Stärkta krav i myndigheternas regleringsbrev kring informations- och cybersäkerhetsarbetet

2024-01-10
Regeringen har beslutat om stärkt styrning kring hur myndigheter återrapporterar sitt arbete med informations- och cybersäkerhet. Som ett led i att stärka den offentliga sektorns motståndskraft, kommer 2024 års regleringsbrev inkludera krav på ett stort antal myndigheter att detaljerat redogöra för sitt arbete med informations- och cybersäkerhet.

Drygt 100 statliga myndigheter, inklusive merparten av de sektors- och beredskapsansvariga myndigheterna, och samtliga högskolor och universitet, har fått ett återrapporteringskrav eller uppdrag i sina regleringsbrev där myndigheten ska redogöra för hur de arbetar med sin informationssäkerhet, kan vi läsa på Regeringens hemsida.

Det är intressant att se hur olika det regleras i regleringsbreven och att rapporteringskraven ser olika ut. Kan vara värt att notera att vissa myndigheter (som t.ex. Försäkringskassan) har väldigt kort tid på sig.

Några exempel på hur det kan se ut i 2024 års regleringsbrev:

MSB: 

Myndigheten för samhällsskydd och beredskap ska övergripande redovisa hur myndigheten har arbetat för att förvalta och utveckla sin informationssäkerhet och hur den planerar för att möta framtida behov. Myndigheten ska även redogöra för om hot, sårbarheter och risker förändrats i och med det försämrade säkerhetsläget samt vilka åtgärder som vidtagits för att hantera riskerna. Myndigheten ska även redogöra för de åtgärder som vidtagits med anledning av resultatet av den utvärdering av det egna informationssäkerhetsarbetet som skett genom verktyg Infosäkkollen eller motsvarande verktyg.

Försäkringskassan:

Försäkringskassan ska redogöra för hur myndigheten arbetat för att förvalta och utveckla sin informationssäkerhet och för hur myndigheten planerar för att möta framtida behov. Försäkringskassan ska även särskilt redogöra för huruvida myndigheten gjort en utvärdering av det egna informationssäkerhetsarbetet genom något analysverktyg, t.ex. Myndigheten för samhällsskydd och beredskaps verktyg Infosäkkollen, samt huruvida åtgärder vidtagits med anledning av resultatet En redovisning av uppdraget ska senast den 12 april 2024 lämnas till Regeringskansliet (Socialdepartementet).

PTS: 

Myndigheten ska redovisa huruvida den har gjort en utvärdering av det egna informationssäkerhetsarbetet genom exempelvis Myndigheten för samhällsskydd och beredskaps (MSB) verktyg Infosäkkollen, samt vilka åtgärder som i så fall har vidtagits med anledning av resultatet.

Myndigheten för Psykologiskt försvar:

Myndigheten för psykologiskt försvar ska övergripande redogöra för hur myndigheten arbetat för att förvalta och utveckla sin informationssäkerhet och för hur den planerar för att möta framtida behov. Myndigheten ska särskilt redogöra för om hot, sårbarheter och risker förändrats i och med det försämrade säkerhetsläget samt vidtagna åtgärder för att hantera riskerna. Myndigheten för psykologiskt försvar ska även redovisa vidtagna åtgärder efter utvärderingen av sin informationssäkerhet genom Myndigheten för samhällsskydd och beredskaps verktyg Infosäkkollen eller motsvarande verktyg. Uppdraget ska redovisas till Regeringskansliet (Försvarsdepartementet) senast den 30 september 2024.

Myndigheten för digital förvaltning:

Myndigheten ska på en övergripande nivå redogöra för hur myndigheten har arbetat för att förvalta och utveckla sin informationssäkerhet samt vilka metodstöd och verktyg som har använts i detta arbete, exempelvis Myndigheten för samhällsskydd och beredskaps verktyg Infosäkkollen. Av redovisningen ska framgå vilka åtgärder som vidtagits eller planeras vidtas för att minska eventuella identifierade risker med anledning av myndighetens arbete på området.

Domstolsverket:

Domstolsverket ska övergripande redogöra för hur myndigheten arbetat för att förvalta och utveckla sin informationssäkerhet och för hur den planerar för att kunna möta framtida behov. Domstolsverket ska särskilt redovisa huruvida myndigheten har gjort en utvärdering av det egna informationssäkerhetsarbetet genom Myndigheten för samhällsskydd och beredskaps verktyg Infosäkkollen eller motsvarande verktyg samt, om så skett, vilka åtgärder som har vidtagits med anledning av resultatet.

Polismyndigheten:

Polismyndigheten ska övergripande redogöra för hur myndigheten har arbetat för att förvalta och utveckla sin informationssäkerhet samt vilka metodstöd och verktyg som har används i detta arbete. Av redovisningen ska framgå vilka åtgärder som har vidtagits, eller planeras vidtas, för att minska eventuella identifierade risker med anledning av myndighetens arbete på området. Om hela eller delar av redovisningen bedöms innehålla säkerhetsskyddsklassificerad information kan denna redovisas i särskild ordning i samband med årsredovisningen.

Strålsäkerhetsmyndigheten:

Myndigheten ska övergripande redogöra för hur myndigheten har arbetat för att förvalta och utveckla sin informationssäkerhet.

Skolverket:

Statens skolverk ska övergripande redogöra för hur myndigheten arbetar för att stärka sin informationssäkerhet och för hur den planerar för att möta framtida behov. Redovisningen ska innehålla en beskrivning av åtgärder för att utveckla den interna styrningen och uppföljningen av informationssäkerhetsarbetet. Skolverket ska även särskilt redogöra för följande:

  • Om myndigheten gjort en utvärdering av det egna informationssäkerhetsarbetet genom Myndigheten för samhällsskydd och beredskaps verktyg Infosäkkollen eller ett motsvarande metodstöd samt om åtgärder vidtagits med anledning av resultatet.
  • Om en analys gjorts av om hot och sårbarheter för myndigheten förändrats i och med det rådande omvärldsläget, samt om åtgärder vidtagits eller planerats för att minska eventuella identifierade risker med anledning av detta.

Trafikverket:

Trafikverket ska redogöra för vilka kvalitetssäkringsverktyg, exempelvis Myndigheten för samhällsskydd och beredskaps verktyg Infosäkkollen, som Trafikverket har använt sig av för att utvärdera och utveckla det egna informationssäkerhetsarbetet.

Universitet och högskolor:

Universitet och högskolor ska övergripande redogöra för hur lärosätet har arbetat för att förvalta och utveckla sin informationssäkerhet och för hur det planerar för att möta framtida behov. Lärosätet ska särskilt redogöra för följande:

  1. Åtgärder som har vidtagits för att utveckla den interna styrningen och uppföljningen av informationssäkerhetsarbetet inklusive myndighetsledningens roll i detta och hur lärosätet har arbetat med att tydliggöra ansvarsfördelning inom området.
  2. Huruvida en analys gjorts av om hot och sårbarheter för lärosätet förändrats i och med det rådande omvärldsläget samt om åtgärder vidtagits eller planerats för att minska eventuella identifierade risker med anledning av detta. Lärosätet ska särskilt redogöra för vilka analyser och åtgärder som vidtagits i förhållande till forskningsdata.
  3. Huruvida lärosätet gjort en utvärdering av det egna informationssäkerhetsarbetet genom något analysverktyg, t.ex. Myndigheten för samhällsskydd och beredskaps verktyg Infosäkkollen, och om åtgärder vidtagits med anledning av resultatet.
  4. Åtgärder som har vidtagits för att höja medvetenheten och kompetensen inom informationssäkerhetsområdet inom lärosätet

Noterbart är även att Folkhälsomyndigheten (som är en beredskapsmyndighet) inte fått något särskilt uppdrag rörande informations- och cybersäkerhet i sitt regleringsbrev för 2024

Frågan blir dock vad regeringen tänker sig att göra med all denna redovisning och om det sker någon samordning mellan departementen i frågan. Varje myndighet redovisar ju detta till sitt respektive departement.