I dag publicerar SKR resultaten av undersökningar om läget i informationssäkerhetsarbetet i kommuner och regioner. SKR ser förbättringar hos både kommunerna och regionerna.

Sveriges Kommuner och Regioner (SKR) har genomfört enkäter om hur långt regionerna och kommunerna har kommit i sitt systematiska informationssäkerhetsarbete. Nu finns resultaten samlade i två rapporter.

– Välfärden måste digitaliseras för att kunna leva upp till de förväntningar vi ställer på den i framtiden. Ett effektivt systematiskt arbete med informationssäkerhet är helt centralt i detta skifte, säger Jonas Nilsson, informationssäkerhetsstrateg, SKR.

Tydliga förbättringar

SKR ser tydliga förbättringar i det systematiska och riskbaserade informationssäkerhetsarbetet hos kommuner och regioner. Det finns en djup och bred förståelse för arbetet, men det är något man hela tiden måste jobba vidare med för att bli ännu bättre. Ledningarna tar en större roll genom att avsätta mer medel och resurser och det arbetas fler informationssäkerhetstimmar i både kommuner och regioner.

Förutsättningarna förändras

Informations- och cybersäkerhet har fått ökad aktualitet bland annat på grund av nya former av hot och risker. Dessutom har det nyligen presenterats förslag för regeringen om hur EU:s NIS2-direktiv om cybersäkerhet ska införas i svensk lag. I och med det ökar kraven på kommunala och regionala ledningar.

– För att kommuner och regioner ska kunna leva upp till existerande och kommande krav vad gäller informationssäkerhet måste det till en tydligare statlig styrning på området. Dessutom måste finansieringsprincipen, som alltid, följas, säger Ola Odebäck, chef för avdelningen för ekonomi och styrning, SKR.

Fakta
  • Syftet med SKR:s enkät är att mäta det systematiska och riskbaserade informationssäkerhetsarbetet hos kommuner och regioner (inom hälso- och sjukvården). Genom det kan SKR utveckla sitt stöd inom informationssäkerhetsområdet.
  • I sju av tio kommuner och i samtliga regioner finns rollen informationssäkerhetssamordnare (CISO) utpekad. Rollen avsätter också mer av sin arbetstid till informationssäkerhetsarbetet.
  • I sex av tio kommuner och i samtliga regioner genomförs minst en föredragning årligen av informationssäkerhetsläget i den egna organisationen.
  • I sju av tio kommuner och i 20 av 21 regioner finns ett fastställt arbetssätt för informationssäkerhetsklassning och hantering av informationssäkerhetsrisker.
  • I åtta av tio kommuner och i 20 av 21 regioner finns ett fastställt arbetssätt för hantering av informationssäkerhetsincidenter.
  • I åtta av tio kommuner och i 17 av 21 regioner ställs krav på att samtliga medarbetare ska genomföra en grundläggande informationssäkerhetsutbildning.
  • I sju av tio kommuner och i 18 av 21 regioner finns ett fastställt arbetssätt för att ställa informationssäkerhetskrav vid upphandlingar och systemutveckling.