Regeringskansliets rättsdatabaser

Regeringens skrivelse 2023/24:26 Riksrevisionens rapport om regeringens styrning av samhällets informations- och cybersäkerhet Skr. 2023/24:26 Regeringen överlämnar denna skrivelse till riksdagen. Stockholm den 5 oktober 2023 Tobias Billström Carl-Oskar Bohlin (Försvarsdepartementet) Skrivelsens huvudsakliga innehåll I skrivelsen redogör regeringen för sin bedömning av de slutsatser och rekommendationer som Riksrevisionen lämnar i rapporten Regeringens styrning av samhällets informations- och cybersäkerhet - både brådskande och viktig (RiR 2023:8). Riksrevisionens övergripande slutsats är att regeringens arbete inom området inte har varit effektivt utformat. Enligt Riksrevisionen handlar den centrala bristen om avsaknad av strategiska avvägningar och prioriteringar som inriktar informations- och cybersäkerhetsarbetet. Regeringen välkomnar granskningen och instämmer huvudsakligen i Riksrevisionens iakttagelser. Regeringen kommer mot den bakgrunden att överväga hur den nya nationella informations- och cybersäkerhetsstrategin bör utformas för att hantera de brister som iakttagits. Regeringen delar Riksrevisionens bedömning att det nationella cybersäkerhetscentret (NCSC) har tagit lång tid att bygga upp och att ansvarsfördelningen inom NCSC gör verksamheten svår att styra och följa upp. NCSC etablerades i december 2020 av den förra regeringen, men har inte nått den grad av fördjupad samverkan som krävs för att NCSC fullt ut ska nå sitt syfte. Försvarsdepartementet har därför gett en utredare i uppdrag att lämna förslag på hur Försvarets radioanstalt ska tilldelas huvudansvaret för NCSC och se över dess organisation och styrning. I och med denna skrivelse anser regeringen att Riksrevisionens rapport är slutbehandlad. Innehållsförteckning 1 Ärendet och dess beredning 3 2 Riksrevisionens iakttagelser 3 3 Regeringens bedömning och åtgärder med anledning av Riksrevisionens iakttagelser 5 Bilaga Riksrevisionens granskningsrapport Regeringens styrning av samhällets informations- och cybersäkerhet - både brådskande och viktig (RiR 2023:8) 9 Utdrag ur protokoll vid regeringssammanträde den 5 oktober 2023 91 1 Ärendet och dess beredning Riksrevisionen har undersökt hur regeringen arbetar för att stärka Sveriges informations- och cybersäkerhet. Riksrevisionen har granskat om den nationella informations- och cybersäkerhetsstrategin är effektivt utformad samt om regeringen genomfört den nationella informations- och cybersäkerhetsstrategin på ett effektivt sätt. Resultat av granskningen redovisas i rapporten Regeringens styrning av samhällets informations- och cybersäkerhet - både brådskande och viktig (RiR 2023:8), se bilagan. Riksdagen överlämnade Riksrevisionens rapport till regeringen den 24 april 2023. I denna skrivelse behandlar regeringen de iakttagelser och rekommendationer som Riksrevisionen redovisar i sin rapport. 2 Riksrevisionens iakttagelser Riksrevisionens samlade slutsats är att regeringens arbete att stärka Sveriges informations- och cybersäkerhet inte har varit effektivt. Riksrevisionen anser att regeringens strategi och genomförandet av den inte når upp till vad som anses vara internationell bästa praxis, i huvudsak baserat på Europeiska unionens cybersäkerhetsbyrås (European Union Agency for Network and Information Security) Good Practice Guide. Enligt Riksrevisionen är den centrala bristen att strategiska avvägningar och prioriteringar som borde rikta in arbetet saknas. Bristerna i strategin och dess genomförande grundar sig, enligt Riksrevisionen, i Regeringskansliets organisation och arbetsmetoder. Riksrevisionen anser att Regeringskansliets arbetsmetoder, organisering och resursanvändning inte har möjliggjort ett effektivt arbete med informations- och cybersäkerhetsfrågorna. Enligt Riksrevisionen visar granskningen att det har funnits svårigheter i att säkerställa en effektiv samordning som involverar relevanta intressenter, vilket skapat en svag styrning från regeringens sida. Riksrevisionens bedömning är att regeringens arbete på området inte har lett till en ökad förmåga att prioritera insatser utifrån Sveriges samlade behov av informations- och cybersäkerhet eller till en långsiktig, strategisk, holistisk och sammanhållen styrning av informations- och cybersäkerhetsområdet. Riksrevisionen bedömer att det bland annat saknas tillräcklig operativ och taktisk kunskap om hur cybersäkerhetsarbetet bedrivs på myndigheterna och inom den privata sektorn. Riksrevisionen konstaterar också att en strategi som inte pekar ut ansvar eller resurser innebär låg eller ingen styreffekt. Granskningsrapporten visar att styrningen av enskilda myndigheter i huvudsak har varit tydlig och att finansiella resurser har tilldelats i vissa fall. Riksrevisionen konstaterar däremot att de flesta åtgärderna ska genomföras inom befintliga anslag och att strategin inte pekar ut ansvar för att kunna genomföra åtgärder inom de prioriterade områdena. Riksrevisionen bedömer att en svag styrning lett till att regeringens ambitioner på informations- och cyberssäkerhetsområdet inte har infriats och att regeringen inte har agerat tillräckligt i flera centrala frågor. Det konstateras bland annat att regeringen inte har vidtagit åtgärder när relevanta myndigheter inte nått samsyn i arbetet att ta fram en gemensam nationell modell för informations- och cybersäkerhet inom ramen för Samverkansgruppen för informationssäkerhet och NCSC. I sammanhanget konstaterar Riksrevisionen att NCSC har tagit lång tid att bygga upp. Bristen förklaras ligga i att mycket tid har gått åt till att lösa frågor kring formerna för samverkan och att ansvaret för frågor som krävt insatser från flera olika aktörer, eller frågor som inte tillhör någon aktörs huvudprioriteringar, till viss del har varit otydligt. Riksrevisionen konstaterar också att privata aktörer har involverats i begränsad omfattning, både vad gäller framtagandet av strategin och uppbyggnaden av NCSC. Enligt Riksrevisionen visar granskningen att det har skapats en fragmenterad bild av området på grund av att myndigheterna i dagsläget tar fram flera olika lägesbilder. Riksrevisionen bedömer att detta har försvårat möjligheten att väga olika åtgärder mot varandra och att det därför är viktigt att myndigheterna och regeringen identifierar vilka utmaningar som finns och hittar strukturer för att hantera dem. Riksrevisionen anser att framsteg har gjorts hos en del aktörer under perioden då informations- och cybersäkerhetsstrategin varit på plats men konstaterar trots detta att det inte går att se någon generell förbättring av säkerheten varför utmaningar inom strategins alla områden kvarstår. Riksrevisionen konstaterar att problem med att utreda it-relaterade brott och att stötta olika aktörer vid incidenter kvarstår trots att lagändringar har gjorts på området och att bristen på kompetens i samhället kopplat till informations- och cybersäkerhet är fortsatt kritisk. Riksrevisionen konstaterar också att en stor del av Regeringskansliets resurser går åt till att hantera initiativ från EU utan att Sverige driver någon sammanhållen linje på EU-nivå. Vidare visar granskningen att vissa aktörer inte upplever att de inkluderats på det sätt som de borde. Exempelvis framför aktörer inom näringslivet att de saknar stöd från statens sida. Riksrevisionen lämnar följande rekommendationer till regeringen: 1. Skapa en strategisk, holistisk och långsiktig inriktning för arbetet med informations- och cybersäkerhet. Inriktningen bör omfatta en analys av de nationella strategiska utmaningarna, avvägningar och prioriteringar samt resurstilldelning och handlingsplan för genomförandet. Arbetet bör involvera berörda intressenter. 2. Säkerställ en samlad styrning med tydlig ansvarsfördelning, tillräcklig kompetens och effektiva former för samordning av informations- och cybersäkerhetsfrågorna i Regeringskansliet. 3. Identifiera hinder för informationsutbyte och se till att det finns strukturer som medger det informationsutbyte som är nödvändigt mellan myndigheter såväl som mellan det offentliga och det privata för att arbetet med samhällets informations- och cybersäkerhet ska fungera effektivt. 4. Se över det nationella informations- och cybersäkerhetscentrets uppdrag, mandat och organisatoriska hemvist för att säkerställa dess bidrag till hela samhällets informationssäkerhet såväl som cybersäkerhet. 3 Regeringens bedömning och åtgärder med anledning av Riksrevisionens iakttagelser Riksrevisionens granskningsrapport tar sikte på den förra regeringens strategi för informations- och cybersäkerhet. Rapporten utgör ett värdefullt underlag för regeringens arbete att ta fram en ny informations- och cybersäkerhetsstrategi. Riksrevisionens övergripande slutsats är att regeringens arbete för att stärka Sveriges informations- och cybersäkerhet inte har varit effektivt. Regeringen instämmer huvudsakligen i Riksrevisionens bedömning. Informations- och cybersäkerhetsområdet behöver vara mer strategiskt sammanhållet och det behöver finnas tydliga välgrundade prioriteringar som kan rikta in det dagliga arbetet för såväl Regeringskansliet, myndigheter, kommuner och näringsliv. Regeringen redogör i detta avsnitt för sin bedömning av de iakttagelser som Riksrevisionen gör i sin rapport. Riksrevisionen rekommenderar inledningsvis att det bör skapas en strategisk, holistisk och långsiktig inriktning för arbetet med informations- och cybersäkerhet. Regeringen håller med om Riksrevisionens bedömning och konstaterar att de iakttagelser som Riksrevisionen gör är värdefulla för den fortsatta utvecklingen av arbetet med informations- och cybersäkerhet. Regeringen kommer att påbörja arbetet med att ta fram en ny informations- och cybersäkerhetsstrategi som ligger i linje med Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS2-direktivet). I det arbetet kommer regeringen att lägga vikt vid att analysera de nationella strategiska utmaningarna och att strategin harmonierar med andra eventuellt angränsande strategier. Stödet till och samverkan med statliga myndigheter och näringsliv är viktigt för regeringen och kommer att utgöra en central fråga vid framtagandet av strategin. Riksrevisionen konstaterar att Regeringskansliet saknar tillräcklig operativ och taktisk kunskap om hur cybersäkerhetsarbetet bedrivs både inom myndigheterna och den privata sektorn. Regeringen konstaterar att det, precis som med annan it-kompetens, råder brist på informations- och cybersäkerhetskompetens i samhället i stort och behovet kommer att öka. Det kommer att krävas breda och långsiktiga insatser i samhället för att komma till rätta med dessa utmaningar. EU-kommissionens förslag att lansera en akademi för cyberkompetens (Cyber Security Skills Academy) är en del i att åtgärda kompetensbristen inom cybersäkerhet vilket ska bidra till en ökad cyberresiliens inom EU. Regeringen vill vidare understryka att Regeringskansliets uppgift är att bereda regeringsärenden och i övrigt biträda regeringen och statsråden i deras verksamhet. Stöd från expertmyndigheter inom området är avgörande. Försvarsdepartementet har dock fått utökade resurser och anställt flera medarbetare inom bland annat informations- och cybersäkerhet. Det är statsministern som beslutar vilka statsråd som ska ingå i regeringen. Regeringskansliets organisation i olika departement bestäms av regeringen genom förordning. Regeringen har flyttat ansvaret för samordning av civilt försvar och krisberedskap från Justitiedepartementet till Försvarsdepartementet och utsett en särskild minister för civilt försvar. Statsrådet för civilt försvar har, med stöd av förordnande enligt 7 kap. 5 § regeringsformen, bland annat ansvar för förvaltningsärenden som gäller informations- och cybersäkerhet i den mån sådana ärenden inte hör till något annat departement. Dessa åtgärder kommer på sikt att skapa förutsättningar att ta ett enhetligt grepp att samla informations- och cybersäkerhetsfrågorna. Regeringen har också inrättat ett nationellt säkerhetsråd för informationsutbyte och strategisk samordning i frågor som rör nationell säkerhet. För att biträda det nationella säkerhetsrådet har regeringen utsett en nationell säkerhetsrådgivare som ska svara för samordning, inriktning och analys av frågor som rör nationell säkerhet. Det är exempel på åtgärder som regeringen har vidtagit för att samordna och organisera Sveriges arbete med frågor om nationell säkerhet och krishantering så att det speglar dagens komplexa hotbild. Inrättandet av det nationella säkerhetsrådet ger möjlighet att lyfta frågor som behöver samordnas över departementsgränserna. Genom dessa åtgärder bedömer regeringen att det numera finns goda förutsättningar att uppnå en samlad styrning och effektiva former för samordning av informations- och cybersäkerhetsfrågorna. Enligt Riksrevisionen har informationsutbytet mellan såväl myndigheter som mellan näringslivet och det offentliga inte fungerat väl. Riksrevisionen konstaterar att myndigheterna i dag tar fram flera olika lägesbilder och att det ger en fragmenterad bild av området som inte tillgodoser behovet av överblick. Regeringen instämmer i huvudsak med Riksrevisionens iakttagelse att informationsutbytet mellan näringslivet och det offentliga kan förbättras. Detta kommer att vara en viktig fråga att omhänderta i den nya informations- och cybersäkerhetsstrategin. Krav på utbyte av information mellan behöriga myndigheter följer också av NIS2-direktivet som beslutades i december 2022 och ska genomföras i alla EU:s medlemsstater. Enligt direktivet ska myndigheter utbyta information med varandra om hot och incidenter samt om åtgärder som myndigheterna vidtar. I februari 2023 gav regeringen en särskild utredare i uppdrag att föreslå de anpassningar av svensk rätt som behövs för att EU-direktivet ska kunna genomföras. Utredningen ska redovisa sitt uppdrag senast den 23 februari 2024. Ytterligare åtgärder vad gäller informationsutbyte är således att vänta med anledning av genomförandet av NIS2-direktivet. Slutligen rekommenderar Riksrevisionen att regeringen ska se över det nationella informations- och cybersäkerhetscentrets uppdrag, mandat och organisatoriska hemvist. Den 10 december 2020 beslutade regeringen att ge Försvarets radioanstalt, Försvarsmakten, Myndigheten för samhällsskydd och beredskap och Säkerhetspolisen i uppdrag att fördjupa samverkan inom cybersäkerhetsområdet genom ett nationellt cybersäkerhetscenter, NCSC (Fö2019/01330). De fyra myndigheterna gavs i uppdrag att, inom ramen för NCSC, koordinera arbetet med att förebygga, upptäcka och hantera cyberangrepp och andra it-incidenter, förmedla råd och stöd avseende hot, sårbarheter och risker samt utgöra en nationell plattform för samverkan och informationsutbyte med privata och offentliga aktörer inom cybersäkerhetsområdet. Av uppdraget framgick att samverkan skulle utvecklas stegvis under perioden 2021-2023 och att de fyra uppdragsmyndigheterna skulle ha en nära samverkan med Försvarets materielverk, Polismyndigheten och Post- och telestyrelsen, vilka skulle ges möjlighet att medverka i NCSC:s verksamhet. Av uppdraget framgick också att regeringen avsåg att under 2023 ta ställning till hur NCSC:s verksamhet fortsatt bör inriktas och bedrivas efter 2023. Regeringen konstaterar att det jämnt fördelade ansvaret för NCSC mellan flera olika myndigheter har bidragit till svårigheter med såväl styrning som uppföljning och ansvarsutkrävande. Regeringen delar därmed Riksrevisionens bedömning att det har varit svårt att nå en effektiv samverkan mellan myndigheterna under uppbyggnaden av NCSC. Regeringen vidtar därför flera åtgärder för att på sikt nå en effektiv samverkan inom NCSC. Den 27 april 2023 gav regeringen Försvarets radioanstalt, Myndigheten för samhällsskydd och beredskap, Försvarsmakten och Säkerhetspolisen i uppdrag att inom ramen för NCSC stärka samverkan med näringslivet. I uppdraget ingår att genomföra en bred informationskampanj riktad till näringslivet samt etablera en särskild samverkan med vissa sektorer. Uppdraget syftar till att myndigheter och näringsliv ska arbeta aktivt och systematiskt med att utveckla sin informations- och cybersäkerhet för att uppnå ett fullgott skydd på området. För att företag ska ges bättre förutsättningar att bedriva ett effektivt arbete inom området informations- och cybersäkerhet krävs det därutöver en utvecklad samverkan och ett stöd från de myndigheter som har ansvar inom området. En viktig del i detta är tillgången till lägesbilder. Regeringen gav därför den 27 april 2023 även de fyra ovannämnda myndigheterna i uppdrag att regelbundet utarbeta lägesbilder riktade till aktörer inom näringslivet, likaväl som till statliga myndigheter samt kommuner och regioner. Försvarsdepartementet har utsett en utredare som kommer att biträda departementet och denne har fått i uppdrag att lämna förslag på hur en ändamålsenlig, effektiv organisering och styrning av cybersäkerhetscentret ska utformas. Utredningen avser bland annat syfta till att ge NCSC bättre förutsättningar att stärka Sveriges samlade förmåga att förebygga, upptäcka och hantera antagonistiska cyberhot och andra större it-incidenter, genom samverkan med såväl privata som offentliga aktörer. En del av utredarens uppdrag är att utreda hur Försvarets radioanstalt ska tilldelas ett huvudansvar för att leda samordningen, utvecklingen och genomförandet av centrets verksamhet. En utmaning för NCSC:s verksamhet har varit att de olika myndigheterna sinsemellan inte kan dela alla uppgifter som bedöms nödvändiga på grund av sekretess, vilket även Riksrevisionen påpekar i sin granskning. Utredaren ska därför analysera och föreslå hur nödvändigt utbyte av information innehållande sekretesskyddade uppgifter inom centret bör hanteras och lämna förslag på eventuella författningsändringar. Utredaren ska också analysera hur informationsutbytet med både privata och offentliga aktörer inom cybersäkerhetsområdet bör hanteras. Uppdraget ska redovisas till regeringen senast första halvåret 2024. Sammanfattningsvis konstaterar regeringen att Riksrevisionens iakttagelser och rekommendationer är ett välkommet bidrag för att uppnå en förstärkt informations- och cybersäkerhet. Som framgår ovan vidtar regeringen flera åtgärder i syfte att utveckla NCSC och stärka arbetet med informations- och cybersäkerhet i stort. Genom denna skrivelse anser regeringen att Riksrevisionens rapport är slutbehandlad. Försvarsdepartementet Utdrag ur protokoll vid regeringssammanträde den 5 oktober 2023 Närvarande: statsrådet Billström, ordförande, och statsråden Svantesson, Ankarberg Johansson, Edholm, J Pehrson, Waltersson Grönvall, Jonson, Strömmer, Roswall, Forssmed, Tenje, Forssell, Slottner, M Persson, Wykman, Malmer Stenergard, Kullgren, Liljestrand, Brandberg, Bohlin, Carlson, Pourmokhtari Föredragande: statsrådet Bohlin Regeringen beslutar skrivelse Riksrevisionens rapport om regeringens styrning av samhällets informations- och cybersäkerhet