Riksrevisionen logotyp, länk till startsidan.
Riksrevisionen logotyp, länk till startsidan.

2. Regeringens arbete med att ta fram den nationella informations- och cybersäkerhetsstrategin

Kapitlet beskriver regeringens och Regeringskansliets arbete med att ta fram den nationella informations- och cybersäkerhetsstrategin och iakttagelser av hur strategin är utformad. Det är uppdelat utifrån Enisas bästa praxis, som är del av granskningens bedömningsgrunder. Kapitlet besvarar delfråga ett:

Är den nationella informations- och cybersäkerhetsstrategin effektivt utformad?

Enligt Riksrevisionen ska en effektiv strategi behandla ett antal frågeställningar[36] och innehålla:

  • en analys som definierar den strategiska utmaningen och dess natur
  • en vägledande policy för att hantera den strategiska utmaningen
  • en uppsättning sammanhängande åtgärder designade för att förverkliga den vägledande policyn
  • avvägningar och prioriteringar
  • utpekade resurser för att uppnå målen.

Utifrån bedömningsnormernas beskrivning av vad som kännetecknar en effektiv strategi, och då särskilt på informations- och cybersäkerhetsområdet är Riksrevisionens bedömning att regeringens strategi brister på de flesta punkterna. Den har brister inom i stort sett samtliga av de frågeställningar som Enisa anser bör behandlas i en strategi. Den uppfyller heller inte de kriterier som Riksrevisionen bedömer krävs i form av analys av strategiska utmaningar, prioriteringar och avvägningar, utpekade resurser samt sammanhängande åtgärder.

Avsnitt

2.1 Strategin saknar analys av strategiska utmaningar och tydliga prioriteringar

Riksrevisionens bedömer att regeringens strategi saknar vad som utmärker en bra strategi på ett flertal punkter. Den utgör därför inte det styrinstrument som skulle behövas på informations- och cybersäkerhetsområdet.

Den svenska informations- och cybersäkerhetsstrategin ska utgöra en plattform för Sveriges fortsatta arbete, stötta aktörer i deras cybersäkerhetsarbete och skapa ett mer samlat arbete på området. Strategin omfattar hela samhället. Tanken är att den ska bidra till att skapa långsiktiga förutsättningar för samhällets aktörer att arbeta effektivt med informations- och cybersäkerhet. Regeringen pekar på kopplingar till såväl den nationella säkerhetsstrategin som digitaliseringsstrategin och det it-politiska målet att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.[37] Strategins övergripande målsättning har därmed en ansats att vara bred och heltäckande.

Strategin innehåller tre kapitel. Den första delen behandlar frågor om behovet av en strategi och utgångspunkterna för Sveriges informations- och cybersäkerhet. Den andra delen beskriver sex fokusområden som enligt regeringen utgör strategiska prioriteringar. Den tredje delen redogör för hur regeringen tänker sig att följa upp strategin. De sex prioriteringarna är:

  1. säkerställa en systematisk och samlad ansats i arbetet med informations- och cybersäkerhet
  2. öka säkerheten i nätverk, produkter och system
  3. stärka förmågan att förebygga, upptäcka och hantera cyberattacker och andra it-incidenter
  4. stärka förmågan att förebygga och bekämpa it-relaterad brottslighet
  5. öka kunskapen och främja kompetensutvecklingen
  6. stärka det internationella samarbetet.

Under dessa presenteras sedan totalt tretton olika målsättningar kopplade till de strategiska prioriteringarna. En stor del av målsättningarna utgörs av ospecifika skrivningar i form av att samverkan ska stärkas, säkerheten ska öka eller förmågan ska förbättras. Även om en sådan oprecis målformulering skulle kunna användas för att mäta en förändring så saknas det en tydlig utgångspunkt för hur nivån såg ut på de flesta olika områden som berörs i strategin när den presenterades. Det innebär att en bedömning av hur ett område har utvecklats blir svår att genomföra och den blir subjektiv. Att använda sig av oprecisa kriterier innebär även att styrsignalen blir svag.

Regeringen nämner på ett antal ställen kortfattat varför informations- och cybersäkerhet är viktigt, exempelvis för att slå vakt om grundläggande värden och mål i samhället eller för verksamheter för att nå upp till kvalitets- och effektivitetskrav. Men det går inte att hitta någon tydlig vision i form av ett önskat framtida tillstånd. I stället blir de tretton målsättningarna det som kommer närmast att vara en vision.[38]

Strategin är i flera delar otydlig gällande såväl vilka aktörer och sektorer som är tänkta att påverkas och hur. Det finns även otydligheter avseende hur olika målsättningar och aktiviteter är tänkta att påverka samhället, ekonomin och medborgarna i stort. Regeringen ger uttryck för att strategin omfattar hela samhället i form av statliga myndigheter, kommuner, landsting, företag, organisationer och privatpersoner.[39] Det saknas dock i stort resonemang om målsättningar eller åtgärder kopplat till olika aktörer eller sektorer. De resonemang som förs är i huvudsak generiska och aktörslösa vad avser både utförare och vem som ska gynnas av eventuella åtgärder.

Strategin innehåller heller inte någon egentlig analys kring de strategiska utmaningarna. Den innehåller beskrivningar av olika problem, exempelvis att digitalisering och därmed kravet på säkerhet ökar, att informationssäkerhetens komplexitet, gränsöverskridande karaktär och snabba utvecklingstakt kräver en effektiv samverkan samt att antagonister blir mer och mer sofistikerade. Sådana problembeskrivningar utgör enligt Riksrevisionen inte en analys av den strategiska utmaningen. I avsnittet kring behovet av en gemensam nationell modell finns vissa resonemang som har karaktären av analys, exempelvis att regelverk kan vara överlappande och eventuellt motstridiga, att ansvarsområden kan vara överlappande, eller att det kanske finns luckor mellan dem. Fler sådana resonemang saknas dock i huvudsak i strategin. En analys av de strategiska utmaningarna bör enligt Riksrevisionen peka ut vad som inte fungerar i det svenska samhället avseende informations- och cyberssäkerhet och orsakerna till problemen.

Strategin innehåller inte heller beskrivningar av avvägningar eller prioriteringar utan utgörs mer av en uppräkning av målsättningar. Detta trots att ett flertal aktörer som är tänkta att samverka har delvis skilda synsätt och prioriteringar.[40] Avseende vägledande policy/handlingsprogram kan regeringens så kallade strategiska prioriteringar och skrivningar kring vad regeringen ska verka för ses som ett uttryck för policy. Som nämnts beskrivs de dock vagt. Eftersom det saknas en tydlig analys kring de strategiska utmaningarna blir det svårt att bedöma i vilken utsträckning det är lämpliga fokusområden för att lösa problemen. Strategin innehåller inte heller någon redogörelse för vilka resurser som ska tillgängliggöras för att uppnå målsättningarna.

Slutligen konstaterar Riksrevisionen att strategin inte innehåller någon uppsättning sammanhängande åtgärder designade för att förverkliga den vägledande policyn. I samband med att strategin presenterades gav regeringen även ett antal myndigheter totalt fyra olika uppdrag.[41] Det var först i och med ett uppdrag att ta fram en handlingsplan för att förverkliga strategins målsättningar 2018 som det presenterades konkreta åtgärder med en mer uttalad koppling till själva strategin.[42] Handlingsplanen bygger på åtgärder som myndigheterna redan genomförde utifrån instruktion, regleringsbrev och regeringsuppdrag. Handlingsplanen utgör därmed snarare en redovisning av åtgärder som myndigheterna genomför baserad på annan styrning än styrning som kommer av strategin. Strategin och handlings-planen utgör inte formell styrning gentemot myndigheterna. Myndigheternas resurstilldelning görs i stället utifrån den formella styrningen i instruktion, regleringsbrev och regeringsuppdrag. Riksrevisionen har vid ett flertal tillfällen påpekat att signaler som regeringen skickar på ett annat sätt än vad regeringen anser vara formell styrning innebär att dessa signaler ”hamnar sist i kön”.[43]

I praktiken innebär detta att de åtgärder myndigheterna har genomfört på området inte styrs av målsättningarna i strategin. Flera myndighetsföreträdare uppger att strategin har haft liten eller ingen påverkan på vilka åtgärder myndigheterna genomför. Det gäller såväl åtgärder inom varje myndighet som åtgärder som vidtas eller skulle kunna vidtas i samverkan mellan myndigheter.[44] Underlag som Riksrevisionen har tagit del av angående det interna arbetet i Regeringskansliet tyder på att samma problematik återfinns i avvägningarna mellan olika departement i Regeringskansliet.[45] En av Riksrevisionens iakttagelser är att Regeringskansliet diskuterar och vidtar åtgärder utan att utgångspunkten är informations- och cybersäkerhetsstrategin och dess målsättningar.

2.2 Framtagandet av strategin genomfördes inte utifrån ett riskbaserat tillvägagångssätt

Riksrevisionens bedömning är att regeringen och Regeringskansliet inte har haft ett riskbaserat tillvägagångssätt vid framtagandet av strategin. En konsekvens av det är att det inte går att avgöra om de föreslagna fokusområden är de som är viktigast att prioritera.

Enligt Enisas bästa praxis är det centralt att utgå från ett riskbaserat tillvägagångssätt i framtagandet av strategin. I regeringens strategi används begreppet risk frekvent. Regeringen betonar vikten av att utgångspunkten för samhällets aktörer i arbetet med informations- och cybersäkerhet ska vara ett strukturerat och riskbaserat arbete. Vad gäller arbetet med framtagandet av strategin eller hur regeringen har kommit fram till de strategiska prioriteringarna saknas beskrivningarna eller resonemang kring risk helt.

Det finns flera olika nationella bedömningar av hot, risker och sårbarheter som Regeringskansliet skulle kunna ha som utgångspunkt vid framtagande av strategin.[46] Ett exempel är Myndigheten för samhällsskydd och beredskaps nationella risk- och förmågebedömning som syftar till att inrikta och utveckla krisberedskapen och civilt försvar. Den bedömningen är ett exempel på en möjlig utgångspunkt för arbetet med att ta fram strategin och göra avvägningar och prioriteringar. Den nationella risk- och förmågebedömningen eller liknande bedömningar omnämns dock inte i strategin. Av de underlag vi har tagit del av och de intervjuer vi har genomfört med tjänstemän på Regeringskansliet har det heller inte framkommit något som tyder på att den nationella risk- och förmågebedömningen eller liknande exempel har varit en utgångspunkt. Det finns heller inget underlag som tyder på att man på något uttryckligt sätt har haft en riskbaserad utgångspunkt i sitt arbete med framtagandet av strategin. Om handläggarna har resonerat utifrån en riskbaserad utgångspunkt så återspeglas det inte i strategin eller i underlag.

2.3 Strategins inventering av nuvarande politik, lagstiftning och förmågor är otillräcklig

Riksrevisionens bedömer att strategin inte innehåller någon inventering av nuvarande politik, lagstiftning eller förmågor.[47] Det innebär att det inte går att få en bild av om nuvarande politik, lagstiftning och förmågor är tillräckliga för att uppnå eftersträvad målbild, och om så inte är fallet vilka åtgärder som behöver vidtas.

I strategin redogör regeringen kortfattat för ett antal lagar och förordningar som innehåller bestämmelser om informationssäkerhet. Man nämner även att det finns myndighetsföreskrifter som reglerar informationssäkerhet inom ett flertal sektorer. Vidare omnämns ett antal författningar och områden som kommer att beröras av förändrad lagstiftning såväl som ett antal utredningar och rapporter som har pekat på brister eller problem på området.[48] Under den strategiska prioriteringen att säkerställa en systematisk och samlad ansats i arbetet med informations- och cybersäkerhet framför regeringen att en prioriterad målsättning är att det tas fram en nationell modell för systematiskt informationssäkerhetsarbete.[49] Regeringen lyfter fram att en sådan modell syftar till att utgöra en gemensam plattform för det systematiska informationssäkerhetsarbetet och kan samordna och samla regelverk, metoder, verktyg, utbildningar med mera på myndighetsnivå på ett lättillgängligt sätt. Modellen kan enligt regeringen bidra till en mer sammanhållen styrningen och öka samverkan inom området.[50] Här pekar regeringen således på att det finns problem med lagstiftning och styrning, möjliga målkonflikter eller överlappande mandat såväl som en risk för att frågor inte omhändertas som en konsekvens av oklar ansvarsfördelning. Just detta möjliga problem är enligt Enisa skälet till att man bör göra en djupgående inventering av politik, lagstiftning och förmågor. En sådan inventering kan ligga till grund för valet av åtgärder och prioriteringar i det fortsatta arbetet. Utöver dessa övergripande och oprecisa skrivningar redogör regeringen inte för någon mer omfattande inventering av politik, lagstiftning eller förmågor. Det går därför inte utifrån strategin att få en djupare förståelse kring ”ekosystemet” för informations- och cybersäkerhet i Sverige.

Behovet av samordning uppges kvarstå än idag. I utredningen Sveriges säkerhet – behov av starkare skydd för nätverks- och informationssystem konstaterar utredaren att det nationella informations- och cybersäkerhetsarbetet alltjämt är uppdelat i olika, delvis överlappande ansvarsområden, både på departements- och på myndighetsnivå.[51] Bristerna medför enligt utredningen betydande utmaningar i arbetet för såväl offentliga som enskilda verksamhetsutövare. Det krävs därför åtgärder som kan ge offentliga och enskilda aktörer förutsättningar att kunna uppnå en tillräcklig grad av informations- och cybersäkerhet i verksamheten. Det närmare behovet av ytterligare reglering samt tydligare styrning och samordning av arbetet med samhällets informations- och cybersäkerhet bör därför enligt utredaren utredas i särskild ordning.[52] Riksrevisionen delar utredningens uppfattning att det kan finnas ett behov av ytterligare reglering samt tydligare styrning och samordning.

2.4 Strategin saknar en tydlig lednings- och styrningsstruktur

Riksrevisionens bedömning är att strategin i huvudsak inte tillför något avseende vem som ansvarar för vad och på vilket sätt. De problem som i strategin lyfts avseende otydligheter rörande ansvarsförhållanden adresseras inte på något sätt.

I den första versionen av informations- och cybersäkerhetsstrategin saknades det skrivningar om lednings- och styrningsstruktur. Som en följd av NIS-direktivet uppdaterade regeringen strategin 2018.[53] Syftet var att utveckla och tydliggöra ansvar och roller för genomförandet av strategin i en styrningsram.[54] Styrningsramen beskrivs som ett ramverk som definierar roller och ansvar hos aktörer som deltar i genomförandet av strategin.[55] Syftet med en tydlig styrningsram anges först och främst vara att skapa fördjupad samverkan kring de aktiviteter som genomförs för att höja informations- och cybersäkerheten i samhället. Med det åsyftas aktiviteter som i många fall behöver genomföras i samverkan och som påverkar fler aktörer än den egna organisationen. Vidare anges att styrningsramen ska bidra till en överblick över vilka aktörer som bidrar till genomförandet av strategin.[56]

Avseende ansvar framgår att:

  • regeringen har ansvar för strategin
  • justitieministern och inrikesministern är de statsråd i regeringen som har ansvar för att samordna genomförandet och uppföljning av strategin
  • Regeringskansliet har i uppdrag att stödja regeringen i dess uppgift att styra riket och förverkliga sin politik
  • varje departement ansvarar för att löpande utveckla aktiviteter för att nå målsättningarna i strategin.[57]

Utöver ovan utpekade punkter använder sig regeringen inte av begreppet ansvar, vilket enligt Riksrevisionens bedömning är centralt i en tydlig lednings- och styrningsstruktur. Under rubriken Statliga myndigheter beskriver regeringen att vissa myndigheter har uppgifter eller uppdrag som syftar till att höja informations- och cybersäkerheten och man nämner vissa myndigheter som har specifika uppdrag. Man nämner också att alla statliga myndigheter under regeringen ska analysera om det finns sårbarheter eller risker inom myndighetens ansvarsområde som synnerligen allvarligt kan försämra myndighetens förmåga till verksamhet inom området.[58] Avseende fortsättningen skriver regeringen att uppdrag från regeringen för att höja samhällets informations- och cybersäkerhet kommer att riktas till såväl Samfi-myndigheterna[59] som andra myndigheter. Regeringen uttrycker även en avsikt att verka för att koordinera alla uppdrag och uppgifter till statliga myndigheter.[60] För att genomföra det internationella arbetet är det enligt regeringen av vikt att agera samstämmigt och effektivt. För att uppnå det krävs en förbättrad överblick över ett stort antal internationella processer som innefattar politiska, legala och tekniska aspekter. Det förutsätter i sin tur enligt regeringen samverkan och informationsdelning såväl mellan berörda myndigheter som i förhållande till Regeringskansliet.[61]

Under rubriken en tydligare roll för samverkansgruppen för informationssäkerhet betonar regeringen behovet av en fördjupad samverkan mellan myndigheterna i Samfi. Myndigheterna sägs utgöra en kanal och mottagare för frågeställningar som rör olika typer av aktiviteter som övriga aktörer i samhället bedriver för att höja informations- och cybersäkerheten. Regeringen betonar även vikten av att myndigheterna delar information om sin samverkan med andra aktörer för att undvika överlappande arbete eller att centrala behov inte tillgodoses.[62]

Regeringen beskriver vidare att man har gett myndigheterna i Samfi i uppdrag att ta fram en samlad informations- och cybersäkerhetshandlingsplan för åren
2019–2022. Handlingsplanen ska utgöra en samlad redovisning av vilka åtgärder Samfi-myndigheterna på eget initiativ planerar att vidta för att höja informations- och cybersäkerheten i samhället inom ramen för sina befintliga ansvarsområden. De planerade åtgärderna ska utgå från målen i regeringens strategi.[63]

Regeringen anför också att ett effektivt genomförande av strategin kräver att myndigheterna i så stor utsträckning som möjligt samordnar sitt arbete. Det innebär enligt regeringen att myndigheterna i sin egen planering och prioritering av verksamheten, när så är relevant för myndigheten, ska beakta arbetet med handlingsplanen för att ta tillvara effektivitets- och kvalitetsnyttor i arbetet med hela samhällets informations- och cybersäkerhet. Regeringen anser även att myndigheterna på ett systematiskt sätt bör inhämta idéer och råd och i övrigt samverka med andra relevanta aktörer som kan bidra i arbetet. Företag anges som särskilt viktiga i det hänseendet liksom myndigheter, kommuner, landsting, Sveriges kommuner och landsting (numera Sveriges kommuner och regioner) och andra organisationer.[64]

Strategin beskriver i begränsad omfattning vilka aktörer som ansvarar för vilka frågor.[65] De tydligaste utpekandena avseende ansvar gäller regeringen samt Regeringskansliet och olika departement. Regeringen lyfter att varje enskild organisation ska bedriva sitt arbete i enlighet med ansvarsprincipen och gällande regelverk. Arbetet ska bedrivas systematiskt och självständigt, men med stöd av de aktiviteter som genomförs inom styrningsramen. Utöver det adresserar regeringen Samfi-myndigheterna som grupp eller myndigheterna över lag med olika önskemål eller förhoppningar, men tydlighet kring vem som ska göra vad och på vilket sätt saknas i stort sett.

Skrivningarna om ansvar, uppdrag och tillvägagångssätt är generella och oprecisa. Exempel på sådana formuleringar är: ”när så är relevant ska myndigheten beakta”, ”bör inhämta”, ”i övrigt samverka” och ”myndigheterna bör inhämta idéer och råd”.[66]

2.5 Intressenter involverades inte tillräckligt i framtagandet

Arbetet med framtagandet av strategin har enligt Riksrevisionens bedömning involverat ett fåtal potentiella intressenter och då endast i en begränsad omfattning. Om strategin inte har en bred förankring och involverar en bredd avseende samhällsaktörer så är risken stor att den inte heller beaktar hela samhällets behov. Det riskerar även att försvåra det samarbete mellan den offentliga och den privata sektorn som regeringen beskriver som viktigt.

År 2016 fick Justitiedepartementet i uppgift att ta fram en nationell strategi för samhällets cyber- och informationssäkerhet. Inom departementet var det enheten för samordning av samhällets krisberedskap (SSK) som fick uppdraget, som grundades dels på NISU-utredningen,[67] dels på framtagandet och införandet av NIS-direktivet. Enligt EU:s NIS-direktiv ska medlemsstaterna ha en nationell strategi för säkerhet i nätverks- och informationssystem som fastställer strategiska mål och konkreta politiska åtgärder som ska genomföras.[68]

Arbetet med att ta fram strategin beskrivs av handläggarna på SSK som ett lagarbete och genomfördes med stöd av en interdepartemental arbetsgrupp (ida‑grupp) med representanter från åtta departement.[69] Inledningsvis hade SSK ett antal möten med personer från andra departement för att diskutera innehållet i strategin innan de gick vidare med att ta fram texter. Av intervjuer med Regeringskansliet framgår att framtagandet av strategin i huvudsak har varit ett arbete som involverat ett fåtal tjänstemän från de åtta departement som deltog i ida‑gruppen år 2017. Strukturen för strategin var dels inspirerad av strategier i andra länder, dels av de ingående departementens ansvarsområden och respektive departements viktigaste frågor. Enligt handläggarna på Justitiedepartementet byggde även andra länder upp sina initiala strategier på ett liknande sätt med ett antal viktiga områden. Arbetet hämtade även inspiration från det strategiarbete som tidigare hade genomförts i Samfi, varför även myndighetsperspektivet syns i delar av strategin. De olika departementen skrev olika avsnitt i strategin medan Justitiedepartementet ansvarade för att få ihop helheten.

Det fanns en ambition att ta in externa synpunkter och förslag, och kontakt med myndigheter förekom. Hur mycket myndigheterna involverades varierade mellan departementen. Vissa myndigheter var med och tog fram texter till strategin, medan andra snarare lämnade synpunkter på ett utkast till strategin. Försvarsmyndigheterna verkar dock ha blivit involverade i arbetet med de underlag som Försvarsdepartementet har tagit fram och Försvarsmakten uppger att man har fått gehör för de synpunkter och viktiga frågor som myndigheten lyfte i dialogen med Försvarsdepartementet.[70]

Samtidigt som ambitionen att ta in synpunkter utanför Regeringskansliet fanns uppger handläggarna att det var många frågor att reda ut internt. Justitiedepartementet bedömde vid tidpunkten för framtagandet att Regeringskansliet inte var moget för att inhämta externa synpunkter.[71] Inför framtagandet av strategin höll dock inrikesministern och närings- och innovationsministern ett rundabordssamtal om hur informations- och cybersäkerheten i Sverige kan stärkas för ett mer konkurrenskraftigt näringsliv och robust samhälle.[72] Man bad de inbjudna att fundera utifrån temat och att ta med sig tankar och idéer om:

  • Vilka är de viktigaste utmaningarna och möjligheterna som ni ser för er egen del, för näringslivet och för samhällets informations- och cybersäkerhet?
  • Vilka åtgärder ser ni som mest prioriterade för att bemöta dessa utmaningar och möjligheter? Nationellt, inom EU samt internationellt?
  • Vilka långsiktiga målsättningar bör Sverige arbeta mot på informations- och cybersäkerhetsområdet?

Efter samtalet skickade ett fåtal företag också in skriftliga synpunkter. Valet av representanter till samtalet uppges av tjänstemännen på Justitiedepartementet ha baserats på en förfrågan till MSB kring lämpliga deltagare och på förslag från andra departement.

Det finns inget underlag som Riksrevisionen har fått ta del av som tyder på att man har genomfört någon form av intressentanalys, åtminstone inte i någon formell mening.

2.5.1 Regeringen uttryckte inte någon uppfattning kring strukturer för informationsdelning

Regeringen har i strategin inte förtydligat på vilket sätt man anser att samverkan och informationsdelning ska ske. Det framgår inte om regeringen anser att samverkan ska ske i nuvarande forum eller om det behöver skapas andra eller kompletterande forum. Det framgår heller inte i vilken form eller på vilket sätt och i vilket syfte informationsdelningen ska ske. En tydligare inriktning kring vad som förväntades och på vilket sätt resultatet skulle uppnås hade enligt Riksrevisionens bedömning kunnat underlätta myndigheternas arbete med informationsdelning.

Regeringen nämner Samfi, Samverkansforumet Nationell samverkan till skydd mot allvarliga it-hot (NSIT) och Nationella telesamverkansgruppen (NTSG). Regeringen nämner även ett antal forum som MSB har tagit initiativ till och ansvarar för nämligen:

  • FIDI-SCADA: forum för att dela information om säkerhet i informations- och styrsystem (Industrial Control Systems, ICS).
  • FIDI-Vård och omsorg: forum för att stärka och förbättra informationssäkerhet inom hälso- och sjukvårdssektorn.
  • FIDI-Drift: forum för att dela information inom it-driftsektorn.
  • FIDI-Telekom: forum för teleoperatörer om operativa och tekniska frågor med incidentnära fokus.
  • FIDI-Finans: forum för att diskutera informationssäkerhetsfrågor inom den finansiella sektorn.

Förutom dessa forum som regeringen nämner har det efter att strategin presenterades tillkommit ett antal ytterligare forum. MSB har exempelvis i uppdrag att leda ett samarbetsforum där tillsynsmyndigheterna inom NIS-området och Socialstyrelsen ingår.[73] Tillsammans med tillsynsmyndigheterna och Socialstyrelsen arrangerar MSB även regelbundna privat-offentliga samverkansforum.[74] Deltagarna kommer från de branschorganisationer som representerar leverantörer av samhällsviktiga och digitala tjänster. Syftet är att främja informationsdelning och att sammanställa vilka behov av övrigt stöd som finns.[75] Säkerhetspolisen och Försvarsmakten har ett liknande uppdrag avseende ett samarbetsforum för tillsynsmyndigheter inom säkerhetsskyddsområdet.[76]

I regeringens informations- och cyberssäkerhetsstrategi finns under rubriken Samverkan och informationsdelning exempel på ett antal samverkansplattformar för informationsdelning såväl mellan myndigheter som mellan offentliga och privata aktörer.[77] Regeringen anger att det finns ett behov av en utvecklad och fördjupad myndighetssamverkan såväl som att fortsätta utveckla informationsdelningen gällande risker, hot och säkerhetsåtgärder i syfte att skyddet snabbt ska kunna anpassas hos fler aktörer.[78] Regeringen skriver att man ska verka för en ökad samverkan samt en ändamålsenlig informationsdelning.[79] Strategin innehåller dock inga resonemang eller beskrivningar om möjliga problem med dagens samverkan och informationsdelning. Det finns inte heller något resonemang kring hur regeringen ser på de samverkansplattformar som omnämns och om det i huvudsak är genom dessa plattformar som samverkan och informationsdelning ska ske.

2.6 Strategins utformning och plan för implementering främjar inte ständiga förbättringar

Skrivningarna i strategin är enligt Riksrevisionen otydliga kring hur den ska implementeras, följas upp och utvärderas. I handlingsplanen redogör myndigheterna för eventuella effekter av vidtagna åtgärder men bedömningarna är vaga och utgörs mer av en beskrivning av möjliga effekter snarare än faktiskt observerade effekter. En mer omfattande utvärdering ska ske först 2023. Utöver kompletteringen av strategin 2018 har det heller inte skett några förändringar eller korrigeringar. Riksrevisionens bedömning är därför att regeringen inte har arbetat med strategin på ett sätt som innebär ständiga förbättringar.

I strategin fanns det ursprungligen inga skrivningar om hur strategin skulle implementeras och endast begränsade skrivningar om hur och av vem den skulle följas upp och utvärderas.[80] Justitie- och inrikesministern pekades ut som det statsråd i regeringen som har ansvar för att samordna genomförandet och uppföljningen av strategin. Samtidigt anges att övriga statsråd ansvarar för genomförande och uppföljning av strategin inom ramen för respektive departements ansvarsområden. Regeringen skriver även att man avser att regelbundet begära in redovisningar av arbetet med informations- och cybersäkerhet hos de statliga myndigheterna.[81]

I praktiken har Regeringskansliet hanterat uppföljningen genom den informella ida-gruppen för informationssäkerhet där man på mötena gick bordet runt och lät alla berätta vad de gjorde för att genomföra strategin. Tanken var att mötena skulle fungera som regelbundna påminnelser och avstämningar för att hålla arbetet med att genomföra strategin vid liv. Justitiedepartementet skickade utöver detta, vid fyra tillfällen, ut frågor till alla departement med önskemål att lista alla avslutade och pågående projekt kopplade till strategin. Man hade från Justitiedepartementets sida avsikten att strategin ”blev verkstad” snarare än att komma på nya initiativ. Det var dock upp till varje departement att bestämma vilka konkreta åtgärder man ville vidta för att genomföra strategin.[82]

2019 tog en nytillsatt samordnare på Statsrådsberedningen över samordningen av frågorna. Justitiedepartementet fortsatte däremot ansvara för uppföljningen av strategin. Det fanns dock inte något större intresse för strategin på Statsrådsberedningen. Statsrådsberedningen hade inte heller något uttryckligt ansvar för att genomföra någon specifik del i strategin, utan det ansvaret vilade på departementen och uppföljningsansvaret på Justitiedepartementet.[83]

Inom ramen för uppdraget att ta fram en handlingsplan genomförde dock myndigheterna åtgärder för att uppnå de målsättningar som redovisas i strategin. Åtgärderna är strukturerade utifrån strategins fokusområden och pekar ut vilken/vilka myndigheter som har ansvar för genomförandet och vilka myndigheter som eventuellt deltar i genomförandet. Handlingsplanen innehåller även en kvalitativ bedömning av vilka effekter åtgärderna bedöms ha inneburit.[84] Bedömningen innehåller inga nyckeltal/uttryckliga resultatmått eller kvantitativa bedömningar utan utgörs i huvudsak av vaga beskrivningar som att saker ska öka, förstärkas, förbättras, utgöra förutsättningar för eller liknande. Beskrivningarna möjliggör därmed inte några djupare bedömningar av resultat i förhållande till insats. Nyttan med handlingsplanen utifrån hur arbetet med den är organiserat bedöms av flera myndigheter som låg.[85] [86] FRA har exempelvis framfört att handlingsplanen i stället blir en sammanställning av de enskilda myndigheternas verksamhetsplaner.[87]

  • [36] Bestämma vision, omfattning, målsättningar och prioriteringar; använda ett riskbaserat tillvägagångsätt; inventera nuvarande politik, lagstiftning och förmågor; bestämma en tydlig lednings- och styrningsstruktur; identifiera och involverar intressenter, etablera betrodda strukturer för informationsdelning samt innefatta implementeringsplan, uppföljning och utvärdering.
  • [37] Skr. 2016/17:213.
  • [38] MSB har i faktagranskningen framfört att strategin saknar en tydlig bild av vad strategin ska omhänderta och att strategin inte adresserar varför den finns, och vilken roll cybersäkerhetsarbetet kan och ska ha i den samlade krisberedskapen. Se Myndigheten för samhällsskydd och beredskap, Föredragnings-PM Faktagranskning Riksrevisionens rapport om samhällets informations- och cybersäkerhet, 2023.
  • [39] Skr. 2016/17:213, s. 6.
  • [40] Detta avser såväl myndigheter eller organisationer som olika departement. Säpo, FRA och Försvarsmakten/Must kan ses som underrättelsemyndigheter som åtminstone initialt kan ha intresse av att följa och kartlägga en aktör snarare än att offentliggöra information. MSB utgör exempel på en myndighet som har ett motstående intresse att snabbt sprida information om händelsen för att förhindra att flera organisationer drabbas. Säkerhetspolisen och Försvarsmakten är inte underrättelsemyndigheter per definition. Säkerhetspolisen är en säkerhetstjänst och hos Försvarsmakten är det bara den delen av myndigheten som utgörs av Must som kan benämnas som en ”underrättelsemyndighet”. Delar av Säkerhetspolisens verksamhet och den delen av Försvarsmakten som utgörs av Must fungerar dock i praktiken i mångt och mycket som underrättelsemyndigheter och därför benämns de som underrättelsemyndigheter i granskningsrapporten.
  • [41] Regeringsuppdrag Ju2017/05787/SSK, regeringsuppdrag Ju2017/05789/SSK, regeringsuppdrag Ju2017/05788/SSK och regeringsuppdrag Ju2017/05786/L4.
  • [42] Regeringsbeslut Ju2018/03737/SSK.
  • [43] Se exempelvis Riksrevisionen, Livsmedels- och läkemedelsförsörjning: samhällets säkerhet och viktiga samhällsfunktioner RiR 2018:6.
  • [44] Intervju Försvarsmakten 1 och 3; intervju Försvarets radioanstalt 1; intervju MSB 3.
  • [45] Minnesanteckningar från Regeringskansliets arbetsmaterial 2.
  • [46] Exempelvis Försvarsmaktens perspektivstudier, Försvarsmakten/Musts årsöversikt, Försvarets radioanstalts årsrapport och Säkerhetspolisens årliga lägesbild om hoten mot Sverige.
  • [47] Här avses i första hand den eventuella politik som fanns vid tillfället för framtagandet. Om man arbetar med ständiga förbättringar bör strategin även uppdateras löpande i de fall politiken förändras.
  • [48] Skr. 2016/17:213, s. 7.
  • [49] Skr. 2016/17:213, s. 11.
  • [50] Skr. 2016/17:213, s. 12.
  • [51] SOU 2021:63, s. 360f.
  • [52] SOU 2021:63, s. 360.
  • [53] Skr. 2016/17:213, bilaga: Uppdatering om genomförandet av Nationell strategi för samhällets informations- och cybersäkerhet.
  • [54] Skr. 2016/17:213, bilaga: Uppdatering om genomförandet av Nationell strategi för samhällets informations- och cybersäkerhet, s. 39.
  • [55] Skr. 2016/17:213, bilaga: Uppdatering om genomförandet av Nationell strategi för samhällets informations- och cybersäkerhet.
  • [56] Skr. 2016/17:213, s. 40.
  • [57] Skr. 2016/17:213, s. 41f.
  • [58] Skr. 2016/17:213, s. 42.
  • [59] Samverkansgruppen för informationssäkerhet (Samfi). Gruppen bestod av Myndigheten för samhällsskydd och beredskap (MSB), Post- och telestyrelsen (PTS), Polismyndigheten, Försvarets radioanstalt (FRA), Säkerhetspolisen (Säpo), Försvarets materielverk (FMV)/Sveriges Certifieringsorgan för IT-säkerhet (CSEC), Försvarsmakten /Militära underrättelse- och säkerhetstjänsten (Must). Samfi var ett samverkansforum som skapades 2003 av dåvarande Krisberedskapsmyndigheten (KBM). Forumet hade inget eget mandat utan arbete och åtgärder genomfördes av de samverkande myndigheterna var och en för sig. Samverkan var frivillig.
  • [60] Skr. 2016/17:213, s. 42.
  • [61] Skr. 2016/17:213, s. 42.f.
  • [62] Skr. 2016/17:213, s. 43.
  • [63] Skr. 2016/17:213, s. 43.
  • [64] Skr. 2016/17:213, s. 44.
  • [65] Intervju Försvarsmakten 2 och 6.
  • [66] Skr. 2016/17:213.
  • [67] SOU 2015:23.
  • [68] Direktiv (EU) 2016/1148, artikel 7.
  • [69] Gruppen var inte en formell ida-grupp utan deltagandet baserades på frivillighet hos ett antal tjänstemän på olika departement som arbetade med informationssäkerhetsfrågor. Arbetsgrupper och andra osjälvständiga organ inom Regeringskansliet, SB PM 2021:2.
  • [70] Intervju Försvarsmakten 1.
  • [71] Intervju Regeringskansliet 6.
  • [72] De organisationer som bjöds in var Näringslivets säkerhetsdelegation, Ericsson, SAAB, Telia, Basefarm, Vattenfall, ABB, Tieto, CGI, Tele2, SAS, Volvo Cars, Intel, Nasdaq/OMX, IBM, Prevas, Atsec, Tutus, Advenica, Klarna, SEB, Säkerhets- och försvarsföretagen (SOFF), Myndigheten för samhällsskydd och beredskap, Post- och telestyrelsen, Försvarsmakten.
  • [73] 21 § förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster.
  • [74] MSB genomför även en årlig konferens riktad till samtliga NIS-leverantörer.
  • [75] MSB, MSB:s roll och ansvar inom NIS, 2021, s. 11.
  • [76] Regeringsbeslut Ju2021/01245.
  • [77] I huvudsak de forum som nämns ovan i texten.
  • [78] Skr. 2016/17:213, s. 14.
  • [79] Skr. 2016/17:213, s. 14.
  • [80] Skr. 2016/17:213, s. 35.
  • [81] Skr. 2016/17:213, s. 41f.
  • [82] Intervju Regeringskansliet 6.
  • [83] Intervju Regeringskansliet 6.
  • [84] Handlingsplanen upprättades för första gången 1 mars 2019 och den uppdateras årligen med nya åtgärder som myndigheterna avser att genomföra samt en bedömning av vilka effekter som tidigare års åtgärder bedöms ha åstadkommit.
  • [85] Intervju MSB 2.
  • [86] MSB har i faktagranskningen framfört att myndigheternas ambitionsnivå när det gällde att nyttja handlingsplanen för att fördjupa samverkan skilde sig. Se Myndigheten för samhällsskydd och beredskap, Föredragnings-PM Faktagranskning Riksrevisionens rapport om samhällets informations- och cybersäkerhet, 2023.
  • [87] Handling från FRA till Fö/SUND daterad 2018-05-07.

Uppdaterad: 27 april 2023

Kontakta oss

Skicka dina frågor eller synpunkter via formuläret nedan så ser vi till att de når rätt handläggare. Ange gärna om din fråga har att göra med informationen på just den här sidan. Genom att skicka in en fråga till oss medger du behandling av dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR).

Läs mer om behandling av personuppgifter

Vad handlar din fråga om?
Vad handlar din fråga om?