Myndigheternas it-säkerhet

Svar på fråga 2016/17:625 av Lotta Olsson (M) Myndigheternas it-säkerhet

Lotta Olsson har frågat mig vilka åtgärder jag avser att vidta för att säkerställa att myndigheterna fullgör sin rapporteringsskyldighet när det gäller it-incidenter.

Vikten av en god informationssäkerhet och ett systematiskt informationssäkerhetsarbete kan i dagens samhälle inte överskattas. Detta gäller inte minst myndigheter, då eventuella brister i myndigheternas informationssäkerhet kan få konsekvenser för såväl den enskilde som samhället i stort.

I syfte att stödja samhällets informationssäkerhet beslutade regeringen i december 2015 att statliga myndigheter ska rapportera it-incidenter som inträffat i myndighetens informationssystem till Myndigheten för samhällsskydd och beredskap (MSB). Rapporteringsskyldigheten avser it-incidenter som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för. Några myndigheter undantas, och vissa it-incidenter ska i stället rapporteras till tillsynsmyndigheten enligt säkerhetsskyddsförordningen (dvs. Säkerhetspolisen eller Försvarsmakten).

Rapporteringsskyldigheten trädde i kraft den 1 april 2016 och möjliggör en förbättrad lägesbild, skapar förutsättningar för att vidta rätt skyddsåtgärder och utgör en grund för att utveckla förmågan att förebygga, upptäcka och hantera it-incidenter. Detta är ett viktigt och långsiktigt arbete, som kommer att utvecklas över tid. I syfte att stärka informationssäkerheten i samhället planerar regeringen även för att MSB ska kunna tillhandahålla ett tekniskt sensorsystem som gör det möjligt att upptäcka it-angrepp.

MSB ska årligen lämna en rapport till regeringen med en sammanställning av de incidenter som rapporterats in till myndigheten. En första sådan rapport förväntas bli klar under våren 2017. Förutom att vara mottagare av incidentrapporteringen har MSB ett omfattande uppdrag att stödja och samordna arbetet med samhällets informationssäkerhet. MSB bedömer löpande behovet av särskilda utbildningsinsatser och ytterligare informationsspridning och ska även rapportera till regeringen om förhållanden på informationssäkerhetsområdet som kan leda till behov av åtgärder. Jag följer MSB:s arbete på detta område men bedömer i dagsläget inte att det finns behov av att vidta ytterligare åtgärder.

Stockholm den 17 januari 2017


Anders Ygeman