Gå till innehåll
Stäng
Riksrevisionen logotyp, länk till startsidan.
Stäng
Riksrevisionen logotyp, länk till startsidan.

4. Regeringskansliets arbete med samhällets informations- och cybersäkerhet

I kapitel 2 och 3 har Riksrevisionen konstaterat brister i regeringens styrning för att stärka samhällets informations- och cybersäkerhet. Eftersom Regeringskansliet bereder regeringens beslut har vi valt att studera Regeringskansliets arbetssätt, organisation och resurser närmare för att försöka hitta förklaringar till bristerna.

Samhällets informations- och cybersäkerhetsfrågor spänner över ett flertal sakområden och under granskningsperioden var Statsrådsberedningen och nio departement[197] ansvariga för olika aspekter av frågan. Då det i allt högre utsträckning finns ett behov av att hantera dessa frågor samlat[198] finns enligt Riksrevisionens bedömning skäl att belysa hur Regeringskansliet arbetar med informations- och cybersäkerhetsområdet.

Riksrevisionens konstaterar att Regeringskansliets valda arbetsmetoder, organisering och avsatta resurser inte har varit tillräckliga för att styra området på ett strategiskt sätt. Om regeringen och Regeringskansliet hade åstadkommit en strategisk styrning på området hade, enligt Riksrevisionens bedömning, förmodligen nivån på informations- och cybersäkerhet i Sverige varit högre än vad den är idag.

Avsnitt

4.1 Regeringskansliets arbetsmetoder har inte säkerställt strategisk styrning av informations- och cyberssäkerhetsområdet

Riksrevisionens bedömning är att Regeringskansliet har försökt samordna samhällets informations- och cybersäkerhetsfrågor internt, men hittills inte har lyckats fullt ut.[199] Enligt Riksrevisionen har Regeringskansliets arbete med informations- och cybersäkerhetsfrågor i mångt och mycket utgått från preferenser i de enskilda sakområdena som sedan samordnats med övriga berörda departement. Det gäller exempelvis den nationella informations- och cybersäkerhetsstrategin där olika departement ansvarade för att skriva olika avsnitt.[200] Det finns också exempel när samtliga berörda departement inte blivit involverade i beredning av informations- och cyberssäkerhetsärenden. Ett departement drev en svensk position i EU i cirka ett år utan att informera övriga departement, vilket blev problematiskt då samtliga svenska politiska perspektiv inte omhändertogs i den svenska linjen.[201]

För att underlätta samordningen av informations- och cybersäkerhetsfrågorna har interdepartementala arbetsgrupper (ida-grupper) skapats. Syftet var att träffas regelbundet för diskussioner och erfarenhetsutbyte,[202] vilket med tiden kompletterades med en vilja om att samordna och inrikta frågorna.[203] För samhällets informations- och cybersäkerhet har grupper, formella såväl som informella, med mer eller mindre tydligt uttalade uppdrag funnits både före och under Riksrevisionens granskningsperiod. Olika delar av Regeringskansliet har varit ansvariga för att sammankalla dessa ida-grupper. Den informella ida-grupp som Justitiedepartementet samlade bestod av tjänstemän på i huvudsak handläggarnivå medan ida-gruppen Infrastrukturdepartementet ansvarade för år 2020 till 2022 samlade personer på chefs- och huvudmannanivå. Till ida-gruppen som Infrastrukturdepartementet ansvarade för knöts en statssekreterargrupp och en tjänstemannagrupp. Den sistnämna gruppen bestod av handläggare. Tabellen nedan ger en beskrivning av grupperna över tid.

Tabell 2 Regeringskansliets interdepartementala arbetsformer för digitalisering, cyber- och informationssäkerhet över tid

År

Interdepartemental arbetsform

Sammankallande samt övriga
deltagare i Regeringskansliet

Centrala leveranser

2017

Informell ida-grupp

Justitiedepartementet

Fi/Fö/UD/M/Nä/Soc/Ku/Ju


2018

Informell ida-grupp

Justitiedepartementet

Fi/Fö/UD/M/Nä/Soc/Ku/Ju


2019 januari till våren 2020

Ida-grupp

Statsrådsberedningen

Fö/Ju/UD/Nä/Infra/Soc


2020, senvår

Statssekreterar-, ida-
och tjänstemannagrupp

Infrastrukturdepartementet

Fö/Ju/UD/Nä/Infra/SB/Soc/U


2021

Statssekreterar-, ida-
och tjänstemannagrupp

Som ovan + M och Fi

Strategiska promemorior

2022

Statssekreterar-, ida-
och tjänstemannagrupp

Som ovan

Strategiska promemorior

Källa: Skriftliga underlag från Regeringskansliet. Riksrevisionens bearbetning.

Under första delen av Riksrevisionens granskningsperiod sammankallade Justitiedepartementet den informella ida-gruppen för informationssäkerhet.[204] Den arbetade med att ta fram en nationell strategi för samhällets informations- och cybersäkerhet.[205] Statsrådsberedningen tog över ansvaret för att sammankalla en interdepartemental grupp gällande informations- och cybersäkerhet år 2019.[206] Under det dryga året Statsrådsberedningen var sammankallande framgick av regeringsförklaringen att ett nationellt center skulle upprättas för att öka informations- och cybersäkerheten och ett regeringsbeslut fattades om att fyra myndigheter skulle påbörja förberedelserna för ett sådant center.[207] Statsrådsberedningen började samla Regeringskansliets tvärsektoriella frågor inom informations- och cybersäkerhet och skrev promemorior om dessa. Statsrådsberedningens arbetet framstod då alltmer som beredning av ärenden inom informations- och cybersäkerhet[208], vilket enligt Regeringskansliets arbetsordning är departementens uppgift.[209] Infrastrukturdepartementet fick ett formellt uppdrag att ansvara för en interdepartemental grupp gällande digitaliserings- och cyberfrågor i början av år 2020 och kom i gång med arbetet under senvåren 2020.[210] Till denna ida-grupp, som främst bestod av chefstjänstemän och huvudmän, knöts en statssekreterargrupp och en tjänstemannagrupp (handläggare) som skulle utföra olika arbetsuppgifter. Syftet med att tillföra en statssekreterargrupp var att få ett politiskt och strategiskt helhetsperspektiv på cyberfrågorna. Initiativen hitintills ansågs inte ha tillgodosett behovet av en tydlig inriktning och samordning av dessa frågor.[211] Kunskapsuppbyggnad i Regeringskansliet och ökad förståelse för de andra departementens perspektiv var andra mål med ida-grupperna.[212]

Av uppdraget från Statsrådsberedningen till Infrastrukturdepartementet framgår bland annat att en statssekreterargrupp inrättas för att få ett politiskt och strategiskt helhetsperspektiv på cyberfrågorna. En ida-grupp skulle bistå statssekreterargruppen i dess arbete med att stärka samordningen i Regeringskansliet av cyberfrågor som var av strategisk betydelse. Cyberfrågorna omfattar bland annat den fortsatta digitaliseringen av samhället, innovation, Sveriges säkerhet och nationella intressen, svensk tillväxt och konkurrenskraft. Förväntade resultat av arbetet var att:

  • departementen tar ett större ansvar för cyberfrågorna
  • de strategiska cyberfrågorna som ska samordnas identifieras
  • det tas ett samlat grepp om cyberfrågornas olika aspekter där olika intressen balanseras genom en tydlig inriktning och samordning
  • denna inriktning och samordning ska möjliggöra en högre prioritet för frågorna inom Regeringskansliet och förbättra förutsättningarna för svenskt inflytande och deltagande i internationellt samarbete genom att en mer enhetlig linje hålls. Inte minst behöver departementens arbete på EU-nivå inom cyberområdet samordnas på ett bättre sätt.[213]

Statssekreterargruppen enades om följande arbetsprocess för det interdepartementala arbetet gällande digitaliserings- och cyberfrågor. Varje statssekreterarmöte utgick från ett strategiskt område med ett antal beredda beslutspunkter som underlag för diskussion. Efter att statssekreterargruppen diskuterat frågan lämnades eventuellt en beställning till ida-gruppen. Ida-gruppen gav Infrastrukturdepartementet i uppdrag att ta fram underlag, exempelvis strategiska promemorior, med stöd av tjänstemannanätverket. Underlagen bereddes i och godkändes av ida-gruppen innan de presenterades i och godkändes av statssekreterargruppen. Statsekreterargruppsmötena skulle mynna ut i ett antal strategiska positionspromemorior innehållandes bland annat talepunkter och språkregler inom digitalisering och cybersäkerhet som statssekreterargruppen kunde driva och kraftsamla kring inför EU-ordförandeskapet.[214] Dessa skulle dock inte ta över gemensam beredning av ärenden.[215]

Ett antal strategiska frågor som behövde samordnas[216] mellan departementen identifierades och beskrevs i promemorior på olika teman.[217] En av Riksrevisionens iakttagelser är att i flera av promemoriorna har informations- och cybersäkerhet beaktats i begränsad omfattning.[218] Riksrevisionen konstaterar också att ett flertal av promemoriorna beskriver teman på övergripande nivå och inte tar sig an de delar av uppdraget som omfattar samordning, inriktning eller framtagande av svenska handlingslinjer.[219] [220]

Regeringskansliet har framfört att nyttan med de interdepartementala mötena och promemoriorna främst har varit att hitta gemensamma grunder och inriktning, öka förståelsen för att digitalisering behöver kombineras med cybersäkerhet och höja kunskapsnivån i statssekreterar- respektive ida-gruppen. Flera uppger även att grupperna har underlättat informationsutbytet mellan departementen och möjliggjort att frågor som berör flera departement har identifierats och diskuterats. Vissa menar att de underlättat beredningen av regeringsärenden.[221] Dessa nyttor beskrivs dock som svårkvantifierade. För att en promemoria skulle godkännas av statssekreterargruppen behövde de inte nå konsensus som i Regeringskansliets ordinarie beredningsprocesser, utan det räckte med att vara ”tillräckligt” överens om innehållet. Innebörden av att vara tillräckligt överens framgår varken av skriftliga underlag eller intervjuer med representanter från Regeringskansliet. Fördelar med att promemoriorna inte mynnar ut i regeringsbeslut är att det ger en möjlighet för deltagarna att pröva sig fram utan att det direkt leder till skarpa åtgärder. Samtidigt skapar det en osäkerhet kring promemoriornas status och därmed hur de kan användas.[222] Riksrevisionen konstaterar att produkterna inte är samordnade på ett sådant sätt att de kan användas för att inrikta digitaliserings- eller cybersäkerhetsfrågorna, vilket var ett av de förväntade resultaten enligt uppdraget från Statsrådsberedningen till Infrastrukturdepartementet. Inriktning och styrning har fortsatt skett i de ordinarie beredningsprocesserna.

Andra menar att det interdepartementala arbetet har föga eller inget mervärde. Status på tjänstemannagruppens promemorior beskrivs som oklar och att de sällan eller aldrig använts som underlag i beredning av regeringsärenden. Det har också funnits utmaningar med att hitta skrivningar som alla har kunnat enas om och ibland har ståndpunkter uteslutits utan förklaring. Säkerhetsaspekterna har av ett departement beskrivits som ett filter som läggs på i efterhand i digitaliseringsarbetet. Två departement har lyft i underlag till statssekreterargruppen att vissa promemorior inte cirkulerats med alla i tjänstemannagruppen innan möten i statssekreterargruppen, vilket har lett till att vissa relevanta perspektiv inte belysts.[223] [224] Promemoriorna skulle kunna ha använts för att styra strategiskt, exempelvis som underlag till regeringsuppdrag eller till framtagande av svenska positioner i EU- eller andra internationella sammanhang.[225] Två anledningar till att så inte har skett är att de strategiska ståndpunkter som de interdepartementala grupperna varit överens om inte dokumenterats skriftligt och att samtliga berörda departement inte alltid nått samsyn kring promemoriornas innehåll.[226]

Riksrevisionen bedömer att det interdepartementala arbetet kring digitalisering, cyber- och informationssäkerhet har haft ett mervärde inom Regeringskansliet i form av förbättrat informationsutbyte och ökad kunskap. Riksrevisionen konstaterar dock att Regeringskansliets arbetsmetoder gällande samhällets informations- och cybersäkerhet däremot inte räckt hela vägen fram för att lösa ut centrala målkonflikter eller styra strategiskt på området.

4.2 Regeringskansliets förmåga inom informations- och cyberssäkerhet räcker inte till

Jämfört med motsvarigheter i andra europeiska länder har Regeringskansliet relativt sett få personella resurser som arbetar med informations- och cybersäkerhet. Pandemin har inneburit ett ökat fokus på digitaliserings-, cyber- och informationssäkerhetsfrågor och representanter för Regeringskansliet menar att personalresurserna inte räcker till. Resurs- och tidsbrist är ett återkommande tema vid intervjuer med representanter i de interdepartementala grupperna för digitaliserings- och cyberfrågor och tjänstemannagruppen uppges vara särskilt tungt belastad.[227] De tjänstemän på Regeringskansliet som under granskningsperioden deltog i ida-grupperna återfanns på nio departement. Ett flertal av dem hade samhällets cyber- och informationssäkerhet som en av sina huvuduppgifter och hade mer tid att ta sig an frågorna ur ett strategiskt perspektiv.[228] Riksrevisionen bedömer dock att interaktion mellan tjänstemän som arbetar strategiskt med informations- och cybersäkerhetssäkerhetsfrågor och tjänstemän som kommer i kontakt med frågorna mer sällan, exempelvis myndighetshandläggare, skulle behöva ske i större utsträckning. Det skulle minska risken för glapp i kunskapsöverföringen dem emellan.

Framtagande av promemorior i tjänstemannagruppen beskrivs som resurskrävande samtidigt som deras syfte och användbarhet har begränsat mervärde då de inte är direkt användbara i regeringens styrning. I de flesta fall deltar samma personer i det interdepartementala arbetet som i Regeringskansliets ordinarie beredningsprocesser. Deltagare i tjänstemannagruppen har ställts sig frågande till arbetsinsatsens mervärde; den är i flera fall omfattande och tidskrävande samtidigt som vissa uppgifter redan utförs parallellt i linjen på tjänstemannanivå. Det gäller exempelvis prioriteringar inför EU-ordförandeskapet.[229] Riksrevisionen konstaterar att Regeringskansliet har anammat en komplex organisation och metod för arbetet med strategiska informations- och cybersäkerhetsfrågor utan att tillföra ytterligare personal, budget eller, gällande de interdepartementala grupperna, tydligt mandat. Riksrevisionen bedömer därmed att Regeringskansliets personella resurser inte har nyttjats på ett effektivt sätt.

Enligt Riksrevisionens bedömning är Regeringskansliets förmåga att identifiera och ta fram lämpliga uppdrag till sina respektive myndigheter över lag god. Långsiktigheten saknas dock och vissa uppdrag är otydliga och inte helt anpassade till vad som ska uppnås. Ett exempel är uppdraget om fördjupad samverkan inom ramen för NCSC. Myndighetsrepresentanter menar att det är svårt att bygga infrastruktur med utgångspunkt i tillfälliga uppdrag och tidsbegränsade ekonomiska medel.[230] [231] Riksrevisionen konstaterar att Regeringskansliets förmåga inte har varit tillräcklig för att bedöma vad som krävs för en fungerande samverkan inom NCSC.

Granskningen visar att Regeringskansliet inte heller ser till Sveriges sammantagna intressen i centrala uppdrag som syftar till att stärka samhällets informations- och cybersäkerhet. Ett centralt regeringsuppdrag för att nå målen i den nationella informations- och cyberssäkerhetsstrategin är det som gick till myndigheterna som samverkar i cybersäkerhetscentret om att ta fram en samlad handlingsplan. Uppdraget ger få möjligheter att föreslå andra åtgärder än de som redan utförs då föreslagna aktiviteter och åtgärder ska rymmas inom respektive myndighets givna ekonomiska ramar.[232] Enligt Riksrevisionen är detta uppdrag ett exempel på att Regeringskansliet inte samordnat de strategiska prioriteringarna i den nationella informations- och cyberssäkerhetsstrategin med myndighetsstyrningen och därmed inte förmått identifiera lämpliga uppdrag som bidrar till att genomföra strategin. Som nämnts i kapitel 3 har myndigheterna visserligen även fått andra uppdrag inom informations- och cybersäkerhet, men ett sammanhållet genomförande där helheten står i fokus kan Riksrevisionen inte se.

Regeringskansliet har framfört att Sverige har ett gott renommé internationellt avseende cyberfrågor, men att Sverige behöver bli bättre på att utforma proaktiva vägval utifrån nationella intressen, behov och resurser.[233] För detta saknas adekvata underlag. Exempelvis kan en svensk representant på ett internationellt möte ha underlag bestående av flera hotlägesbilder från olika aktörer som inte är bearbetade och sammanfogade eller som inte ser till Sveriges sammantagna intressen.[234] Andra exempel där en gemensam svensk handlingslinje har saknats inom cyberområdet är vid framtagandet av underlag till Cyberresiliensakten[235] och rådsarbetsgruppen HWP Cyber samt till EU:s datastrategi.[236] Riksrevisionen bedömer att svensk representation internationellt skapar möjligheter för Sverige att vara drivande på olika internationella arenor. Ett sändebud som kan representera hela Sverige i cyberfrågor internationellt, motsvarande UD:s samordnare för cyberfrågor som håller samman de diplomatiska kontakterna, kommer dock att utses först 2023.[237] Riksrevisionen bedömer att Sverige kan bli mer proaktivt i dessa frågor. Sverige skulle exempelvis kunna förhandla för att i största möjliga mån tillgodose de nationella intressena i stället för att endast säga ja eller nej till EU‑förslag.[238] Bristande intern samordning på Regeringskansliet har även lett till uteblivet svenskt deltagande på internationella möten där beslut som påverkar Sverige tagit form.[239] Myndighetsrepresentanter har beskrivit hur de bistått Regeringskansliet med omfattande underlag inför förhandlingar i EU, men inte fått information om vad som tagits med till förhandlingsbordet eller utfallet.[240] Riksrevisionen bedömer att ett utökat informationsutbyte mellan Regeringskansliet och myndigheterna i utformandet av svenska ståndpunkter skulle öka Sveriges inflytande internationellt. Riksrevisionens slutsats är att Regeringskansliets förmåga att hantera internationella initiativ och vara proaktiva på den internationella arenan inte har varit tillräcklig.

Alla aktörer som är engagerade i informations- och cybersäkerhetsfrågor lyfter vikten av ökad kompetens inom området[241] och diskussioner har förts om att ge tjänstemannagruppen som var knuten till statssekreterargruppen för digitalisering och cyberfrågor i uppdrag att kartlägga kompetens inom stat och näringsliv för att se hur dessa bäst kan komma till nytta.[242] Regeringskansliet genomförde dock inte kartläggningen eftersom det interdepartementala arbetet avseende digitalisering- och cyberfrågor avslutades under hösten 2022.[243] Det har framförts att Regeringskansliet behöver kunskap på strategisk, taktisk och operativ nivå i organisationen för att kunna värdera cyberdomänen och ha en holistisk syn, men att den strategiska kompetensen inte alltid finns där.[244] Det blir ofta fokus på den organisatoriska ansvarsuppdelningen mellan departementen i stället.[245] Helhetsperspektivet på informations- och cybersäkerhetsfrågorna, där olika intressen balanseras mot varandra, är tänkt att diskuteras i de interdepartementala grupperna. Av skriftliga underlag som Riksrevisionen tagit del av framgår att det interdepartementala arbetet behöver bli mer effektivt och bemannas på ett sådant sätt att den har förmågan att adressera cyberfrågorna på djupet.[246] Andra underlag från Regeringskansliet visar att de vill höja kompetensen internt genom rekrytering och utbildning för att bland annat kunna vara mer proaktiva i formuleringen av positioner och policy.[247]

  • [197] Finansdepartementet, Försvarsdepartementet, Infrastrukturdepartementet, Justitiedepartementet, Miljödepartementet, Näringsdepartementet, Socialdepartementet, Utbildningsdepartementet och Utrikesdepartementet. Fram till 2023-01-01 hade Justitiedepartementet ansvar för förvaltningsärenden inom informations- och cybersäkerhet i den mån sådana ärenden inte hörde till något annat departement. Därefter tog Försvarsdepartementet över det ansvaret. Statsrådsberednings ansvar omfattar bland annat förvaltningsärenden som gäller regeringen, Regeringskansliet, kommittéväsendet och europeiska integrationsfrågor av horisontell karaktär. Förordning (1996:1515) med instruktion för Regeringskansliet.
  • [198] Minnesanteckningar från arbetsmaterial inför mötet i statssekreterargruppen för strategiska frågor om digitalisering och cybersäkerhet 2021-05-25:2.
  • [199] Regeringskansliet har även framfört bristerna i PM Informations- och cybersäkerhet – aktörers ansvar och eventuella luckor i upplägg och hantering, 2022.
  • [200] Intervju Regeringskansliet 6 och 11; möte Regeringskansliet 1; intervju Försvarsmakten 1.
  • [201] Intervju Regeringskansliet 10.
  • [202] Intervju Regeringskansliet 6.
  • [203] Minnesanteckningar från arbetsmaterial från statssekreterargruppen för strategiska frågor om digitalisering och cybersäkerhet, PPT Cyber/Digitalisering – Förslag, process arbetssätt, 2020-06-12.
  • [204] Ida-gruppen var under denna period inte formellt beslutad varför den omnämns som en informell ida-grupp.
  • [205] Skr. 2016/17:213.
  • [206] Intervju Regeringskansliet 7.
  • [207] Regeringsförklaringen 21 januari 2019; regeringsbeslut Fö2019/01330.
  • [208] Intervju Regeringskansliet 7.
  • [209] Förordning (1996:1515) med instruktion för Regeringskansliet.
  • [210] Intervju Regeringskansliet 9.
  • [211] Minnesanteckningar från arbetsmaterial från statssekreterargruppen för strategiska frågor om digitalisering och cybersäkerhet, PPT Cyber/Digitalisering – Förslag, process arbetssätt, 2020-06-12.
  • [212] Minnesanteckningar från arbetsmaterial från statssekreterargruppen för strategiska frågor om digitalisering och cybersäkerhet, PPT Cyber/Digitalisering – Förslag, process arbetssätt, 2020-06-12.
  • [213] Minnesanteckningar från Regeringskansliets arbetsmaterial 1.
  • [214] Minnesanteckningar från Regeringskansliets arbetsmaterial 2.
  • [215] Minnesanteckningar från arbetsmaterial från statssekreterargruppen för strategiska frågor om digitalisering och cybersäkerhet 2020-09-30; minnesanteckningar från arbetsmaterial från möte i ida-gruppen för strategiska frågor om digitalisering och cybersäkerhet 2021-04-23.
  • [216] Regeringskansliet har i faktagranskningen framfört att de frågor som valdes ut skulle berörda minst två av följande aspekter: digitalisering av samhället, innovation, Sveriges säkerhet och nationella intressen, svensk tillväxt samt konkurrenskraft. Regeringskansliet, Promemoria 20230323 Svar på frågan från Riksrevisionen om faktagranskning av utkastet till granskningsrapporten Regeringens styrning av samhällets informations- och cybersäkerhet, 2023.
  • [217] Tjänstemannagruppen fick uppdrag att skriva promemorior av statssekreterargruppen via ida-gruppen, men det förekom även att statssekreterargruppen formulerade uppdrag till tjänstemannagruppen. Intervju Regeringskansliet 9.
  • [218] PM Strategisk inriktning för hälsodata, e-hälsa och digital infrastruktur, 2022-05-04; PM Artificiell intelligens, 2021-03-10; PM om data, 2021-03-30 samt PM om gemensamma initiativ; minnesanteckningar från arbetsmaterial inför mötet i statssekreterargruppen för strategiska frågor om digitalisering och cybersäkerhet 2021-05-25:1.
  • [219] Förväntan/krav på leverans enligt uppdraget från Statsrådsberedningen till Infrastrukturdepartementet var bland annat att ta ett samlat grepp om cyberfrågornas olika aspekter där olika intressen balanserades genom en tydlig inriktning och samordning. Denna inriktning och samordning skulle möjliggöra en högre prioritet för frågorna inom Regeringskansliet och förbättra förutsättningarna för svenskt inflytande och deltagande i internationellt samarbete genom att en mer enhetlig linje skulle hållas. Inte minst behöver departementens arbete på EU-nivå inom cyberområdet samordnas på ett bättre sätt. Minnesanteckningar från Regeringskansliets arbetsmaterial 1.
  • [220] Regeringskansliet har i faktagranskningen skrivit att det finns exempel på hur teman beskrivna i promemorior mynnat ut i styrning. Som exempel anger Regeringskansliet promemorian om digital suveränitet som utgjorde grunden för Sveriges ställningstagande i olika EU-fora i den frågan. Ett annat exempel som Regeringskansliet uppger är slutsatsen att Sverige bör kandidera till Internationella teleunionens verkställande råd, vilket gjordes och resulterade i att Sverige valdes in. Regeringskansliet, Promemoria 20230323 Svar på frågan från Riksrevisionen om faktagranskning av utkastet till granskningsrapporten Regeringens styrning av samhällets informations- och cybersäkerhet, 2023.
  • [221] Regeringskansliet har i faktagranskningen förmedlat att den samlade benämningen av statssekreterar-, ida- och tjänstemannagruppen är samordningsgruppen och att flera deltagare i samordningsgruppen har uttryckt att arbetet underlättat gemensamberedningar. Regeringskansliet, Promemoria 20230323 Svar på frågan från Riksrevisionen om faktagranskning av utkastet till granskningsrapporten Regeringens styrning av samhällets informations- och cybersäkerhet, 2023. Samordningsgruppen har inte förekommit i de underlag som Riksrevisionen tagit del av under granskningen.
  • [222] Intervju Regeringskansliet 5 och 6; Minnesanteckningar från arbetsmaterial inför mötet i statssekreterargruppen för strategiska frågor om digitalisering och cybersäkerhet 2021-02-18.
  • [223] Intervju Regeringskansliet 6; minnesanteckningar från arbetsmaterial inför mötet i statssekreterargruppen för strategiska frågor om digitalisering och cybersäkerhet 2020-12-18, 2022-08-26:1 och 2.
  • [224] Regeringskansliet har uppgett i faktagranskningen att detta i så fall varit helt i enlighet med hierarkierna mellan grupperna om hur arbetet grupperna emellan var fördelat. Regeringskansliet, Promemoria 20230323 Svar på frågan från Riksrevisionen om faktagranskning av utkastet till granskningsrapporten Regeringens styrning av samhällets informations- och cybersäkerhet, 2023.
  • [225] Intervju Regeringskansliet 11.
  • [226] Intervju Regeringskansliet 6 och 9; minnesanteckningar från arbetsmaterial inför mötet i statssekreterargruppen för strategiska frågor om digitalisering och cybersäkerhet 2022-08-26: 2.
  • [227] Intervju Regeringskansliet 9 och 10; minnesanteckningar från arbetsmaterial inför mötet i statssekreterargruppen för strategiska frågor om digitalisering och cybersäkerhet 2021-05-25:1, 2021-09-15 samt 2022-03-18.
  • [228] Intervju Regeringskansliet 6, 7 och 8.
  • [229] Intervju Regeringskansliet 6 och 10; minnesanteckningar från arbetsmaterial inför mötet i statssekreterargruppen för strategiska frågor om digitalisering och cybersäkerhet 2022-08-26:2; minnesanteckningar från Regeringskansliets arbetsmaterial 3.
  • [230] Intervju MSB 1; regeringsbeslut Fö2019/01330.
  • [231] Regeringskansliet har i faktagranskningen framfört att NCSC-uppdraget inte är tillfälligt och de ekonomiska medel som föreslagits i budgetpropositionen är en finansiering som ligger på lång sikt. Regeringskansliet, Promemoria 20230323 Svar på frågan från Riksrevisionen om faktagranskning av utkastet till granskningsrapporten Regeringens styrning av samhällets informations- och cybersäkerhet, 2023.
  • [232] Regeringsbeslut Ju2018/03737/SSK; MSB, Samlad informations- och cybersäkerhetshandlingsplan för åren 2019–2022 – redovisning mars 2022; intervju MSB 1.
  • [233] Minnesanteckningar från arbetsmaterial inför möte i statssekreterargruppen för digitalisering och cybersäkerhetsfrågor 2020-09-30 och 22-05-19:2; intervju Regeringskansliet 11.
  • [234] Intervju Regeringskansliet 10.
  • [235] Cyberresiliensakten syftar till att skapa förutsättningar för utvecklingen av säkra produkter med digitala element genom att säkerställa att hårdvaru- och programvaruprodukter har färre sårbarheter när de släpps ut på marknaden och att tillverkarna tar säkerheten på allvar under produktens hela livscykel, och att skapa förutsättningar för att användarna ska kunna ta hänsyn till cybersäkerheten när de väljer och använder produkter med digitala element (CE märkning av digitala produkter). För ekonomiska aktörer som vill placera produkter med it-funktionalitet på den inre marknaden innebär detta att de måste säkerställa att produkterna är säkra ur ett cybersäkerhetsperspektiv samt ta ansvar för potentiella sårbarheter. För myndigheter innebär det att ett väldigt stort antal produkter och aktörers efterlevnad behöver säkerställas. Cyberresiliensakten ställer omfattande krav på berörda aktörer, i synnerhet om de tillhandahåller, producerar, distribuerar eller nyttjar högriskprodukter med it-funktionalitet, standardisering, CE-märkning. Förslag till EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING om övergripande cybersäkerhetskrav för produkter med digitala element och om ändring av förordning (EU) 2019/1020 (Cyberresiliensakten); MSB, Promemoria Initiativ på EU-nivå av relevans för säkerhet i Sverige och EU – fokus informations- och cybersäkerhet, 2023-03-20. Att certifiera enskilda produkter innebär en stor mängd arbete. Ett mer effektivt alternativ till att certifiera produkter hade varit att certifiera kvalitetsprocesserna vid de företag som framställer produkterna. Om Regeringskansliet hade involverat rätt kompetens vid berörda myndigheter i framtagandet av underlag till förhandlingarna gällande Cyberresiliensakten så hade Sverige kunnat agera annorlunda i förhandlingarna.
  • [236] Minnesanteckningar från arbetsmaterial inför möte i statssekreterargruppen för digitalisering och cybersäkerhetsfrågor 2020-09-30.
  • [237] Av Utrikesdeklarationen 2023 framgår att regeringen avser att tillsätta ett särskilt sändebud för internationella frågor. Regeringens deklaration vid 2023 års utrikespolitiska debatt i riksdagen onsdagen den 15 februari 2023.
  • [238] Intervju MSB 1.
  • [239] Intervju Regeringskansliet 10.
  • [240] Intervju MSB 3.
  • [241] Minnesanteckningar från arbetsmaterial inför mötet i statssekreterargruppen med ansvar för digitalisering- och cyberfrågor 2022-05-19:1.
  • [242] Minnesanteckningar från arbetsmaterial inför mötet i statssekreterargruppen med ansvar för digitalisering- och cyberfrågor 2022-03-31.
  • [243] Regeringskansliet uppger i faktagranskningen att en sådan kartläggning aldrig genomfördes eftersom gruppens arbete de facto avlutades under hösten 2022. Regeringskansliet, Promemoria 20230323 Svar på frågan från Riksrevisionen om faktagranskning av utkastet till granskningsrapporten Regeringens styrning av samhällets informations- och cybersäkerhet, 2023.
  • [244] Minnesanteckningar från arbetsmaterial inför mötet i statssekreterargruppen för strategiska frågor om digitalisering och cybersäkerhet 2020-06-12; Intervju Regeringskansliet 7.
  • [245] Intervju Regeringskansliet 6; intervju MSB 1 och 2.
  • [246] Minnesanteckningar från arbetsmaterial inför och anteckningar från mötet i statssekreterargruppen för strategiska frågor om digitalisering och cybersäkerhet 2022-03-18.
  • [247] Minnesanteckningar från arbetsmaterial inför och anteckningar från mötet i statssekreterargruppen för strategiska frågor om digitalisering och cybersäkerhet– förslag till gemensamma åtgärder att driva. PM om strategiska frågor 2021-09-03.

Uppdaterad: 27 april 2023

Kontakta oss

Skicka dina frågor eller synpunkter via formuläret nedan så ser vi till att de når rätt handläggare. Ange gärna om din fråga har att göra med informationen på just den här sidan. Genom att skicka in en fråga till oss medger du behandling av dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR).

Läs mer om behandling av personuppgifter

Vad handlar din fråga om?
Vad handlar din fråga om?