Riksrevisionen har granskat regeringens arbete för att stärka Sveriges informations- och cybersäkerhet i en rapport som släppts idag. Slutsatsen är att arbetet inte har varit effektivt.

Riksrevisionen framför speciellt hård kritik mot att arbetet inte har haft en sammanhållen styrning där regeringskansliet och myndigheterna jobbar i den riktning som är bäst för dem. Bristerna beror till stor del på att Regeringskansliets arbetsmetoder, organisering och resursanvändning inte har möjliggjort ett effektivt arbete med informations- och cybersäkerhetsfrågorna.

– Regeringskansliet och myndigheterna arbetar utifrån sina respektive ansvar och uppdrag, utan att de åtgärder som vidtas värderas eller rangordnas utifrån vad som gynnar Sverige som helhet, säger Marcus Pettersson, projektledare för granskningen, i ett pressmeddelande.

Regeringskansliet har skapat interdepartementala arbetsgrupper och gett ett antal myndigheter i uppdrag att skapa ett nationellt cybersäkerhetscenter. Riksrevisionens bedömning är dock att det inte har lett till en ökad förmåga att prioritera insatser eller till en långsiktig, strategisk och sammanhållen styrning. Styrningen av berörda myndigheter har utgått från varje enskilt departements mål och prioriteringar i stället för strategiska avvägningar av vad som är bäst för Sverige, vilket begränsat insatsernas effektivitet.

Riksrevisionen konstaterar också att den nationella cybersäkerhetsstrategin saknar en tydlig vision, det saknas mätbara målsättningar, det finns inga som angivits som ansvariga utpekade ansvariga. Det är oklart vilka sektorer i samhället som påverkas, hur samhället som helhet påverkas och slutligen – det saknas en analys av vilka problem och utmaningar som finns.

Riksrevisionen

Rekommendationer

Riksrevisionen lämnar följande rekommendationer till regeringen:

• Skapa en strategisk, holistisk och långsiktig inriktning för arbetet med informations- och cybersäkerhet. Inriktningen bör omfatta en analys av de nationella strategiska utmaningarna, avvägningar och prioriteringar samt resurstilldelning och handlingsplan för genomförandet. Arbetet bör involvera berörda intressenter.
• Säkerställ en samlad styrning med tydlig ansvarsfördelning, tillräcklig kompetens och effektiva former för samordning av informations- och cybersäkerhetsfrågorna i Regeringskansliet.
• Identifiera hinder för informationsutbyte och se till att det finns strukturer som medger det informationsutbyte som är nödvändigt mellan myndigheter såväl som mellan det offentliga och det privata för att arbetet med samhällets informations- och cybersäkerhet ska fungera effektivt.
• Se över det nationella informations- och cybersäkerhetscentrets uppdrag, mandat och organisatoriska hemvist för att säkerställa dess bidrag till hela samhällets informationssäkerhet såväl som cybersäkerhet.