I kapitel 2 och 3 har Riksrevisionen konstaterat brister i regeringens styrning för att stärka samhällets informations- och cybersäkerhet. Eftersom Regeringskansliet bereder regeringens beslut har vi valt att studera Regeringskansliets arbetssätt, organisation och resurser närmare för att försöka hitta förklaringar till bristerna.
Samhällets informations- och cybersäkerhetsfrågor spänner över ett flertal sakområden och under granskningsperioden var Statsrådsberedningen och nio departement[197] ansvariga för olika aspekter av frågan. Då det i allt högre utsträckning finns ett behov av att hantera dessa frågor samlat[198] finns enligt Riksrevisionens bedömning skäl att belysa hur Regeringskansliet arbetar med informations- och cybersäkerhetsområdet.
Riksrevisionens konstaterar att Regeringskansliets valda arbetsmetoder, organisering och avsatta resurser inte har varit tillräckliga för att styra området på ett strategiskt sätt. Om regeringen och Regeringskansliet hade åstadkommit en strategisk styrning på området hade, enligt Riksrevisionens bedömning, förmodligen nivån på informations- och cybersäkerhet i Sverige varit högre än vad den är idag.
Avsnitt
4.1 Regeringskansliets arbetsmetoder har inte säkerställt strategisk styrning av informations- och cyberssäkerhetsområdet
Riksrevisionens bedömning är att Regeringskansliet har försökt samordna samhällets informations- och cybersäkerhetsfrågor internt, men hittills inte har lyckats fullt ut.[199] Enligt Riksrevisionen har Regeringskansliets arbete med informations- och cybersäkerhetsfrågor i mångt och mycket utgått från preferenser i de enskilda sakområdena som sedan samordnats med övriga berörda departement. Det gäller exempelvis den nationella informations- och cybersäkerhetsstrategin där olika departement ansvarade för att skriva olika avsnitt.[200] Det finns också exempel när samtliga berörda departement inte blivit involverade i beredning av informations- och cyberssäkerhetsärenden. Ett departement drev en svensk position i EU i cirka ett år utan att informera övriga departement, vilket blev problematiskt då samtliga svenska politiska perspektiv inte omhändertogs i den svenska linjen.[201]
För att underlätta samordningen av informations- och cybersäkerhetsfrågorna har interdepartementala arbetsgrupper (ida-grupper) skapats. Syftet var att träffas regelbundet för diskussioner och erfarenhetsutbyte,[202] vilket med tiden kompletterades med en vilja om att samordna och inrikta frågorna.[203] För samhällets informations- och cybersäkerhet har grupper, formella såväl som informella, med mer eller mindre tydligt uttalade uppdrag funnits både före och under Riksrevisionens granskningsperiod. Olika delar av Regeringskansliet har varit ansvariga för att sammankalla dessa ida-grupper. Den informella ida-grupp som Justitiedepartementet samlade bestod av tjänstemän på i huvudsak handläggarnivå medan ida-gruppen Infrastrukturdepartementet ansvarade för år 2020 till 2022 samlade personer på chefs- och huvudmannanivå. Till ida-gruppen som Infrastrukturdepartementet ansvarade för knöts en statssekreterargrupp och en tjänstemannagrupp. Den sistnämna gruppen bestod av handläggare. Tabellen nedan ger en beskrivning av grupperna över tid.
Tabell 2 Regeringskansliets interdepartementala arbetsformer för digitalisering, cyber- och informationssäkerhet över tid
År | Interdepartemental arbetsform | Sammankallande samt övriga | Centrala leveranser |
---|---|---|---|
2017 | Informell ida-grupp | Justitiedepartementet Fi/Fö/UD/M/Nä/Soc/Ku/Ju | |
2018 | Informell ida-grupp | Justitiedepartementet Fi/Fö/UD/M/Nä/Soc/Ku/Ju | |
2019 januari till våren 2020 | Ida-grupp | Statsrådsberedningen Fö/Ju/UD/Nä/Infra/Soc | |
2020, senvår | Statssekreterar-, ida- | Infrastrukturdepartementet Fö/Ju/UD/Nä/Infra/SB/Soc/U | |
2021 | Statssekreterar-, ida- | Som ovan + M och Fi | Strategiska promemorior |
2022 | Statssekreterar-, ida- | Som ovan | Strategiska promemorior |
Källa: Skriftliga underlag från Regeringskansliet. Riksrevisionens bearbetning.
Under första delen av Riksrevisionens granskningsperiod sammankallade Justitiedepartementet den informella ida-gruppen för informationssäkerhet.[204] Den arbetade med att ta fram en nationell strategi för samhällets informations- och cybersäkerhet.[205] Statsrådsberedningen tog över ansvaret för att sammankalla en interdepartemental grupp gällande informations- och cybersäkerhet år 2019.[206] Under det dryga året Statsrådsberedningen var sammankallande framgick av regeringsförklaringen att ett nationellt center skulle upprättas för att öka informations- och cybersäkerheten och ett regeringsbeslut fattades om att fyra myndigheter skulle påbörja förberedelserna för ett sådant center.[207] Statsrådsberedningen började samla Regeringskansliets tvärsektoriella frågor inom informations- och cybersäkerhet och skrev promemorior om dessa. Statsrådsberedningens arbetet framstod då alltmer som beredning av ärenden inom informations- och cybersäkerhet[208], vilket enligt Regeringskansliets arbetsordning är departementens uppgift.[209] Infrastrukturdepartementet fick ett formellt uppdrag att ansvara för en interdepartemental grupp gällande digitaliserings- och cyberfrågor i början av år 2020 och kom i gång med arbetet under senvåren 2020.[210] Till denna ida-grupp, som främst bestod av chefstjänstemän och huvudmän, knöts en statssekreterargrupp och en tjänstemannagrupp (handläggare) som skulle utföra olika arbetsuppgifter. Syftet med att tillföra en statssekreterargrupp var att få ett politiskt och strategiskt helhetsperspektiv på cyberfrågorna. Initiativen hitintills ansågs inte ha tillgodosett behovet av en tydlig inriktning och samordning av dessa frågor.[211] Kunskapsuppbyggnad i Regeringskansliet och ökad förståelse för de andra departementens perspektiv var andra mål med ida-grupperna.[212]
Av uppdraget från Statsrådsberedningen till Infrastrukturdepartementet framgår bland annat att en statssekreterargrupp inrättas för att få ett politiskt och strategiskt helhetsperspektiv på cyberfrågorna. En ida-grupp skulle bistå statssekreterargruppen i dess arbete med att stärka samordningen i Regeringskansliet av cyberfrågor som var av strategisk betydelse. Cyberfrågorna omfattar bland annat den fortsatta digitaliseringen av samhället, innovation, Sveriges säkerhet och nationella intressen, svensk tillväxt och konkurrenskraft. Förväntade resultat av arbetet var att:
- departementen tar ett större ansvar för cyberfrågorna
- de strategiska cyberfrågorna som ska samordnas identifieras
- det tas ett samlat grepp om cyberfrågornas olika aspekter där olika intressen balanseras genom en tydlig inriktning och samordning
- denna inriktning och samordning ska möjliggöra en högre prioritet för frågorna inom Regeringskansliet och förbättra förutsättningarna för svenskt inflytande och deltagande i internationellt samarbete genom att en mer enhetlig linje hålls. Inte minst behöver departementens arbete på EU-nivå inom cyberområdet samordnas på ett bättre sätt.[213]
Statssekreterargruppen enades om följande arbetsprocess för det interdepartementala arbetet gällande digitaliserings- och cyberfrågor. Varje statssekreterarmöte utgick från ett strategiskt område med ett antal beredda beslutspunkter som underlag för diskussion. Efter att statssekreterargruppen diskuterat frågan lämnades eventuellt en beställning till ida-gruppen. Ida-gruppen gav Infrastrukturdepartementet i uppdrag att ta fram underlag, exempelvis strategiska promemorior, med stöd av tjänstemannanätverket. Underlagen bereddes i och godkändes av ida-gruppen innan de presenterades i och godkändes av statssekreterargruppen. Statsekreterargruppsmötena skulle mynna ut i ett antal strategiska positionspromemorior innehållandes bland annat talepunkter och språkregler inom digitalisering och cybersäkerhet som statssekreterargruppen kunde driva och kraftsamla kring inför EU-ordförandeskapet.[214] Dessa skulle dock inte ta över gemensam beredning av ärenden.[215]
Ett antal strategiska frågor som behövde samordnas[216] mellan departementen identifierades och beskrevs i promemorior på olika teman.[217] En av Riksrevisionens iakttagelser är att i flera av promemoriorna har informations- och cybersäkerhet beaktats i begränsad omfattning.[218] Riksrevisionen konstaterar också att ett flertal av promemoriorna beskriver teman på övergripande nivå och inte tar sig an de delar av uppdraget som omfattar samordning, inriktning eller framtagande av svenska handlingslinjer.[219] [220]
Regeringskansliet har framfört att nyttan med de interdepartementala mötena och promemoriorna främst har varit att hitta gemensamma grunder och inriktning, öka förståelsen för att digitalisering behöver kombineras med cybersäkerhet och höja kunskapsnivån i statssekreterar- respektive ida-gruppen. Flera uppger även att grupperna har underlättat informationsutbytet mellan departementen och möjliggjort att frågor som berör flera departement har identifierats och diskuterats. Vissa menar att de underlättat beredningen av regeringsärenden.[221] Dessa nyttor beskrivs dock som svårkvantifierade. För att en promemoria skulle godkännas av statssekreterargruppen behövde de inte nå konsensus som i Regeringskansliets ordinarie beredningsprocesser, utan det räckte med att vara ”tillräckligt” överens om innehållet. Innebörden av att vara tillräckligt överens framgår varken av skriftliga underlag eller intervjuer med representanter från Regeringskansliet. Fördelar med att promemoriorna inte mynnar ut i regeringsbeslut är att det ger en möjlighet för deltagarna att pröva sig fram utan att det direkt leder till skarpa åtgärder. Samtidigt skapar det en osäkerhet kring promemoriornas status och därmed hur de kan användas.[222] Riksrevisionen konstaterar att produkterna inte är samordnade på ett sådant sätt att de kan användas för att inrikta digitaliserings- eller cybersäkerhetsfrågorna, vilket var ett av de förväntade resultaten enligt uppdraget från Statsrådsberedningen till Infrastrukturdepartementet. Inriktning och styrning har fortsatt skett i de ordinarie beredningsprocesserna.
Andra menar att det interdepartementala arbetet har föga eller inget mervärde. Status på tjänstemannagruppens promemorior beskrivs som oklar och att de sällan eller aldrig använts som underlag i beredning av regeringsärenden. Det har också funnits utmaningar med att hitta skrivningar som alla har kunnat enas om och ibland har ståndpunkter uteslutits utan förklaring. Säkerhetsaspekterna har av ett departement beskrivits som ett filter som läggs på i efterhand i digitaliseringsarbetet. Två departement har lyft i underlag till statssekreterargruppen att vissa promemorior inte cirkulerats med alla i tjänstemannagruppen innan möten i statssekreterargruppen, vilket har lett till att vissa relevanta perspektiv inte belysts.[223] [224] Promemoriorna skulle kunna ha använts för att styra strategiskt, exempelvis som underlag till regeringsuppdrag eller till framtagande av svenska positioner i EU- eller andra internationella sammanhang.[225] Två anledningar till att så inte har skett är att de strategiska ståndpunkter som de interdepartementala grupperna varit överens om inte dokumenterats skriftligt och att samtliga berörda departement inte alltid nått samsyn kring promemoriornas innehåll.[226]
Riksrevisionen bedömer att det interdepartementala arbetet kring digitalisering, cyber- och informationssäkerhet har haft ett mervärde inom Regeringskansliet i form av förbättrat informationsutbyte och ökad kunskap. Riksrevisionen konstaterar dock att Regeringskansliets arbetsmetoder gällande samhällets informations- och cybersäkerhet däremot inte räckt hela vägen fram för att lösa ut centrala målkonflikter eller styra strategiskt på området.
4.2 Regeringskansliets förmåga inom informations- och cyberssäkerhet räcker inte till
Jämfört med motsvarigheter i andra europeiska länder har Regeringskansliet relativt sett få personella resurser som arbetar med informations- och cybersäkerhet. Pandemin har inneburit ett ökat fokus på digitaliserings-, cyber- och informationssäkerhetsfrågor och representanter för Regeringskansliet menar att personalresurserna inte räcker till. Resurs- och tidsbrist är ett återkommande tema vid intervjuer med representanter i de interdepartementala grupperna för digitaliserings- och cyberfrågor och tjänstemannagruppen uppges vara särskilt tungt belastad.[227] De tjänstemän på Regeringskansliet som under granskningsperioden deltog i ida-grupperna återfanns på nio departement. Ett flertal av dem hade samhällets cyber- och informationssäkerhet som en av sina huvuduppgifter och hade mer tid att ta sig an frågorna ur ett strategiskt perspektiv.[228] Riksrevisionen bedömer dock att interaktion mellan tjänstemän som arbetar strategiskt med informations- och cybersäkerhetssäkerhetsfrågor och tjänstemän som kommer i kontakt med frågorna mer sällan, exempelvis myndighetshandläggare, skulle behöva ske i större utsträckning. Det skulle minska risken för glapp i kunskapsöverföringen dem emellan.
Framtagande av promemorior i tjänstemannagruppen beskrivs som resurskrävande samtidigt som deras syfte och användbarhet har begränsat mervärde då de inte är direkt användbara i regeringens styrning. I de flesta fall deltar samma personer i det interdepartementala arbetet som i Regeringskansliets ordinarie beredningsprocesser. Deltagare i tjänstemannagruppen har ställts sig frågande till arbetsinsatsens mervärde; den är i flera fall omfattande och tidskrävande samtidigt som vissa uppgifter redan utförs parallellt i linjen på tjänstemannanivå. Det gäller exempelvis prioriteringar inför EU-ordförandeskapet.[229] Riksrevisionen konstaterar att Regeringskansliet har anammat en komplex organisation och metod för arbetet med strategiska informations- och cybersäkerhetsfrågor utan att tillföra ytterligare personal, budget eller, gällande de interdepartementala grupperna, tydligt mandat. Riksrevisionen bedömer därmed att Regeringskansliets personella resurser inte har nyttjats på ett effektivt sätt.
Enligt Riksrevisionens bedömning är Regeringskansliets förmåga att identifiera och ta fram lämpliga uppdrag till sina respektive myndigheter över lag god. Långsiktigheten saknas dock och vissa uppdrag är otydliga och inte helt anpassade till vad som ska uppnås. Ett exempel är uppdraget om fördjupad samverkan inom ramen för NCSC. Myndighetsrepresentanter menar att det är svårt att bygga infrastruktur med utgångspunkt i tillfälliga uppdrag och tidsbegränsade ekonomiska medel.[230] [231] Riksrevisionen konstaterar att Regeringskansliets förmåga inte har varit tillräcklig för att bedöma vad som krävs för en fungerande samverkan inom NCSC.
Granskningen visar att Regeringskansliet inte heller ser till Sveriges sammantagna intressen i centrala uppdrag som syftar till att stärka samhällets informations- och cybersäkerhet. Ett centralt regeringsuppdrag för att nå målen i den nationella informations- och cyberssäkerhetsstrategin är det som gick till myndigheterna som samverkar i cybersäkerhetscentret om att ta fram en samlad handlingsplan. Uppdraget ger få möjligheter att föreslå andra åtgärder än de som redan utförs då föreslagna aktiviteter och åtgärder ska rymmas inom respektive myndighets givna ekonomiska ramar.[232] Enligt Riksrevisionen är detta uppdrag ett exempel på att Regeringskansliet inte samordnat de strategiska prioriteringarna i den nationella informations- och cyberssäkerhetsstrategin med myndighetsstyrningen och därmed inte förmått identifiera lämpliga uppdrag som bidrar till att genomföra strategin. Som nämnts i kapitel 3 har myndigheterna visserligen även fått andra uppdrag inom informations- och cybersäkerhet, men ett sammanhållet genomförande där helheten står i fokus kan Riksrevisionen inte se.
Regeringskansliet har framfört att Sverige har ett gott renommé internationellt avseende cyberfrågor, men att Sverige behöver bli bättre på att utforma proaktiva vägval utifrån nationella intressen, behov och resurser.[233] För detta saknas adekvata underlag. Exempelvis kan en svensk representant på ett internationellt möte ha underlag bestående av flera hotlägesbilder från olika aktörer som inte är bearbetade och sammanfogade eller som inte ser till Sveriges sammantagna intressen.[234] Andra exempel där en gemensam svensk handlingslinje har saknats inom cyberområdet är vid framtagandet av underlag till Cyberresiliensakten[235] och rådsarbetsgruppen HWP Cyber samt till EU:s datastrategi.[236] Riksrevisionen bedömer att svensk representation internationellt skapar möjligheter för Sverige att vara drivande på olika internationella arenor. Ett sändebud som kan representera hela Sverige i cyberfrågor internationellt, motsvarande UD:s samordnare för cyberfrågor som håller samman de diplomatiska kontakterna, kommer dock att utses först 2023.[237] Riksrevisionen bedömer att Sverige kan bli mer proaktivt i dessa frågor. Sverige skulle exempelvis kunna förhandla för att i största möjliga mån tillgodose de nationella intressena i stället för att endast säga ja eller nej till EU‑förslag.[238] Bristande intern samordning på Regeringskansliet har även lett till uteblivet svenskt deltagande på internationella möten där beslut som påverkar Sverige tagit form.[239] Myndighetsrepresentanter har beskrivit hur de bistått Regeringskansliet med omfattande underlag inför förhandlingar i EU, men inte fått information om vad som tagits med till förhandlingsbordet eller utfallet.[240] Riksrevisionen bedömer att ett utökat informationsutbyte mellan Regeringskansliet och myndigheterna i utformandet av svenska ståndpunkter skulle öka Sveriges inflytande internationellt. Riksrevisionens slutsats är att Regeringskansliets förmåga att hantera internationella initiativ och vara proaktiva på den internationella arenan inte har varit tillräcklig.
Alla aktörer som är engagerade i informations- och cybersäkerhetsfrågor lyfter vikten av ökad kompetens inom området[241] och diskussioner har förts om att ge tjänstemannagruppen som var knuten till statssekreterargruppen för digitalisering och cyberfrågor i uppdrag att kartlägga kompetens inom stat och näringsliv för att se hur dessa bäst kan komma till nytta.[242] Regeringskansliet genomförde dock inte kartläggningen eftersom det interdepartementala arbetet avseende digitalisering- och cyberfrågor avslutades under hösten 2022.[243] Det har framförts att Regeringskansliet behöver kunskap på strategisk, taktisk och operativ nivå i organisationen för att kunna värdera cyberdomänen och ha en holistisk syn, men att den strategiska kompetensen inte alltid finns där.[244] Det blir ofta fokus på den organisatoriska ansvarsuppdelningen mellan departementen i stället.[245] Helhetsperspektivet på informations- och cybersäkerhetsfrågorna, där olika intressen balanseras mot varandra, är tänkt att diskuteras i de interdepartementala grupperna. Av skriftliga underlag som Riksrevisionen tagit del av framgår att det interdepartementala arbetet behöver bli mer effektivt och bemannas på ett sådant sätt att den har förmågan att adressera cyberfrågorna på djupet.[246] Andra underlag från Regeringskansliet visar att de vill höja kompetensen internt genom rekrytering och utbildning för att bland annat kunna vara mer proaktiva i formuleringen av positioner och policy.[247]