Det visar en omfattande undersökning om Sveriges kommuners informationssäkerhetsarbete som MSB genomfört på regeringens uppdrag.

I undersökningen som gjorts i samverkan med SKL har kommuner besvarat ett stort antal enkätfrågor kopplade till olika delar i ett systematiskt informationssäkerhetsarbete. Nära 80 procent av kommunerna har svarat på enkäten i sin helhet.

Frågorna rör hur arbetet är organiserat, om det finns resurser för arbetet, i vilken utsträckning kommunerna genomför riskanalyser och informationsklassning, om det finns kontinuitetsplaner och hur dessa övas. Undersökningen visar även hur samverkan mellan kommuner och länsstyrelser ser ut inom informationssäkerhetsområdet.

Undersökningen visar bland annat:

• 175 kommuner av 242 svarande anger att de har en informationssäkerhetspolicy som är beslutad av kommunens ledning.

• 170 kommuner av 241 svarande anger att de inte arbetar systematiskt med informationssäkerhet.

• 102 kommuner av 251 svarande har ingen informationssäkerhetsfunktion som ex. informationssäkerhetschef/-samordnare. Av de kommuner som har en funktion svarar 70 kommuner att den utpekade funktionen för informationssäkerhet arbetar mindre än 10 % av sin arbetstid med informationssäkerhet.

• 129 kommuner av 232 svarande anger att det inte finns en process för rapportering och hantering av säkerhetsbrister eller incidenter med koppling till informationshantering inom kommunen.

• 141 kommuner av 237 svarande uppger att de saknar kontinuitetsplaner för att hantera bortfall av information i kritiska verksamhetsprocesser inom kommunen. En stor majoritet av de kommuner som har en sådan plan har dock aldrig eller endast enstaka gånger övat dessa.

Enligt Richard Oehme, verksamhetschef för samhällets informations- och cybersäkerhet på MSB, visar undersökningen tydligt att det finns behov av åtgärder inom den kommunala verksamheten.

– Läget är bekymmersamt, det är inte många kommuner som bedriver ett systematiskt informationssäkerhetsarbete. Kommunledningarna måste verkligen ta tag i frågan. En säker informationshantering är central och sen måste ledningen peka ut och tilldela resurser och tillse att det finns en informationssäkerhetsfunktion som kan arbeta med frågorna, säger Richard Oehme.