En välbehövlig känga till Nationella Centret för Cybersäkerhet

2023-04-27
Regeringens arbete med att stärka informations- och cybersäkerheten i Sverige är inte effektivt. Detta beror dels på brister i den nationella informations- och cybersäkerhetsstrategin, dels på att regeringens styrning är svag och splittrad. Riksrevisionen har granskat regeringens arbete för att stärka Sveriges informations- och cybersäkerhet. Den övergripande slutsatsen i rapporten RiR 2023:8* är att arbetet inte har varit effektivt.

 

Framför allt har det saknats en sammanhållen styrning baserad på strategiska avvägningar och prioriteringar utifrån Sveriges samlade behov. Samordningen har inte fungerat som den ska, och relevanta intressenter – till exempel från näringslivet – har inte involverats i någon större omfattning.

Bristerna beror till stor del på att Regeringskansliets arbetsmetoder, organisering och resursanvändning inte har möjliggjort ett effektivt arbete med informations- och cybersäkerhetsfrågorna.

Regeringskansliet har skapat interdepartementala arbetsgrupper och gett ett antal myndigheter i uppdrag att skapa ett nationellt cybersäkerhetscenter. Riksrevisionens bedömning är dock att det inte har lett till en ökad förmåga att prioritera insatser eller till en långsiktig, strategisk och sammanhållen styrning. Styrningen av berörda myndigheter har utgått från varje enskilt departements mål och prioriteringar i stället för strategiska avvägningar av vad som är bäst för Sverige, vilket begränsat insatsernas effektivitet.

Regeringens nationella informations- och cybersäkerhetsstrategi håller inte heller tillräckligt hög kvalitet. Bland annat saknar den en tydlig vision, uppföljningsbara målsättningar, utpekade ansvariga och tilldelade resurser. Det är otydligt vilka aktörer och sektorer som ska påverkas och hur. Strategin anger inte hur målsättningar och aktiviteter påverkar samhället, ekonomin eller medborgarna och den innehåller ingen egentlig analys av de strategiska utmaningarna. En sådan strategi kan enligt Riksrevisionens bedömning endast ha låg styreffekt – om ens någon.

Riksrevisionen rekommenderar

Att regeringen

  • skapar en strategisk, holistisk och långsiktig inriktning för arbetet med informations- och cybersäkerhet
  • säkerställer en samlad styrning med tydlig ansvarsfördelning, tillräcklig kompetens och effektiva former för samordning av informations- och cybersäkerhetsfrågorna i Regeringskansliet
  • identifierar hinder för informationsutbyte och se till att det finns strukturer som medger det informationsutbyte som är nödvändigt
  • ser över det nationella informations- och cybersäkerhetscentrets uppdrag, mandat och organisatoriska hemvist.

Regeringen ger det nationella cybersäkerhetsscentret en nystart med Försvarets radioanstalt som huvudman

I en debattartikel som publicerades i DN 27:e april 2023 skrev ansvariga ministrar att FRA får ta över huvudmannaskapet för det Nationella Cybersäkerhetscentret. Man fokuserar på tre punkter

Punkt 1 FRA blir huvudman för det Nationella cybersäkerhetscentret.

Regeringen organiserar om centret, och FRA kommer att tilldelas huvudmannaskapet. Det blir FRA eftersom de har den expertkunskap och förmåga som krävs för att samordna arbetet och säkerställa framåt­skridande i verksamheten. De övriga sex myndigheterna (Försvarsmakten, Säkerhetspolisen, Myndigheten för samhällsskydd och beredskap, Försvarets materielverk, Polismyndigheten och Post- och telestyrelsen) har viktiga roller för att klara uppdraget och ska fortsätta bidra till helheten.

Inom Regeringskansliet finns också behov av ett samlat grepp för dessa frågor. Det nationella säkerhetsrådet ska att få en viktig roll i att etablera en effektivare samordning.

Punkt 2 Förstärkt samarbete med näringslivet.

Regeringen kommer initialt ge två uppdrag att inom ramen för cybersäkerhetscentret stärka samverkan med näringslivet och att utveckla arbetet med lägesbilder. I uppdraget om näringslivssamverkan ingår att öka kunskapen om vilka hot som finns och vilket stöd som kan ges. Extra vikt ska ges åt energisektorn, transportsektorn och telekomsektorn.

Punkt 3 Internationellt samarbete och en ny cybersäkerhetsstrategi

Under 2023 kommer regeringen att påbörja arbetet med en nationell informations- och cybersäkerhetsstrategi. Sverige kommer framöver att vara drivande i internationella cyberfrågor. Därför tar regeringen också fram en strategi för cyberfrågor och digitala frågor inom utrikes- och säkerhets­politiken.

* Rapport RiR:2023:8