SecurityWorldMarket

2024-03-25

SKR: Förbättringar i välfärdens arbete med informationssäkerhet

SKR ser tydliga förbättringar i det systematiska och riskbaserade informationssäkerhetsarbetet hos kommuner och regioner.

Sveriges Kommuner och Regioner (SKR) har genomfört enkäter om hur långt regionerna och kommunerna har kommit i sitt systematiska informationssäkerhetsarbete. SKR ser förbättringar hos både kommunerna och regionerna.

– Välfärden måste digitaliseras för att kunna leva upp till de förväntningar vi ställer på den i framtiden. Ett effektivt systematiskt arbete med informationssäkerhet är helt centralt i detta skifte, säger Jonas Nilsson, informationssäkerhetsstrateg, SKR.

SKR ser tydliga förbättringar i det systematiska och riskbaserade informationssäkerhetsarbetet hos kommuner och regioner. Det finns en djup och bred förståelse för arbetet, men det är något man hela tiden måste jobba vidare med för att bli ännu bättre. Ledningarna tar en större roll genom att avsätta mer medel och resurser och det arbetas fler informationssäkerhetstimmar i både kommuner och regioner.

Informations- och cybersäkerhet har fått ökad aktualitet bland annat på grund av nya former av hot och risker. Dessutom har det nyligen presenterats förslag för regeringen om hur EU:s NIS2-direktiv om cybersäkerhet ska införas i svensk lag. I och med det ökar kraven på kommunala och regionala ledningar.

– För att kommuner och regioner ska kunna leva upp till existerande och kommande krav vad gäller informationssäkerhet måste det till en tydligare statlig styrning på området. Dessutom måste finansieringsprincipen, som alltid, följas, säger Ola Odebäck, chef för avdelningen för ekonomi och styrning, SKR.

Från undersökningen:

• I sju av tio kommuner och i samtliga regioner finns rollen informationssäkerhetssamordnare (CISO) utpekad. Rollen avsätter också mer av sin arbetstid till informationssäkerhetsarbetet.

• I sex av tio kommuner och i samtliga regioner genomförs minst en föredragning årligen av informationssäkerhetsläget i den egna organisationen.

• I sju av tio kommuner och i 20 av 21 regioner finns ett fastställt arbetssätt för informationssäkerhetsklassning och hantering av informationssäkerhetsrisker.

• I åtta av tio kommuner och i 20 av 21 regioner finns ett fastställt arbetssätt för hantering av informationssäkerhetsincidenter.

• I åtta av tio kommuner och i 17 av 21 regioner ställs krav på att samtliga medarbetare ska genomföra en grundläggande informationssäkerhetsutbildning.

• I sju av tio kommuner och i 18 av 21 regioner finns ett fastställt arbetssätt för att ställa informationssäkerhetskrav vid upphandlingar och systemutveckling.



Leverantörer
Till toppen av sidan