I krönikan i mars konstaterades det att kommunerna står inför en rad utmaningar. Det är tydligt att det inte bara är kommunerna som är satta under press. I dagarna kom Riksrevisionens rapport Informationssäkerhet i vård och omsorg (RiR 2024:6) som visar att de åtgärder som regeringen och myndigheterna vidtagit inte har varit tillräckliga för att stärka vårdens och omsorgens informationssäkerhetsarbete och därmed höjt deras informationssäkerhetsnivå. En central brist är att myndigheternas stöd inte är anpassats efter vårdens och omsorgens behov, att tillsynen är begränsad samt att regeringen inte har sett till att styrningen är sammanhållen. Bristerna i den sammanhållande styrningen återkommer gång efter annan.
I krönikan i mars konstaterades också att i delbetänkandet av Utredningen om genomförande av NIS2- och CER-direktiven (SOU 2024:18) att den tänkta Cybersäkerhetslagen ska ha elva föreskrivande tillsynsmyndigheter. Utifrån tidigare erfarenheter har det inte varit en samordnad kravbild från förskrivande myndigheter vilket bäddar för brister i den sammanhållande styrningen. Det leder inte till bättre informations- och cybersäkerhet, snarare riskerar det att få motsatt effekt till en högre kostnad.
I regeringens skrivelse (2023/24:26) redogör regeringen för sin bedömning av de slutsatser och rekommendationer som Riksrevisionen lämnar i rapporten Regeringens styrning av samhällets informations- och cybersäkerhet – både brådskande och viktig (RiR 2023:8). Ett led i detta var att stärkta kraven i myndigheternas regleringsbrev kring informations- och cybersäkerhetsarbetet som ånyo visar behov av bättre samordning inte minst bland departementen. Frågan blir också vad regeringen tänker sig göra med all denna redovisning och om det sker något förbättringsarbete i samordning mellan departementen i den här frågan? Betänk att varje myndighet redovisar till sitt respektive departement i enlighet med respektive departements önskemål. Här finns klara samordningsvinster som till en lägre administrativ kostnad kan ge förbättrad informations- och cybersäkerhet och inte minst en bättre nulägesbild. Var inte bristande samordning en del av kritiken som Riksrevisionen framförde i höstas?
Regeringens nuvarande strategi för samhällets informations- och cybersäkerhet, (Skr. 2016/17:213) är hopplöst utdaterad. Under 2023 inledde regeringen arbetet med att ta fram en ny informations- och cybersäkerhetsstrategi, regeringen har med stöd av det nationella cybersäkerhetscentret (NCSC) genomfört ett antal workshops men ännu inte publicerat någon strategi. För ett år sedan, i samband med Riksrevisionens rapport, proklamerade regeringen högljutt i en debattartikel i DN att nu ska det minsann bli andra bullar och NCSC skulle få nytt huvudmannaskap. Nu ett år senare har man fått ur sig en intern departementsutredning om att NCSC ska flyttas till FRA. Det är lätt att få intrycket att regeringen gärna duckar sitt ansvar genom att parkera viktiga frågor i olika utredningar. Vad händer med strategiarbetet då? Sverige kan bättre!
Kan det vara så att att allt detta grundar sig i hur den svenska statsapparaten formades kort efter medeltiden? Är det kanske Axel Oxenstiernas (1583-1654) fel att vi inte lyckas forma ett långsiktigt hållbart systematiskt och riskbaserat informations- och cybersäkerhetsarbete? Om det arbetet ska styras och regleras från myndigheter som bevisligen har väldigt svårt att samverka så är det en omöjlig uppgift. Det är kanske till och med tacksamt att EU genom sitt förstärkta arbete med informations- och cybersäkerhetsfrågorna tar lead? Samtidigt visar förmågan, eller snarare oförmågan, att hantera EU-direktiv och implementera det i svensk lagstiftning på det omöjliga.
Vägen från personuppgiftslagen till GDPR blev ett uppvaknade för de allra flesta. Personuppgiftslagen vilade på ett EU-direktiv och det var en ganska tam lagstiftning. Inte minst i jämförelse med Dataskyddsförordningen (GDPR) som är just en förordning och direkt tillämplig i svensk lag. Det ska samtidigt sägas att det är inte bara är formen utan såklart också innehållet som skärpts över tid. Det är inte ovanligt att man ondgör sig över GDPR men glöm inte att syftet är att värna om de registrerades rättigheter. Dina och mina personuppgifter! Det är klart att vi inte vill att ovarsamma organisationer ska hantera våra personuppgifter för sitt eget bästa.
Sanktionsavgifterna var, och är, en viktig drivkraft för följsamheten mot GDPR. Likaså tillsynen från IMY och det stärkta självförtroendet hos myndigheten gör att initiativ till regulatorisk sandlåda om dataskydd växer fram. Bravo! Nu behöver det bara accelereras och för det behövs mer resurser hos myndigheter. Om statsapparaten samordnar sitt eget administrativa samordningsarbete kommer det garanterat att frigöras medel!
Givet att NIS2 fortsatt är att direktiv, och inte en förordning, och att elva av varandra oberoende föreskrivande tillsynsmyndigheter ska samverka, med en oklar samverkanshistorik, finns det all anledning att tro att Riksrevisionens kritik kommer att upprepas inom några år. I skenet av detta är det noterbart att MSB inte är en av de föreslagna tillsynsmyndigheterna för NIS2, men de är Sveriges representant i EU i dessa frågor. Likt IMY är detsamma för dataskyddsfrågor. Skillnaden är att IMY har en central roll nationellt också i dataskyddsfrågorna. Det känns inte rättvist att skylla oförmågan till styrning och samverkan på Axel Oxenstierna utan det är dags att kliva fram och ta ansvar på regeringsnivå. Ett väl fungerande informations- och cybersäkerhetarbete är viktigt för såväl samhällsviktig verksamhet som för Sveriges säkerhet. Det som nu pågår vittnar inte om att regeringen har hörsammat Riksrevisionens återkommande kritik.
Använd nu inte detta som argument för att inte vara med och bidra till ett väl fungerande informations- och cybersäkerhetarbete i samhällsviktig verksamhet och verksamhet som är av betydelse för Sveriges säkerhet. Till syvende och sist bär varje verksamhetsutövare sitt ansvar. Därom råder det verkligen inte några tvivel!
