I MSB:s undersökning, som har tagits fram i samverkan med SKL, har kommuner fått besvara ett stort antal enkätfrågor kopplade till olika delar i ett systematiskt informationssäkerhetsarbete. Nära 80 procent av kommunerna har svarat på enkäten i sin helhet. Frågorna rör hur arbetet är organiserat, om det finns resurser för arbetet, i vilken utsträckning kommunerna genomför riskanalyser och informationsklassning, om det finns kontinuitetsplaner och hur dessa övas. Undersökningen visar även hur samverkan mellan kommuner och länsstyrelser ser ut inom informationssäkerhetsområdet.
Bland några av resultaten kan nämnas:
- 175 kommuner av 242 svarande anger att de har en informationssäkerhetspolicy som är beslutad av kommunens ledning.
- 170 kommuner av 241 svarande anger att de inte arbetar systematiskt med informationssäkerhet.
- Det finns stora skillnader avseende hur kommuner fördelar ansvar, uppgifter och roller på informationssäkerhetsområdet rörande rapportering, klassning och riskanalys.
- 102 kommuner av 251 svarande har ingen informationssäkerhetsfunktion som exempelvis informationssäkerhetschef/-samordnare. Av de kommuner som har en funktion svarar 70 kommuner att den utpekade funktionen för informationssäkerhet arbetar mindre än 10 % av sin arbetstid med informationssäkerhet.
- 129 kommuner av 232 svarande anger att det inte finns en process för rapportering och hantering av säkerhetsbrister eller incidenter med koppling till informationshantering inom kommunen.
- 141 kommuner av 237 svarande uppger att de saknar kontinuitetsplaner för att hantera bortfall av information i kritiska verksamhetsprocesser inom kommunen. En stor majoritet av de kommuner som har en sådan plan har dock aldrig eller endast enstaka gånger övat dessa.
- 189 kommuner av 251 svarande anger att de inte har ett etablerat samarbete i informationssäkerhetsfrågor med länsstyrelsen.
– Det är tydligt att det finns behov av åtgärder inom den kommunala verksamheten. Vi ser att resultatet av undersökningen kan bli ett viktigt ingångsvärde för kommunerna i deras arbete med att prioritera och resurssätta sitt informationssäkerhetsarbete. I detta är kommunsledningens inriktning och engagemang centralt! Med denna gemensamma bild över läget borde också samverkan mellan kommunerna och andra aktörer, exempelvis länsstyrelserna, underlättas, säger Richard Oehme, verksamhetschef för samhällets informations- och cybersäkerhet, MSB