Hoppa till sidans innehåll

Cyber- och informa­tions­­säkerhet – stöd och nätverk

Kommuner och regioner har tillgång till ett brett stöd inom cyber- och informationssäkerhet. Stödet utvecklas löpande för att möta behoven i sektorn och bidra till ett mer systematiskt arbete. SKR ger kommuner och regioner stöd i arbetet.

Här samlas centrala resurser som kan användas i det egna cybersäkerhetsarbete.

Kompetensgemenskap cyber­säkerhet

Kompetensgemenskapen för cybersäkerhet arbeta med fråge­ställningar kopplat till cybersäkerhet med syfte att tillsammans verka för att höja cybersäkerhetsnivån hos Sveriges regioner och kommuner.

Leveranser

Komptensgemenskapen är i under uppstart och arbetar nu med att kvalificera sina förslag på leveranser. Aktuella förslag är följande:

  • Rutin för IT-säkerhetsincidenthantering
  • Vägledning Security operations center, SOC
  • Cybersäkerhetskrav för leverantörer

Utöver detta medverkar gemenskapen i granskning av DIS för IT-säkerhetsincidenthantering

Kommunikation och dialog

Kompetensgemenskapen kommunicerar framför allt via följande kanaler:

  • SKR:s webbplats, Dela digitalt, Kompetensforum(Kompetensforum — Adda
  • Samarbetsytor för Nätverk informationssäkerhet, KIS, och Cybersäkerhet
  • LinkedIn
  • CDO nätverket

Uppdrag och syfte

I Handslaget för välfärdsutveckling genom digitalisering pekas kompetensgemenskaper ut som en viktig strategi för att få den digitala kompetensen att räcka till för alla kommuner. Förutom att arbeta med de specifikt utpekade frågorna ska gemenskapen även förankra och föra tillbaka kunskap och erfarenheter till relevanta nätverk.

Kompetensgemenskaperna bygger på att vissa kommuner och regioner delar med sig av kompetens och arbetstid. Samtliga kommuner och regioner kan ta del av resultaten av gemenskapernas arbete.

Kompetensgemenskapen för cybersäkerhet syftar till att:

  • Avlasta och vägleda kommuner och regioner inom cybersäkerhet och frigör därmed tid till annat.
  • Bidrar till kompetenshöjning inom cybersäkerhet.
  • Underlätta för erfarenhetsspridning inom cybersäkerhet.

Deltagare: Kompetens­gemenskap cybersäkerhet

Kompetensgemenskapen för cybersäkerhet har deltagare från kommuner och regioner samt en representant från SKR och Adda. En referensgrupp är etablerad som bidrar med kunskap och vägledning till kompetensgemenskapernas arbete.

Arbetsgrupp

  • Boden kommun
  • Eskilstuna kommun
  • Habo kommun
  • Höglandsförbundet
  • Mora kommun
  • Norrtälje kommun
  • Trelleborg kommun
  • Upplands-Bro kommun
  • Åre kommun
  • Region Uppsala
  • Region Västerbotten
  • Västra Götalands Regionen
  • Region Örebro län
  • Region Östergötland.

Referensgrupp

  • Kumla
  • IT-kommuner i Skåne AB
  • Olofström
  • Botkyrka
  • Varberg
  • Piteå
  • Flen
  • Tranås
  • Svedala.

Kompetensgemenskap informa­tions­­säkerhet

Kompetensgemenskapen för informationssäkerhet arbetar för att höja informationssäkerheten i Sveriges kommuner och regioner, genom att bland annat tillhandahålla metodstöd och verktygsstöd. Här finns information om deras uppdrag och vilka som ingår.

Leveranser

Kompetensgemenskapen för informationssäkerhet arbetar först och främst med följande leveranser:

  • Ta fram och förvalta ett metodstöd för systematiskt och risk­baserat informationssäkerhetsarbete med checklistor, mallar och exempel.
  • Metodstödets första del har lanserats på SKR:s webbplats och resterande delar i nivå 2–4 publiceras under 2024/2025.
  • Stödmaterial för incidentanmälan till MSB.
  • Stöd och vägledningsmaterial till initiativen i Handslaget för informations­säkerhetsarbetet.
  • Stöd och vägledningsmaterial kopplat till NIS2.

Metodstöd för systematiskt och riskbaserat informations­säkerhetsarbete Länk till annan webbplats.

Kommunikation och dialog

Kompetensgemenskapen för informationssäkerhet kommunicerar framför allt via följande kanaler:

  • SKR:s webbplats, Dela digitalt, Kompetensforum
  • Samarbetsytor för HOSIS och KIS
  • LinkedIn
  • CDO-nätverket

Uppdrag och syfte

I Handslaget för välfärdsutveckling genom digitalisering pekas kompetens­gemenskaper ut som en viktig strategi för att få den digitala kompetensen att räcka till för alla kommuner. Förutom att arbeta med de specifikt utpekade frågorna ska gemenskapen även förankra och föra tillbaka kunskap och erfarenheter till relevanta nätverk.

Kompetensgemenskaperna bygger på att vissa kommuner delar med sig av kompetens och arbetstid. Samtliga kommuner kan ta del av resultaten av gemenskapernas arbete.

Handslag för digitalisering

Kompetensgemenskapen för informationssäkerhet syftar till att:

  • Avlasta och vägleda kommuner, för att kunna frigöra tid till att fokusera på det mer operativa arbetet.
  • Öka kunskapen och förståelsen kring systematiskt informations­säkerhetsarbete
  • Tillhandahålla stöd för att höja informationssäkerheten

Deltagare: Kompetens­gemenskap informations­säkerhet

Kompetensgemenskapen för informationssäkerhet har deltagare från kommuner och regioner, samt en representant från SKR och Adda respektive.

Kommuner

  • Eskilstuna kommun
  • Gävle kommun
  • Härnösands kommun
  • Karlstads kommun
  • Nacka kommun
  • Sandvikens kommun
  • Uppsala kommun
  • Östra Göinge kommun.

Regioner

  • Region Gävleborg
  • Region Halland
  • Region Kronoberg
  • Region Örebro län.

Metodstöd för kommuner och regioner

I metodstödet får du konkreta tips på och exempel om hur din kommun kan utveckla och förbättra organisationens systematiska- och risk­baserade informationssäkerhetsarbete. Det består av fyra nivåer och bygger på erfarenheter från olika verksamheter.

Metodstödet riktar sig i föra hand till informations­säkerhets­samordnare, CISO, informationssäkerhetschef eller liknande. Det kan också användas av andra nyckelpersoner i organisationen som arbetar med informationssäkerhet.

Metodstödet innehåller en checklista med aktiviteter i varje nivå. Varje aktivitet innehåller en kort beskrivning av aktiviteten samt ett fiktivt exempel hur aktiviteten kan genomföras i organisationen.

Avtal och tjänster inom cybersäkerhet

Adda tillhandahåller avtal och tjänster som stödjer kommuner och regioners cybersäkerhetsarbete, exempelvis vid incidenthantering och identifiering av sårbarheter.

Utbildningar inom cybersäkerhet

Cybersäkerhet är en förutsättning för att kommuner och regioner ska kunna bedriva samhällsviktig verksamhet och leverera välfärdstjänster på ett tryggt och tillförlitligt sätt. Genom utbildning kan organisationen stärka kunskap, ansvarstagande och förmåga på olika nivåer – från strategisk styrning i ledningen till praktiskt arbete med informationsklassning och skydd av information.

Cybersäkerhet för högsta ledningen

Utbildningen riktar sig till högsta ledningen och ger en övergripande förståelse för cybersäkerhet som lednings‑ och verksamhetsfråga. Fokus ligger på ansvar, styrning och strategiska vägval samt vilka konsekvenser cyberhot och incidenter kan få för verksamhet, samhällsservice och förtroende.

Cybersäkerhet (NIS2), Adda Länk till annan webbplats.

KLASSA och informationssäkerhet

Utbildningen ger en praktisk introduktion till KLASSA och hur informationsklassning används som grund för ett systematiskt informations- och cybersäkerhetsarbete. Den ger stöd i att identifiera skyddsvärd information och omsätta krav i praktiken i kommuner och regioner.

Effektiv och säker informationsklassning med KLASSA, Adda Länk till annan webbplats.

KLASSA – verktyg för informa­tions­klassning

SKR tagit fram verktyget KLASSA för att stödja kommuner och regioner i deras informationssäkerhetsarbete. Idag är det version 4.0 av verktyget som vi erbjuder kommuner och regioner.

KLASSA kan idag användas kostnadsfritt av kommuner, regioner och statliga myndigheter, samt av bolag som ägs av någon av dessa organisationer.

Informationsklassning är en metod som hjälper verksamheten att välja rätt åtgärder för att skydda information. KLASSA består av följande delar:

  • Informationsklassning
  • Upphandlingskrav
  • Handlingsplan
  • Riskhantering (ny modul under utveckling)

Support för KLASSA

Supporten för KLASSA når du genom att skicka e-post till:

klassa@skr.se

SKR försöker hantera ditt ärende så snart vi kan. Det finns inget supportnummer för telefon. Går ditt ärende inte att hantera via e-post ringer en handläggare upp dig.

Om informations­­klassning

Informationsklassning är en metod som hjälper verksamheten att välja rätt åtgärder för att skydda information. För att förenkla kommuners och regioners genomförande av informations­klass­ningen finns en modul för detta i KLASSA.

Informationsklassning är en aktivitet där till exempel systemägare, verksamhetsansvariga, IT-systemförvaltare och Informations­säkerhets­samordnare arbetar tillsammans. I KLASSA används ”system” som ett praktiskt samlingsbegrepp, men det ska hela tiden vara informationen och verksamhetens process där informa­tionen används som ska vara fokus för arbetet, inte systemet i sig.

När du gör klassningen ska du utgå ifrån hur viktig informationen är för verksamheten, inte funktionaliteten för det system som för tillfället används. Informationsklassning görs utifrån tre olika parametrar:

  • Konfidentialitet, om informationen brister i åtkomstbegränsning.
  • Riktighet, om informationen förvanskas.
  • Tillgänglighet, om informationen inte kan nås.

Informationsklassningen i KLASSA bygger på modellen för informa­tionsklassning i Metodstöd för införande av Ledningssystem för Informationssäkerhet (LIS).

Om modell för informationsklassning, SKR:s Metodstöd för Informationssäkerhet Länk till annan webbplats.

Upphandlingskrav

Efter genomförd informationsklassning erbjuder KLASSA en lista med förslag på informationssäkerhetskrav, som kan användas i samband med en upphandling. Listan på informationssäkerhetskrav behöver gås igenom, för att bedöma vilka krav som passar i sammanhanget.

Handlingsplan

Efter informationsklassningen kan du göra en självskattning som visar vilka åtgärder som behöver vidtas och vilka som redan är genomförda. Resultatet kan tas ut som en handlingsplan, som kan användas både i det praktiska arbetet med förvaltning av enskilda verksamhetssystem och i det systematiska kvalitetsarbetet på övergripande nivå.
Handlingsplan kan gärna integreras i det normala system­förvaltnings­­arbetet. KLASSA ersätter alltså inte andra modeller utan ska ses som förslag med konkreta krav utifrån informationssäkerhet till den modell och process organisationen använder för system­förvaltning och informationssäkerhetsarbete.

Riskhantering (under utveckling)

Riskhantering är en metod som hjälper verksamheten att identifiera, bedöma, prioritera, analysera och förebygga potentiella risker för att skydda sina resurser och vidta lämpliga åtgärder för att minimera, övervaka och kontrollera sannolikheten eller konsekvensen kopplat till oönskade händelser.

Kommande stöd in cybersäkerhet

Utöver det stöd som finns i dag pågår ett arbete med att vidareutveckla och komplettera stödet utifrån kommunernas behov. Arbetet drivs av SKR och Adda i nära dialog med kommuner. Fler insatser kan komma att utvecklas över tid. För närvarande omfattar arbetet bland annat följande inriktningar:

Hösten 2026

  • Startpaket cybersäkerhet – stöd från förståelse till konkret arbete
  • Gemensamt språk och begrepp – stöd för samsyn kring centrala begrepp, roller och ansvar
  • Workshopstöd för nuläge och prioritering – stöd för att identifiera nuläge och ta fram prioriterade åtgärder

Från våren 2027

Ett arbete inleds med att utveckla en mer sammanhållen modell för cybersäkerhetskompetens, med standardiserade och rollanpassade utbildningar samt återkommande insatser.

Kraftsamling kring cybersäkerhet

Kraftsamling kring cybersäkerhet är ett kommungemensamt initiativ som syftar till att stärka kommunsektorns förmåga att förebygga, upptäcka och hantera cyberangrepp. Genom gemensamma angreppssätt och ökad samverkan ska initiativet bidra till en mer likvärdig, robust och långsiktigt hållbar cybersäkerhet i hela landet.

Kraftsamling kring cybersäkerhet

Informationssäkerhet

Informationssäkerhet handlar om att förhindra att information, all data (oavsett form) läcker, förvrängs och förstörs. Det primära är att skydda uppgifternas konfidentialitet, integritet och tillgänglighet.

Information är en av kommuners och regioners mest strategiska resurser. Ett aktivt informationssäkerhetsarbete innebär att säker­ställa att informationstillgångar finns tillgängliga när de behövs, att de är korrekta, och att obehöriga inte får åtkomst till dem. Led­ningen har det högsta ansvaret.

Under de senaste åren har hotbilden, kopplad till informations­säkerhet, kraftigt ökat i samhället. Verksamheten hos kommuner och regioner har påverkats eller slagits ut till följd av olika incidenter som till exempel. IT-angrepp och skadlig kod, och de ekonomiska konsekvenserna av incidenterna ökar.

Avbrott i tillgången till information kan vara kritiskt och felaktig information kan ge allvarliga konsekvenser.

En väl utvecklad och integrerad informationssäkerhet bidrar till att etablera effektiv och ändamålsenlig informationshantering, vilket skapar förtroende både inom och utanför organisationen och direkt bidrar till att

  • möjliggöra digitaliseringssatsningar och underlätta trans­formering
  • undvika incidenter – bygga ett skydd mot it-attacker och läckage av känsliga uppgifter (till exempel personuppgifter)
  • säker verksamhetsstyrning
  • bevara förtroende mot medborgarna
  • införa en metodik och ett arbetssätt för att efterleva lagstiftning och löpande uppföljning.

Ledningen ansvarar för informations­säkerhet

Ansvaret för informationssäkerheten är kopplat till det delegerade verksamhetsansvaret. Det betyder att varje person som är ansvarig för en verksamhet också är ansvarig för informationssäkerheten i denna verksamhet.

Genom att införa informationssäkerhet i relevanta verksamhets­processer uppnår kommuner och regioner en tydlig styrning mot uppsatta mål, ökad kontroll av att fastställda krav uppfylls samt en god informationssäkerhet.

Kort om informations­säkerhet

En animerad film som ger dig en kortfattad introduktion till informa­tions­säkerhet som synliggör några viktiga och tänkvärda frågor inom området. Filmen är 4 minuter och 28 sekunder lång.

Uppföljning och för­bättringar av informations­säkerhets­arbete

SKR:s genomför enkätundersökning för att mäta det systematiska och riskbaserade informationssäkerhetsarbetet hos kommuner och regioner (inom hälso- och sjukvården). Genom det kan SKR utveckla sitt stöd inom informationssäkerhetsområdet.

Resultaten från undersökningarna finns samlade i två rapporter:

Tydliga förbättringar

SKR ser tydliga förbättringar i det systematiska och riskbaserade informationssäkerhetsarbetet hos kommuner och regioner. Det finns en djup och bred förståelse för arbetet, men det är något man hela tiden måste jobba vidare med för att bli ännu bättre. Ledning­arna tar en större roll genom att avsätta mer medel och resurser och det arbetas fler informationssäkerhetstimmar i både kommuner och regioner.

Förutsättningarna förändras

Informations- och cybersäkerhet har fått ökad aktualitet bland annat på grund av nya former av hot och risker. Dessutom har det nyligen presenterats förslag för regeringen om hur EU:s NIS2-direktiv om cybersäkerhet ska införas i svensk lag. I och med det ökar kraven på kommunala och regionala ledningar.

Informations­säkerhets­nät­verket Sveriges Kommuner (KIS)

KIS-nätverket är för personer som arbetar med informations­säkerhet i Sveriges kommuner. Nätverket erbjuder en plattform för erfarenhets­utbyte, kunskaps­delning och samarbete mellan kommuner. I SKR:s samarbetsrum kan medlemmarna dela doku­ment, goda exempel och ställa frågor till varandra. KIS-nätverket bjuder in till två konferenser per år för nätverkande och lärande.

Genom att delta i KIS-nätverket kan du som arbetar med informations­­säkerhet effektivisera ditt arbete, få värdefulla kunskaper och bidra till att stärka informationssäkerheten i Sveriges kommuner. Tillsammans kan vi bidra till ett mer robust och motstånds­kraftigt samhälle.

Delta i nätverket KIS och anmälan

Du anmäler dig till nätverket genom Adrian Henriksson Severin från Stockholms Stad. Att delta i nätverket är kostnadsfritt.

adrian.henriksson.severin@stockholm.se

Nätverket drivs ideellt av kommunrepresentanter. Nätverket har drygt 400 medlemmar från cirka 200 kommuner och strävar efter att inkludera representanter från alla Sveriges kommuner. KIS drivs av ett programråd med 6–10 representanter från olika kommuner samt representanter från SKR och MSB, vilket säkerställer att nät­verkets fokus och aktiviteter är relevanta för kommunernas behov och utmaningar.

Hälso- och sjukvårdens informa­tionssäkerhetsnätverk (HoSIS)

Syftet med HoSIS-nätverket är att stödja regionernas och privata vårdgivares informationssäkerhetsansvariga och jurister genom informationsdelning mellan organisationer och kompetensområden samt att ge möjligheter och incitament till samarbete.

Ett forum för detta finns i SKR:s Samarbetsrum. Här kan du dela med dig av dokument och goda exempel, ställa öppna frågor, ta del av andras erfarenheter med mera.Kallelser till möten sker i Samarbets­rummet.

Delta i nätverket HoSIS och anmälan

Anmälan till nätverket görs till Monica Ask från Region Värmland.

monica.ask@regionvarmland.se

Deltagande i nätverken är kostnadsfritt, men resor och eventuellt uppehälle i samband med fysiska möten betalas av respektive organisation.

Samarbetsrum för nätverken

Vid en anmälan till nätverket kommer du att få en inbjudan att delta i forum/samarbetsrum. För dig som redan medverkar i ett Samarbetsrum kan logga in.

Samarbetsrum för nätverken Länk till annan webbplats.

Publiceringsinformation

Innehåll på sidan

Till toppen av sidan

Meny

Resurser och hjälpmedel

  1. Allmänna bestämmelser
  2. Cirkulär
  3. Evenemangskalender
  4. Handlingar och beslut från SKR
  5. Kollektivavtal
  6. Lärande exempel
  7. Pressrum
  8. Rapporter och publikationer
  9. SKR:s öppna data
  10. Statistik och analys
  11. Taxor
  12. Webbutbildningar

Områden

  1. Arbetsgivarrollen
  2. Arbetsmarknad
  3. Barnets rättigheter
  4. Barn och unga i socialtjänsten
  5. Byggande och bostäder, planering
  6. Civilt försvar och krisberedskap

Webbplatser

  1. 1177
  2. Adda
  3. Equalis