Från och med den 1 april är statliga myndigheter skyldiga att samråda med Säkerhetspolisen och Försvarsmakten innan man outsourcing säkerhetskänslig verksamhet.
Om informationen inte skyddas kan hela upphandlingen stoppas.
Men det räcker inte anser Lars Nicander, pol dr och chef för Centrum för asymmetriska hot- och terrorismstudier vid Försvarshögskolan.
Bristande fokusering och långa ledtider
Han skriver på DN Debatt att Sverige behöver göra som Norge och inrätta en för uppgiften dedikerad nationell säkerhetsskyddsmyndighet istället för de minst sex myndigheter som idag ska sköta frågorna ”med vänster hand” vid sidan av den egna kärnverksamheten.
Det leder till ”ett besvärande lågt antal årliga reglerade tillsynsärenden, långa ledtider vad avser godkännande av informationssäkerhetslösningar och kryptofunktioner samt lång tidsutdräkt när något allvarligt inträffar”, skriver Nycander.
Saknas personal och kompetens
Han pekar också på att den inbyggda ”konstitutionella trögheten” som värnar om våra självständiga myndigheter är ett hinder mot att ha ett fungerande uppdelat ansvar för informations- och cybersäkerhet.
En annan viktig delförklaring till bristerna är enligt Nicander också att ”statsförvaltningens attraktionskraft beträffande IT- och cyberexpertis är låg vilket gör att det saknas personal och det kan uppstå långa vakanser”.
IT-incidenter dygnet runt
Norge har sedan cirka 20 år tillbaka en särskild säkerhetsskyddsmyndighet – Nasjonal Sikkerhetsmyndighet (NSM) som har ett huvudansvar för riskbedömningar och informations- och cybersäkerhet.
Nicander pekar särskilt på att myndigheten även driver det norska Computer Emergency Response Teamet som dygnet runt hanterar IT-incidenter i samhällsviktig verksamhet.
Diskuterats i mer än 20 år
I Sverige finns minst sex myndigheter som har uppgifter och tillsynsansvar för informationssäkerhet i staten. Det är Myndigheten för samhällsskydd och beredskap (MSB), Försvarsmakten (FM), Försvarets Radioanstalt (FRA), Säkerhetspolisen (Säpo), Polismyndigheten (PM), Post- och Telestyrelsen (PTS) samt Försvarets Materielverk (FMV).
Nycander skriver att ansvarsföhållandet mellan myndigheterna har diskuterats och utretts i mer än 20 år ”utan att någon tillfredsställande samlad lösning uppnåtts”.
