Riksrevisionen har granskat hur nio myndigheter arbetar med informationssäkerhet. Dessa myndigheter arbetar med frågor som är viktiga för samhället, hanterar mycket pengar, är starkt IT-beroende och hanterar skyddsvärd information. Den övergripande slutsatsen är att arbetet med informationssäkerhet ligger på en nivå påtagligt under vad som är tillräckligt.

– Vår granskning visar att arbetet med informationssäkerhet inte är tillräckligt högt prioriterat hos myndigheterna i förhållande till de risker som finns, säger riksrevisor Margareta åberg.Arbetet med informationssäkerhet når inte upp till godtagbar nivå

Ingen av de granskade myndigheterna kan sägas ha ett systematiskt informationssäkerhetsarbete som motsvarar kraven i Myndigheten för samhällsskydd och beredskaps, MSB:s, föreskrifter. Granskningen visar att ledningarna delegerar ansvaret för informationssäkerhet utan att se till att de ansvariga har tillräckligt mandat eller tillräckliga resurser. Till stor del saknas den förståelse, delaktighet och det ansvarstagande som bör genomsyra hela verksamheten.

Riksrevisionens bedömning är att det behövs en starkare styrning från regeringen, så att nödvändiga säkerhetsåtgärder på myndigheterna verkligen blir genomförda. Myndigheterna behöver också mer operativt stöd i arbetet. Regeringen bör därför överväga att ge MSB i uppdrag att ta fram en modell eller ett metodstöd för riskanalyser samt att utreda behovet av att inrätta en central funktion som kan lämna operativt stöd till myndigheterna.