Säkerhetsbrister i offentliga it-system

Anf. 51 Justitie- och inrikesminister Morgan Johansson (S)

Fru talman! Lotta Finstorp har frågat mig vilka åtgärder jag avser att vidta för att så fort som möjligt säkra upp kritisk infrastruktur och täppa igen säkerhetsluckor.

Regeringen är medveten om att det kan finnas brister i informationssäkerheten hos våra samhällsviktiga funktioner. Regeringen är också medveten om att it-angrepp mot olika aktörer i vårt samhälle pågår. Därför genomför den här regeringen en bred kraftsamling för att stärka vår säkerhet. Ett nytt totalförsvar är under återuppbyggnad, och regeringen har vidtagit en rad åtgärder för att stärka vår informations- och cybersäkerhet.

Förra året ökade vi Myndigheten för samhällsskydd och beredskaps, MSB:s, resurser för att stärka samhällets motståndskraft mot it-angrepp, och under 2018 fyrfaldigar vi ökningen och gör den permanent. Även Säkerhetspolisen och Försvarets radioanstalt har fått väsentliga resursförstärkningar.

Regeringen har även i juni 2017 beslutat om Sveriges första strategi för informations- och cybersäkerhet. Implementeringen av strategin påbörjades med en gång, och hittills har regeringen beslutat om ett flertal uppdrag som bidrar till att nå målen i strategin. De handlar bland annat om att bevakningsansvariga myndigheter ska analysera och bedöma sin egen informationssäkerhet.

Vi har även infört obligatorisk it-incidentrapportering för statliga myndigheter. Dessutom kommer ännu fler leverantörer av samhällsviktiga tjänster att bli skyldiga att rapportera allvarliga it-incidenter och vidta säkerhetsåtgärder. Denna skyldighet träder i kraft när EU:s direktiv om åtgärder för en hög gemensam nivå av säkerhet i nätverk och informationssystem, det så kallade NIS-direktivet, har genomförts.

Vi skärper även kontrollen av statliga myndigheters utkontraktering och överlåtelse av säkerhetskänslig verksamhet genom att regeringen inför en samrådsplikt med Säkerhetspolisen eller Försvarsmakten och en möjlighet för dem att besluta att myndigheten inte får genomföra upphandlingen.

Men det räcker inte. Regeringen tar därför initiativ till ytterligare nya åtgärder för att stärka samhällets motståndskraft mot it-angrepp. En nationell kampanj om informationssäkerhet riktad mot allmänhet och småföretagare ska genomföras, och länsstyrelsernas förmåga att stödja kommunerna i deras arbete med informationssäkerhet ska öka.

De åtgärder regeringen har vidtagit under mandatperioden är därmed viktiga steg för att stärka informationssäkerheten.

(forts.)

Anf. 52 Lotta Finstorp (M)

Fru talman! Jag tackar ministern för svaret. Upprinnelsen till att jag skrev denna interpellation var en granskning som Ekot i Sveriges Radio gjorde. De kartlade säkerhetsbrister i offentliga it-system.

Det som då framkom var oerhört oroande. Det visade sig att tusentals sårbara system fanns i ett flertal myndigheter, kommuner och företag som bland annat har hand om avlopp, brandlarm och fjärrvärme. Dessutom visade det sig att flera svenska kraftverk har allvarliga säkerhetsbrister.

Detta gjorde att jag funderade på vilken framförhållning och vilken kunskap som finns ute i kommuner och landsting för att säkra upp cybersäkerheten och informationssäkerheten. När vi talar om totalförsvaret måste man naturligtvis även på lokal och regional nivå säkra upp dessa system. Det visade sig i Ekots granskning att många vind- och vattenkraftverk saknade lösenord. Det gick alltså att styra dessa verk utan att man hade lösenord. Dessutom var det oklarheter. Man hade inte gjort säkerhetsanalyser om hur en angripare eventuellt skulle kunna påverka dessa verk.

Verksamhetschefen för cybersäkerhet och skydd av samhällsviktig verksamhet menar att Sverige har tappat i säkerhet. Jag har sett även i andra rapporter att vi har legat i framkant i fråga om digitalisering. Nu börjar andra länder komma ifatt oss. Så blir det naturligt, därför att de har legat långt bakom oss. Men vi kanske borde ta ett steg till framåt.

Det visar sig också att industrin inte heller har arbetat på ett bra sätt med dessa sårbarhetsfrågor och måste få direktiv om hur de ska göra.

I våras skedde en cyberattack mot kommuner. Det var framför allt i Storbritannien. Men även till exempel Timrå kommun råkade ut för ett sådant riktigt avbrott. I min kommun - Flens kommun - har vi också haft en sådan attack som slog ut det mesta. I Falkenberg låg minst fem avloppsbrunnar öppna på internet, vissa med ingen säkerhet och andra med minimal säkerhet. Att vattnet inte blir korrekt renat är en mardröm för varje kommun och dess invånare.

En väl fungerande informations- och cybersäkerhet är grundläggande för att samhället ska kunna fungera i både freds- och krigstid. Vi har från moderat håll bland annat föreslagit att man ska samla och tydliggöra detta genom att inrätta exempelvis ett myndighetsråd. Vi ser också att man borde samla detta hos Regeringskansliet i stället för att ha det på departementsnivå. Samma sak gäller hos kommunerna, det vill säga att man lägger det på kommunledningen och inte på till exempel en samhällsbyggnadsnämnd. Det måste vara något som täcker det totala.

MSB har mycket bra rekommendationer till kommunerna när det gäller vad de måste se över. Det är bland annat att utse en funktion för informationssäkerhet. Det första som funktionen måste göra är att ta fram en analys av hur nuläget ser ut och hur man ska kunna arbeta med det som kommer fram i nulägesanalysen. Man måste skapa en handlingsplan, man måste ta fram styrdokument och man måste ha policyer som greppar över samtliga funktioner.

Då undrar jag: Hur ser läget ut i Sveriges kommuner i dag? På vilket sätt följer regeringen arbetet, och har offentlig sektor de resurser som krävs för att säkerställa de nödvändiga åtgärderna?

Anf. 53 Pål Jonson (M)

Fru talman! Även jag vill tacka justitieministern för svaret på interpellationen.

Robotik, automation och framför allt digitalisering är begrepp som kommer att forma samhället i allt större omfattning i framtiden. Det skapar naturligtvis enorma möjligheter men också mycket stora sårbarheter. Därför tror jag att vi behöver arbeta mer med att skydda de system som möjliggör digitaliseringen. Om dessa system havererar kan de nämligen ibland i bästa fall lamslås och i värsta fall skada oss, framför allt om cyberangreppen är inriktade på styrsystem och på att skada system för kritisk infrastruktur, till exempel energisäkerhet eller vattenkraft.

Motsägelsen för Sverige är att vi är duktiga på digitalisering men svaga på cybersäkerhet. En rapport som presenterades på World Economic Forum för två år sedan pekade på att Sverige var världens tredje mest digitaliserade land men att vi inte ens låg på topp 20 när det gällde vår förmåga att utveckla cybersäkerhetsförsvar. I grunden skapar det sårbarheter och framför allt stora beroenden med en låg säkerhet. Det är ingen bra kombination.

Varför är det så? Det är säkert delar av vår förvaltningskultur som har gjort att vi inte har varit så bra på att bygga upp cybersäkerheten. Men jag vågar påstå att det finns en viss koppling till den aningslöshet som också har präglat delar av det militära försvaret. Det civila försvaret tror jag också har präglat en del av arbetet kopplat till informations- och cybersäkerhetsinriktningen. För detta finns det en stor skuld hos båda de politiska blocken över årtionden, eftersom vi faktiskt har underskattat de hot, risker och sårbarheter som är kopplade till detta område.

Justitie- och inrikesministern nämner nu en lång rad åtgärder som regeringen har vidtagit på detta område. Mycket av det tycker jag är bra. Men jag har några synpunkter på svaret som jag skulle uppskatta att få lite förtydliganden om. Jag vill framför allt få klarhet i om vi har samma problembild.

Ministern säger att det kan finnas brister i informationssäkerheten hos våra samhällsviktiga funktioner. Jag vågar påstå att det är en underdrift, för att uttrycka mig milt. Jag hade nog förväntat mig lite tydligare svar, inte minst med tanke på det haveri som ägde rum på Transportstyrelsen 2015 och sedan när regeringen skulle hantera denna fråga inom Regeringskansliet, men framför allt eftersom årsrapporterna från Must, FRA och Säpo från 2017 så tydligt pekar på de stora brister som finns i cybersäkerhetsskyddet i Sverige. Det handlar om bristande förmåga till säkerhetsanalys av vad som är skyddsvärt. Det handlar om brister i it-infrastruktur. Och det handlar om bristande säkerhetskultur på detta område.

Det finns alltså mycket att göra. När det gäller ministerns svar undrar jag om han står bakom Säpos - hans egen expertmyndighet - värdering av att det faktiskt finns stora brister i informations- och cybersäkerheten i Sverige.

Fru talman! Avslutningsvis vill jag rikta en specifik fråga kopplad just till Lotta Finstorps interpellation om situationen i kommunerna. Som justitieministern vet har MSB 2015 utvärderat informationssäkerheten i våra 290 kommuner. Man kom fram till att det i sju av tio kommuner i Sverige saknas ett systematiskt arbete med informationssäkerhet. Detta är naturligtvis mycket allvarligt.

Ministern nämner i svaret att han anser att man ska ha en informationsstrategi riktad till företagare och mindre företag och att länsstyrelserna ska få ett större ansvar kopplat till kommunernas cybersäkerhet. Det kan säkert vara bra. Dock bedömer jag att det kommer att kräva en översyn också av regleringen och av tillsynen hos kommunerna när det kommer till informationssäkerhet. Jag skulle därför vilja ha ministerns kommentar till dessa synpunkter.

Anf. 54 Justitie- och inrikesminister Morgan Johansson (S)

Fru talman! Jag tackar Lotta Finstorp för interpellationen som jag tycker belyser ett aktuellt och mycket viktigt ämne, nämligen den nya tekniken. Vi säger fortfarande den nya tekniken även om det är ett tag sedan den introducerades. Den har varit ett fantastiskt redskap, och är ett fantastiskt redskap, som har gett oss enorma vinster. Det är precis som har påpekats i debatten, det vill säga att Sverige har legat i framkant av utvecklingen när det gäller digitaliseringen och denna nya teknik.

Det gör oss dock också, som ni har påpekat, väldigt sårbara. Vi blir sårbara för angrepp från främmande makt, vilket ju är det mer försvarspolitiska perspektivet. Det handlar om risken att främmande makt tar sig in i våra system och därmed kanske använder dem för att störa oss i största allmänhet - men kanske också för att förbereda ett värre väpnat angrepp därefter. Det kan så att säga vara upptakten till en sådan utveckling.

Vi blir också sårbara för terroristverksamhet. Det är klart att risken finns där också, att någon kan ta sig in i våra system, förstöra dem och skada oss. Sedan finns det även risk för hackare av olika slag, och Lotta Finstorp pekar på ett par sådana fall som vi har haft där man har tagit sig in i systemen och därefter idkat utpressning. Vi har som nation inte ägnat detta tillräcklig uppmärksamhet. Det håller jag gärna med om.

Det är precis därför vi nu genomför en välbehövlig uppryckning, och då vill jag ändå peka på att så gott som allt vi nämner har dragits igång under den här perioden. Det gjorde vi efter att vi tillträdde. Vi har en incidentrapporteringsskyldighet, vilket vi inte hade tidigare. Från 2016 måste alla statliga myndigheter rapportera in när de råkar ut för denna typ av incidenter, så att vi kan få ett grepp om vilken typ av attacker vi eventuellt utsätts för.

Vi har från juni 2017 en särskild nationell strategi för samhällets informations- och cybersäkerhet. Det fanns inte heller tidigare. Ett utflöde av det blev att alla bevakningsansvariga myndigheter ska analysera sina egna strukturer för att se vilka sårbarheter som finns, och de ska rapportera till regeringen den 1 mars 2018, alltså om bara någon månad. I den delen har man tagit hjälp av MSB. Vi har gett ett särskilt uppdrag till MSB och Socialstyrelsen att i samarbete med SKL se över hälso- och sjukvården, det vill säga de risker som finns där och som eventuellt skulle kunna utnyttjas av olika intressen för att skada oss.

Sedan har vi också kommunerna i det stora. Där finns det mycket som kan påverkas; ni har nämnt elförsörjning och vatten- och avloppsförsörjning, som ju är vitala verksamheter som man skulle kunna angripa. Regeringen gav ju MSB i uppdrag - faktiskt redan i regleringsbrevet 2015, alltså mycket fort efter att vi tillträtt - att ta fram de rekommendationer till kommunerna som Lotta Finstorp nu hänvisar till. De togs fram till januari 2017. Det är alltså ingen tillfällighet att de rekommendationerna finns, utan det är på grund av att vi tog tag i detta efter att vi tillträtt.

Jag säger också i mitt svar nu att vi inom kort kommer att ge ett särskilt uppdrag till MSB att förbättra kommunernas informationssäkerhet, det vill säga hjälpa till med det tillsammans med länsstyrelsen. Det uppdraget kommer som sagt att meddelas nu om bara några veckor. Vi anvisar också pengar till detta - 10 miljoner kronor för 2017 och 40 miljoner kronor för 2018. Men vi ska komma ihåg att detta är en del av den stora satsning vi gör på det civila försvaret, som totalt uppgår till 1,3 miljarder för 2018, 2019 och 2020.

Anf. 55 Lotta Finstorp (M)

Fru talman! Det är intressant att höra vad ministern tar upp i sina inlägg, för vi har ju mycket samsyn och ser samma problematik. Regeringen har ändå tagit, kan man väl säga, ganska god tid på sig att få fram den nationella strategin. Vi är till exempel det sista landet i EU som tar fram en sådan.

Det beror säkert på att vi i decennier har levt i en aningslöshet - tillsammans; där får väl vi ta på oss en del också, naturligtvis. Nu går vi dock mer och mer in i skarpt läge. Jag kan ta ett exempel, nämligen när min kommun för några månader sedan blev helt utan el. Det var en stor huvudledning som hade grävts av, så det var inte en terrorattack, men till exempel kunde hemtjänsten inte komma in till de gamla. Hemtjänsten har nämligen taggar som öppnar dörrarna med el, och det fanns ingen reservkraft. De äldre som behövde hjälp från hemtjänsten kunde alltså inte få det den dagen, eftersom personalen helt enkelt inte kom in.

Allt sådant måste man ju analysera på ett väldigt noggrant och tydligt sätt ute i kommunerna. Jag tror att framför allt de mindre kommunerna - som Flens kommun, som jag representerar - behöver hjälp. Det är bra att det finns ekonomiska resurser, men det måste också finnas personella resurser så att man kan få tjänstemän som hjälper till med detta. Om något inträffar inom hälso- och sjukvården kommer det att få väldigt stora effekter eftersom mycket är digitaliserat i vården.

Jag hoppas verkligen att alla tar det som måste ske på största allvar. Man måste analysera, man måste ha handlingsplaner och man måste veta exakt vad man gör när det händer - för det kommer att hända. Vi tycker att regeringen har tagit viktiga steg i strategin men att den inte når hela vägen fram. Jag vill citera min kollega Pål Jonson, som i försvarsutskottets debatt sa:

"Den här strategin är rik på mål. Den innehåller 66 mål fördelade på 32 sidor. En välvillig tolkning av detta är att regeringen har mycket höga ambitioner på cybersäkerhetsområdet. En annan och i mina ögon mer sannolik tolkning är att regeringen helt enkelt inte orkat prioritera eller vara tydlig i den politiska styrningen vid framtagandet av dokumentet på Regeringskansliet. Om allt är prioriterat är inget prioriterat."

Jag skulle gärna vilja att ministern kommenterade någonting om hur dessa mål är kopplade till hur de ska genomföras och med vilka medel.

Både informations- och cybersäkerheten i Sverige beskrivs i utredningen. Man pekade också på att LOU, lagen om offentlig upphandling, kan vara ett problem vid offentliga aktörers upphandling av it-drift då frågan om it- och informationssäkerhet kan prioriteras ned för att få lägre pris. Ja, det är ju allmänt känt att man ofta handlar upp till lägsta pris. Därför har vi förslag om att regeringen bör se över hur offentliga aktörer ska kunna använda sig av "lufsen", det vill säga lagen om upphandling på försvars- och säkerhetsområdet, i större utsträckning. Det skulle nämligen kunna underlätta för många om man använde den i stället för LOU, för att säkerställa att det blir hög kvalitet i de nödvändiga systemen. Jag skulle vilja ha kommentarer kring det.

Det är många aktörer som säger att man skulle behöva ha en gemensam, statlig molntjänst för myndigheternas it-drift. Då kan jag tänka så här: Jag tror att det skulle vara bra, men samtidigt kan ju molntjänster vara väldigt sårbara - händer något i molntjänsten är det mycket som slås ut. Även FRA har ju förordat en molntjänst för Sveriges myndigheter och de statliga bolagen. Det skulle jag också vilja höra ministern kommentera.

Anf. 56 Pål Jonson (M)

Fru talman! Jag vill börja där jag slutade, nämligen med kommunernas roll. Det är ändå så att de 290 kommunerna i Sverige, tillsammans med de 47 bevakningsmyndigheterna inom det civila försvaret och tillsammans med Försvarsmakten, ska skapa totalförsvaret gemensamt. Det är en form av ekosystem med många och stora beroenden mellan delarna. Ingen kedja är ju starkare än sin svagaste länk, brukar det heta, och det är framför allt i detta sammanhang som kommunernas bristande informations- och cybersäkerhet är så allvarlig.

I grunden har det två skäl. För det första kommer det att krävas att Försvarsmakten, länsstyrelserna, bevakningsmyndigheterna, landstinget och kommunerna kan kommunicera med varandra på ett säkert sätt. Det kommer att krävas att man förstärker informations- och cybersäkerheten. I dag kan dessa aktörer inte kommunicera med varandra, och det är en stor brist. För det andra krävs det ett mycket omfattande informations- och cybersäkerhetsarbete för att kommunerna ska kunna hantera sekretessbelagd information, och det kommer de att behöva göra i väsentligt högre grad än förr. De kommer nämligen att bli en mycket viktigare aktör inom ramen för totalförsvaret.

Det är alltså mot bakgrund av detta jag till del identifierar kommunerna som den svaga länken inom det civila försvaret och totalförsvaret. Det är därför jag tror att vi behöver lägga kraft på det, och jag tror att vi måste vara öppna för att reglera. Vi behöver hitta bra tillsynsmodeller för kommunerna, så att vi kan skala upp skyddet där.

Jag vet även att vi snart kommer att få en ny säkerhetsskyddslag på riksdagens bord. Det är bra - den gamla är från 1996, och världen ser väldigt annorlunda ut i dag - men jag undrar om några åtgärder också vidtas i säkerhetsskyddslagen för att faktiskt stärka kommunernas informations- och cybersäkerhet.

Anf. 57 Justitie- och inrikesminister Morgan Johansson (S)

Fru talman! Det är klart att man alltid kan kritisera på temat att något borde ha gjorts tidigare, att det har gått för långsamt och så vidare. Samtidigt har ju allt jag redovisar här tillkommit under vår mandatperiod.

Det gäller incident- och rapporteringsskyldigheten, den särskilda strategin kring informations- och cybersäkerhet i juni 2017 och uppdraget till alla bevakningsansvariga myndigheter att gå igenom sina egna strukturer och säkra dem. Det är samma sak med hälso- och sjukvårdsexemplet. Det är som sagt ingen tillfällighet att uppdraget i regleringsbrevet till MSB när det gäller rekommendationer till kommunerna kom 2017, utan det är ett utflöde av att vi tog tag i detta redan i början av vår mandatperiod. Nu kommer dessutom ytterligare ett uppdrag till MSB som handlar om att hjälpa och stötta kommunerna för att man ska kunna arbeta bättre med detta.

Om Lotta Finstorp frågar efter hjälp till Flen är detta ett svar på det. Det kommer att finnas ett uppdrag till MSB att tillsammans med länsstyrelserna och i samarbete med SKL göra just detta.

Allt det jag redovisar har tillkommit under denna regerings period. Om jag skulle säga någonting om vad som hände på detta område under de borgerliga åren skulle det bli väldigt tomt. Det skulle bli alldeles tyst, för det hände så gott som ingenting.

Nu går vi vidare - detta rör ju bara uppdragen.

Som Pål Jonson påpekade kommer en ny säkerhetsskyddslag, som alla aktörer som hanterar känsliga uppgifter av olika slag omfattas av. Detta innefattar också delar av den kommunala verksamheten.

Vi kommer dessutom att bygga ut säkerhetsskyddslagen med sanktionsmöjligheter, så att det ska finnas sanktioner att ta till mot dem som inte följer säkerhetsskyddslagen. Stefan Strömberg utreder just nu denna fråga.

Riksdagen kommer att få ytterligare ett lagstiftningsärende under våren, nämligen implementeringen av NIS-direktivet. Lagrådsremissen är alldeles snart färdig - vi är på väg fram med denna. Det innebär i detta avseende bland annat högre krav på elnätsföretag, elleverantörer och elföretag samt på dem som hanterar dricksvatten, eftersom de omfattas av detta. Det omfattar också privata verksamheter generellt sett.

Här finns också sanktionsmöjligheter, bland annat sanktionsavgifter från 5 000 kronor ända upp till 10 miljoner kronor, som stärker detta totalt sett.

Vi har precis beslutat om en särskild samrådsplikt och vetorätt för Säkerhetspolisen och Försvarsmakten i de fall där någon myndighet tänker sig att lägga ut säkerhetskänslig verksamhet på entreprenad och att sälja ut eller kontraktera ut den. I sådana fall ska Säpo och Försvarsmakten få titta på det hela.

Det finns alltså en samrådsplikt. Om Säpo eller Försvarsmakten säger att den berörda myndigheten inte kan göra på det sätt som föreslås, eftersom det äventyrar rikets säkerhet, har de också en vetorätt som ska åtlydas. Då blir utkontrakteringen inte av.

Detta är ett väldigt skarpt instrument varmed man bryter av den tidigare utvecklingen, där man skulle privatisera och utkontraktera allting, mest för att det skulle vara så. Nu säger vi att den tiden är förbi. Nu säger vi att det är säkerheten först som gäller, och därför ska Säpo och Försvarsmakten ha denna möjlighet.

Resursfrågan var jag inne på senast. År 2017 gick vi för första gången ut med pengar till MSB, och det blir ett påslag på ytterligare 10 miljoner för 2018. Vi bygger också upp det civila försvaret med 1,3 miljarder från 2018 till 2020.

Anf. 58 Lotta Finstorp (M)

Fru talman! Dessa medel finns, om jag är korrekt underrättad, i försvarsöverenskommelsen. Det är alltså någonting som vi har gjort gemensamt - vi har sett att det är en viktig fråga. Alliansregeringen tillsatte ju dessutom utredningen 2011.

Incidentrapportering är ju ett EU-krav. Det är bra att vi går i takt med övriga EU-länder. Jag tänker mig att cyberattacker inte bara är någonting som sker innanför landsgränserna utan någonting som slår brett.

Jag tycker att frågan om molntjänster är ganska intressant och helt klart någonting som man borde titta ytterligare på utifrån en analys med konsekvensbeskrivning och så vidare.

Det är också viktigt att vi har breda politiska uppgörelser i frågor inom försvars- och säkerhetspolitiken. Det har tjänat oss väl mot yttre hot och kommer att göra det även framöver, men tyvärr saknas en bred parlamentarisk samsyn om hur vi ska hantera dessa frågor. Dessutom blir det allvarligt när inte ens regeringen talar med en gemensam röst i dessa för Sveriges framtid viktiga frågor.

Jag tycker att det som FRA har beskrivit är oerhört alarmerande: Sverige utsätts för runt 10 000 statssanktionerade cyberaktiviteter i månaden. Jag känner att kommunerna måste ligga på och att de måste få allt stöd och all hjälp som de kan få.

Vi har alltså en växande hotbild, vilket såväl FRA som Must och Säpo pekar på i sina årsrapporter.

Det är också viktigt att Regeringskansliet är organiserat så att man kan härbärgera dessa stora frågor, så att det finns bra rutiner för hur man ska göra när det händer någonting och så att alla vet vad de ska göra. Vi har talat om en cybersäkerhetskoordinator, som vi tror skulle kunna hålla ihop arbetet med dessa viktiga frågor.

Anf. 59 Justitie- och inrikesminister Morgan Johansson (S)

Fru talman! Jag vill börja med frågan om molntjänster och en gemensam molntjänst. Jag utesluter inte detta, men jag ser precis samma risk som Lotta Finstorp med att lägga alla ägg i samma korg. Då måste man försäkra sig om att detta verkligen är väldigt säkert.

Jag utesluter dock inte att man kan behöva gå den vägen. Jag vet att detta har föreslagits från en del av våra myndigheter, och jag tittar gärna vidare på denna fråga. Jag vill ha en bred samsyn när det gäller detta. Som Lotta Finstorp påpekade är de pengar som nu går ut en del av den uppgörelse som träffades i höstas.

Skälet till att jag blev lite gramse i mitt förra inlägg var att jag tyckte att Lotta Finstorp kritiserade oss för att vi var långsamma. Jag ville bara påpeka att vi har gjort allt detta och att vi fortsätter med det här jobbet. Det finns inget skäl att träta om detta när vi inte behöver göra det. Det är bra - det finns en bred uppgörelse i botten.

När det gäller Regeringskansliets organisation vill jag - eftersom jag vet att detta är något som diskuteras - säga att denna fråga sköts av Justitiedepartementet, som har hand om krishanteringsfunktionen. Vi har frågat de tjänstemän som jobbar med detta om det är bättre att det ligger hos Justitiedepartementet än att det ligger hos Statsrådsberedningen, och de har varit samstämmiga i att det är bättre att det ligger hos Justitiedepartementet.

Dessa tjänstemän har jobbat under båda ordningarna. Deras syn på saken beror på att vi har nära tillgång till en del av det som måste fungera, alltså till de myndigheter som är närmast berörda: räddningstjänsten, MSB och polisen. Vi har helt enkelt en mer myndighetsnära kontakt och kan därmed agera mycket snabbare och effektivare. Detta är den bedömning som de gör.

Tack för debatten, fru talman! Jag tycker att den har varit väldigt bra.

Överläggningen var härmed avslutad.