|
Utbildningsutskottets betänkande
|
Riksrevisionens rapport om informationssäkerhet vid universitet och högskolor
Sammanfattning
Utskottet föreslår att riksdagen lägger regeringens skrivelse till handlingarna.
I skrivelsen redovisar regeringen sin bedömning av de iakttagelser som Riksrevisionen presenterar i rapporten Informationssäkerhet vid universitet och högskolor – hanteringen av skyddsvärda forskningsdata. Regeringen välkomnar Riksrevisionens granskning och instämmer i stort i Riksrevisionens övergripande iakttagelser och analyser och anger att den redan har vidtagit åtgärder för att utveckla styrningen kopplad till lärosätenas arbete med informationssäkerhet. I takt med den fortsatta digitaliseringen och ett oroligt omvärldsläge har regeringen sett växande behov av ett utvecklat informationssäkerhetsarbete i hela samhället. Det gäller inte minst universitet och högskolor som kan ha säkerhetskänslig verksamhet. I skrivelsen redovisar regeringen redan vidtagna och planerade åtgärder som ligger i linje med Riksrevisionens iakttagelser och rekommendationer. I och med skrivelsen anser regeringen att Riksrevisionens rapport är slutbehandlad.
Inga motioner har väckts med anledning av skrivelsen. I betänkandet finns ett särskilt yttrande (S, V, C, MP).
Behandlade förslag
Skrivelse 2023/24:118 Riksrevisionens rapport om informationssäkerhet vid universitet och högskolor – hanteringen av skyddsvärda forskningsdata.
Utskottets förslag till riksdagsbeslut
Skrivelsens huvudsakliga innehåll
Bilaga
Förteckning över behandlade förslag
Utskottets förslag till riksdagsbeslut
|
Riksrevisionens rapport om informationssäkerhet vid universitet och högskolor – hanteringen av skyddsvärda forskningsdata |
Riksdagen lägger skrivelse 2023/24:118 till handlingarna.
Stockholm den 30 maj 2024
På utbildningsutskottets vägnar
Fredrik Malm
Följande ledamöter har deltagit i beslutet: Fredrik Malm (L), Åsa Westlund (S), Josefin Malmqvist (M), Linus Sköld (S), Robert Stenkvist (SD), Caroline Helmersson Olsson (S), Jörgen Grubb (SD), Marie-Louise Hänel Sandström (M), Anders Ådahl (C), Anders Alftberg (SD), Camilla Hansén (MP), Niklas Sigvardsson (S), Nadja Awad (V), Peter Ollén (M), Mats Arkhem (SD), Magnus Jacobsson (KD) och Paula Örn (S).
Ärendet och dess beredning
I betänkandet behandlar utskottet regeringens skrivelse 2023/24:118 Riksrevisionens rapport om informationssäkerhet vid universitet och högskolor – hanteringen av skyddsvärda forskningsdata. Riksrevisionen har granskat om universitet och högskolor bedriver ett effektivt informationssäkerhetsarbete för att hantera skyddsvärda forskningsdata. Resultatet av granskningen redovisas i rapporten Informationssäkerhet vid universitet och högskolor – hanteringen av skyddsvärda forskningsdata (RiR 2023:20).
Riksdagen överlämnade Riksrevisionens rapport till regeringen den 5 december 2023.
Riksrevisionen presenterade den aktuella granskningsrapporten för utskottet den 27 februari 2024 (prot. 2023/22:27).
Av 9 kap. 19 § riksdagsordningen framgår det att för varje granskningsrapport som har överlämnats till regeringen ska regeringen i en skrivelse till riksdagen redovisa vilka åtgärder regeringen har vidtagit eller avser att vidta med anledning av Riksrevisionens iakttagelser i rapporten. Regeringens skrivelse ska lämnas till riksdagen inom fyra månader från det att regeringen har tagit emot rapporten. Vid beräkning av fristen ska månaderna juli och augusti inte räknas in.
Regeringen överlämnade skrivelse 2023/24:118 till riksdagen den 27 mars 2024.
Skrivelsens huvudsakliga innehåll
I skrivelsen redovisar regeringen sin bedömning av de iakttagelser som Riksrevisionen presenterar i rapporten Informationssäkerhet vid universitet och högskolor – hanteringen av skyddsvärda forskningsdata (RiR 2023:20). Regeringen välkomnar Riksrevisionens granskning och instämmer i stort i Riksrevisionens övergripande iakttagelser och analyser och anger att den redan har vidtagit åtgärder för att utveckla styrningen kopplad till lärosätenas arbete med informationssäkerhet. I takt med den fortsatta digitaliseringen och ett oroligt omvärldsläge har regeringen sett växande behov av ett utvecklat informationssäkerhetsarbete i hela samhället. Det gäller inte minst universitet och högskolor som kan ha säkerhetskänslig verksamhet. I skrivelsen redovisar regeringen redan vidtagna och planerade åtgärder som ligger i linje med Riksrevisionens iakttagelser och rekommendationer.
I och med skrivelsen anser regeringen att Riksrevisionens rapport är slutbehandlad.
Utskottets förslag i korthet
Riksdagen lägger skrivelse 2023/24:118 Riksrevisionens rapport om informationssäkerhet vid universitet och högskolor – hanteringen av skyddsvärda forskningsdata till handlingarna.
Jämför det särskilda yttrandet (S, V, C, MP).
Skrivelsen
I skrivelsen behandlar regeringen de iakttagelser och rekommendationer som Riksrevisionen har redovisat i sin rapport.
Riksrevisionens granskning
Bakgrund och syfte
Regeringen anger att Riksrevisionen 2009 och 2010 granskade den interna styrningen och kontrollen av informationssäkerheten vid universitet och högskolor och att det då konstaterades brister. Det förändrade säkerhetspolitiska läget har nu satt ytterligare fokus på riskerna med lärosätenas bristande informationssäkerhetsarbete. Riksrevisionen har mot bakgrund av detta samt universitets- och högskolesektorns komplexitet med många uppdrag och mål återigen granskat arbetet med informationssäkerhet vid universitet och högskolor. Granskningen omfattar 24 lärosäten som enligt Statistiska centralbyråns (SCB) definition bedriver forskning inom naturvetenskap och teknik. Samtliga lärosäten återfinns under Utbildningsdepartementets ansvarsområde.
Riksrevisionens syfte har varit att granska om universitet och högskolor bedriver ett effektivt informationssäkerhetsarbete som möjliggör att skyddsvärda forskningsdata hanteras säkert och enligt gällande regelverk. Granskningen utgår från följande två delfrågor:
• Arbetar universitet och högskolor effektivt för att identifiera skyddsvärda forskningsdata och analysera informationssäkerhetsrisker?
• Har universitet och högskolor utformat informationssäkerhetsarbetet på ett effektivt sätt för att hantera skyddsvärda forskningsdata?
Informationssäkerhet innefattar all information som en organisation hanterar. I granskningen fokuserar Riksrevisionen på forskningsdata och på den organisatoriska säkerheten i lärosätenas informationssäkerhetsarbete.
Riksrevisionens slutsatser
Lärosätena arbetar inte effektivt för att identifiera skyddsvärda forskningsdata
Regeringen redovisar att Riksrevisionens övergripande slutsats är att universitet och högskolor inte bedriver ett effektivt informationssäkerhetsarbete för att skydda forskningsdata. Riksrevisionen konstaterar bl.a. att det är få forskare som klassar sina forskningsdata i enlighet med lärosätenas beslutade modeller för informationsklassning. Bristande rutiner för inventering och klassning av forskningsdata riskerar att leda till att vissa skyddsvärda forskningsdata inte identifieras. En konsekvens av att informationsklassningar inte genomförs systematiskt är att lärosätena får bristfälligt underlag för införandet av säkerhetsåtgärder. Enligt Riksrevisionen bidrar avsaknaden av ändamålsenligt utformade it-tjänster och säkerhetsåtgärder till att forskare tar fram egna lösningar, vilket kan få konsekvensen att forskningsdata inte skyddas från obehöriga och att likvärdig information får olika skydd. Lärosätesledningarna har inte i tillräcklig omfattning infört ändamålsenliga lärosätesövergripande arbetssätt för att identifiera skyddsvärd information eller sett till att det finns ett tillräckligt bra stöd till prefekter och forskare för att kunna genomföra arbetet. Riksrevisionen konstaterar också att informationssäkerhet för forskningsdata inte är integrerat i lärosätenas riskanalyser.
Lärosätena har otillräcklig kunskap och kompetens att bedöma vad som är skyddsvärt
En annan av Riksrevisionens iakttagelser är att kunskap och kompetens i frågor kopplade till informationssäkerhet överlag är bristfälliga hos många medarbetare på lärosätena. Det gäller såväl kunskap om hur man praktiskt ska arbeta för att skydda sin information som kunskap om hur forskningsdata ska klassas. Enligt Riksrevisionen samverkar medarbetare med dessa kompetenser, t.ex. informationssäkerhetschefer, säkerhetschefer och jurister, inte i tillräcklig utsträckning med forskarna för att bedöma risker relaterade till skyddsvärd information. För att upprätthålla kontinuiteten behöver det finnas rutiner och arbetssätt som inte är personberoende, enligt Riksrevisionen.
Lärosätesledningarna har inte styrt och organiserat informationssäkerhetsarbetet på ett effektivt sätt
Riksrevisionens sammantagna bedömning är att lärosätesledningarna inte gett arbetet med informationssäkerhet tillräcklig prioritet. Riksrevisionen anger att även om ansvar för informationssäkerhet kan framgå av riktlinjer eller motsvarande kan det vara svårt för medarbetare att veta vad det innebär rent praktiskt. Riksrevisionen konstaterar vidare att flera lärosäten brottas med liknande utmaningar när det gäller frågor om informationssäkerhet. Det gäller framför allt behoven av att höja den allmänna kunskapsnivån i informationssäkerhet bland forskande och undervisande personal, att kunna erbjuda tekniska lösningar för överföring, bearbetning och lagring av forskningsdata samt utmaningen i att navigera i olika regelverk för forskningsdata. Riksrevisionen ser positivt på de initiativ till kompetenshöjning i sektorn som tagits av lärosätena genom Sveriges universitets- och högskoleförbund (SUHF), men bedömer att initiativen har kommit för sent och varit otillräckliga.
Regeringens och myndigheternas åtgärder för att stärka informationssäkerhetsarbetet har varit otillräckliga
Enligt Riksrevisionen har regeringen varit senfärdig i sin uppföljning av informationssäkerheten vid lärosätena, trots att kunskap funnits om att den är bristfällig. Först 2019 började säkerhetsfrågor tas upp i Regeringskansliets myndighetsdialoger med lärosätena. Riksrevisionen bedömer vidare att regeringens uppdrag till Myndigheten för samhällsskydd och beredskap (MSB) varit otillräckliga för att stärka informationssäkerheten vid lärosätena. Varken den rådgivningstjänst som MSB erbjuder eller verktyget Infosäkkollen utnyttjas i tillräckligt hög utsträckning som kompetenshöjande och rådgivande verktyg vid lärosätena, enligt Riksrevisionen.
Riksrevisionens rekommendationer
Riksrevisionen lämnar följande rekommendationer till regeringen:
• Ge MSB i uppdrag att genomföra kompetenshöjande insatser till ledningarna för universitet och högskolor. Insatserna bör anpassas efter lärosätenas behov
• Ge universitet och högskolor i uppdrag att i samverkan inrätta en gemensam stödfunktion för informationssäkerhet. Etableringen bör ske i samråd med MSB och andra relevanta myndigheter. Dessa myndigheter bör även ge råd och stöd efter att funktionen etablerats. Stödfunktionen ska kunna bistå universitet och högskolor med bl.a. följande:
- rådgivning till dem som leder och samordnar informationssäkerhetsarbetet
- behovsanpassade utbildningar och kurser
- stöd för att analysera och bedöma sektorsgemensamma risker och externa hot.
Riksrevisionen anger att stödfunktionen med fördel kan dra nytta av kunskap och erfarenheter från bl.a. pågående lärosätesgemensamma samarbeten och nätverk inom informationssäkerhetsområdet.
Regeringens bedömning av Riksrevisionens iakttagelser
Övergripande bedömning
Regeringen välkomnar Riksrevisionens granskning och konstaterar att Riksrevisionens iakttagelser och rekommendationer ger stöd för att den omläggning av säkerhetspolitiken som regeringen gör är nödvändig. Säkerhetsläget har under de senaste åren försämrats och blivit allt allvarligare, vilket medfört att frågor om säkerhet fått en allt högre prioritet. I takt med den fortsatta digitaliseringen och ett oroligt omvärldsläge finns det ett växande behov av ett utvecklat informationssäkerhetsarbete i hela samhället. Detta gäller inte minst universitet och högskolor som kan ha säkerhetskänslig information och samverkar såväl nationellt som internationellt, enligt regeringen.
Regeringen anger vidare att Säkerhetspolisen konstaterar i sin årsrapport för 2023/2024 att svensk forskning och innovation är eftertraktad och att Sverige ligger långt fram inom utveckling, innovation och kunskap och därmed är ett attraktivt mål för främmande makt som bl.a. inhämtar information genom utländska forskare vid svenska universitet. I Militära underrättelse- och säkerhetstjänstens (Must) årsrapport för 2023 beskrivs ett försämrat säkerhetsläge och att främmande makt bedriver spionage och påverkansarbete i syfte att ta del av kunskap och forskning inom t.ex. det tekniska området. Försvarets radioanstalt (FRA) beskriver i sin årsrapport för 2023 att cyberangreppen ökar och att varje organisation, oavsett storlek och verksamhet, behöver arbeta systematiskt med sin informationssäkerhet. Regeringen anger att det är väsentligt att lärosätena får en högre kunskap om och större förståelse för de informationssäkerhetsrisker det nya säkerhetsläget medför. Universitet och högskolor behöver arbeta aktivt, systematiskt och förebyggande med frågor relaterade till informationssäkerhet för att förhindra såväl antagonistiska som icke-antagonistiska incidenter, enligt regeringen.
Regeringen har vidtagit åtgärder för att utveckla styrningen i säkerhetsfrågor
Regeringen anger att frågor som rör säkerhet är prioriterade för regeringen och den instämmer i Riksrevisionens övergripande analyser och iakttagelser. Vidare anges att regeringens arbete med att följa upp lärosätenas arbete med informationssäkerhet har intensifierats de senaste åren och ett antal åtgärder har vidtagits för att stärka regeringens styrning kopplad till lärosätenas informationssäkerhet. I det gemensamma regleringsbrevet för universitet och högskolor för budgetåret 2023 fick lärosätena i uppdrag att återrapportera sitt arbete med informationssäkerhet under hösten 2023. I regleringsbrevet för 2024 efterfrågar regeringen en mer specifik redovisning i fråga om skydd av forskningsdata och vad som görs för att höja medvetenheten och kompetensen inom lärosätet. Uppdraget omfattar flera av de frågor som Riksrevisionen lyfter fram. Regeringen anger att informationssäkerhet även i fortsättningen kommer att följas upp vid de årliga myndighetsdialogerna.
Regeringen pekar på att Riksrevisionen bedömer att MSB:s stöd, t.ex. självutvärderingsverktyget Infosäkkollen och dess rådgivningstjänst, inte använts i tillräckligt hög utsträckning av lärosätena. Regeringen har i återrapporteringskravet i det gemensamma regleringsbrevet för universitet och högskolor för 2024 uppmärksammat lärosätena på verktyget och förutsätter att användningen kommer att öka. Regeringen anger att den är angelägen om att kompetensen inom informationssäkerhet höjs och att ett sätt att göra detta är att använda sig av de kurser inom informationssäkerhet som MSB har och som riktar sig till olika målgrupper, även myndighetsledningar.
Enligt regeringen innebär det nya säkerhetsläget att frågor om säkerhet behöver integreras i hela verksamheten på lärosätena. Styrelserna är lärosätenas högsta beslutande organ, och ledamöternas kompetens i säkerhetsfrågor är väsentliga för att ledamöterna ska kunna arbeta strategiskt, förebyggande och övergripande med dessa frågor. En utredare fick i augusti 2023 i uppdrag av regeringen att göra en översyn av vilken kompetens i säkerhetsfrågor som behövs i styrelserna samt föreslå hur det kan säkerställas att det finns sådan kompetens bland de ledamöter som utses av regeringen i de statliga universitetens och högskolornas styrelser. I uppdraget ingick även att bedöma om det finns behov av ytterligare åtgärder för att öka lärosätenas kompetens i säkerhetsfrågor. Utredaren lämnade sina förslag i rapporten Ökad kompetens i säkerhetsfrågor vid universitet och högskolor och förslagen har remitterats (U2024/00153). Remisstiden i den del som rör styrelsefrågor löpte ut den 14 februari 2024 och i övriga delar den 21 mars. Regeringen anger att remissynpunkterna kommer att utgöra en viktig del i regeringens kommande arbete med att analysera behov av ytterligare insatser kopplat till lärosätenas hantering av forskningsdata.
Regeringen framhåller att universitet och högskolor ska präglas av öppenhet, akademisk frihet och forskares möjligheter att fritt dela resultat, t.ex. med forskare i andra länder. Den internationella verksamheten vid universitet och högskolor är mycket omfattande, och internationellt samarbete där studenter och forskare möts och utbyter erfarenheter är i många fall en nödvändighet för högkvalitativ forskning och utveckling. Även om öppenhet bör utgöra grunden i internationellt samarbete behöver det enligt regeringen finnas en medvetenhet om behovet av att skydda nationella intressen, kunskap och teknik. I och med det geopolitiska landskapet och en förändrad omvärld är frågan om ansvarsfull internationalisering både ytterst angelägen och högaktuell. Universitets- och högskolerådet (UHR), Vetenskapsrådet och Vinnova fick den 29 juni 2023 i uppdrag att föreslå hur arbetet med ansvarsfull internationalisering inom högre utbildning, forskning och innovation vid lärosäten, statliga forskningsfinansiärer och andra myndigheter kan främjas. Bland annat ska vägledande nationella riktlinjer tas fram och ytterligare former av stöd för kunskaps- och erfarenhetsutbyte mellan lärosäten och statliga forskningsfinansiärer samt andra berörda myndigheter och organisationer föreslås (U2023/02127). En slutredovisning av uppdraget ska lämnas till Regeringskansliet (Utbildningsdepartementet) senast den 15 december 2024.
Vetenskapsrådet ska, enligt förordningen (2009:975) med instruktion för Vetenskapsrådet, samordna, följa upp och främja samverkan i arbetet för öppen tillgång till forskningsdata och varje år publicera en rapport med en samlad kartläggning, analys och bedömning av det nationella arbetet med öppen tillgång till forskningsdata. I 2023 års redovisning konstaterar Vetenskapsrådet att det finns behov av kunskapshöjande insatser och stödhandledning med fokus på god datahantering. I de nationella riktlinjer för öppen vetenskap som Kungliga biblioteket tagit fram på uppdrag av regeringen (U2022/02287) är ett av målen att lärosätena ska tillhandahålla stödjande och kunskapshöjande insatser för att forskningsdata ska tillgängliggöras enligt principen så öppet som möjligt, så begränsat som nödvändigt.
Regeringen hänvisar till att den i budgetpropositionen för 2024 föreslog att 25 000 000 kronor skulle avsättas till Kungliga Tekniska högskolan för att inrätta Cybercampus Sverige i syfte att stärka både kompetensförsörjning och forskning inom cybersäkerhet och att 7 000 000 kronor skulle avsättas till Försvarshögskolan för särskilda utbildningar och forskning inom säkerhetsskydd (prop. 2023/24:1 utg.omr. 16 avsnitt 5.7.65). Riksdagen har beslutat i enlighet med regeringens förslag (bet. 2023/24:UbU1, rskr. 2023/24:103).
Regeringen anger att den arbetar på bred front för att höja informations- och cybersäkerhetsnivån i Sverige. Under 2023 inleddes ett arbete med att ta fram en ny informations- och cybersäkerhetsstrategi. En annan åtgärd har varit att skärpa återrapporteringskraven när det gäller säkerhetsfrågor för myndigheter. Nationellt center för cybersäkerhet (NCSC) startades 2021 och är en samarbetsplattform mellan myndigheter som på olika sätt har uppdrag inom cybersäkerheten. NCSC har till uppgift att stärka Sveriges samlade förmåga att förebygga, upptäcka och hantera antagonistiska cyberhot och andra större it-incidenter. Regeringen anger vidare att en utredare har fått i uppdrag att se över hur NCSC:s arbete kan bli mer ändamålsenligt och effektivt.
Regeringen redovisar vidare att den beslutade den 23 februari 2023 om direktiv till en utredning om genomförande av EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen och EU:s direktiv om kritiska entiteters motståndskraft (Fö 2023:01), där utredaren bl.a. ska överväga om universitet och högskolor, eller ett urval av dessa, ska omfattas av den nya regleringen. I delbetänkandet Nya regler om cybersäkerhet (SOU 2024:18), som överlämnades till Regeringskansliet (Försvarsdepartementet) den 5 mars 2024, föreslås bl.a. en ny lag, cybersäkerhetslagen. Utredaren anser att universitet och högskolor med examenstillstånd borde omfattas av den nya regleringen. Utredningen föreslår att bestämmelserna ska träda i kraft den 1 januari 2025. Regeringen anger att förslaget bereds i Regeringskansliet.
Riksrevisionens rekommendation om att ge MSB i uppdrag att genomföra kompetenshöjande insatser för ledningarna för universitet och högskolor
Regeringen instämmer i Riksrevisionens slutsats att kompetensen om säkerhetsfrågor hos lärosätenas ledningar behöver öka och har, som tidigare nämnts, gett en utredare i uppdrag att biträda Utbildningsdepartementet med att ta fram förslag på vilken kompetens i säkerhetsfrågor som behövs i styrelserna vid universitet och högskolor samt bedöma om det finns behov av ytterligare åtgärder för att öka lärosätenas kompetens i säkerhetsfrågor och i så fall föreslå sådana åtgärder. Utredarens rapport Ökad kompetens i säkerhetsfrågor vid universitet och högskolor (U2024/00153) remitterades den 25 januari 2024. I utredningsrapporten anför utredaren bl.a. att regeringen bör ge Försvarshögskolan i uppdrag att utveckla och genomföra kompetenshöjande insatser för styrelseledamöter och rektorer och att säkerhetsfrågorna bör ges utrymme i de introduktioner som Regeringskansliet ger nya styrelseledamöter respektive myndighetschefer. Regeringen anger att såväl rekommendationen i Riksrevisionens granskningsrapport om att ge MSB i uppdrag att genomföra kompetenshöjande insatser som vad utredaren i sin rapport anför kommer att utgöra underlag i regeringens fortsatta arbete för att säkerställa att lärosätesledningarna har den kompetens som krävs.
Riksrevisionens rekommendation att ge universitet och högskolor i uppdrag att i samverkan inrätta en gemensam stödfunktion för informationssäkerhet
Regeringen anger att behovet av en stödfunktion har uppmärksammats även av SUHF i förbundets Vägledning för implementering av färdplan för öppen vetenskap. I den rekommenderar SUHF att lärosätena överväger att säkerställa en sammanhållen ändamålsenlig, synlig och professionell operativ rådgivnings- och stödfunktion i frågor som rör hantering, lagring, tillgängliggörande och bevarande av forskningsdata. I rapporten Ökad kompetens i säkerhetsfrågor vid universitet och högskolor (U2024/00153) föreslår utredaren att regeringen ska låta utreda hur en stödfunktion i säkerhetsfrågor kan inrättas för universitet och högskolor.
Enligt regeringen kommer den att se till helheten och noga överväga vilka ytterligare åtgärder som behövs för att öka informationssäkerheten och skyddet av forskningsdata vid statliga universitet och högskolor. En gemensam stödfunktion som etableras i samråd med MSB och andra relevanta myndigheter skulle kunna vara en sådan åtgärd, enligt regeringen.
Regeringens åtgärder med anledning av Riksrevisionens iakttagelser
Regeringen anger att de senaste årens förändrade omvärldsläge har medfört att frågor om säkerhet är högt prioriterade av regeringen och att den har vidtagit ett antal åtgärder för att öka medvetenheten om och stärka styrningen i säkerhetsfrågor. I syfte att höja informations- och cybersäkerhetsnivån på nationell nivå har regeringen inlett ett arbete med att ta fram en ny nationell informations- och cybersäkerhetsstrategi. Regeringen har även gett en särskild utredare i uppdrag att se över hur arbetet i NCSC kan styras mer ändamålsenligt och effektivt. Vidare har regeringen tillsatt en utredning om genomförande av EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen och EU:s direktiv om kritiska entiteters motståndskraft (Fö 2023:01), där utredaren bl.a. haft i uppdrag att överväga om universitet och högskolor, eller ett urval av dessa, ska omfattas av den nya regleringen. I utredningens delbetänkande Nya regler om cybersäkerhet (SOU 2024:18) föreslår utredaren att en ny cybersäkerhetslag införs för ett stort antal privata och offentliga verksamhetsutövare. Utredaren gör bedömningen att även statliga universitet och högskolor bör omfattas av den nya lagen. Regeringen anger att förslaget bereds i Regeringskansliet.
I det gemensamma regleringsbrevet för universitet och högskolor för budgetåret 2023 fick lärosätena i uppdrag att återrapportera sitt arbete med informationssäkerhet. Återrapporteringskraven har skärpts i regleringsbrevet för 2024, där regeringen efterfrågar en mer specifik redovisning i fråga om skydd av forskningsdata och vad som görs för att höja medvetenheten och kompetensen inom informationssäkerhetsområdet. Enligt regeringen omfattar återrapporteringen flera av de frågor som Riksrevisionen lyfter fram. Frågor om säkerhet finns även med på agendan vid de årliga myndighetsdialogerna. Vidare har regeringen gett en utredare i uppdrag att se över vilken kompetens i säkerhetsfrågor som behövs i högskolestyrelserna samt föreslå hur det kan säkerställas att sådan kompetens finns hos de ledamöter som utses av regeringen i de statliga universitetens och högskolornas styrelser. Förslagen bereds i Regeringskansliet. Regeringen anger att den i det fortsatta arbetet kommer att se till helhetsbilden och noga överväga vilka åtgärder som behövs för att öka säkerheten vid universitet och högskolor.
Utskottets ställningstagande
Utskottet välkomnar Riksrevisionens granskning av om universitet och högskolor bedriver ett effektivt informationssäkerhetsarbete för att hantera skyddsvärda forskningsdata. Riksrevisionens övergripande slutsats är att lärosätena inte bedriver ett effektivt informationssäkerhetsarbete för detta och att de åtgärder på detta område som hittills vidtagits inte har varit tillräckliga.
Utskottet konstaterar att regeringen i den aktuella skrivelsen instämmer i stort i Riksrevisionens övergripande iakttagelser och analyser. Regeringen anger att den också redan har vidtagit åtgärder för att utveckla styrningen kopplad till lärosätenas arbete i frågor om informationssäkerhet liksom att den kommer att noga överväga vilka ytterligare åtgärder som behövs för att öka informationssäkerheten och skyddet av forskningsdata.
Utskottet instämmer i regeringens slutsats att det är väsentligt att lärosätena får en högre kunskap om och större förståelse för informationssäkerhetsrisker. Utskottet har också noterat att UHR, Vetenskapsrådet och Vinnova har ett pågående regeringsuppdrag om att främja en ansvarsfull internationalisering, bl.a. i form av särskilt stöd till lärosätena.
Utskottet föreslår att riksdagen lägger skrivelse 2023/24:118 Riksrevisionens rapport om informationssäkerhet vid universitet och högskolor – hanteringen av skyddsvärda forskningsdata till handlingarna.
Åsa Westlund (S), Linus Sköld (S), Caroline Helmersson Olsson (S), Anders Ådahl (C), Camilla Hansén (MP), Niklas Sigvardsson (S), Nadja Awad (V) och Paula Örn (S) anför:
Vi ställer oss bakom utskottets ställningstagande. Vi vill i sammanhanget dock peka på några aspekter som vi ser som ytterst väsentliga i det fortsatta arbetet med att stärka lärosätenas informationssäkerhet.
Mot bakgrund av hur regeringen tidigare hanterat dessa frågor, särskilt att förkorta förordningstiden för lärosätenas styrelser, vill vi framföra följande. Vi anser att lärosätena behöver jobba aktivt med de säkerhetspolitiska frågorna t.ex. genom att stärka skyddet av både information och verksamhet. Men detta arbete måste ske samtidigt som den akademiska friheten och grundläggande principer om öppenhet och samarbete värnas. Vår uppfattning är att regeringen har brustit i detta avseende. Regeringens hantering av styrelsefrågan kan också försvåra rekryteringen av kompetenta personer till lärosätenas styrelser i framtiden.
Bilaga
Förteckning över behandlade förslag
Regeringens skrivelse 2023/24:118 Riksrevisionens rapport om informationssäkerhet vid universitet och högskolor – hanteringen av skyddsvärda forskningsdata.