Riksrevisionen logotyp, länk till startsidan.
Riksrevisionen logotyp, länk till startsidan.

5. Slutsatser och rekommendationer

Riksrevisionens övergripande slutsats är att regeringens arbete för att stärka Sveriges informations- och cybersäkerhet inte har varit effektivt. Regeringens strategi och implementeringen av den når inte upp till vad som anses vara internationell bästa praxis. Den centrala bristen är avsaknad av en strategisk avvägning och prioritering som riktar in arbetet. Det har också funnits svårigheter i att säkerställa en effektiv samordning och i att involvera relevanta intressenter. Bristerna har lett till en svag styrning från regeringens sida. Till del beror detta på att Regeringskansliets arbetsmetoder, organisering och resursanvändning inte har möjliggjort ett effektivt arbete med informations- och cybersäkerhetsfrågorna.

Sex år efter att informations- och cybersäkerhetsstrategin antogs kvarstår utmaningar inom strategins alla områden. Framsteg har gjorts hos en del aktörer, men det verkar inte ha skett någon generell förbättring av säkerheten. Trots lagändringar på området kvarstår problem med att utreda it-relaterade brott och att stötta vid incidenter. Bristen på kompetens i samhället kopplat till informations- och cybersäkerhet är fortsatt kritisk. En stor del av Regeringskansliets resurser går åt till att hantera initiativ från EU utan att Sverige driver någon sammanhållen linje på den nivån. Alla som ska inkluderas känner sig heller inte beaktade. Näringslivet upplever sig exempelvis sakna stöd från statens sida.

Avsnitt

5.1 Det saknas en styrande strategisk inriktning

Enligt strategin skulle den utgöra en plattform för Sveriges fortsatta arbete, stötta aktörer i deras informations- och cybersäkerhetsarbete och skapa ett mer samlat agerande på området. Så som strategin är utformad fyller den enligt Riksrevisionen inte den funktionen. Granskningen visar att det inte är ett dokument som upplevs som centralt för myndigheterna som bedriver arbete på området. Den har heller inte styrt eller fyllt någon särskild funktion i regeringens styrning av myndigheterna. En strategi som inte pekar ut ansvar eller resurser innebär låg eller ingen styreffekt. Till skillnad från det tätt sammanlänkade digitaliseringsområdet där det finns en digitaliseringspolitik, saknas något sådant för informations- och cybersäkerhetsfrågorna. Departementen och myndigheterna som arbetar med frågorna har sina prioriteringar och mål, men det saknas en tydlig samlad sakpolitik för informations- och cybersäkerhet.

Regeringens styrning består därmed i mångt och mycket av minsta gemensamma nämnare bland de perspektiv som departementen lyfter fram. Samtidigt saknas en funktion och arbetsmetod på Regeringskansliet som kan värdera och rangordna olika preferenser utifrån vad som gynnar Sverige som helhet och upptäcka viktiga frågor, områden eller aspekter som inte lyfts av departementen. Detta har försvårat en långsiktig, strategisk, holistisk och sammanhållen styrning.

Denna avsaknad gör det svårt att säkerställa att de insatser som görs är rätt insatser för Sveriges samlade informations- och cybersäkerhet, liksom att insatserna görs på rätt sätt. Det riskerar att leda till att de åtgärder som vidtas inte får effekt, men också till ett ineffektivt resursutnyttjande.

En förklaring till bristerna i strategin och dess implementering är Regeringskansliets organisation och arbetsmetoder. Regeringskansliet har förmåga att bereda ärenden. Baserat på Riksrevisionens iakttagelser rörande den departementsövergripande samordningen av strategiska informations- och cybersäkerhetsfrågor bedömer Riksrevisionen dock att en förklaring till bristerna är att det saknas tillräcklig operativ och taktisk kunskap om hur cybersäkerhetsarbetet bedrivs på myndigheterna och inom den privata sektorn såväl som specifik domänkunskap såsom internets funktionalitet, kryptokunskap, tekniska säkerhetslösningar och andra centrala komponenter inom cybersäkerhetsområdet. Utan egen kunskap i dessa frågor är risken stor att bedömningar kring vad som behöver ske avseende styrning och förmågehöjning blir felaktiga.

Bristen på kompetens och resurser, både inom det offentliga och det privata, har framförts i intervjuer och i skriftliga underlag. Med begränsade resurser borde det vara än viktigare att arbeta gemensamt för att nyttja resurserna väl.

5.2 Stuprör och otydligt ansvar hindrar arbetet

Både Regeringskansliet och myndigheterna arbetar till stor del i stuprör med sina respektive sakfrågor utan överblick över området i stort. Försök har gjorts att bygga hängrännor mellan stuprören både på Regeringskansliet och på myndighetsnivå. I Regeringskansliet har det funnits interdepartementala grupper på olika nivåer. Regeringskansliet uppger att det har ökat förståelsen mellan departementen och underlättat den gemensamma beredningen. Riksrevisionens bedömning är dock att det inte har lett till en ökad förmåga att prioritera insatser utifrån Sveriges samlade behov av informations- och cybersäkerhet eller till en långsiktig, strategisk, holistisk och sammanhållen styrning av informations- och cybersäkerhetsområdet.

De mer centrala myndigheterna har haft olika samarbeten under lång tid, främst inom Samfi, NSIT och numera NCSC. Trots att samarbete inte var nytt för myndigheterna som ingår i NCSC, har det tagit lång tid att bygga upp centret, och mycket tid i den processen har gått till att lösa formella frågor kring formerna för samverkan. Erfarenheterna både inom Regeringskansliet och mellan myndigheterna visar enligt Riksrevisionens bedömning på svårigheterna med att nå en effektiv samverkan. Även samverkan med näringslivet har varit svår att få till. Samverkan med privata aktörer har funnits tidigare, men dessa har involverats i begränsad omfattning både i framtagandet av strategin och i uppbyggnaden av NCSC.

Till viss del har ansvaret för olika uppgifter varit otydligt. Det har framför allt gällt frågor som kräver insatser från flera olika aktörer eller frågor som inte tillhör någon aktörs huvudprioriteringar. Granskningen visar att detta exempelvis omfattat uppbyggnaden av NCSC. Vissa av centrets uppgifter har myndigheterna haft svårt att förstå, eller så har de tolkat dem olika. Otydligheten har lett till att uppgifterna tagit lång tid att genomföra eller prioriterats bort helt och hållet. Även koordineringen av internationella frågor är ett exempel där det inte alltid har funnits en huvudansvarig och resultaten har varit svaga. Samtidigt har styrningen av enskilda myndigheter i huvudsak vara tydlig. Strategin har inte pekat ut ansvar för att genomföra åtgärder inom de prioriterade områdena eller tilldelat resurser för arbetet. Finansiella resurser har tilldelats i vissa fall, men de flesta åtgärderna ska genomföras inom befintliga anslag. Cirka hälften av områdena i Enisas bästa praxis för att implementera en strategi har inte tilldelats några öronmärkta medel alls.

5.3 Regeringen har varit passiv i viktiga frågor

Enligt Riksrevisionen har regeringen inte agerat tillräckligt i flera centrala frågor. Den långsamma utvecklingen av NCSC visar exempelvis på en passivitet från regeringens sida. Inom Regeringskansliet identifierade man att arbetet med att inrätta NCSC inte var tillfredsställande och att det borde ha kommit längre. Det var först under första halvåret 2022 som ansvariga statsråd hade samtal med företrädare för berörda myndigheter gällande problematiken med utvecklingstakten. Denna passivitet har också funnits på andra områden. Exempelvis i förhållande till att ta fram en gemensam nationell modell för informations- och cybersäkerhet. Regeringen lyfte detta som en viktig fråga i den nationella informations- och cybersäkerhetsstrategin. Relevanta myndigheter har arbetat med frågan både inom ramen för Samfi och inom ramen för NCSC. När de inte har nått samsyn har regeringen inte gått in och vidtagit åtgärder för att föra arbetet framåt. Granskningen visar att vissa av de olika intressen som funnits hos myndigheterna också funnits på departementen. De har också värnat intressen inom sitt sakområde, vilket i vissa fall har hindrat progress på informations- och cyberssäkerhetsområdet. Detta förklarar delvis regeringens passivitet även i frågor som har sagts vara prioriterade och viktiga. Riksrevisionens bedömning är att svagheten i styrningen har lett till att regeringens ambitioner inte har infriats.

5.4 Informationsutbytet har inte fungerat väl

Informationsutbyte är viktigt för att kunna samordna insatser så att alla arbetar mot samma mål och har en gemensam bild av läget, behov, mål och åtgärder som behövs för att komma dit. Både myndigheter, tjänstemän inom Regeringskansliet och företrädare för näringslivet har lyft att det till exempel saknas en gemensam lägesbild. Myndigheterna tar i dagsläget fram flera olika lägesbilder. Det ger en fragmenterad bild av området som inte tillgodoser behovet av överblick. Det försvårar enligt Riksrevisionen möjligheten att väga olika åtgärder mot varandra. Utbyte av information är behäftat med vissa legala, tekniska och kulturella utmaningar. Det är därför viktigt att myndigheterna och Regeringskansliet identifierar vilka utmaningar som finns och hittar strukturer för att hantera dem. Däremot bedöms inte begränsningarna i informationsdelning enbart ha med dessa utmaningar att göra. Vilja att värna sina egna sakfrågor och prioriteringar har sannolikt också påverkat. Ett sådant agerande riskerar att förstärka stuprören, men också att än mer försvåra möjligheterna att se till Sveriges behov som helhet. Granskningen visar att detta beteende har funnits både inom Regeringskansliet och mellan myndigheterna.

Informationsutbytet mellan det offentliga och näringslivet har inte heller fungerat fullt ut. Det handlar om att näringslivet inte upplever sig få tillräcklig information från det offentliga, men också om att företag uppfattar det som att myndigheterna inte är intresserade av att ta emot information från dem. Det riskerar att leda till att Regeringskansliet och myndigheterna inte får en bra lägesbild av de viktigaste riskerna och hoten mot Sverige i cybermiljön, en god förståelse för näringslivets behov eller vad företagen kan bidra med.

5.5 Rekommendationer

Riksrevisionen lämnar följande rekommendationer till regeringen:

  • Skapa en strategisk, holistisk och långsiktig inriktning för arbetet med informations- och cybersäkerhet. Inriktningen bör omfatta en analys av de nationella strategiska utmaningarna, avvägningar och prioriteringar samt resurstilldelning och handlingsplan för genomförandet. Arbetet bör involvera berörda intressenter.
  • Säkerställ en samlad styrning med tydlig ansvarsfördelning, tillräcklig kompetens och effektiva former för samordning av informations- och cybersäkerhetsfrågorna i Regeringskansliet.
  • Identifiera hinder för informationsutbyte och se till att det finns strukturer som medger det informationsutbyte som är nödvändigt mellan myndigheter såväl som mellan det offentliga och det privata för att arbetet med samhällets informations- och cybersäkerhet ska fungera effektivt.
  • Se över det nationella informations- och cybersäkerhetscentrets uppdrag, mandat och organisatoriska hemvist för att säkerställa dess bidrag till hela samhällets informationssäkerhet såväl som cybersäkerhet.
  •  

Uppdaterad: 27 april 2023

Kontakta oss

Skicka dina frågor eller synpunkter via formuläret nedan så ser vi till att de når rätt handläggare. Ange gärna om din fråga har att göra med informationen på just den här sidan. Genom att skicka in en fråga till oss medger du behandling av dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR).

Läs mer om behandling av personuppgifter

Vad handlar din fråga om?
Vad handlar din fråga om?