) och högskoleförordningen (1993:100). Regeringen styr också statliga universitet och högskolor via årliga regleringsbrev. Statliga universitet och högskolor styrs även av de generella regelverk som gäller för andra statliga myndigheter.[55] Lärosätenas återrapportering av utfallet av sin verksamhet sker i första hand i årsredovisningarna. Lärosätena bestämmer själva över den interna fördelningen av resurser, utbildningsutbud, utbildningens innehåll och utformning, inklusive hur många studenter som antas och vilken forskning som lärosätet ska bedriva.[56]

Forskningens frihet är skyddad i regeringsformen (RF) och vidare reglerad i högskolelagen (1992:1434). Det innebär att forskningsproblem fritt får väljas, forskningsmetoder fritt får utvecklas och forskningsresultat fritt får publiceras.[57] 2021 skrevs även akademisk frihet in i högskolelagen. Här framgår att som allmän princip i högskolornas verksamhet ska gälla att den akademiska friheten ska främjas och värnas.[58] Forskning, i betydelsen fritt kunskapssökande och fri kunskapsspridning, ska dock alltid utövas inom de rättsliga ramar som finns.[59]

2.4 Lärosätenas interna styrning och organisation

Som en följd bland annat av den så kallade autonomireformen 2011 kan organisationen se olika ut på lärosätena.[60] I figur 2 nedan framgår ett typexempel på hur organisationen kan se ut och vilka akademiska och administrativa chefsnivåer som finns.

Figur 2 Typexempel på organisation vid ett lärosäte

Exempel på hur organisationen kan se ut.

Källa: Något omarbetad från figur 1.2 Norén och Wallin, Akademisk chef – hur fungerar det?, 2022, s. 30.

I den akademiska organisationen finns en eller flera fakulteter med ett antal institutioner under varje fakultet. Den akademiska chefslinjen går ofta från rektor till dekan till prefekt. Stora institutioner kan också ha avdelningar med avdelningschefer.[61] Kungl. Tekniska högskolan (KTH) och Lunds universitet (LU) är organisationer med tre akademiska organisatoriska nivåer.[62] Det finns också lärosäten som inte har en fakultetsnivå med dekaner. Vid dessa svarar prefekterna direkt mot rektor. Blekinge tekniska högskola (BTH) är ett exempel på ett lärosäte med fakulteter men där den akademiska chefslinjen går från rektor direkt till prefekt. Se vidare bilaga 3 för organisationsskisser för BTH, KTH och LU.

I den administrativa förvaltningsorganisationen finns flera avdelningar, ibland med särskilda enheter eller funktioner under varje avdelning. Rektor är chef över förvaltningschefen i den administrativa chefslinjen. Förvaltningschefen är chef över förvaltnings- och stödverksamhetens avdelningschefer, och ibland även över chefer för förvaltning och stöd på fakultets- eller institutionsnivå.[63]

Roller och funktioner på lärosäten av relevans för informationssäkerhetsarbetet

En högskola beslutar om sin interna organisation utöver styrelse och rektor, om inte något annat är föreskrivet.[64] Det innebär att det finns en del variation i vilka som arbetar med informationssäkerhet på lärosätena, och hur arbetet organiseras, utformas och genomförs. Huvudansvaret för själva informationssäkerheten följer som regel verksamhetsansvaret. Nedan följer en typbeskrivning av huvudsakliga roller som vi bedömer är relevanta för informationssäkerhetsarbetet.[65]

Styrelsen: styrelsen har inseende över lärosätets alla angelägenheter och svarar för att dess uppgifter fullgörs. Styrelsen beslutar bland annat i viktigare frågor om lärosätets övergripande inriktning, dess organisation, interna resursfördelning och uppföljning. I övriga uppgifter och frågor ska rektor besluta, om inte något annat angetts av lag eller förordning eller beslutats av styrelse. Vid statliga universitet och högskolor utser regeringen ordföranden och ytterligare sju ledamöter i styrelsen. Lärare och studenter vid högskolan har rätt att utse tre ledamöter vardera i styrelsen. Rektor ingår i styrelsen.[66]

Rektor: ansvarig för ledningen av verksamheten närmast under styrelsen. Vid statliga universitet och högskolor anställs rektor av regeringen efter förslag från lärosätets styrelse. Rektor anställs för högst sex år, anställningen får förnyas, dock högst två gånger om vardera högst tre år.[67] Rektor ansvarar för att verkställa beslut och fastställa delegationer för beslutsbefogenheter.

Prorektor: utses av lärosätesstyrelsen och är ställföreträdande för rektor. Prorektorn har därutöver egna ansvarsområden.

Vicerektor: en eller flera, ansvariga för vissa verksamhetsområden som exempelvis forskning, internationalisering eller digitalisering. Utses av rektor.

Dekan: högsta akademiska chef på en fakultet/ordförande i en fakultetsnämnd. Vanligen rekryterad ur lärarkåren på ett tidsbegränsat uppdrag. Utses av rektor. Har ofta övergripande verksamhets-, budget- och personalansvar för fakulteten.

Prefekt: högsta akademiska chef på en institution eller motsvarande. Vid stora institutioner kan det finnas avdelningschefer mellan prefekt och forskare. Prefekten är ofta själv lärare/forskare och uppdraget är oftast ett deltidsuppdrag. Det varierar hur prefekter utses – de kan vara valda eller föreslagna av sina egna kollegor och utses av dekan eller annan överordnad chef såsom rektor. Prefektens mandatperiod är oftast tidsbegränsad (vanligtvis tre eller fyra år) men kan förlängas. Prefekten är en länk mellan forskande och undervisande personal och fakultets- och lärosätesledningarna, med ansvar bland annat för att beslut implementeras på institutionen. Prefekten skriver även på avtal om mottagande av forskningsbidrag upp till vissa belopp.

Lärare och forskare: den forskande och undervisande personal som i huvudsak bedriver forskning och undervisning i högskolan består av professorer, lektorer, meriteringsanställda (forskarassistenter, biträdande lektorer och postdoktorer), adjunkter och annan forskande och undervisande personal med eller utan doktorsexamen (t.ex. forskare, forskningsingenjörer och forskningsassistenter).[68]

Doktorand: genomgår utbildning på forskarnivå och innehar i de flesta fall en doktorandanställning. Inom naturvetenskap och teknik är 6 procent respektive 12 procent företagsdoktorander vilket betyder att de bedriver sin forskarutbildning inom ramen för en anställning utanför högskolan.[69]

Förvaltningschef och verksamhetsstöd: förvaltningschefen är högsta chef för förvaltnings- och stödverksamheten. Anställs av rektor, som är närmaste chef. Andra benämningar är universitetsdirektör eller högskoledirektör. Inom förvaltnings- och stödverksamheten finns ofta flera funktioner med roller i lärosätets informationssäkerhetsarbete, såsom säkerhetschef, it- och it-säkerhetsansvariga, jurister, exportkontrollhandläggare och dataskyddsombud.

Informationssäkerhetschef/Chief Information Security Officer (CISO): leder och samordnar det strategiska informationssäkerhetsarbetet vid lärosätet. Exempel på mandat som CISO kan ha är att kravställa utvecklingsprojekt, bedriva tillsyn att styrdokument efterlevs och att rapportera interna brister i efterlevnaden av styrdokument.[70] Har ibland personalansvar om det även finns t.ex. informationssäkerhetsspecialister eller informationssäkerhetsstrateger anställda på lärosätet.

It: it-avdelningen leds vanligtvis av en it-chef med övergripande ansvar för lärosätets it-organisation inom verksamhetsstödet. Där finns ofta medarbetare med ansvar för användarstöd, infrastruktur, säkerhet, arkitektur, tjänsteutbud, drift, systemförvaltning och systemutveckling inom it. På vissa lärosäten finns det även it‑organisationer på fakultets- eller institutionsnivå.

Bibliotek och forskningsdatastöd: vid lärosätenas bibliotek finns medarbetare som jobbar med stöd kring forskningsdata, såsom tillgängliggörande, bevarande och hantering i enlighet med gällande regelverk. Ofta finns forskningsdatateam (som kan kallas Data Access Unit, DAU). Medabetare inom forskningsdatastöd hjälper ofta till i samband med forskningsansökningar och mottagande av extern finansiering, såsom upprättandet av datahanteringsplaner. Bibliotek och forskningsdatastöd kan också finnas på fakultetsnivå.

2.5 Regeringens styrning av lärosätena med koppling till säkerhet och informationssäkerhet

Regeringen har i första hand styrt lärosätenas informationssäkerhetsarbete genom generella förordningar och indirekt genom uppdrag till MSB.[71]

Från och med 2019 har olika aspekter av säkerhet varit med på dagordningen för de årliga myndighetsdialogerna med lärosätena. 2019 och 2020 togs säkerhetsskydd upp. 2021 och 2022 breddades punkten till säkerhetsfrågor, som inkluderar såväl informationssäkerhet som mer it-nära frågor, it-incidenter samt exportkontroll och säkerhetsskydd.[72]

2020 uppmanade den dåvarande ministern för högre utbildning och forskning lärosätesledningarna att bedriva ett systematiskt säkerhetsarbete i syfte att skapa sig en förståelse av eventuella skyddsvärden. Bakgrunden var bland annat den då relativt nya säkerhetsskyddslagen (2018:585).[73]

I det gemensamma regleringsbrevet avseende universitet och högskolor för 2022 var kravet att i årsredovisningen övergripande redovisa hur man arbetar för att stärka sin informationssäkerhet. I regleringsbrevet för 2023 låg fokus bland annat på att rapportera om den interna styrningen och uppföljningen av informationssäkerhetsarbetet, it-incidenter samt hot- och sårbarhetsanalyser om rådande omvärldsläge. Rapportering skedde separat i oktober 2023.[74]

I juli 2023 fick Universitets- och högskolerådet, Vetenskapsrådet och Verket för innovationssystem (Vinnova) i uppdrag att ta fram vägledande nationella riktlinjer för internationella samarbeten. Riktlinjerna syftar till att stötta lärosätena att göra bedömningar av pågående och potentiella internationella utbildnings- och forskningssamarbeten. Uppdraget ska slutredovisas i december 2024.[75]

I augusti 2023 fick en utredare i uppdrag att biträda Utbildningsdepartementet med att se över hur det kan säkerställas att det finns kompetens om säkerhetsfrågor bland de ledamöter som utses av regeringen i de statliga universitetens och högskolornas styrelser. I uppdraget, som ska slutredovisas 31 december 2023, ingår även att bedöma om det finns behov av ytterligare åtgärder för att öka universitetens och högskolornas kompetens i säkerhetsfrågor, och i så fall föreslå sådana åtgärder.[76] Uppdraget föregicks av att lärosätesstyrelsernas mandatperioder kortades ned från 36 till 17 månader med motiveringen att det säkerhetspolitiska läget gör det nödvändigt att sådan kompetens ingår i styrelserna.[77]

2.6 Internationalisering och målet om ett öppet vetenskapssamhälle

Till skillnad från annan typ av information som hanteras på ett lärosäte, till exempel personalstatistik eller statistik om studenter, behöver forskningsdata ofta vara tillgängliga för en bredare krets aktörer. Det kan handla om att dela data inom en forskargrupp med såväl nationella som internationella samarbetspartner, med externa samarbetspartner, företag eller med tidskrifter i samband med publicering. Att arbeta med informationssäkerhet i en sådan kontext skapar särskilda utmaningar.

I den senaste forskningspropositionen skriver regeringen att det krävs en hög grad av internationalisering för att Sverige ska kunna vara en ledande forsknings- och kunskapsnation.[78] Av högskolelagen framgår att den samlade internationella verksamheten vid varje högskola ska stärka kvaliteten i högskolans utbildning och forskning.[79] Även inom sektorn ses internationalisering i allmänhet som ett medel för att öka kvaliteten i såväl forskning som utbildning.[80]

Regeringen anger att öppenhet bör utgöra grunden i internationellt samarbete, samtidigt som det behöver finnas en medvetenhet om behovet av att skydda nationella säkerhetsintressen, kunskap och teknik.[81] I samarbete med Kina nämns exempelvis utmaningar i fråga om etik, akademisk frihet och immaterialrättsskydd, samt kopplingar till den militära sektorn.[82]

Parallellt med ökad internationalisering pågår sedan en längre tid en omställning mot ett öppet vetenskapskapssamhälle som ska vara genomförd 2026. Det inkluderar såväl vetenskapliga publikationer som konstnärliga verk och forskningsdata. Av forskningspropositionen 2016/17:50 framgår att begränsningar kan motiveras av integritetsskäl, nationella säkerhetsintressen eller immaterialrättsliga skäl, men att öppen tillgång utgör normen och inskränkningar i öppenheten utgör undantagen.[83] I proposition 2022/23:1 understryker regeringen att det finns ett fortsatt stort behov av att nyckelaktörer som lärosäten och forskningsfinansiärer tar ett gemensamt ansvar för att verka för att den nationella riktningen för öppen tillgång följs och uppnås. [84]

Lärosätenas uppdrag att utveckla arbetet med öppen vetenskap anges i regleringsbrev.[85] Vad gäller forskningsdata ska omställningen vara genomförd fullt ut senast 2026, vilket innebär att forskningsdata ska göras tillgängliga så öppet som möjligt och så begränsat som nödvändigt.[86] Vetenskapsrådet har uppdraget att samordna, följa upp och främja samverkan i arbetet för öppen tillgång till forskningsdata.[87] Vetenskapsrådet rekommenderar att forskningsdata (och metadata) som finansieras av offentliga medel och som kan publiceras med öppen tillgång hanteras i enlighet med de så kallade FAIR-principerna. Det innebär att forskningsdata hanteras på ett sätt som gör att de blir sökbara (findable), tillgängliga (accessible), interoperabla (interoperable), och återanvändningsbara (reusable).[88]

Regeringen anger datahanteringsplaner som en första insats för att främja god datahantering.[89] Redan 2012 ställde Vetenskapsrådet krav på datapubliceringsplaner för att bevilja ansökningar med stora faktainsamlingar i syfte att säkerställa framtida återanvändning av forskningsdata.[90] Sedan 2019 finns krav på att forskare som beviljas anslag ska upprätta en datahanteringsplan. Planen ska beskriva hur insamlade data ska hanteras under och efter forskningsprocessen och inkluderar att redogöra för hur det säkerställs att data hanteras enligt de rättsregler som gäller till exempel hantering av personuppgifter, sekretess och immaterialrätt.[91]

Sedan 2022 inkluderar lagen (2022:818) om den offentliga sektorns tillgängliggörande av data även forskningsdata.[92] Syftet är att främja den offentliga sektorns tillgängliggörande av data för vidareutnyttjande, särskilt i form av öppna data. Statliga universitet och högskolor ska tillämpa lagen bara i fråga om forskningsdata. Tillgängliggörande gäller under förutsättning att krav på informationssäkerhet och skydd av personuppgifter kan upprätthållas och att det inte innebär risker för Sveriges säkerhet.[93]

  • [37] 11 a § förordningen (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap.
  • [38] Ibland läggs även spårbarhet till som en aspekt. Definitionen med dessa tre (eller fyra) aspekter har kritiserats bl.a. för att utgå från att dessa specifika villkor gäller för all information i alla sammanhang, se Hallberg, m.fl. (red.), 2017, s. 212–213.
  • [39] Myndigheten för samhällsskydd och beredskaps metodstöd för systematiskt informationssäkerhetsarbete, informationssäkerhet.se, ”Metodstödet”, hämtad 2023-03-21.
  • [40] Säkerhetsåtgärder för informationssäkerhet omfattar åtgärder inom det organisatoriska, personrelaterade, tekniska och fysiska säkerhetsområdet. Åtgärderna kan verka förebyggande, upptäckande eller korrigerande, se vidare Ordlista.
  • [41] Regeringsbeslut Ju2019/03057/SSK. Under 2018 och 2019 riktade MSB utbildningsinsatser till kommuner, regioner och länsstyrelser.
  • [42] År 2011 lanserade MSB det första metodstödet för systematiskt informationssäkerhetsarbete och en reviderad version lanserades 2018.
  • [43] Regeringsbeslut Ju2019/03058/SSK, Ju2019/02421/SSK.
  • [44] MSB, Det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen, Resultatredovisning Infosäkkollen 2021, 2022b, s. 17.
  • [45] Genomgång av underlag till MSB, Det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen, Resultatredovisning Infosäkkollen 2021, 2022b, 2022-08-26.
  • [46] MSB, ”Infosäkkollen”, hämtad 2023-10-09.
  • [47] MSB, ”Rådgivningstjänst för systematiskt informationssäkerhetsarbete”, hämtad 2023-09-18.
  • [48] MSB, ”Nätverk för offentliganställda”, hämtad 2023-10-03.
  • [49] Exempelvis lagen (2018:558) om företagshemligheter; lagen (2003:460) om etikprövning av forskning som avser människor, lagen (1984:3) om kärnteknisk verksamhet och lagen (2002:297) om biobanker i hälso- och sjukvården m.m. Listan kan göras betydligt längre och tillämpliga regelverk kan variera mellan forskningsområden.
  • [50] Innan dessa gällde MSB:s föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2016:1), som ersatte MSBFS 2009:10 föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet, som i sin tur ersatte Verket för förvaltningsutvecklings föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte (VERVAFS 2007:2). Föreskriften trädde i kraft 2008 med krav på att myndigheter under regeringen skulle tillämpa ett ledningssystem för informationssäkerhet. MSB, Konsekvensutredning för föreskrift om krav på informationssäkerhet, 2009-11-24.
  • [51] Se 8 kap. 1 § säkerhetsskyddsförordningen (2021:955). Försvarsmakten är tillsynsmyndighet för Försvarshögskolan.
  • [52] Vissa handlingar i myndighetens forskningsverksamhet ska inte gallras, se 6–7 §§ Riksarkivets föreskrifter och allmänna råd om gallring av handlingar i statliga myndigheters forskningsverksamhet (RA-FS 1999:1). Exempel på forskningsdata som inte ska gallras kan vara särskilt omfattande och unikt primärmaterial, register och databaser med särskilt hög täckningsgrad eller data som rönt stor uppmärksamhet i den allmänna debatten, se bilaga 1B RA-FS 1999:01.
  • [53] Uppgifterna i detta avsnitt avser 2022 och har hämtats från Universitetskanslersämbetet, Universitet och högskolor. Årsrapport 2023, 2023 samt prop. 2023/24:1, utg.omr. 16, s. 109.
  • [54] Enskilda utbildningsanordnare med tillstånd att utfärda examina enligt lagen (1993:792) om tillstånd att utfärda vissa examina.
  • [55] Det är dock inte alla bestämmelser i myndighetsförordningen (2007:515) som gäller för de statliga lärosätena. I 1 kap. 5 § högskoleförordningen anges vilka bestämmelser i myndighetsförordningen som inte tillämpas på de statliga lärosätena.
  • [56] Universitetskanslersämbetet, ”Så styrs högskolesektorn”, hämtad 2023-09-05. Bestämmelser för Sveriges lantbruksuniversitet och Försvarshögskolan finns i förordningen (1993:221) för Sveriges lantbruksuniversitet respektive förordningen (2007:1164) för Försvarshögskolan.
  • [57] 2 kap. 18 § regeringsformen; 1 kap. 6 § högskolelagen (1992:1434).
  • [58] 1 kap. 6 § högskolelagen (1992:1434).
  • [59] Prop. 2020/21:60, s. 131, 192, bet. 2020/21:UbU16, rskr. 2020/21:254.
  • [60] Prop. 2009/10:149. I SOU 2015:92 beskrivs t.ex. Lunds universitet som det mest decentraliserade av alla lärosäten, och att de fyra stora flerfakultetsuniversiteten Uppsala universitet, Lunds universitet, Göteborgs universitet och Stockholms universitet har mycket gemensamt ifråga om organisationsstruktur, delegering av beslutanderätt, tradition och kultur jämfört med övriga universitet och högskolor.
  • [61] Norén och Wallin, Akademisk chef – hur fungerar det?, 2022, s. 30–32.
  • [62] LU har 9 fakulteter och 63 institutioner. KTH har 5 skolor och sammanlagt 27 institutioner. Därtill finns ett antal centrumbildningar.
  • [63] Norén och Wallin, Akademisk chef – hur fungerar det?, 2022, s. 31.
  • [64] 2 kap. 5 § högskolelagen (1992:1434).
  • [65] Utöver de referenser som anges i fotnoter är informationen i första hand hämtad från SOU 2015:92; Norén och Wallin, Akademisk chef – hur fungerar det?, 2022, s. 180–181 och bilaga 2 samt baserad på information som Riksrevisionen inhämtat under granskningen.
  • [66] 2 kap. 2–4 §§ högskolelagen (1992:1434); 2 kap. 1–3, 7–7 b §§ högskoleförordningen (1993:100). Regeringen meddelar särskilda föreskrifter om sammansättningen av styrelse vid Sveriges lantbruksuniversitet och vid Försvarshögskolan samt om en nämnd för forskning och utbildning vid Försvarshögskolan, se 2 kap. 9 § högskolelagen (1992:1434).
  • [67] 2 kap. 3 § högskolelagen (1992:1434); 2 kap. 8 § högskoleförordningen (1993:100).
  • [68] Universitetskanslersämbetet, Universitet och högskolor, Årsrapport 2023, s. 94–95.
  • [69] Universitetskanslersämbetet, Universitet och högskolor, Årsrapport 2023, s. 82–83.
  • [70] MSB:s metodstöd för systematiskt informationssäkerhetsarbete, informationssäkerhet.se, ”Metodstöd, Utforma, CISO-rollen, Mandat som CISO”, hämtad 2023-10-30.
  • [71] Förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap och förordningen (2022:524) om statliga myndigheters beredskap.
  • [72] Se Regeringskansliet, Utbildningsdepartementet, Dagordningar för myndighetsdialoger med Blekinge tekniska högskola, KTH och Lunds universitet 2019–2022.
  • [73] Regeringskansliet, Utbildningsdepartementet, Ministern för högre utbildning och forskning, Vikten av ett systematiskt säkerhetsarbete, U2020/03059/UH, 2020-05-06.
  • [74] Regeringsbeslut U2021/04851 (delvis), U2021/04891; regeringsbeslut U2022/02763, U2022/02805, U2022/02810 m.fl.
  • [75] Regeringsbeslut U2023/02127.
  • [76] Regeringskansliet, Utbildningsdepartementet, Uppdrag att ta fram förslag om hur universitets och högskolors kompetens i säkerhetsfrågor kan öka, U2023/02485, 2023-08-31.
  • [77] Utbildningsdepartementet, ”Pressmeddelande: Nya styrelser för 30 universitet och högskolor”, 2023-04-27.
  • [78] Prop. 2020/21:60, bet. 2020/21:UbU16, s. 27, rskr. 2020/21:254.
  • [79] 1 kap. 5 § högskolelagen (1992:1434).
  • [80] Se t.ex. SOU 2018:3, s. 71–72.
  • [81] Regeringsbeslut U2023/02127; Regeringskansliet, Näringsdepartementet, Nationell inriktning för artificiell intelligens N2018.14, s. 9.
  • [82] Dir. 2019:50; dir. 2020:52; skr. 2017/18:259; skr. 2019/20:18, s. 18.
  • [83] Prop. 2016/17:50. Se också prop. 2012/12:30, s. 150, där regeringen anger att Vetenskapsrådet bör få i uppdrag att utveckla former och nationella riktlinjer för hur forskare kan få öppen tillgång till forskningsresultat och forskningsdata.
  • [84] Prop. 2022/23:1, utg.omr. 16, s. 218.
  • [85] Regeringsbeslut U2022/02763, U2022/02805, U2022/02810 m.fl.
  • [86] Prop. 2020/21:60, s. 101.
  • [87] 2 § 21 förordning (2009:975) med instruktion för Vetenskapsrådet.
  • [88] Vetenskapsrådet, ”Tillgängliggörande av forskningsdata och FAIR-kriterier”, hämtad 2023-09-05.
  • [89] Prop. 2020/21:60, s. 101, bet. 2020/21:UbU16, rskr. 2020/21:254.
  • [90] Mannberg-Zackari, ”Fler citeringar med återbruk av data”, 2012-08-20.
  • [91] Vetenskapsrådet, Vägledning till mallen för datahanteringsplaner, 2022, s. 8.
  • [92] Lagen föregicks av lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen som inte inkluderade forskningsdata utan endast handlingar som finns hos högskolebibliotek (3 § ibid.).
  • [93] 1 och 6 §§ lagen (2022:818) om den offentliga sektorns tillgängliggörande av data.

Uppdaterad: 05 december 2023

Kontakta oss

Skicka dina frågor eller synpunkter via formuläret nedan så ser vi till att de når rätt handläggare. Ange gärna om din fråga har att göra med informationen på just den här sidan. Genom att skicka in en fråga till oss medger du behandling av dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR).

Läs mer om behandling av personuppgifter

Vad handlar din fråga om?
Vad handlar din fråga om?