It-säkerheten vid länsstyrelserna

Herr talman! Sotiris Delis har frågat justitie- och inrikesministern om han anser att det behövs ytterligare åtgärder med anledning av Riksrevisionens rapport Brister i ledning och styrning av informationssäkerhet för länsstyrelserna. Arbetet inom regeringen är så fördelat att det är jag som ska svara på interpellationen.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Frågor som gäller informationssäkerhet är prioriterade för regeringen. Regeringen har också vidtagit en rad åtgärder för att stärka samhällets informationssäkerhet. Att länsstyrelserna har en god informationssäkerhet, inklusive it-säkerhet, är givetvis angeläget. Varje myndighet ansvarar för informationssäkerheten i verksamheten. Regeringen ansvarar för att myndigheterna har goda förutsättningar att bedriva sin verksamhet.

Riksrevisionen har i den aktuella rapporten, som avser Länsstyrelsen i Västra Götalands län, påtalat brister kopplade bland annat till den gemensamma organisation länsstyrelserna har för it-frågor.

Länsstyrelsen i Västra Götalands län har vidtagit åtgärder för att komma till rätta med de påtalade bristerna. Inom länsstyrelserna bedrivs även i övrigt ett arbete för att stärka informationssäkerheten. Samtliga länsstyrelser är engagerade i detta arbete.

För närvarande bereds inom Regeringskansliet ett uppdrag i länsstyrelsernas regleringsbrev som avser informationssäkerhetsarbetet vid myndigheterna. Jag kommer att fortsätta att följa arbetet med att stärka länsstyrelsernas informationssäkerhet och vid behov vidta ytterligare åtgärder.

Herr talman! Tack, civilministern, för svaret! Den svenska förvaltningsmodellen bygger till stora delar på delegerat ansvar. Detta har lett till att varje offentlig aktör har fått ansvar för att skapa sin egen lösning för itdriften. Det har medfört olika lösningar för hur arbetet med it-drift och it-säkerhet bedrivs.

Det finns många fördelar med detta. Varje aktör kan därmed skräddarsy sin lösning efter det egna behovet. Upphandlingar av komplexa itsystem kräver dock en mycket hög upphandlingskompetens. Detta kan leda till problem. Riksrevisionen pekar just på att säkerhetskulturen uppvisar stora brister på många håll. Låt oss, statsrådet, komma överens om att delat ansvar är ingens ansvar.

Offentliga aktörer behandlar säkerhetsklassad information och använder krypton på olika sätt. Vi moderater vill här se tydligare styrning och stöd för arbetet med it-säkerhet hos svenska offentliga aktörer. Den samlade utmaningen från hybridhoten, däribland cyberhot, kräver också ett samlat ansvar.

Det var bland annat just brister i ledning och styrning av informationssäkerhet för länsstyrelserna som Riksrevisionen uppmärksammade i den årliga revisionen av Länsstyrelsen i Västra Götalands län. Länsstyrelsen i Västra Götaland är värdmyndighet för länsstyrelsernas gemensamma itenhet.

Regeringen saknar instrument för att följa upp förvaltning av myndigheterna. Det saknas en internrevision som disponeras av regeringen för just detta slags granskning på regeringens uppdrag. Som jag uppfattar det är detta en konstitutionell brist.

Riksrevisionen genomför inte förvaltningsrevision på myndighetsnivå, vilket man allmänt tror. Riksrevisionen granskar enbart myndigheternas årsredovisningar finansiellt, och ytligt även resultatredovisningen men inte förvaltningen.

Riksrevisionens rapport uppmärksammade också att kunskap om informationssäkerhetens status saknades för länsstyrelserna som helhet och att det fanns brister i beslutsunderlaget. Detta, menade rapportförfattaren, gjorde det svårt för länsstyrelserna att kunna prioritera rätt åtgärder för utveckling av förvaltningen.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Det är välkommet att den rödgröna regeringen nu vill satsa på digitalisering av den offentliga sektorn. Bland annat ska en ny myndighet samordna och stödja digitaliseringen i offentlig sektor.

Min fråga till civilministern är: Hur ser ministern på arbetet med informationssäkerheten i denna nya myndighet? Det har ju visat sig vara svårt för regeringen att kunna säkerställa att operativa risker hanteras effektivt. Man måste också undvika att skapa dementiabilitet, det vill säga möjligheten att undvika att ta ansvar.

Herr talman! Tack, Sotiris Delis, för frågan! Kanske lyfts en av de viktigaste frågorna inom svensk förvaltning fram här. Det handlar om regeringens förmåga att följa upp de mål som sätts upp för olika verksamheter. Det här är en fråga som jag har kommit i kontakt med väldigt mycket under de tre år som jag har varit civilminister med ansvar för den offentliga förvaltningen.

Det råder ingen tvekan om att sedan vi reformerade Riksrevisionen och slog ihop Riksrevisionsverket med riksdagens revisionsmöjligheter har regeringen inte detta slags revisionsapparat till sitt förfogande. Det innebär att relationen mellan regeringen och de statliga myndigheterna präglas av en hög grad av tillit, vilket egentligen inte är något nytt utan gällde även tidigare.

I grunden är tillit något bra, men regeringen måste kontinuerligt skaffa sig kunskap om hur inte minst myndighetsgemensamma frågeställningar hanteras. It-drift är en sådan myndighetsgemensam fråga som i detta fall rör länsstyrelserna.

Vi kommer att behöva göra mycket mer. Jag ska dock bara kort redogöra för de åtgärder som vi har vidtagit under det senaste året. Vi har bland annat startat en expertgrupp för digitala investeringar som ger stöd till myndigheterna inför digitala investeringar så att man bland annat identifierar risker. Detta har inte funnits i Sverige, vilket är väldigt märkligt. Det har funnits i andra jämförbara länder. Vi införde detta i juni, och det innebär att myndigheterna kan komma till denna expertgrupp inför stora beslut som rör digitala investeringar och få stöd och en second opinion inför den digitala investeringen.

Ytterligare åtgärder har handlat om att skapa säkra lagringsutrymmen för myndigheter som behöver ha lagring av mycket känslig information. Vi bygger nu upp en förvaltningsmodell och finansieringsmodell för detta. Det är ett samarbete och ett uppdrag som har getts till Fortifikationsverket och Post- och telestyrelsen. Det här handlar om de mest känsliga myndigheterna vad gäller informationshantering.

Vi har även gett ett uppdrag till Försäkringskassan att stå för driften av it-drift för andra myndigheter. Nu har man antingen valet att driva it-verksamheten själv eller lägga ut den på entreprenad. Men det måste finnas ett alternativ även inom staten. Inte alla verksamheter är lämpliga att lägga ut på externa aktörer. Försäkringskassan har som sagt fått detta uppdrag.

Sedan har vi, som Sotiris Delis nämnde, planerna på att starta myndigheten för digitalisering i offentlig sektor nästa år. Då kommer vi att jobba väldigt aktivt med att skapa strukturer för de myndighetsgemensamma frågeställningarna. Exakt vilka frågor som denna myndighet ska ha ansvar för bereds just nu i Regeringskansliet, så jag kan inte gå in på det.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Jag uppskattar definitivt den här diskussionen, och vi kommer att behöva tala mer om dessa frågor i Sveriges riksdag och inte minst i det politiska samtalet i vårt land.

Herr talman! Uppskattningen, statsrådet, är ömsesidig när det gäller denna diskussion. Jag uppfattar att statsrådet tolkar mig positivt vad gäller den materia som är ytterst komplicerad och känslig. Sverige saknar för närvarande kontroll över operativa risker. Punkt.

Tillit är bra, statsrådet. Vi delar den uppfattningen, men kontrollverktygen måste finnas. Det är lite konstigt för mig som sitter i oppositionen att föreslå en sak för regeringen, men man kan skapa en egen revisionsstyrka som på regeringens uppdrag kan gå in och titta för att se att allt står rätt till och fungerar väl.

Samtidigt upplever jag att bristen på de kontrollmekanismer som måste finnas för att man ska kunna ha ordning och reda skapar just det som jag benämner dementiabilitet. Det handlar om förmågan att ta avstånd från det egna ansvaret. Man dementerar: Jag känner inte till det. Jag har aldrig vetat vad som händer. Jag vet inte.

Frågan är om regeringen skulle kunna använda sig av dementiabilitet om saker och ting går fel.

Det finns ytterligare ett problem. Vi har kontroll över finansiella risker. Men att sakna kontroll över operativa risker skapar finansiella risker. För om en operativ risk uppstår går det åt enorma mängder kapital - vi talar om ett land i det fallet, statsrådet - till att återställa det goda. Man måste bekämpa det onda.

Jag ska medge, herr talman och statsrådet, att frågan om Sverige saknar kontroll över sina operativa risker har hållit mig vaken om nätterna en hel del. Jag har undrat vad som kommer att hända när en lucka öppnas och saker som definitivt är väldigt känsliga slipper ut.

Låt mig säga så här om vad som hanteras i de 20 länsstyrelserna: Det är uppgifter, samordningsuppdrag, övrig förvaltning, livsmedelskontroll, djurskydd, regional tillväxt, infrastrukturplanering, naturvård, miljö, hälsoskydd, lantbruk, fiske, folkhälsa, jämställdhet, nationella minoriteter, mänskliga rättigheter och organisationsbildning.

Skyddsvärdet är naturligtvis olika på dessa verksamhetsområden, men om någonting inträffar - peppar, peppar - kan det bli ett problem. Jag kanske uppfattas som burdus, men det är därför jag står här och påstår att detta att sannolikt inte ens regeringen vet vem som bär ansvaret är väldigt allvarligt.

Jag tackar som sagt för denna diskussion. Jag tar emot statsrådets budskap att man är medveten om situationen och beredd att agera och arbeta därefter.

Herr talman! Det finns mycket som behöver beröras i den här diskussionen.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Bland annat har vi tillsatt en utredning som tittar på hur regeringens utvärderings och analysresurser är organiserade. Det låter kanske inte som den mest populära utredning som tillsatts under den här mandatperioden, men det handlar om att se vilka möjligheter regeringen - oavsett färg - har att utvärdera effekterna av den politik som bedrivs, inte minst via de statliga myndigheterna.

Det här är en viktig utredning, skulle jag vilja säga, och det finns beröringspunkter mellan det arbetet och de myndighetsgemensamma frågor som Sotiris Delis väcker i den här interpellationen.

Vad regeringen har gjort under det här året är att jobba med att bygga upp gemensamma strukturer så att myndigheterna får stöd. Det är ett försök att inom ramen för vår förvaltningsmodell tillgodose behoven av en itdrift som är säker och effektiv.

Har regeringen resurser till sitt förfogande att i detalj kontrollera verksamheterna i de statliga myndigheterna? Nej, så är inte förvaltningsmodellen byggd. Det är klart att det finns massor av styrkor hos vår förvaltningsmodell, men det finns också svagheter.

Det går att diskutera huruvida det här är den bästa möjliga metoden för att organisera bland annat de myndighetsgemensamma frågeställningarna. Det är i grund och botten en konstitutionell fråga, men den är värd att debattera här. I väntan på sådana debatter vidtar vi som sagt ett antal åtgärder som handlar om att bygga upp gemensamma strukturer.

Sedan gör min kollega Morgan Johansson, som har ansvar för delar av it-säkerhetsfrågorna, många insatser när det gäller den säkerhetsrelaterade lagstiftningen, som handlar om krav på myndigheterna. Det är liksom ett annat spår.

Talar vi om förvaltningsmodeller är jag och regeringen övertygade om att vi behöver ha en hel del gemensamma strukturer. Det är också därför vi nu har byggt upp expertgruppen och håller på att bygga upp myndigheten för digitalisering av den offentliga sektorn. Vi har också pekat på ett antal myndigheter som ansvariga för den gemensamma driften.

Vi kommer att behöva göra mer sådant, är jag övertygad om, för att kunna tillgodose de behov som finns i dagens samhälle. Vi får inte vara naiva här - det finns många risker runt omkring oss, och vi har en skyldighet gentemot våra medborgare att ha en förvaltning som lever upp till dagens krav.

Herr talman! Tack, statsrådet! Vi har fler gemensamma punkter än skiljelinjer i just den frågan. Vi har i färskt minne vad som hände med Transportstyrelsen.

Statsrådet! Rustningen måste på för Sveriges bästa. Vi har en omvärld som inte är att leka med. Jag tackar dig för det besked du har kommit hit med i dag, och jag kommer att mycket nära följa arbetet med detta.

Herr talman! Tack, Sotiris Delis, för diskussionen!

Överläggningen var härmed avslutad.