Riksrevisionen har granskat om regeringens styrning av informationssäkerheten i den civila statsförvaltningen är effektiv. Den övergripande slutsatsen är att arbetet med informationssäkerhet inte är ändamålsenligt i förhållande till de hot och risker som finns.

En stor del av den information som skapas och lagras i samhället är både viktig och känslig. Det kan få allvarliga följder om informationen förloras, stjäls, manipuleras eller sprids till obehöriga. Om informationssäkerheten brister finns en risk att myndigheter och statliga bolag inte kan uppfylla sina skyldigheter, till exempel att betala ut ersättningar, hantera trafikledning av tåg eller förse samhället med elektricitet. Både enskilda och hela samhällsfunktioner kan drabbas.

Saknas samlad bild
Riksrevisionens granskning visar att regeringen saknar en samlad bild av läget för informationssäkerheten i statsförvaltningen, och därmed saknas möjligheten att styra effektivt. Inte heller stödmyndigheterna Myndigheten för samhällsskydd och beredskap, MSB, Försvarets radioanstalt, FRA, och Säkerhetspolisen har en samlad bild. Det råder en osäkerhet om hur starkt skyddet är, vilka händelser som har ägt rum och hur hoten utvecklas. Det är därför svårt att värdera riskerna och veta hur omfattande skyddet behöver vara.

Granskningen visar att det finns brister inom flera områden, till exempel kompetens, upphandling, tillsyn, uppföljning samt styrning och samordning. 38 procent av myndigheterna bedömer till exempel att kompetens, mandat eller resurser inte räcker.

– Det är allvarligt att det finns en så stor brist på kunskap när det gäller läget för informationssäkerheten i statsförvaltningen. Regeringen bör ställa tydligare krav på myndigheterna och följa upp om de lever upp till kraven, säger riksrevisor Claes Norgren.

"Regeringen bör utöka tillsynen"
Riksrevisionen skriver att Regeringen bör utöka tillsynen och utreda om ansvaret för denna kan samlas och koordineras på ett bättre sätt. Regeringen bör, enligt Riksrevisionen, även överväga att låta den myndighet som ska utöva tillsynen få mandat att utfärda sanktioner mot myndigheter som inte vidtar nödvändiga åtgärder samt snarast införa en obligatorisk incidentrapportering för alla myndigheter. även Stödmyndigheterna bör göra mer när det gäller att öka kunskapen om säkerhetsläget och lämna stöd till den övriga statsförvaltningen, menar Riksrevisionen.