Effektivitet och motiv till reformer

Reformer och satsningar, vare sig de gällt servicecenter eller digitala marknadsplatser för molntjänster, har motiverats på flera olika sätt. Offentliga besparingar har lyfts fram som den huvudsakliga anled- ningen till satsningarna i flera av länderna.

Som exempel uppskattade Storbritannien i sin molntjänststrategi från år 2011 att G-Cloud skulle leda till besparingar om 340 miljoner brittiska pund under perioden 2011–2015 (från G-Cloud och data- centerkonsolidering).46 _{Någon utvärdering har dock inte gjorts ex-}

post för att uppskatta vilka besparingar som faktiskt har uppnåtts. GDS framhåller nu i efterhand att de bedömer att de primära nyttorna med en ökad molntjänstanvändning främst har varit en moderni- serad driftsmiljö och förbättrad skalbarhet i offentliga digitala tjänster. Till exempel har den ökade efterfrågan på vissa offentliga digitala tjänster under coronapandemin inte varit möjlig att hantera utan skalbarheten i molntjänster. Det finns dock specifika exempel på verksamheter som sänkt sina kostnader. Exempelvis har den verksam- het som arbetar med migrationsfrågor på Inrikesdepartementet (Home Office) lyckats sänka sina kostnader med 40 procent. Besparingen uppstod som en konsekvens av optimerad användning av de moln- tjänster departementet redan tidigare använde.47 _{Det går med andra}

ord inte att säga att besparingen uppstod till följd av övergång från egen drift till molntjänster.

Norge har bedömt att det finns stora samhällsekonomiska vinster med att införa en marknadsplats för molntjänster. Dessa besparingar avser perioden under åren 2019–2029 och arbetet med att etablera själva marknadsplatsen pågår för närvarande. Företrädare på Digidir i Norge understryker att den nuvarande molntjänststrategin både syftar till att effektivisera och att skapa bättre förutsättningar för innovation.

46 _{Storbritanniens regering (2011b).} 47 _{Storbritanniens regering (2019e).}

SOU 2021:1 Omvärldsanalys

Digitaliseringsstyrelsen i Danmark framhåller att potentialen i att koncentrera viss it-verksamhet till Statens IT, samt av ökad använd- ning av kommersiella molntjänster, först och främst har varit bättre förutsättningar att utveckla nya tjänster och lösningar. Den privata molntjänst Statens IT planerar att etablera under 2020 (GovCloud) motiveras på flera olika sätt såsom lägre kostnader, förenklad han- teringen av dataskydd, men även att kunna bibehålla och stärka viss teknisk kompetens inom staten. Digitaliseringsstyrelsen betonar också att användning av kommersiella molntjänster inte utan vidare leder till lägst kostnader.

I Nederländerna och Finland har revisionsmyndigheter i de båda länderna granskat satsningarna på att koncentrera resurser, upp- handlingar och processer avseende it till servicecenter. Det reform- program som låg till grund för SSC-IT i Nederländerna syftade till att konsolidera antalet datacenter i statsförvaltningen för att minska kostnader. Riksrevisionen i Nederländerna har dock konstaterat att fördelarna med reformen ännu inte är tydliga. Det bör även betonas att granskningen inte specifikt fokuserat på it-drift. Företrädare på ODC-Noord i Nederländerna framhåller att inrättandet av statliga datacenter skapat bättre förutsättningar för en säker och hållbar digitalisering i statsförvaltningen.

I Finland har Statens Revisionsverk granskat reformen bakom Valtori men har inte kunnat påvisa tydliga kostnadsbesparingar till följd av effektiviserad it-drift. Det finländska Finansdepartementet tillstod visserligen att erbjudna driftstjänster var dyrare än på mark- naden, vilket Revisionsverkets granskning visat, men att skillnaden delvis kunde förklaras med att Valtori har högre kostnader för säker- hetsskydd i jämförelse med privata tjänsteleverantörer.

Länderna i omvärldsanalysen har belyst flera andra nyttor än kost- nadsbesparingar med de genomförda reformerna, däribland

– att ökad användning av kommersiella molntjänster (som alterna- tiv till it-drift i egen regi) samt konsolidering av offentliga data- center sannolikt leder till lägre elförbrukning,

– att det råder brist på nyckelkompetenser inom it i förvaltningen och att åtgärder för att underlätta upphandling av molntjänster, alternativt för att bygga upp servicecenter med åtagande för it- drift, gör att förvaltningarna kan dra nytta av kompetens från

Omvärldsanalys SOU 2021:1

162

näringslivet respektive vidmakthålla och stärka relevant kompe- tens inom förvaltningen,

– att servicecenter, men även marknadsplatser med förkvalificerade molntjänstleverantörer, skapar effektiva förutsättningar att ställa krav på leverantörer.

Sammanfattningsvis skiljer sig beskrivningen av målen för satsning- arna åt i de studerade länderna före respektive efter att de har genom- förts. Vissa skillnader beror sannolikt på vem som tillfrågats och möjligheten för intervjuade att nyansera bakgrunden till satsning- arna, jämfört med hur målen för satsningarna ursprungligen formu- lerats i strategier och politisk kommunikation.

För Danmark, Finland och Nederländerna ligger resultatet i linje med forskning om Shared Service Centers i OECD-länder som visar att servicecenter etablerades i flera länder för att åstadkomma kost- nadsbesparingar. I efterhand har dock andra nyttor, som t.ex. för- bättrad leveranskvalitet lyfts fram när det varit svårt att påvisa kost- nadsbesparingar.48

Sammanfattningsvis kan vi konstatera att det har visat sig svårt att påvisa kostnadsbesparingar till följd av genomförda satsningar och reformer i de studerade länderna. Detta beror delvis på metod- problem då flera av länderna inte genomfört utvärderingar före (och) eller efter satsningarna, varför det inte går att säga något om kost- nadsutvecklingen. Till metodproblemet hör även att den producerade varans (it-drift) karaktär och de offentliga verksamheternas behov förändrats över tid, vilket gör det svårt att följa dess kostnadsutveck- ling över tid. Flera av länderna har dock identifierat andra kvalitativa nyttor med de satsningar som genomförts, som förbättrade förutsätt- ningar till digital utveckling, underlättad kompetensförsörjning och kravställning på leverantörer vilket lett till bättre informationssäker- het och kvalitet.

Två viktiga slutsatser är även att de beskrivna strategierna utgör komplement till varandra samt att flera av länderna betonar vikten av att börja smått och med standardiserade lösningar för att lyckas med en samordnad statlig it-drift.

SOU 2021:1 Omvärldsanalys

5.8.2 Informations- och cybersäkerhet

De studerade ländernas informations- och cybersäkerhetsstrategier syftar på en övergripande nivå till att främja ett riskbaserat arbets- sätt. Eftersom privata aktörer både svarar för många samhällsviktiga funktioner och offentlig förvaltning är beroende av it-tjänster och produkter från privat sektor, behöver informations- och cybersäker- hetsarbete bedrivas i offentlig-privat samverkan, vilket ländernas strategier ger uttryck för.

Sett till organiseringen hanteras frågor om informations- och cybersäkerhet av olika departement i de studerade länderna. I Neder- länderna och Norge är Justitie- och säkerhetsdepartementet respektive Justitiedepartementet ansvarigt, i Danmark Försvarsdepartementet, i Finland Kommunikationsdepartementet och i Storbritannien Stats- rådsberedningen (Cabinet Office). Det bör dock poängteras att frå- gorna i praktiken även hanteras på andra departement då de över- lappar med andra politikområden.

I takt med att it- och cybersäkerhetsfrågor fått allt större bety- delse har verksamheter som arbetar med frågorna i förvaltningarna konsoliderats till särskilda myndigheter. Danmark inrättade Center for Cybersikkerhed år 2012 (CFCS), Nederländerna inrättade NCSC år 2012 och Storbritannien inrättade ett center med samma namn år 2016. I Finland ligger det samordnande ansvaret för it-säkerhets- frågor på NCSC-FI, som är del av Kommunikationsverket. I Norge ligger samordningsansvaret på Nasjonalt cybersikkerhetssenter som är del av den nationella säkerhetsmyndigheten som etablerades år 2018. Trenden mot nationellt utpekade myndigheter och center med ansvar för it- och cybersäkerhet har sannolikt drivits av behovet att underlätta samverkan samt av krav på utpekade kontaktpunkter i enlighet med NIS-direktivet.

Samtliga intervjuade i omvärldsanalysen lyfter en liknande proble- matik med osäkerhet avseende de rättsliga förutsättningarna för utkontraktering av it-verksamhet. Ingen av länderna har i dag gene- rella förbud för sina offentliga verksamheter mot att utkontraktera it-drift eller att använda sig av publika molntjänster. I takt med att osäkerheten blivit problematisk har flera av länderna agerat inom befintliga strukturer och regelverk. Exempelvis håller Statens IT i Danmark på att lansera GovCloud (delvis motiverat med underlättad personuppgiftshantering). Norge har genomlyst lagstiftning som på-

Omvärldsanalys SOU 2021:1

164

verkar möjligheter att lagra och bearbeta data utanför Norge och Nederländerna har på departementsnivå förhandlat med Microsoft i dataskyddsfrågor.

Det är möjligt att koncentreringen av resurser, upphandlingar och processer till servicecenter i Danmark, Finland och Nederländerna gör det möjligt att koncentrera kompetens inom informations- och cybersäkerhet, samt att samordna it-säkerhetsrelaterade krav vid upphandling och utveckling, på ett mer effektivt sätt än vad som annars vore möjligt. Även digitala marknadsplatser, som ställer om- fattande krav på leverantörer på ett sätt som är svårt för alla enskilda myndigheter att göra, kan sannolikt stärka informations- och cyber- säkerheten.

Det finns risker förknippade med båda strategierna. Om ett ser- vicecenter har sårbarheter till följd av tekniska eller organisatoriska brister, samt saknar logisk eller fysisk separation av resurser för olika verksamheter, kan dessa sårbarheter drabba flera verksamheter. Som exempel kritiserade Rigsrevisionen i Danmark år 2019 Statens IT för att inte vara tillräckligt restriktiv med de behörigheter myndigheten tilldelat sina anställda vilket gjort att anställda fått onödigt omfattande tillgång till olika system.

6

Säkerhetsskydd och