Riksrevisionen har granskat regeringens arbete för att stärka Sveriges informations- och cybersäkerhet. Den övergripande slutsatsen är att arbetet inte har varit effektivt.

Framför allt har det saknats en sammanhållen styrning baserad på strategiska avvägningar och prioriteringar utifrån Sveriges samlade behov. Samordningen har inte fungerat som den ska, och relevanta intressenter – till exempel från näringslivet – har inte involverats i någon större omfattning.

Bristerna beror till stor del på att Regeringskansliets arbetsmetoder, organisering och resursanvändning inte har möjliggjort ett effektivt arbete med informations- och cybersäkerhetsfrågorna.

Regeringskansliet har skapat interdepartementala arbetsgrupper och gett ett antal myndigheter i uppdrag att skapa ett nationellt cybersäkerhetscenter. Riksrevisionens bedömning är dock att det inte har lett till en ökad förmåga att prioritera insatser eller till en långsiktig, strategisk och sammanhållen styrning. Styrningen av berörda myndigheter har utgått från varje enskilt departements mål och prioriteringar i stället för strategiska avvägningar av vad som är bäst för Sverige, vilket begränsat insatsernas effektivitet.

– Regeringskansliet och myndigheterna arbetar utifrån sina respektive ansvar och uppdrag, utan att de åtgärder som vidtas värderas eller rangordnas utifrån vad som gynnar Sverige som helhet, säger Marcus Pettersson, projektledare för granskningen.

Regeringens nationella informations- och cybersäkerhetsstrategi håller inte heller tillräckligt hög kvalitet. Bland annat saknar den en tydlig vision, uppföljningsbara målsättningar, utpekade ansvariga och tilldelade resurser. Det är otydligt vilka aktörer och sektorer som ska påverkas och hur. Strategin anger inte hur målsättningar och aktiviteter påverkar samhället, ekonomin eller medborgarna och den innehåller ingen egentlig analys av de strategiska utmaningarna. En sådan strategi kan enligt Riksrevisionens bedömning endast ha låg styreffekt – om ens någon.

Även informationsutbytet mellan aktörerna har brister. Informationsutbyte är viktigt för att kunna samordna insatser, så att alla arbetar mot samma mål och har en gemensam bild av läget, behov, mål och åtgärder. Myndigheterna tar i dagsläget fram flera olika lägesbilder, vilket ger en fragmenterad bild som är svår att använda när åtgärder ska vägas mot varandra, menar Riksrevisionen.

 – Arbetet med informations- och cybersäkerhet behöver bli mer effektivt. För det behövs tydligt utpekat ansvar och resurser samt en mer sammanhållen och strategisk styrning, säger riksrevisor Helena Lindberg.