Kapitlet beskriver regeringens, Regeringskansliets och myndigheternas arbete med att implementera strategin. Kapitlet besvarar delfråga två:
Har regeringen implementerat den nationella informations- och cybersäkerhetsstrategin effektivt?
Bedömningsgrunden utgår från de femton områden[88] som Enisa pekat ut som viktiga att arbeta med för att implementera nationella informations- och cybersäkerhetsstrategier. Enligt Riksrevisionen bör regeringen vidta åtgärder i någon utsträckning inom de olika områdena. Åtgärderna behöver även prioriteras inbördes, ges resurser samt vara koherenta utifrån hur de är tänkta att bidra till att implementera strategin. Riksrevisionen konstaterar vidare att regeringen måste följa upp och utvärdera åtgärdernas effekter löpande för att kunna genomföra ständiga förbättringar.
Sammantaget har regeringens arbete för att implementera strategin inte varit effektivt i alla avseenden. Regeringen har vidtagit ett flertal åtgärder för att implementera strategin. Det har handlat om uppdrag till ett sextiotal myndigheter, lagändringar, tilldelning av finansiella medel och deltagande i internationella sammanslutningar. Åtgärderna är dock spridda över tid och tycks inte direkt utgå från en långsiktig och strategisk tanke om hur strategin ska implementeras. Riksrevisionens iakttagelse är att åtgärderna snarare genomförs för att lösa aktuella problem än för att genomföra strategin. Regeringen har varit olika aktiv inom de olika områdena som Enisa har identifierat och har för vissa av dem inte vidtagit några åtgärder alls. Även för områden där flera åtgärder har vidtagits har resultaten hittills varit svaga. Trots att Regeringskansliet har uppmärksammats på att önskade resultat inte har uppnåtts lyser åtgärder för att uppnå bättre resultat med sin frånvaro.
Avsnitt
3.1 Regeringen har inte vidtagit några direkta åtgärder för fyra av områdena
Inom ett av områdena har regeringen inte vidtagit några åtgärder alls, och inom tre har regeringen i huvudsak vidtagit indirekta åtgärder.
För området genomföra cybersäkerhetsövningar har regeringen inte vidtagit några åtgärder gentemot myndigheterna. Myndigheterna har däremot ändå dels genomfört, dels deltagit i övningar både nationellt och internationellt[89] [90], men inget tyder på att strategin har varit vägledande för att detta skulle ske. Riksrevisionen delar Kungliga Ingenjörsvetenskapsakademiens (IVA) uppfattning att det som saknas och som behövs i Sverige är en sammanhållen övnings- och teststrategi för cyberdomänen. Enligt IVA kan ett nationellt övnings- och testramverk bidra till strukturerade och mätbara resultat som ger värdefulla underlag och rekommendationer till beslutsfattare. Resultaten kan också användas för att identifiera förbättringsområden inom den nationella informations- och cybersäkerhetsstrategin.[91]
Vad gäller att ta fram en nationell cyberkontinuitetsplan förekommer olika uppdrag som syftar till att öka kunskapen om risker, hot, sårbarheter och behov. Sådan kunskap kan i sin tur bidra till att öka beredskapen och användas till att utveckla kontinuitetsplaner. Men uttryckliga uppdrag om att ta fram en kontinuitetsplan har inte förekommit.[92] Det är främst Försvarsmakten och MSB som har fått uppdrag om att kartlägga risker, hot och behov,[93] men även andra myndigheter har fått uppdrag på dessa teman.[94] De sju myndigheterna som samverkar i centret fick 2018 också i uppdrag att ta fram en samlad informations- och cybersäkerhetshandlingsplan för 2019–2022.[95] Åtgärden att ta fram en nationell kontinuitetsplan för cyberområdet återfinns dock varken i strategin eller i handlingsplanen.[96] Nationella beredskapsplaner finns exempelvis för hanteringen av en kärnteknisk olycka, för foder- och livsmedelskedjan och för Sveriges elförsörjning men inte för informations- och cybersäkerhet. Sedan den 1 oktober 2022 finns utpekade statliga myndighet som ansvarar för att leda arbetet med att samordna åtgärder inom en beredskapssektor vid fredstida krissituationer och höjd beredskap.[97] För beredskapssektorn elektroniska kommunikationer och post är Post- och telestyrelsen (PTS) sektorsansvarig myndighet.[98] Av PTS föreskrifter och allmänna råd om säkerhetsåtgärder för samhällsviktiga tjänster framgår bland annat att leverantörer av digital infrastruktur ska dokumentera sin kontinuitetsplanering[99], men Riksrevisionen konstaterar att reglering som ställer krav på en nationell kontinuitetsplan för cyberområdet saknas.
Enisa menar också att man bör etablera en grundnivå/baseline för säkerhetsåtgärder. Centermyndigheterna har både innan och efter att NCSC bildades försökt ta fram en nationell modell för systematiskt informationssäkerhetsarbete. Den ska underlätta för aktörer att göra mer enhetliga bedömningar av risker, hot och säkerhetsåtgärder,[100] vilket enligt Riksrevisionen skulle bidra till att skapa en grundnivå för säkerhetsåtgärder. Centermyndigheterna har däremot inte lyckats komma överens och någon modell har därför inte tagits fram. Regeringen har uttryckt intresse för att en modell ska tas fram, men har inte lämnat ett uppdrag eller vidtagit andra åtgärder för att säkerställa det (se avsnitt 3.1.1.).[101] Det närmaste en grundnivå/baseline som finns idag är MSB:s föreskrifter om systematiskt informationssäkerhetsarbete.[102] Vad gäller näringslivet finns det i NIS-regelverket krav på privata aktörer (NIS-leverantörer) att vidta säkerhetsåtgärder för att höja säkerheten i sina informationssystem.
Vissa av myndigheternas uppgifter och uppdrag berör området ändå, även om de inte per se etablerar en grundnivå. Exempelvis står FMV för certifiering av it-säkerhetsprodukter,[103] vilket kan bidra till en viss nivå av säkerhet. Utöver detta har MSB fått i uppdrag att vidta vissa åtgärder för att förbereda genomförandet av direktivet för nätverk och informationssystem EU 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen. Upphandlingsmyndigheten har fått i uppdrag att redovisa vilket stöd som ges avseende kravställning på informationssäkerhet vid offentlig upphandling.[104]
Slutligen, avseende området skapa incitament för den privata sektorn att investera i säkerhetsåtgärder,[105] har regeringen också i huvudsak vidtagit indirekta åtgärder. Incitament har framförts som ett viktigt styrmedel. Bland annat har det sagts att på den nationella nivån är cybersäkerhet en fråga om implicit koordinering av många aktörer: det vill säga lagar, marknader, normer och andra mekanismer som skalar bättre. Här blir insikter i informationssäkerhetsekonomi avgörande – ett klokt sätt att uppnå implicit koordinering är nämligen … att den som har möjlighet att åtgärda ett cybersäkerhetsproblem i görligaste mån också ges incitament att göra det. Med sådana kloka incitament minskar behovet av explicit och centraliserat samarbete. Därför kan ganska små interventioner som justerar incitament få stor effekt på ett lands cybersäkerhet. Men denna sorts resonemang saknas i stor utsträckning i regeringens strategi, vilket är en brist, eftersom koordinering genom incitament troligen är det mest effektiva sättet att öka samhällets cybersäkerhet.[106]
Regeringen har konstaterat att för att informations- och cybersäkerheten i samhället ska öka krävs att fler aktörer i både offentlig och privat sektor i högre utsträckning prioriterar och avsätter resurser för att höja säkerheten i sina verksamheter.[107] Regeringens insatser på området har dock fokuserat på den offentliga sektorn.[108] Att offentlig sektor investerar kan dock i förlängningen leda till att även privat sektor ser nyttan av att investera.
3.1.1 Nationell modell – fördjupande exempel på en fråga där regeringen inte vidtagit åtgärder
Ett exempel på ett område som regeringen ansett viktigt men där den inte vidtagit åtgärder för att nå efterfrågat resultat är arbetet med en gemensam nationell modell för systematisk informations- och cybersäkerhet. Denna syftar till att underlätta för aktörer att göra mer enhetliga bedömningar av risker, hot och säkerhetsåtgärder. Även om behovet av en nationell modell uttrycktes redan 2015, och sågs som en central åtgärd av regeringen, så står man inte närmare en lösning idag än vad man gjorde då.
Utgångspunkten för arbetet med en nationell modell kan härledas till MSB och en inspiration utifrån Norges arbete med informations- och cybersäkerhet. Under NISU-utredningen försåg MSB utredaren med material och tankar kring en nationell modell.[109] När utredningen presenterade sitt förslag var en gemensam nationell modell för informationssäkerhet en av de centrala åtgärderna som föreslogs. Efter NISU-utredningen uppstod ett vakuum avseende denna.[110] Därför startade Samfi en arbetsgrupp under 2016.[111] Gruppen delredovisade sitt arbete under 2017. Samma år presenterade regeringen den nationella informations- och cybersäkerhetsstrategin, där en gemensam nationell modell var en central åtgärd för att uppnå regeringens målsättningar. I juli 2018 antydde regeringen att man skulle återkomma med ett uppdrag till de centrala myndigheterna om nationell modell och i november 2018 höll Regeringskansliet en myndighetshearing med Samfi-myndigheterna om frågan. Vid hearingen ställde sig samtliga myndigheter positiva till att skapa en nationell modell mot bakgrund av att arbetet hitintills inte varit samordnat. Flera av dem efterfrågade också en tydlig styrning från regeringen gällande detta.[112] MSB efterfrågade ett regeringsuppdrag till myndigheterna att i samverkan med andra ta fram en modell. FRA efterfrågade ett regeringsuppdrag till samtliga berörda myndigheter. FRA hade även framfört synpunkter kring nationell modell till Försvarsdepartementet vid ett tidigare tillfälle och myndigheten ansåg att regeringen borde ge ett mer stringent uppdrag om att skapa en nationell modell.[113]
Trots avsaknad av regeringsuppdrag startade Samfi 2019 en förstudie om nationell modell. I juni 2020 avbröts arbetet efter oenighet i Samfi om vad arbetsgruppen skulle leverera. Deltagarna i arbetsgruppen hade olika syn på vad arbetet skulle innefatta och vad olika termer innebar. Exempelvis hade man olika syn på klassningsmodeller[114] och begreppet systematiskt informationssäkerhetsarbete och om fokus skulle riktas mot cyberangrepp eller om ett allriskperspektiv skulle anläggas. Det fanns också osäkerhet kring vilken produkt det handlade om och dess status; MSB ansåg att resultatet skulle tas hem och förankras hos respektive myndighet medan övriga myndigheter menade att ett förslag från en expertgrupp var det bästa alternativet. Arbetsgruppen kom bara till principnivå i förstudien.
I januari 2021 återupptogs arbetet med en förstudie inom ramen för NCSC. Oenigheten och svårigheterna har dock fortsatt. Arbetet förenklades dock genom att det hanterades inom ramen för centrets styrstruktur och avgränsades, i enlighet med centrets uppgift, till systematiskt cybersäkerhetsarbete. Efter att förstudien slutfördes har arbetet pausats i avvaktan på att myndigheterna i NCSC ska besluta om hur arbetet ska tas vidare.[115]
3.2 Åtta av femton områden har tillförts budget
För de åtta områdena etablera en grundnivå/baseline för säkerhetsåtgärder, skydd av kritisk infrastruktur, stärk möjligheterna till kompetensutveckling och utbildning, samarbeta internationellt, institutionalisera samarbetet mellan myndigheter, etablera mekanismer för incidentrapportering, höj användares medvetandenivå (avseende informations- och cybersäkerhetsrisker och hot) respektive främja forskning och innovation har regering och riksdag till viss del avsatt särskilda medel. Uppdrag och åtgärder inom övriga sju områden ska genomföras inom befintligt anslag. Utöver riktade medel för åtgärder inom Enisas områden har vissa myndigheter fått riktade medel för att stärka sin egen informations- och cybersäkerhet.[116] I flera av de myndigheter som har berörts av granskningen är det svårt att se hur mycket resurser myndigheterna satsar på verksamhet som är tänkt att stärka informations- och cybersäkerheten i Sverige. Det beror på att myndigheterna inte skär sin verksamhet på det sättet. Medel som har annonserats för insatser på informations- och cybersäkerhetsområdet i budgetpropositioner har heller inte alltid varit öronmärkta i regleringsbreven, utan har gått in i myndigheternas ramanslag. Strategin eller handlingsplanen innefattar inte någon resurssättning. Detta i kombination med bristen på utvärdering av vilka effekter som uppnås innebär att det inte går att avgöra om resurserna används effektivt. Företrädare för MSB har dock gett uttryck för att den totala resurstilldelningen på området är för låg.[117]
Vad gäller grundnivå för säkerhetsåtgärder har FMV en särskild anslagspost för evaluering och certifiering av IT-säkerhetsprodukter. Den ökar kontinuerligt under perioden 2017–2022, från knappt 14 mnkr till drygt 14 mnkr. 2022 fick FMV också en ny anslagspost för nationell tillsyn av cybersäkerhetscertifiering om 9,5 mnkr.[118]
För skydd av kritisk infrastruktur har PTS en särskild anslagspost för driftsäker och tillgänglig kommunikation som har ökat under den granskade perioden, från 126 mnkr 2017 till 1 561 mnkr 2022. PTS fick också 10 mnkr 2018 för att stärka det civila försvaret inom elektroniska kommunikationer.[119] Ingen av PTS två poster är dock specifikt för cybersäkerhet och har fokus på fredstida hot och påfrestningar. PTS, Säpo och Transportstyrelsen har vidare aviserats tillskott för ökat arbete som en följd av den nya säkerhetsskyddslagen i budgetpropositionerna för 2018 och 2019. Dessutom aviserade regeringen i budgetpropositionen för 2018, utgiftsområde 6, ytterligare medel till FRA (10 mnkr årligen för skydd mot angrepp) och MSB (40 mnkr för informationssäkerhet och psykologiskt försvar). Medlen öronmärktes dock inte i regleringsbreven utan gick in i deras respektive ramanslag.[120] I tillägg till det tilldelades MSB i vårändringsbudgeten för 2018 ytterligare 7 mnkr för nya uppgifter med anledning av NIS-direktivet.[121] Inte heller dessa medel öronmärktes i regleringsbrevet.[122] Även andra myndigheter, såsom Finansinspektionen, har fått pengar för ökad tillsyn som tillskott till deras respektive ramanslag.[123] Regeringen aviserade i budgetpropositionen för 2020, utgiftsområde 6, också en intern omfördelning av Försvarsmaktens medel för att genomföra åtgärder inom cyberförsvar, informationssäkerhet och särskilda insatser om totalt 370 mnkr över tre år. Det går dock inte att se de omflyttningarna i regleringsbrevet; den anslagspost som skulle öka har inte ökat med de summor som nämnts. Försvarsdepartementet menar att omflyttningar har gjorts som planerat, men att de inte går att se på grund av andra förändringar i anslagen.[124]
Områdena om forskning och kompetensutveckling har tilldelats Försvarshögskolan (FHS) och Vetenskapsrådet. FHS har aviserats 5 mnkr 2018 respektive 2019 för utbyggnad av civila utbildningar. Medlen har gått in som en höjning av ramanslaget för grundutbildning.[125] Vetenskapsrådet har tilldelats 20 mnkr för forskning om informations- och cybersäkerhet samt 10 mnkr för forskning om digitaliseringens samhälleliga konsekvenser.[126] Likaså har området höj användares medvetandenivå tillförts 40 mnkr genom MSB gör att genomföra en informationskampanj riktad mot allmänheten.[127] Medlen öronmärktes dock inte i myndighetens regleringsbrev.[128]
MSB tilldelades också 15 mnkr för att stärka CERT-SE[129] inom området etablera mekanismer för incidentrapportering, som inte heller de öronmärktes i regleringsbrevet.[130]
Även medlen som främjar internationellt samarbete berör forskning och kompetensutveckling genom att utgöra medlemsavgift på 25 mnkr årligen till det europeiska projektet High performance computing.
Av medel som inte har egna anslagsposter har området institutionalisera samarbeten mellan myndigheter tilldelats mest resurser. Det handlar om uppdraget att etablera NCSC. Försvarsmakten, FRA, Säpo och MSB har 2021 och 2022 fått öronmärkta medel för centret och Fortifikationsverket har också fått medel för en lokal för NCSC. Försvarsmakten har fått 10 mnkr årligen för NCSC. FRA och MSB har fått 15 mnkr respektive 20 mnkr vardera 2021 respektive 2022. Säpo aviserades 10 mnkr i budgetpropositionen för 2021, men någon summa nämns inte i myndighetens öppna regleringsbrev.
Tabell 1 Medel avsatta för åtgärder, per myndighet och år
Myndighet | 2017 | 2018 | 2019 | 2020 | 2021 | 2022 |
---|---|---|---|---|---|---|
Försvarsmakten | 10 000 | 10 000 ( | ||||
FMV | 13 950 | 14 071 | 14 198 | 14 430 | 14 224 | 14 394 9 500 (tillsyn) |
FRA | 10 000 | 15 000 | 20 000 (NCSC) | |||
MSB | 47 000 | 15 000 | 20 000 (NCSC) 55 000 ramanslag | |||
PTS | 5 200 | |||||
Säpo | 10 000 | 10 000 (NCSC) | ||||
Fortifikationsverket | 900 000 | |||||
Vetenskapsrådet | 5 000 | 15 000 + 10 000 | ||||
FHS | 5 000 | 5 000 | ||||
Medlemsavgift HPC | 25 000 | 25 000 | 25 000 | 25 000 | ||
Transportstyrelsen | 2 000 | 2 000 | 4 000 | 4 000 |
Anm.: Summor i tusen kronor. Tabellen inkluderar inte medel som har tilldelats myndigheter för att stärka den egna informations- och cybersäkerheten.
Källa: Budgetpropositioner och regleringsbrev för åren 2017–2022.
3.3 Svaga resultat av vidtagna åtgärder
Även på områden där regeringen har vidtagit ett flertal åtgärder är resultaten av dem otydliga eller svaga.
Regeringen har gett flest uppdrag inom områdena skydda kritisk infrastruktur och höj användares medvetandenivå. Det är däremot svårt att säga vad det har haft för effekt på implementeringen av den nationella informations- och cybersäkerhetstrategin. Vad gäller skydd av kritisk infrastruktur har myndigheterna haft både stående och tillfälliga uppdrag som rör området och regeringen har också initierat utredningar och föreslagit lagstiftningsförändringar.[131] Initiativen har ofta föranletts av förändringar i omvärlden såsom EU-initiativ, framkomsten av ny teknik eller ändrade hotbilder snarare än sprungna ur på förhand medvetna och strategiska avvägningar och prioriteringar. Åtgärderna för att höja medvetandenivå har i stort handlat om informationskampanjer, utbildningar och att ge stöd och råd. Dessa har riktat sig till det offentliga, det privata näringslivet, samt allmänheten.[132]
Även inom området vidta åtgärder för att motverka it-relaterad brottslighet har regeringen vidtagit relativt sett många åtgärder. Inom den punkten har det däremot i huvudsak handlat om olika lagändringar som ska underlätta polisens arbete.[133] De lagändringarna kopplar också till punkten skapa balans mellan säkerhet och integritet- och dataskydd. Polismyndigheten har också stärkt sin utredningsorganisation genom att inrätta ett nationellt och sju regionala (ett i varje polisregion) it-brottscentrum, så kallade SC3 respektive RC3. Utvecklingen av de regionala centrumen har däremot gått långsamt och det har varit svårt att få personal med rätt kompetens på plats. För komplexa cyberbrott råder det brist på utredare och det råder ständig brist på it-forensiker.[134] Denna organisatoriska förstärkning har däremot inte styrts av regeringen utan av Polismyndigheten.
Även områdena som kopplar till utbildning, kompetensutveckling och forskning har tillsammans fått en del uppmärksamhet. Regeringen har gett uppdrag, skrivit överenskommelser, tilldelat budget och lyft vikten av frågorna i budgetpropositioner.[135] Trots detta upplever både myndigheter och företag att det fortfarande råder brist på relevant kompetens.[136] Kungl. Krigsvetenskapsakademien har framfört att en av de stora bristerna med koppling till kompetensförsörjning är att det inte finns ett ramverk bestående av en nationell kompetensförsörjningsstrategi och plan för hur vi ska resurssätta mot behoven på området. Ett sådant ramverk skulle kunna skapa en gemensam bild av vilken kompetens som krävs för en viss roll (befattning) och även en bild av vilka behov som finns och hur väl täckta de är i form av utbildningar.[137]
3.3.1 NCSC – exempel på åtgärd med svagt resultat
NCSC:s uppdrag
NCSC upprättades genom ett regeringsbeslut i december 2020. Arbetet och förberedelserna för centret hade dock pågått under drygt två år före det.[138] Regeringens strategi för informations- och cybersäkerhet betonade ett behov av ökad samverkan, såväl för Samfi-myndigheterna som för samhället över lag. Avsikten att skapa ett center uttrycktes officiellt första gången i regeringsförklaringen 2019. Myndigheterna som sedan fick i uppdrag att inrätta det tog under hösten 2019 gemensamt fram ett förslag på vilket sätt en fördjupad samverkan i form av ett cybersäkerhetscenter skulle kunna genomföras.
Det uppdrag myndigheterna sedan fick i december 2020 innebar att:
- koordinera arbetet för att förebygga, upptäcka och hantera cyberangrepp och andra it-incidenter
- förmedla råd och stöd avseende hot, sårbarheter och risker
- utgöra en nationell plattform för samverkan och informationsutbyte med privata och offentliga aktörer inom cybersäkerhetsområdet.
Samverkan inom ramen för cybersäkerhetscentret skulle utvecklas stegvis
2021–2023 inom följande områden:
- samlokalisering av relevanta förmågor från myndigheterna
- stöd vid hanteringen av cyberangrepp och andra it-incidenter samt upprättande av en plan för samlad hantering på nationell nivå vid allvarliga cyberangrepp
- tillhandahållande av anpassade och aggregerade lägesbilder och analyser avseende hot, sårbarheter och risker
- riktade och samordnade varningar avseende hot och cyberangrepp
- samordning av stödet till förebyggande skyddsåtgärder, exempelvis tekniska säkerhetsanalyser och kartläggning av verksamheters beredskap vid it-incidenter
- samordning av, och utgöra kontaktpunkt för, internationella samarbeten på myndighetsnivå inom cybersäkerhetscentrets verksamhet
- kunskaps-, kompetens- och informationsutbyte och samverkan med offentliga och privata aktörer, exempelvis avseende detektion, sårbarheter, hot, risker, analys, verktyg och metoder samt internationellt samarbete
- dialog med aktörer inom forsknings-, kunskaps- och kompetensuppbyggnad
- erbjudande av kompetenshöjande insatser, exempelvis övningar och utbildningar för identifierade målgrupper.[139]
NCSC i jämförelse med center i andra länder
Det svenska centret skiljer sig från hur sådana har organiserats i flera andra länder. Vi har tittat på hur elva[140] andra västländer har organiserat sitt arbete. Det är vanligt att bilda ett center för att hantera cybersäkerhetsfrågor, åtta av elva länder har gjort det. De tre[141] som inte har ett center har i stället gett en specifik myndighet, som också arbetar med andra frågor, ansvar för området. Undantaget är möjligen USA där ansvaret tycks något mer uppdelat än i de andra länderna. Ett av länderna som har bildat ett center har gjort centret till en egen myndighet,[142] medan de andra har lagt det antingen under en annan myndighet eller under ett departement.[143] Det svenska centret ligger varken under en specifik myndighet eller under ett departement, och är inte heller en egen myndighet. Även om fyra myndigheter delar på ansvaret för centret ska samverkan ske mellan sju myndigheter. Det ska skapa förutsättningar för myndigheterna att fortsätta arbeta med sina respektive ansvarsområden men överbrygga eventuella överlappningar och gap i ansvar. En sådan konstruktion riskerar att skapa en tungrodd organisation, speciellt eftersom beslut fattas i konsensus.[144] Den risken har enligt Riksrevisionen förverkligats då det har tagit lång tid för centret att komma framåt i de flesta frågor som det jobbar med.
Arbetet har kantats av svårigheter
Centret har fram till dess att man anställde en chef i september 2021 bedrivits i projektform. Det har funnits en projektorganisation med uppdrag att arbeta med utformandet av centret, och de deltagande myndigheterna har bildat arbetsgrupper för att hantera olika sakfrågor. Arbetet i grupperna inom centret har kantats av svårigheter. Deltagare i grupperna beskriver det som att man har försökt ensa och få samman olika myndighetskulturer och att bygga förtroende mellan såväl myndigheter som enskilda individer. Våra intervjuer och underlag som vi har tagit del av ger en bild av att otydligheten avseende uppdrag, ansvar, genomförande och förväntningar har gjort det svårt att komma framåt i arbetet. Arbetet med att hitta en permanent lokal är ett exempel. Eftersom de deltagande myndigheterna har haft olika syn på hur centret ska drivas och vilken verksamhet som ska ”flyttas in” har de inte kunnat enas om säkerhetskrav för fastigheten. Arbetsgruppen har presenterat ett stort antal förslag. Myndigheterna var även vid ett tillfälle överens om en lokal, men arbetet tog ny riktning när nya krav inkom sent i processen.
Andra problem har att göra med att NCSC inte är en myndighet utan en samverkanskoalition mellan ett antal myndigheter. Det har enligt företrädare för centret försvårat upphandling och diarieföring.[145] Problemen visar sig även kring centrets huvuduppgifter, informationsdelning och lägesbild.
Informationsdelningen har inte fungerat fullt ut
En del av regeringens uppdrag var att centret skulle utgöra en nationell plattform för samverkan och informationsutbyte med privata och offentliga aktörer. Frågan om informationsutbyte har varit svår att hantera och arbetet har fortskridit i små steg. Problemen har varit både juridiska, kulturella och kommit sig av bristande systemstöd.
Tre av de fyra myndigheterna som har ett huvudansvar i centret är underrättelsemyndigheter.[146] Dessa myndigheter är av legala och kulturella skäl ofta restriktiva i sin informationsdelning. En underrättelsemyndighet kan vara förhindrad att dela information med andra aktörer på grund av sekretess eller överenskommelser med samarbetspartner i andra länder. En alltför extensiv informationsdelning riskerar också att röja inhämtningsmetoder och källor. Även om det inte finns legala hinder att dela information bygger informationsdelning i underrättelsevärlden på förtroende.[147] Information behandlas dessutom som en handelsvara, det vill säga man utbyter information om man anser att man får någonting i gengäld. Innan NCSC bildades fanns ett samarbete och informationsutbyte i form av NSIT (Nationell samverkan till skydd mot allvarliga IT-hot) mellan Säkerhetspolisen, Försvarsmakten och FRA. NSIT pausades och avbröts i samband med att NCSC bildades.[148] Ett samarbete liknande det som bedrevs inom NSIT har fortsatt inom ramen för NCSC men MSB, som inte är en underrättelsemyndighet, har i flera avseenden inte inkluderats i det samarbetet
NCSC har heller inte lyckats få fram ett gemensamt system för att dela information som omfattas av sekretess. Skälen uppges vara juridiska och upphandlingsmässiga eftersom centret inte är en myndighet.[149] Det innebär i sin tur att informationsdelningen måste hanteras manuellt mellan handläggare. Informationsdelning mellan myndigheterna är därmed fortfarande svårt.
Vad avser informationsdelning mellan statliga myndigheter och näringslivet har utmaningen varit ännu större. När centret bildades framförde företrädare för näringslivet vikten av att tidigt inkludera näringslivet i dess arbete. Man påpekade att om ambitionen är att NCSC ska stödja näringslivet så måste näringslivet involveras från början för att delge sina behov, samt tydliggöra hur de kan bistå. En struktur skapar en kultur och om vissa aktörer utelämnas från början kommer denna kultur att institutionaliseras.[150] Man framförde vidare vikten av att centret inte blir ett ”svart hål” dit information förmedlas från olika aktörer och inget kommer ut till samhällets övriga aktörer. Delgivning av information till samhällets aktörer, både privata och offentliga, var enligt näringslivet av största betydelse. Näringslivets uppfattning var därför att säkerställandet av samverkan mellan stat och näringsliv inom ramen för det nya centret var centralt.[151] Riksrevisionen konstaterar att staten fram till idag inte involverat näringslivet i utvecklingen av NCSC i någon betydande omfattning.
Utifrån näringslivets perspektiv har staten inte heller etablerat ett effektivt informationsutbyte inom ramen för NCSC. Enligt IVA finns det tillgång till information kring cybersäkerhetsfrågor över lag, men det är oklart hur den ska utformas och spridas för att bli användbar för företag inom olika branscher och av olika storlek.[152] Tjänsteföretagen uppger att det saknas tillgång till kvalificerad hotbildsbedömning och tillräcklig inriktning från myndigheternas sida.[153] Nio av tio företag uppger i Tjänsteföretagens undersökning att man idag inte samarbetar med myndigheter avseende cybersäkerhet. Ett antal tjänsteföretag upplever bristande intresse från myndigheterna att utveckla ett närmare samarbete, samt till viss del bristande förståelse hos myndigheterna om vad företagen tillhandahåller som är av vikt för samhället.[154] NCSC inledde under hösten 2022 ett pilotprojekt med finanssektorn. Syftet är att inleda ett strategiskt samarbete och utveckla former för informationsdelning mellan centermyndigheterna och sektorn. Riksrevisionen har dock inte fått ta del av några underlag som visar konkreta effekter av projektet.[155] Företrädare för vissa av myndigheterna i NCSC uttrycker att näringslivet har för högt ställda förväntningar, exempelvis att näringslivet har en övertro på att bara man får ta del av underrättelseinformation så kommer problemen att lösa sig.[156]
En ytterligare fråga är i vilken form, hur och i vilken omfattning information ska utbytas mellan olika aktörer i Sverige. Det finns inga entydiga riktlinjer, definitioner eller bestämmelser kring vilken information som ska delas eller hur den ska vara utformad. Inom vissa områden, exempelvis incidentrapportering enligt NIS och avseende statliga myndigheter, finns kriterier för hur incidentrapportering ska ske och vad den ska innehålla. Men det saknas ett standardiserat koncept för informationsdelning på informations- och cybersäkerhetsområdet. Detta kan jämföras med exempelvis USA där man har skapat en standard för informationsutbyte.[157] Avsaknaden av ett standardiserat koncept har påverkat och försvårat arbetet med att skapa nödvändiga informationsutbyten, såväl mellan myndigheter i centret som mellan myndigheter och privata aktörer.
Gemensam lägesbild tog tid att ta fram
Vad gäller arbetet med lägesbild har myndigheterna arbetat med frågan sedan NCSC bildades. Ett sådant arbete bedrevs tidigare också inom ramen för NSIT där myndigheterna arbetade fram rutiner och ställningstaganden kring hur information ska delas dem emellan. Trots att arbetet bedrivits under lång tid hade NCSC svårt att leverera en lägesbild under våren 2022 när en sådan efterfrågades av Regeringskansliet. Riksrevisionens tolkning är att regeringen i sitt uppdrag har efterfrågat att myndigheterna genom centret ska kunna leverera en ensad lägesbild på en viss sekretessnivå beroende på situation. Eftersom myndigheterna hanterar information på olika sekretessnivå och därför kan vara förhindrade att lämna över den fullständiga informationen obearbetad krävs ett arbete kring hur de ska bearbeta sin information för att kunna dela den och sätta ihop den med andra informationsmängder.[158] Oförmågan att leverera den efterfrågade lägesbilden uppges från vissa av myndigheterna bero på den korta tiden, en helg, centret fick på sig att leverera.[159] Riksrevisionen har svårt att avgöra om förfrågan var rimlig eller ej utifrån ett tidsperspektiv. Vi bedömer dock att möjligheterna att svara upp mot förfrågan hade varit större om myndigheterna effektivt hade undersökt vilka som skulle kunna komma att efterfråga en lägesbild, vilken förväntan som fanns och vad myndigheterna behövde göra för att kunna dela information mellan sig.
3.4 Få åtgärder inom centrala områden
Regeringen har varit relativt passiv även inom områden som har identifierats som viktiga, som att främja ökad rapportering av it-incidenter och att vara proaktiv på det internationella planet.
Att förebygga, upptäcka och hantera it-incidenter är ett eget tema i den nationella strategin och två punkter i Enisas lista. Regeringen har uppmärksammat att kunskapen om it-incidenter behöver öka,[160] men har inte vidtagit specifika åtgärder för att främja rapporteringen. Som nämnts tidigare är incitament viktiga. Anmälan av it-incidenter är ett område där incitament saknas. Det finns en mekanism för incidentrapportering i form av Cert.se som ligger på MSB. Statliga myndigheter samt NIS-leverantörer ska rapportera incidenter till MSB, men andra aktörer kan också rapportera på frivillig basis.[161] I förhållande till befintlig incidentrapportering har regeringen gett MSB och Polismyndigheten ett gemensamt uppdrag om att ta fram rutiner för vidarerapportering från MSB till Polismyndigheten om incidenter som uppstått på grund av brottslig verksamhet. MSB har motsatt sig en sådan vidarebefordran till polisens utredande verksamhet eftersom det automatiskt skulle leda till polisutredningar. Det skulle enligt MSB i sin tur kunna påverka viljan att rapportera incidenter negativt eftersom de drabbade organisationer som av olika anledningar väljer att inte polisanmäla då inte heller kommer att incidentrapportera. Det valda upplägget har inte någon motsvarighet i andra jämförbara länder.[162] MSB menar att det redan är svårt att se till att incidenter rapporteras. Detta leder till ett stort mörkertal och riskerar ge en otillräcklig lägesbild. Representanter från privat sektor menar att många avstår från att polisanmäla incidenter eftersom brotten ändå inte klaras upp.[163] Regeringen har ändå, i enlighet med Polismyndighetens begäran, gett uppdrag om utökad samverkan vad gäller rapporterade it-incidenter.[164]
Däremot har regeringen gett vissa uppdrag om att förebygga och hantera it-incidenter. MSB har fått två uppdrag, 2018 och 2022, om att utveckla eller stärka sitt arbete med att förebygga och hantera it-incidenter.[165] Uppdragen har inte kombinerats med några särskilda medel. Enligt uppdraget att bilda NCSC ska centret koordinera arbetet med att förebygga, upptäcka och hantera cyberangrepp och andra it-incidenter. Centermyndigheterna har haft svårt att få till också denna del av uppdraget. De har dock pekat på att de i samband med valet 2022 bedrev ett intensivt koordineringsarbete som gav goda resultat och faktisk effekt.[166]
Slutligen lyfts vikten av internationellt samarbete både i den nationella strategin och av Enisa. Utrikesdepartementet (UD) ansvarar bland annat för Sveriges förbindelser med andra länder och internationella organisationer. Departementet representerar Sverige vid internationella möten och framför då Sveriges ståndpunkter. Företrädare för UD upplever dock att det svenska arbetet internationellt inom informations- och cybersäkerhet är reaktivt och inte proaktivt. De menar att detta beror både på bristande resurser och bristande organisation, både inom Regeringskansliet och i samarbetet med myndigheterna. Spelreglerna för det som sker på nationell nivå sätts till stor del på den internationella nivån.[167] Bristen på proaktivitet innebär då att Sverige i mindre utsträckning än vad som kanske vore önskvärt påverkar området i riktning med svenska intressen.[168]
Även myndigheterna är delvis delaktiga i det internationella arbetet på sina områden. FMV, MSB och Försvarsmakten har det exempelvis som stående inslag i sina regleringsbrev.[169] Det har också förekommit tillfälliga uppdrag till myndigheterna avseende internationell samverkan. MSB fick 2021 exempelvis i uppdrag att förbereda sig att bli nationellt samordningscenter kopplat till det europeiska kompetenscentret för cybersäkerhet inom näringsliv, forskning och teknik.[170] Efter att förberedelserna var genomförda fick MSB i uppdrag att utgöra ett sådant nationellt samordningscenter.[171] MSB bedriver ett omfattande internationellt arbete inom ramen för NIS-direktivet och deltar i medlemsstaternas samordningsgrupper både på policy[172] och teknisk[173] nivå. Myndigheten driver och deltar även i arbetsgrupper i flera centrala frågor inför NIS2 som incidentrapportering, leveranskedjor, dimensionerande hotbild, säkerhetsåtgärder med flera.[174]
3.5 Åtgärder som regeringen inte har vidtagit eller som har vidtagits sent i granskningsperioden
Informations- och cybersäkerhet är ett omfattande område som sträcker sig från en kabel som grävts av till cyberspionage eller gråzonsoperationer från främmande makt. Även om det säkerhetspolitiska läget har förändrats och kräver ett ökat fokus på antagonistiska hot, går det inte att bortse från den vardagliga informationssäkerheten. Inrättandet av NCSC beskrivs ibland som lösningen på alla problem som rör informations- och cybersäkerhet. Även ett fullt fungerande och operativt center löser dock bara en delmängd av problemen kopplade till informations- och cybersäkerhet.[175] Centrets övergripande uppdrag är att motverka antagonistiska cyberhot.[176] Alla myndigheter har bidragit till informationsdelning i centret genom att dela med sig av information om incidenter, sårbarheter och samhällskonsekvenser. MSB har dock framfört att övriga centermyndigheter företrädesvis har intresserat sig för denna information i de fall den rört angrepp som misstänks ha utförts av statsunderstödda aktörer, eller i vissa fall, grupper av kvalificerade cyberbrottslingar.[177] [178] Regeringskansliet har i faktagranskningen framfört till Riksrevisionen att centrets uppgifter inte enbart ska omfatta cyberangrepp utan även andra it-incidenter.[179] [180] Riksrevisionen bedömer att inriktningen om att även omfatta andra it-incidenter inte har fått genomslag i centrets verksamhet.
Riksrevisionens uppfattning är att en god cybersäkerhet förmodligen inte går att uppnå om den inte vilar på en god informationssäkerhetsgrund. Undersökningar och rapporter pekar på bristande informationssäkerhet hos en rad organisationer i Sverige idag.[181] Det kan därför vara av intresse att peka på ett par problem som regeringen antingen inte har adresserat eller adresserat väldigt sent.
Ett sådant område är sensorsystem.[182] FRA har ett sensorsystem, TDV, som erbjuds till de statliga myndigheter och statliga företag som bedöms bedriva verksamhet som är av betydelse för Sveriges säkerhet. FRA erbjuder även rådgivning och stöd till samma krets. FRA har under flera år framfört till Regeringskansliet att myndigheten borde få möjlighet att erbjuda stöd till fler aktörer. Först i juni 2022 genomförde regeringen en ändring som möjliggör för FRA att vända sig även till privata aktörer.[183] Givet att den största delen av den samhällskritiska infrastrukturen idag återfinns inom det privata näringslivet är det svårt att förstå varför det har tagit så lång tid för regeringen att genomföra FRA:s förslag. I samband med att FRA ursprungligen fick uppdraget menade regeringen att det inom den statliga sfären behöver finnas en hög teknisk kompetens och tekniska resurser för avancerat stöd i informationssäkerhetsfrågor och vid attacker. Det framfördes dock synpunkter på att FRA inte skulle konkurrera med det privata näringslivet, vilka regeringen instämde med. Samtidigt påpekade regeringen att säkerhetsskyddskraven väger tungt när det gäller samhällsviktiga funktioner, varför staten har ett ansvar att säkerställa att kompetens som denna finns på nationell nivå.[184]
Även MSB har vid ett flertal tillfällen framfört förslag på att införa sensorsystem till en bredare krets än den FRA erbjuder det till, bland annat till NIS-leverantörer[185]. Myndigheten har dock inte fått gehör för sitt förslag hos regeringen trots ett flertal påstötningar.[186]
Ett ytterligare exempel på svårigheter att få mandat eller medel för åtgärder är MSB:s arbete med Infosäkkollen.[187] [188] Enligt MSB har myndigheten både haft svårt för att få gehör för att få uppdraget såväl som att få det finansierat.[189]
En åtgärd som har föreslagits av ett flertal intressenter under lång tid är bildandet av en haverikommission avseende informations- och cybersäkerhetsincidenter.[190] IVA lyfter exempelvis att det behövs en kommission som hanterar incidenter och ”haverier” relaterade till cybersäkerhet. Kommissionen skulle genom analys, diskussion, råd och rekommendationer skapa möjligheter för olika aktörer att dra nytta av erfarenheter från inträffade angrepp och upptäckta sårbarheter.[191] Riksrevisionen konstaterar att det finns ett behov av strukturer som möjliggör informationsdelning och lärande från incidenter i högre utsträckning än vad som sker idag.[192] Riksrevisionen har däremot inte granskat på vilket sätt och i vilken form ett sådant utbyte bäst sker.
Ett ytterligare problemområde är den bristande samordningen av initiativ och åtgärder som vidtas. Ett exempel är regeringsuppdraget till Länsstyrelserna att regelbundet redovisa regionala lägesbilder till Regeringskansliet om hur den ryska invasionen av Ukraina påverkar det svenska samhället.[193] En aspekt av lägesbilden omfattar cyberperspektivet. Samtidigt har MSB arbetat med Infosäkkollen på uppdrag av regeringen.[194] Trots att uppdragen till stor del omfattar samma aktörer och samma frågor har det inte skett någon koordinering mellan uppdragen på Regeringskansliet. MSB ville efter förfrågan från projektgruppen hos Länsstyrelserna dela med sig av resultatet av sitt arbete men blev stoppade från att göra det av Justitiedepartementet.[195] Länsstyrelserna och MSB har dock samverkat kring metodfrågor och analys av det material som länsstyrelserna hämtade in.[196]