Regeringskansliets rättsdatabaser

Regeringens skrivelse 2024/25:23 Riksrevisionens rapport om statens arbete med informationssäkerhet i vård och omsorg Skr. 2024/25:23 Regeringen överlämnar denna skrivelse till riksdagen. Stockholm den 10 oktober 2024 Ulf Kristersson Jakob Forssmed (Socialdepartementet) Skrivelsens huvudsakliga innehåll I skrivelsen redogör regeringen för sin bedömning av de iakttagelser och rekommendationer som Riksrevisionen lämnar i rapporten Informationssäkerhet i vård och omsorg – statens stöd och tillsyn (RiR 2024:6). Riksrevisionen har granskat om statens insatser för att stärka vård- och omsorgsgivares informationssäkerhetsarbete varit effektiva. Riksrevisionens övergripande slutsats är att de statliga insatserna inte är effektiva. De åtgärder som regeringen och myndigheterna vidtagit bedöms inte ha varit tillräckliga för att stärka vårdens och omsorgens informationssäkerhetsarbete och därmed höja deras informationssäkerhetsnivå. En central brist bedöms vara att myndigheternas stöd inte är anpassat efter vårdens och omsorgens behov samt att tillsynen är begränsad. Riksrevisionen rekommenderar regeringen att förtydliga Socialstyrelsens ansvar för att ta fram verksamhetsanpassat stöd till vårdens och omsorgens informationssäkerhetsarbete, att utreda hur omsorgsgivare fullt ut kan omfattas av motsvarande bestämmelser för skydd av personuppgifter som vårdgivare samt säkerställa att omsorgsgivare och mindre vårdgivare omfattas av krav på att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. Regeringen välkomnar Riksrevisionens granskning och instämmer i huvudsak med Riksrevisionens övergripande iakttagelser och analyser. I takt med den fortsatta digitaliseringen, den snabba tekniska utvecklingen och ett oroligt omvärldsläge har regeringen sett ett växande behov av ett utvecklat informationssäkerhetsarbete i hela samhället. Det gäller inte minst vården och omsorgen som hanterar integritetskänslig och samhällsviktig information. Regeringen har därför vidtagit åtgärder i arbetet med att stärka statens arbete inom informations- och cybersäkerhetsområdet, vilket även omfattar vård och omsorg. I och med denna skrivelse anser regeringen att Riksrevisionens rapport är slutbehandlad. Innehållsförteckning 1Ärendet och dess beredning4 2Riksrevisionens iakttagelser4 2.1Bakgrund och syfte med granskningen4 2.2Riksrevisionens slutsatser5 2.2.1Staten arbetar inte effektivt för att stärka regioners och kommuners informationssäkerhetsarbete5 2.2.2Bestämmelser om systematiskt informationssäkerhetsarbete omfattar inte omsorgen och mindre vårdgivare5 2.2.3Tillsynen bidrar inte effektivt till att stärka informationssäkerheten5 2.2.4Regeringen har inte sett till att styrningen är sammanhållen6 2.3Riksrevisionens rekommendationer6 3Regeringens bedömning och åtgärder med anledning av Riksrevisionens iakttagelser och rekommendationer6 3.1Regeringens övergripande bedömning6 3.2Regeringen har vidtagit åtgärder för att utveckla styrningen och stödet för informationssäkerhetsarbetet7 3.3Det finns en omfattande reglering för vårdgivare och omsorgsgivare att vidta säkerhetsåtgärder9 Informationssäkerhet i vård och omsorg – statens stöd och tillsyn12 Utdrag ur protokoll vid regeringssammanträde den 10 oktober 2024121 Ärendet och dess beredning Riksrevisionen har granskat om statens insatser för att stärka vård- och omsorgsgivares informationssäkerhetsarbete varit effektiva. Granskningen redovisas i rapporten Informationssäkerhet i vård och omsorg – statens stöd och styrning (RiR 2024:6), se bilagan. Riksrevisionens rapport överlämnades av riksdagen till regeringen den 18 april 2024. Rapporten innehåller slutsatser och rekommendationer som berör regeringen, Myndigheten för samhällsskydd och beredskap (MSB), Integritetsskyddsmyndigheten (IMY), Inspektionen för vård och omsorg (IVO) och Socialstyrelsen. Ovanstående myndigheter har fått möjlighet att komma in med synpunkter samt en redogörelse för vilka åtgärder som vidtagits eller avses att vidtas med anledning av rapporten. Myndigheternas yttranden finns tillgängliga i Socialdepartementet (S2024/00874). I denna skrivelse behandlar regeringen de iakttagelser och rekommendationer som Riksrevisionen riktar till regeringen. Riksrevisionens iakttagelser Bakgrund och syfte med granskningen Riksrevisionen konstaterar att vården och omsorgen hanterar stora mängder känsliga personuppgifter digitalt som är viktiga att skydda. Regionerna och kommunerna ansvarar för informationssäkerheten inom vården och omsorgen. Undersökningar från bl.a. MSB visar dock att det finns brister i regioners och kommuners informationssäkerhetsarbete. Återkommande cyberangrepp har också satt ytterligare fokus på riskerna med regionernas och kommunernas bristande säkerhetsarbete. Samtidigt har staten en central roll vad gäller styrning och stöd till kommunerna. Riksrevisionen har mot bakgrund av detta granskat statens arbete för att stärka vårdens och omsorgens informationssäkerhet. Granskningen omfattar regeringen, MSB, Socialstyrelsen, IMY och IVO. Riksrevisionens syfte är att granska om statens arbete för att stärka skyddet av personuppgifter som hanteras digitalt är effektivt. Granskningen utgår från följande två delfrågor: Är myndigheternas arbete med att styra och stödja vårdens och omsorgens informationssäkerhetsarbete effektivt? Är myndigheternas tillsyn av vårdens och omsorgens informationssäkerhet effektiv? I granskningen fokuserar Riksrevisionen på informationssäkerhet för personuppgifter som regioner och kommuner ansvarar för och hanterar digitalt inom vården och omsorgen. Riksrevisionens slutsatser Staten arbetar inte effektivt för att stärka regioners och kommuners informationssäkerhetsarbete Riksrevisionens övergripande slutsats är att statens arbete med att stärka skyddet för personuppgifter som hanteras digitalt inom vården och omsorgen inte är effektivt. Riksrevisionen konstaterar att detta beror dels på att stödet inte är tillräckligt anpassat efter behoven, dels på att tillsynen är begränsad. En viktig förklaring till att stödet inte är anpassat är bristen på rättspraxis på såväl nationell nivå som EU-nivå. Vidare konstaterar Riksrevisionen att varken MSB, IMY eller Socialstyrelsen anser sig ha tydligt ansvar för eller i uppdrag att utforma stöd för informationssäkerhetsarbetet efter vårdens och omsorgens behov. Vidare konstaterar Riksrevisionen att myndigheterna arbetar i stuprör och att de inte följer upp behoven av stöd. Detta leder enligt Riksrevisionen i sin tur till osäkerhet i hur bestämmelser för informationssäkerhet ska tolkas när regioner och kommuner ska vidta säkerhetsåtgärder för att skydda personuppgifter. Bestämmelser om systematiskt informationssäkerhetsarbete omfattar inte omsorgen och mindre vårdgivare En annan av Riksrevisionens iakttagelser är att lagstiftningen inte ger omsorgsgivare samma skyldigheter att skydda personuppgifter som de vårdgivare som omfattas av lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, benämnd NIS-lagen, trots att de ofta hanterar lika känsliga uppgifter. I denna del pekar Riksrevisionen bl.a. på avsaknad av specifika bestämmelser för omsorgen. Riksrevisionen framhåller t.ex. att det nya kravet som trädde i kraft i mars 2024 att omsorgsgivare ska arbeta systematiskt med behörighetstilldelning och kontroll av sådana behörigheter är ett steg i rätt riktning, men otillräckligt. Vidare framgår att riksdagen och regeringen har bedömt att samhällets aktörer behöver arbeta systematiskt och riskbaserat för att höja informationssäkerhetsnivån, men att NIS-lagen och MSB:s föreskrifter enbart ställer sådana krav på vården. Det finns inga motsvarande krav på omsorgsgivare och mindre vårdgivare som inte omfattas av NIS-lagen, vilket kan leda till lägre prioritet och bristande engagemang i frågorna. Tillsynen bidrar inte effektivt till att stärka informationssäkerheten En ytterligare iakttagelse av Riksrevisionen är att IMY:s och IVO:s tillsyn är begränsad samt att det är oklart om den riktas mot verksamheter där den gör störst nytta. Vidare ger inte tillsynen tillräckligt med rättslig vägledning om vad kraven på informationssäkerhet innebär i praktiken. Riksrevisionen konstaterar även att det är oklart vilka effekter tillsynen har haft. Regeringen har inte sett till att styrningen är sammanhållen Slutligen bedömer Riksrevisionen att regeringen inte har sett till att styrningen är sammanhållen. Riksrevisionen konstaterar att regeringen inte tydligt fastställt ansvars- och uppgiftsfördelning mellan IMY, MSB och Socialstyrelsen när det gäller att utforma stöd som motsvarar vårdgivares och omsorgsgivares behov. Riksrevisionen konstaterar även att regeringens åtgärder inte varit tillräckliga för att stärka vårdens och omsorgens informationssäkerhetsarbete, även om visst arbete gjorts. Vidare konstaterar Riksrevisionen att regeringen inte verkat tillräckligt för att omsorgsgivare ska omfattas av samma krav på säkerhetsåtgärder och systematiskt säkerhetsarbete som vårdgivare. Riksrevisionens rekommendationer Riksrevisionen lämnar följande rekommendationer till regeringen: Förtydliga Socialstyrelsens ansvar för att ta fram verksamhetsanpassat stöd till vårdens och omsorgens informationssäkerhetsarbete. Stödet bör utformas utifrån vård- och omsorgsgivarens behov och i samråd med relevanta myndigheter. Stödet kan bl.a. innebära att: Identifiera sektorsspecifika risker och sårbarheter för informationssäkerhet. Ge exempel på lämpliga organisatoriska och tekniska säkerhetsåtgärder för informationssäkerhet. Ge stöd och vägledning i hur bestämmelserna för skydd av personuppgifter bör tolkas i generella fall. Utred hur omsorgsgivare fullt ut kan omfattas av motsvarande bestämmelser för skydd av personuppgifter som vårdgivare. Säkerställ att omsorgsgivare och mindre vårdgivare som inte omfattas av NIS-lagen omfattas av krav på att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. Regeringens bedömning och åtgärder med anledning av Riksrevisionens iakttagelser och rekommendationer Regeringens övergripande bedömning Regeringen välkomnar Riksrevisionens granskning och konstaterar att rapporten utgör ett värdefullt underlag för regeringens arbete med att stärka informations- och cybersäkerhetsarbetet. Frågor som rör säkerhet är prioriterade för regeringen och regeringen instämmer huvudsakligen i Riksrevisionens övergripande analys och slutsatser. I takt med den fortsatta digitaliseringen och det rådande säkerhetsläget finns det ett växande behov av ett utvecklat och effektivt informationssäkerhetsarbete i hela samhället. Informations- och cybersäkerhetsnivån behöver höjas och säkerhetsarbetet stärkas genomgående i hela samhället. Det gäller inte minst inom vården och omsorgen som i sina olika uppdrag och genom sina arbetsuppgifter hanterar integritetskänsliga uppgifter. Det är väsentligt att regioner och kommuner utifrån sitt verksamhetsansvar för vård och omsorg bedriver ett systematiskt informationssäkerhetsarbete för att skydda sina verksamheter och värna patienters och omsorgstagares rätt till skydd av sina personuppgifter. I detta arbete har staten en central och viktig roll, när det gäller såväl lagstiftning och tillsyn som stödjande insatser. Statens arbete kan effektiviseras. Regeringen har vidtagit och vidtar flera åtgärder i syfte att stärka informations- och cybersäkerhetsarbetet och bedömer sammantaget att Riksrevisionens iakttagelser och rekommendationer tillgodoses av dessa åtgärder. En närmare redogörelse av regeringens bedömning av Riksrevisionens slutsatser och rekommendationer samt regeringens åtgärder framgår i det följande. Regeringen har vidtagit åtgärder för att utveckla styrningen och stödet för informationssäkerhetsarbetet Regeringen arbetar på bred front för att höja informations- och cybersäkerhetsnivån i Sverige. Till följd av det förändrade omvärldsläget och den snabba digitala tekniska utvecklingen är frågor om säkerhet högt prioriterade av regeringen och regeringen har vidtagit ett antal åtgärder för att öka medvetenheten om och stärka styrningen i säkerhetsfrågor. Under 2023 inleddes ett arbete med att ta fram en ny nationell informations- och cybersäkerhetsstrategi med tillhörande handlingsplan som omfattar hela samhället. Arbetet utgör ett led i genomförandet av Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS2-direktivet). NIS2-direktivet är en omfattande ambitionshöjning inom cybersäkerhetslagstiftningen jämfört med Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för den hög gemensam nivå av säkerhet i nätverks- och informationssystem i hela unionen (NIS-direktivet) och kommer att omfatta fler sektorer och aktörer, däribland i stor utsträckning också den offentliga förvaltningen. Nya uppgifter tillkommer också för myndigheter som följer av genomförandet av direktivet. Regeringen beslutade den 23 februari 2023 kommittédirektiven Genomförande av EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen och EU:s direktiv om kritiska entiteters motståndskraft (dir. 2023:30). Utredningen om genomförande av NIS2- och CER-direktiven överlämnade den 5 mars 2024 delbetänkandet Nya regler om cybersäkerhet (SOU 2024:18) till regeringen. I betänkandet föreslås bl.a. krav på anmälningsskyldighet, riskhanteringsåtgärder och incidentrapportering för de verksamhetsutövare som omfattas av regleringen. Vidare lämnas förslag om vilka myndigheter som ska utöva tillsyn enligt den nya regleringen, vilka funktioner som ska finnas hos MSB, utökade möjligheter för tillsynsmyndigheter att besluta om sanktioner samt höjda sanktionsavgifter om en verksamhetsutövare bryter mot regleringen. Förslagen har remissbehandlats och bereds inom Regeringskansliet. Därutöver har en utredare haft i uppdrag att lämna förslag på hur en ändamålsenlig och effektiv ledning, organisering och styrning av Nationellt cybersäkerhetscenter (NCSC) ska utformas (Fö2023/01606). Uppdraget, som syftar till att stärka hela samhällets cybersäkerhet, slutrapporterades i juni 2024 (Fö2024/00785). Som ett led i detta arbete har regeringen fattat beslut att NCSC ska finnas inom Försvarets Radioanstalt i stället för hos MSB samt att regeringen ska utse dess chef (Fö2024/01558). Dessa ändringar träder i kraft den 1 november 2024. Övriga förslag bereds för närvarande i Regeringskansliet. Regeringen genomför även satsningar för en nationell digital infrastruktur inom hälso- och sjukvården där staten tar ett utökat ansvar. Som ett led i detta arbete har bl.a. E-hälsomyndigheten på uppdrag av regeringen lämnat förslag till en färdplan (S2023/02108), i vilken informationssäkerhet är en del. I syfte att förbereda för kommande förordning om det europeiska hälsodataområdet (EHDS), som bl.a. innehåller bestämmelser om säkerhet för så kallade EHR-system (electronic health record system), har regeringen gett Läkemedelsverket i uppdrag att utreda förutsättningarna för att ges rollen som marknadskontrollmyndighet för sådana system (S2024/01304). Därutöver har E-hälsomyndigheten i sitt regleringsbrev för 2024 fått i uppdrag att fortsätta arbetet med färdplan för den digitala infrastrukturen för hälso- och sjukvården, där arbetet med säkerheten är en del. Regeringen anser att det är viktigt med en tydlig ansvars- och uppgiftsfördelning för att de statliga förvaltningsmyndigheterna ska kunna fullgöra sina arbetsuppgifter på ett så effektivt sätt som möjligt. Det är även centralt att myndigheterna samverkar med varandra för att kunna fullgöra sina uppdrag. Myndigheternas arbete med informationssäkerhet utgår från olika rättsliga regelverk där varje regelverk har olika perspektiv. Berörda myndigheters uppdrag regleras också till stor del av EU rättsakter såsom Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd EU:s dataskyddsförordning, och NIS-direktivet. I EU:s dataskyddsförordning fastställs även dataskyddsmyndighetens fullständiga oberoende i utförande av sina uppgifter och utövande av sina befogenheter. Regeringen anser att myndigheternas uppdrag och roller är tydliga utifrån nämnda regelverk. I likhet med Riksrevisionen anser dock regeringen att informations- och cybersäkerhetsarbetet kan bli mer samordnat, vilket bl.a. arbetet med ny nationell informations- och cybersäkerhetsstrategi med tillhörande handlingsplan syftar till. När det gäller rekommendationen att förtydliga Socialstyrelsens ansvar för att ta fram verksamhetsanpassat stöd så har Socialstyrelsen ett bemyndigande att meddela föreskrifter som är av betydelse för de personuppgiftsansvarigas säkerhetsåtgärder vid behandling av personuppgifter, se 2 och 3 §§ patientdataförordningen (2008:360) och 26–28 §§ förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten. Socialstyrelsen kan även meddela föreskrifter som avser NIS-lagen med stöd av bestämmelser i förordningen (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster. Som Riksrevisionen påpekar har Socialstyrelsen inte utnyttjat sin föreskriftsrätt. Det bör också uppmärksammas att det pågår ett arbete inom Regeringskansliet med att genomföra NIS2-direktivet och att Utredningen om genomförande av NIS2- och CER-direktiven i delbetänkandet SOU 2024:18 föreslår justeringar i myndigheternas ansvarsfördelning, bl.a. att IVO ska ha ett samlat ansvar för hälso- och sjukvården i den del som rör vårdgivare. Förslagen bereds för närvarande och regeringen kommer att återkomma med sitt ställningstagande. Mot bakgrund av detta, och då även andra myndigheter har i uppgift att ta fram sådant stöd som Riksrevisionen efterfrågar, bedömer regeringen att något ytterligare förtydligande av Socialstyrelsens ansvar inte är aktuellt i dagsläget. I det fortsatta arbetet med att effektivisera styrningen och stödet för vården och omsorgen kommer regeringen noga att överväga vilka eventuella ytterligare åtgärder som staten utifrån sin roll kan vidta för att stärka vårdens och omsorgens informationssäkerhetsarbete. Det finns en omfattande reglering för vårdgivare och omsorgsgivare att vidta säkerhetsåtgärder Regeringen anser att det är viktigt att uppmärksamma att det för vårdgivares och omsorgsgivares behandling av personuppgifter redan finns omfattande regler om att vidta säkerhetsåtgärder. Vårdgivares och omsorgsgivares krav på att vidta säkerhetsåtgärder vid behandling av personuppgifter följer av EU:s dataskyddsförordning. EU:s dataskyddsförordning kompletteras av bestämmelser i bl.a. 4 kap. 2 och 3 §§ patientdatalagen (2008:355), 4 kap. 1–4 §§ lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation samt i 11 och 12 §§ lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Enligt NIS-direktivet, som genomförts genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, benämnd NIS-lagen, ställs krav på säkerhet i nätverk och informationssystem, informationssäkerhet och incidentrapportering för leverantörer av samhällsviktiga och digitala tjänster samt att vissa myndigheter har tillsynsansvar. Tjänster som omfattas av NIS-lagen delas in i samhällsviktiga tjänster och digitala tjänster. Samhällsviktiga tjänster är sådana tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. De samhällsviktiga tjänsterna är indelade i sju sektorer där bl.a. hälso- och sjukvård ingår. När det gäller Riksrevisionens rekommendation att utreda hur omsorgsgivare fullt ut kan omfattas av motsvarande bestämmelser för skydd av personuppgifter som vårdgivare konstaterar regeringen att det finns både likheter och skillnader i regleringen av säkerhetsåtgärder inom hälso- och sjukvården och socialtjänsten. Både omsorgsgivare och vårdgivare ska för sin behandling av personuppgifter följa EU:s dataskyddsförordning och kompletterande nationell lagstiftning. Det är de personuppgiftsansvariga som har ansvar för säkerheten vid behandling av personuppgifter och ska bedöma om behandlingen av personuppgifter följer dataskyddsregleringen samt andra författningar om t.ex. sekretess och tystnadsplikt. Som en följd av ökad användning av digital teknik inom äldreomsorgen infördes den 1 mars 2024 tydligare regler om säkerhetskrav för användning av sådan teknik i lagen om behandling av personuppgifter inom socialtjänsten (se prop. 2022/23:131 s. 38–48, bet. 2023/24:SoU3, rskr. 2023/24:46). Därutöver infördes bestämmelser om att de personuppgiftsansvariga inom socialtjänsten ska vidta säkerhetsåtgärder i form av behörighetstilldelning och åtkomstkontroll. Dessa bestämmelser riktar sig till all socialtjänst och är inte begränsade till vissa klientgrupper eller typer av insatser. Regeringen anser därför att kraven på omsorgsgivare i huvudsak motsvarar de som gäller för vårdgivare. Hälso- och sjukvård och socialtjänstens omsorg om äldre personer eller personer med funktionsnedsättningar är dock olika verksamheter med olika huvudmän som har olika förutsättningar och behov av personuppgiftsbehandlingar. Även behandlingen av personuppgifter och vilka personuppgifter som behandlas skiljer sig åt. Regeringen uttalade i nämnda proposition att behovet av ytterligare föreskrifter framstår som oklart. Regeringen bedömde därför att det utan ytterligare utredning av behovet av mer generella säkerhetsåtgärder vid helt eller delvis automatiserad behandling av personuppgifter inte var lämpligt att införa ett normgivningsbemyndigande avseende detta (prop. 2022/23:131 s. 47 och 48). Regeringen anser fortfarande att frågan om ytterligare reglering av säkerhetsåtgärder behöver bedömas utifrån konkreta behov av sådan reglering. Det kan också konstateras att NIS2-direktivet innebär att fler sektorer, däribland i stor utsträckning också den offentliga förvaltningen, kommer att omfattas av bestämmelserna i direktivet. För närvarande bereds inom Regeringskansliet de förslag som Utredningen om genomförande av NIS2- och CER-direktiven har lämnat i delbetänkandet Nya regler om cybersäkerhet. Utredningen föreslår att NIS2-direktivet i huvudsak ska införlivas genom en ny lag, cybersäkerhetslagen. Vidare föreslår utredningen att samtliga kommuner och regioner ska omfattas av den nya lagen. Regeringen vill i detta sammanhang påminna att socialtjänst är en kommunal uppgift. Mot denna bakgrund anser regeringen att Riksrevisionens rekommendation i nuläget inte motiverar några ytterligare åtgärder. När det gäller Riksrevisionens rekommendation att säkerställa att omsorgsgivare och mindre vårdgivare som inte omfattas av NIS-lagen omfattas av krav på att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete instämmer regeringen delvis. Regeringen vill dock uppmärksamma att kraven på att den personuppgiftsansvariga ska bedriva ett systematiskt och riskbaserat säkerhetsarbete till skydd av personuppgifter som följer av EU:s dataskyddsförordning gäller för såväl hälso- och sjukvården som omsorgen, oavsett storleken på vårdgivare och omsorgsgivare. Utöver detta bereds inom Regeringskansliet förslagen om införlivandet av NIS2-direktivet i nationell rätt i delbetänkandet Nya regler om cybersäkerhet, där utredningen har föreslagit att kommuner och regioner ska omfattas av den nya cybersäkerhetslagen. Mot denna bakgrund anser regeringen att Riksrevisionens rekommendation i nuläget inte motiverar några ytterligare åtgärder. Med denna skrivelse anser regeringen att Riksrevisionens rapport är slutbehandlad. Informationssäkerhet i vård och omsorg – statens stöd och tillsyn Socialdepartementet Utdrag ur protokoll vid regeringssammanträde den 10 oktober 2024 Närvarande: statsminister Kristersson, ordförande, och statsråden Busch, Edholm, J Pehrson, Waltersson Grönvall, Jonson, Forssmed, Tenje, Slottner, M Persson, Wykman, Malmer Stenergard, Liljestrand, Brandberg, Bohlin, Carlson, Pourmokhtari, Rosencrantz, Dousa Föredragande: statsrådet Forssmed Regeringen beslutar skrivelse Riksrevisionens rapport om statens arbete med informationssäkerhet i vård och omsorg