Riksrevisionen logotyp, länk till startsidan.
Riksrevisionen logotyp, länk till startsidan.

Uppföljning av granskningen Informationssäkerhetsarbete på nio myndigheter (RiR 2016:8)

Syftet med granskningen var att undersöka hur nio särskilt utvalda myndigheter arbetar med sin informationssäkerhet. Dessa myndigheter bedriver samhällsviktig verksamhet, hanterar mycket pengar, är starkt it-beroende och hanterar skyddsvärd information. Myndigheterna är Affärsverket svenska kraftnät, Arbetsförmedlingen, Bolagsverket, Försäkringskassan, Lantmäteriet, Migrationsverket, Post- och telestyrelsen, Sjöfartsverket samt Statens tjänstepensionsverk.

Riksrevisionens samlade slutsats av granskningen var att arbetet med informationssäkerhet på de granskade myndigheterna ligger på en nivå som är märkbart under vad som är tillräckligt. Regeringen har inte sett till att det finns nödvändiga förutsättningar för arbetet, till exempel genom en skarpare styrning och uppföljning. Dessutom var kostnaderna för informationssäkerhet okända, och Riksrevisionen bedömde att informationssäkerhetsarbetet på aggregerad nivå sannolikt inte är kostnadseffektivt.

Riksrevisionen lämnade följande rekommendationer till regeringen:

  • Öka tydligheten i myndighetsstyrningen, så att var och en av myndigheterna i statsförvaltningen uppnår god informationssäkerhet inom rimlig tid.
  • Överväg att ge Myndigheten för samhällsskydd och beredskap (MSB) i uppdrag att ta fram en modell eller ett metodstöd för hur myndigheterna på ett effektivt sätt kan samordna resultat och processer i syfte att stödja myndigheternas arbete med risker.
  • Låt utreda förutsättningarna för att visa samtliga kostnader förenade med informationssäkerhet för verksamheten i staten.
  • Överväg att låta utreda behovet av att inrätta en central funktion som skulle kunna få i uppdrag att lämna operativt stöd till myndigheterna.

Riksdagens behandling av regeringens skrivelse

Riksdagens försvarsutskott uttalade att ett seriöst informationssäkerhetsarbete är mycket viktigt och fann det oroande att Riksrevisionen funnit att arbetet med informationssäkerhet på de granskade myndigheterna låg på en för låg nivå och inte heller såg ut att ha utvecklats i tillräcklig grad över tid. Utskottet ansåg dock att regeringens arbete med att ta fram en nationell strategi för samhällets informations- och cybersäkerhet i närtid var lovvärt och att det därför inte var motiverat att för tillfället vidta ytterligare åtgärder. Rapporten blev därmed lagd till handlingarna.

Regeringens och myndigheternas åtgärder

Regeringen instämde i sin skrivelse i huvudsak i Riksrevisionens samlade slutsats. Regeringen uttalade vidare att man genom olika initiativ och åtgärder ökat kraven på myndigheternas informationssäkerhetsarbete, bland annat genom att införa obligatorisk incidentrapportering för statliga myndigheter. Regeringen aviserade även att man skulle ta fram en nationell strategi för samhällets informations- och cybersäkerhet. Med det ansåg regeringen att Riksrevisionens rapport var slutbehandlad.

Regeringen har därefter gett sex av de nio granskade myndigheterna uppdrag i regleringsbreven för budgetåret 2017 med syfte att öka informationssäkerheten. För fyra av dessa har regeringen återkommit i regleringsbrev under 2018–2020.

Regeringen beslutade i juni 2017 om en nationell strategi för samhällets informations- och cybersäkerhet. Målet var bland annat att myndigheterna ska bedriva ett systematiskt informationssäkerhetsarbete och därigenom bli varse de hot och risker som finns och ta ansvar för sin informationssäkerhet. Det skulle också tas fram en nationell modell till stöd för ett systematiskt informationssäkerhetsarbete. 2018 gav regeringen i uppdrag åt relevanta statliga myndigheter att ta fram en samlad handlingsplan utifrån målen i den nationella strategin i samverkan med kommuner, regioner, företag och organisationer. Vidare uppdrog regeringen 2019 åt MSB att genomföra riktade utbildningsinsatser på informationssäkerhetsområdet till offentlig sektor samt att ta fram en struktur för att följa upp arbetet med informationssäkerhet i den offentliga förvaltningen.

Regeringen tillsatte 2019 en utredning om säker och kostnadseffektiv it-drift för den offentliga förvaltningen. Vidare uppdrog regeringen åt Försäkringskassan att erbjuda samordnad och säker statlig it-drift för vissa statliga myndigheter. Myndigheten för digital förvaltning fick i uppdrag att tillsammans med flera andra myndigheter etablera en förvaltningsgemensam digital infrastruktur för informationsutbyte. I december 2020 beslutade regeringen även att inrätta ett nationellt cybersäkerhetscenter i syfte att stärka Sveriges samlade förmåga att förebygga, upptäcka och hantera cyberhot.

Sedan granskningen genomfördes har Affärsverket svenska kraftnät fortsatt arbetet med att systematisera och utveckla det interna säkerhets- och kontinuitetsarbetet. Verket har implementerat ett ledningssystem för säkerhet som omfattar såväl informationssäkerhet som säkerhetsskydd.

Också Statens tjänstepensionsverk har vidtagit åtgärder eftersom regeringen sagt till om att säkerheten i verksamheten ska öka. Sedan hösten 2019 är därför uppföljning av åtgärder och tidplan inom säkerhetsområdet en dagordningspunkt vid varje styrelsesammanträde.

Avslutande bedömning och kommentarer

Regeringen och de nio granskade myndigheterna har vidtagit åtgärder, som Riksrevisionen bedömer delvis är en följd av granskningen. Några av dessa åtgärder har inneburit att Riksrevisionens rekommendationer har blivit omhändertagna. Det gäller framför allt att öka myndighetsstyrningen inom informationssäkerhetsområdet och att ta fram ett metodstöd på MSB. Detta innebär att de brister som granskningen visade har fått bättre förutsättningar att kunna hanteras.

Uppdaterad: 07 april 2021

Kontakta OSS

Skicka dina frågor eller synpunkter via formuläret nedan så ser vi till att de når rätt handläggare. Ange gärna om din fråga har att göra med informationen på just den här sidan. Genom att skicka in en fråga till oss medger du behandling av dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR).

Läs mer om behandling av personuppgifter

Vad handlar din fråga om?
Vad handlar din fråga om?