Drygt 100 statliga myndigheter, inklusive merparten av de sektors- och beredskapsansvariga myndigheterna, och samtliga högskolor och universitet, har fått ett återrapporteringskrav eller uppdrag i sina regleringsbrev där myndigheten ska redogöra för hur de arbetar med sin informationssäkerhet, kan vi läsa på Regeringens hemsida.
Det är intressant att se hur olika det regleras i regleringsbreven och att rapporteringskraven ser olika ut. Kan vara värt att notera att vissa myndigheter (som t.ex. Försäkringskassan) har väldigt kort tid på sig.
Några exempel på hur det kan se ut i 2024 års regleringsbrev:
MSB:
Myndigheten för samhällsskydd och beredskap ska övergripande redovisa hur myndigheten har arbetat för att förvalta och utveckla sin informationssäkerhet och hur den planerar för att möta framtida behov. Myndigheten ska även redogöra för om hot, sårbarheter och risker förändrats i och med det försämrade säkerhetsläget samt vilka åtgärder som vidtagits för att hantera riskerna. Myndigheten ska även redogöra för de åtgärder som vidtagits med anledning av resultatet av den utvärdering av det egna informationssäkerhetsarbetet som skett genom verktyg Infosäkkollen eller motsvarande verktyg.
Försäkringskassan:
Försäkringskassan ska redogöra för hur myndigheten arbetat för att förvalta och utveckla sin informationssäkerhet och för hur myndigheten planerar för att möta framtida behov. Försäkringskassan ska även särskilt redogöra för huruvida myndigheten gjort en utvärdering av det egna informationssäkerhetsarbetet genom något analysverktyg, t.ex. Myndigheten för samhällsskydd och beredskaps verktyg Infosäkkollen, samt huruvida åtgärder vidtagits med anledning av resultatet En redovisning av uppdraget ska senast den 12 april 2024 lämnas till Regeringskansliet (Socialdepartementet).
PTS:
Myndigheten ska redovisa huruvida den har gjort en utvärdering av det egna informationssäkerhetsarbetet genom exempelvis Myndigheten för samhällsskydd och beredskaps (MSB) verktyg Infosäkkollen, samt vilka åtgärder som i så fall har vidtagits med anledning av resultatet.
Myndigheten för Psykologiskt försvar:
Myndigheten för psykologiskt försvar ska övergripande redogöra för hur myndigheten arbetat för att förvalta och utveckla sin informationssäkerhet och för hur den planerar för att möta framtida behov. Myndigheten ska särskilt redogöra för om hot, sårbarheter och risker förändrats i och med det försämrade säkerhetsläget samt vidtagna åtgärder för att hantera riskerna. Myndigheten för psykologiskt försvar ska även redovisa vidtagna åtgärder efter utvärderingen av sin informationssäkerhet genom Myndigheten för samhällsskydd och beredskaps verktyg Infosäkkollen eller motsvarande verktyg. Uppdraget ska redovisas till Regeringskansliet (Försvarsdepartementet) senast den 30 september 2024.
Myndigheten för digital förvaltning:
Myndigheten ska på en övergripande nivå redogöra för hur myndigheten har arbetat för att förvalta och utveckla sin informationssäkerhet samt vilka metodstöd och verktyg som har använts i detta arbete, exempelvis Myndigheten för samhällsskydd och beredskaps verktyg Infosäkkollen. Av redovisningen ska framgå vilka åtgärder som vidtagits eller planeras vidtas för att minska eventuella identifierade risker med anledning av myndighetens arbete på området.
Domstolsverket:
Domstolsverket ska övergripande redogöra för hur myndigheten arbetat för att förvalta och utveckla sin informationssäkerhet och för hur den planerar för att kunna möta framtida behov. Domstolsverket ska särskilt redovisa huruvida myndigheten har gjort en utvärdering av det egna informationssäkerhetsarbetet genom Myndigheten för samhällsskydd och beredskaps verktyg Infosäkkollen eller motsvarande verktyg samt, om så skett, vilka åtgärder som har vidtagits med anledning av resultatet.
Polismyndigheten:
Polismyndigheten ska övergripande redogöra för hur myndigheten har arbetat för att förvalta och utveckla sin informationssäkerhet samt vilka metodstöd och verktyg som har används i detta arbete. Av redovisningen ska framgå vilka åtgärder som har vidtagits, eller planeras vidtas, för att minska eventuella identifierade risker med anledning av myndighetens arbete på området. Om hela eller delar av redovisningen bedöms innehålla säkerhetsskyddsklassificerad information kan denna redovisas i särskild ordning i samband med årsredovisningen.
Strålsäkerhetsmyndigheten:
Myndigheten ska övergripande redogöra för hur myndigheten har arbetat för att förvalta och utveckla sin informationssäkerhet.
Skolverket:
Statens skolverk ska övergripande redogöra för hur myndigheten arbetar för att stärka sin informationssäkerhet och för hur den planerar för att möta framtida behov. Redovisningen ska innehålla en beskrivning av åtgärder för att utveckla den interna styrningen och uppföljningen av informationssäkerhetsarbetet. Skolverket ska även särskilt redogöra för följande:
Trafikverket:
Trafikverket ska redogöra för vilka kvalitetssäkringsverktyg, exempelvis Myndigheten för samhällsskydd och beredskaps verktyg Infosäkkollen, som Trafikverket har använt sig av för att utvärdera och utveckla det egna informationssäkerhetsarbetet.
Universitet och högskolor:
Universitet och högskolor ska övergripande redogöra för hur lärosätet har arbetat för att förvalta och utveckla sin informationssäkerhet och för hur det planerar för att möta framtida behov. Lärosätet ska särskilt redogöra för följande:
Noterbart är även att Folkhälsomyndigheten (som är en beredskapsmyndighet) inte fått något särskilt uppdrag rörande informations- och cybersäkerhet i sitt regleringsbrev för 2024.
Frågan blir dock vad regeringen tänker sig att göra med all denna redovisning och om det sker någon samordning mellan departementen i frågan. Varje myndighet redovisar ju detta till sitt respektive departement.
